Đó là câu hỏi được ông Trần Nguyên Vũ - Phó Cục trưởng Cục Tin học & Thống kê tài chính (Bộ Tài chính) băn khoăn chia sẻ tại hội thảo “Xây dựng hệ thống xác thực điện tử phục vụ triển khai dịch vụ công trực tuyến và cải cách hành chính” do Bộ Thông tin & Truyền thông tổ chức vừa qua tại Ninh Bình. Với 2 nội dung chính được đề cập là định hướng phát triển chữ ký số (CKS) quốc gia, hạ tầng công nghệ và điều kiện bảo mật CKS, chứng thực CKS phục vụ dịch vụ công trực tuyến của chính phủ.
Ưu tiên lợi ích quốc gia
Theo ông Đào Đình Khả - Giám đốc Trung tâm chứng thực chữ ký số quốc gia, Nghị định 26/2007/NĐ-CP quy định chi tiết thi hành Luật giao dịch điện tử về chữ ký số và dịch vụ chứng thực CKS. Theo đó có 2 hệ thống CKS, một phục vụ các đơn vị thuộc hệ thống chính trị (gọi tắt là CKS quốc gia) và một loại CKS công cộng phục vụ các giao dịch khác. Tuy nhiên hiện nay ở Việt Nam, chi phí xác thực CKS còn cao nên việc triển khai xác thực CKS riêng rẽ sẽ gây lãng phí; công nghệ không thống nhất; không thuận tiện khi sử dụng và khó khăn trong việc nâng cấp, kiểm soát bảo mật. Trong khi đó yêu cầu của một giao dịch điện tử phải đảm bảo 4 yếu tố là bảo mật, xác thực, nhất quán và chịu trách nhiệm
Nghị định 26 cũng chỉ rõ, bản chất của giao dịch điện tử là suôn sẻ và trách nhiệm. Do vậy yêu cầu về xác thực CKS sẽ phụ thuộc 2 yếu tố: giao dịch với ai và giá trị của giao dịch. Qua đó đơn vị sử dụng CKS sẽ lựa chọn công nghệ phù hợp để tránh lãng phí công nghệ và nguồn lực. Ông Khả cho rằng, mỗi giao dịch khác nhau sẽ có nhu cầu bảo mật khác nhau. Bốn yếu tố liên quan đến CKS là: giao dịch đa dạng, hiệu quả kinh tế, linh hoạt và hiệu năng. Do vậy thời gian tới, khi CKS được sử dụng phổ biến thì các đơn vị sử dụng CKS cũng phải báo cáo giá trị giao dịch và hiệu suất sử dụng. Ví dụ cơ quan thuế sẽ phải báo cáo số lượng người nộp thuế, số tiền thu được, hiệu quả sử dụng CKS trên kinh phí đầu tư công nghệ.
Đồng quan điểm trên, ông Nguyễn Đăng Đào - Phó Cục trưởng Cục quản lý kỹ thuật nghiệp vụ (Ban cơ yếu chính phủ) chia sẻ: một số nước đã xây dựng một tập hợp các quy tắc để dùng CKS đúng theo mức độ yêu cầu cần xác thực. Qua thực tế nhu cầu sử dụng CKS, đơn vị cung cấp và sử dụng sẽ lên kế hoạch đầu tư xây dựng hạ tầng, có biện pháp nâng cấp công nghệ hỗ trợ đối tượng sử dụng CKS phù hợp, tránh lãng phí.
Còn ở Việt Nam hiện nay, CKS quốc gia do Ban cơ yếu chính phủ cung cấp và quản lý trên cơ sở nhu cầu của các đơn vị thuộc hệ thống chính trị đang đi theo lộ trình chung. Trong khi CKS công cộng do các doanh nghiệp (được Bộ Thông tin & truyền thông cấp phép) như VDC, Bkis, Nacencomm, Viettel, FPT triển khai thì còn “vướng” nhiều vấn đề, mà trước hết là khả năng tương thích công nghệ vì mỗi doanh nghiệp lại sử dụng công nghệ khác nhau.
Hơn nữa, khi nói đến CKS nước ngoài, vấn đề đặt ra còn phức tạp hơn nhiều. Câu chuyện của ông Trần Nguyên Vũ viện dẫn trên phương diện ngành tài chính là một ví dụ: khi đầu tư vào Việt Nam, Intel sử dụng CKS và công nghệ Mỹ, đối chiếu với điều 15 của Nghị định 26/2007/NĐ-CP, 4 yêu cầu được đặt ra là: Phải có thỏa thuận sử dụng CKS giữa 2 nước; kỹ thuật và công nghệ tương thích; doanh nghiệp cấp CKS cho Intel phải có văn phòng đại diện tại Việt Nam; doanh nghiệp cấp CKS nước ngoài phải chứng minh nguồn lực tài chính và nhân sự phù hợp. “Vậy chúng ta có cần phải sửa đổi NĐ 26 cho phù hợp hay tiếp tục bảo hộ các doanh nghiệp CKS trong nước đang trong giai đoạn manh nha thành lập, để cho cơ hội đầu tư của các doanh nghiệp nước ngoài vào Việt Nam sẽ qua đi?”- ông Vũ băn khoăn.
Đại diện phía doanh nghiệp, ông Ngô Tuấn Anh, Giám đốc Bkis Telecom cho rằng: Nếu chấp nhận CKS của Intel thì sẽ tạo một “tiền lệ xấu” cho các doanh nghiệp nước ngoài sau này. Trong khi đó các doanh nghiệp cung cấp CKS, chứng thư số của Việt Nam đang trong quá trình thành lập sẽ rất khó cạnh tranh với các doanh nghiệp nước ngoài với nền tảng công nghệ và nhân lực phát triển và đã đi trước ta nhiều năm.
Còn đứng về phía cơ quan chủ quản là Bộ Thông tin & Truyền thông, ông Khả cho rằng ứng dụng CKS đã phục vụ dịch vụ công thì lợi ích quốc gia phải được ưu tiên và cân nhắc kỹ.
Khó khăn lựa chọn công nghệ và bảo mật
Tại hội thảo, các đại biểu rất “ấn tượng” với mô hình khu xác thực điện tử SingPass của Singapore được ông Tan Chee Young, Giám đốc an ninh bảo mật CrimsonLogic giới thiệu.
Ông Young cho biết, SingPass (Singapore Personal Access – Truy cập cá nhân ở Singgapore) được Chính phủ xây dựng sau đó bàn giao cho doanh nghiệp vận hành và quản lý. Với 1 ID và password, người dân có thể sử dụng gần như tất cả các dịch vụ công được chính phủ cung cấp. Hiện ở nước này đã có 70 cơ quan và 280 dịch vụ công được public, đây là kênh giao tiếp chính theo hình thức “nhiều cơ quan, một chính phủ” để tương tác với dân chúng.
Trong khi đó đại diện của Bkis, Microsoft, IBM, FPT, RSA, Ban cơ yếu chính phủ và Trung tâm chứng thực CKS quốc gia cũng giới thiệu các mô hình phát triển công nghệ CKS, chứng thực số được sử dụng tại nhiều nước hiện nay. Theo ông Nguyễn Văn Ba - đại diện FPT, các công nghệ One Time Password; Biometric; Hạ tầng khóa công khai được sử dụng nhiều tại Hàn Quốc và Đài Loan. Còn ở Việt Nam, công nghệ này cũng đã được sử dụng cho hệ thống các ngân hàng và chứng khoán. Đại diện Trung tâm chứng thực CKS lại đưa ra 2 chuẩn mã nguồn mở là SSO (Single Sign On – đăng nhập 1 lần) và OpenID (đăng nhập nhiều dịch vụ với 1 định danh) cũng được khá nhiều đại biểu quan tâm…
Tuy nhiên, một thực tế mà các đại biểu đều thừa nhận là trong khi nhu cầu sử dụng CKS của các cơ quan chính phủ và người dân đang ngày một tăng, thì việc lựa chọn công nghệ, xác định nhu cầu sử dụng CKS, bảo mật các giao dịch lại vẫn đang là bài toán khó của Việt Nam hiện nay.
Theo ông Nguyễn Đăng Đào, nếu 2 yếu tố chính tạo nên thành công của SingPass tại Singapore là công nghệ (tình trạng sẵn có, khả năng hoạt động, khả năng mở rộng, tính linh hoạt) và khung quản trị (an ninh, tính riêng tư, đào tạo/nhận thức, bảo trì và chu trình quản lý thống nhất), thì ở Việt Nam, nếu áp dụng mô hình truy cập cá nhân, chúng ta sẽ triển khai đối tượng nào trước? lộ trình ra sao và liệu chúng ta có tiên liệu trước được thành công?
Do vậy việc lựa chọn công nghệ và giải pháp bảo mật không nên chạy trước nhu cầu, mà theo kinh nghiệm của Hàn Quốc và Đài Loan trước đây, thì “đo nhu cầu mà may áo” là cách rất đáng được Việt Nam học tập…