VCDC chuẩn bị ban hành Bộ tiêu chuẩn kỹ thuật về Ký số từ xa

Bấm vào để phóng to

Ngày 05/12/2019, Bộ Thông tin và Truyền thông đã ban hành Thông tư số 16/2019/TT-BTTTT quy định danh mục tiêu chuẩn bắt buộc cho giải pháp Ký số di động và Ký số từ xa, đây là cột mốc quan trọng để các đơn vị CA tại Việt Nam triển khai các giải pháp Ký số khác nhau giúp mở rộng thị trường và ứng dụng chữ ký số đặc biệt cho đối tượng Thuê bao là cá nhân.

Theo hướng dẫn của Trung tâm Chứng thực điện tử Quốc gia (NEAC), dịch vụ CA là dịch vụ kinh doanh có điều kiện, do vậy các giải pháp ký số trước khi cung cấp ra thị trường cần phải được kiểm tra, đánh giá, đảm bảo đáp ứng Quy định của Thông tư (tiền kiểm). Để giúp các thành viên có cơ sở tham chiếu xây dựng giải pháp đồng thời để xuất NEAC tham khảo xây dựng bộ tiêu chuẩn kiểm tra, đánh giá các giải pháp ký số từ xa, Câu lạc bộ Chữ ký số và giao dịch điện tử Việt Nam (VCDC) đã có kế hoạch xây dựng Bộ tiêu chuẩn kỹ thuật ngay từ những ngày đầu tiên khi mới cùng Vụ khoa học Công nghệ (Bộ TT&TT) xây dựng dự thảo Thông tư 16/2019/TT-BTTTT.

Sau thời gian dài nghiên cứu, chiều ngày 08/07/2020 Tổ kỹ thuật của VCDC đã tổ chức họp, review lấy ý kiến cho phiên bản đầu tiên của Bộ tiêu chuẩn kỹ thuật này. Tham gia buổi họp, ông Dương Ngọc Khánh Tổ trưởng Tổ kỹ thuật đồng thời đại diện cho Viettel-CA cho biết: "VCDC đã nghiên cứu các giải pháp ký số từ xa, cũng như các tiêu chuẩn kỹ thuật từ cách đây hơn 2 năm, hiện nay đang là giai đoạn nước rút để ban hành một bộ tiêu chuẩn kỹ thuật hoàn chỉnh cho các thành viên sử dụng, đồng thời đề xuất lên Bộ TT&TT tham khảo. Chúng tôi đánh giá thị trường đang rất cần giải pháp ký số từ xa để mở rộng ứng dụng Chữ ký số đặc biệt cho đối tượng Thuê bao cá nhân. Tuy nhiên, do đặc thù của mảng Chữ ký số cần tính đảm bảo cao, hạn chế các rủi ro đến mức thấp nhất, do vậy chúng tôi không thể vội vàng ban hành, chúng ta cần một khoảng thời gian để các thành viên đánh giá thấu đáo về các giải pháp và tiêu chuẩn kỹ thuật. Tương tự như luật giao dịch điện tử ban hành từ năm 2005 tuy nhiên sau 4 năm đến năm 2009 mới có đơn vị CA đầu tiên được cấp phép triển khai".

   CLB Chữ ký số và giao dịch điện tử VN họp trao đổi về việc thúc đẩy triển khai chữ ký số

Ông Ngô Tuấn Anh - Chủ nhiệm VCDC cho biết: "Các tiêu chuẩn trong mô hình ký số từ xa là các tiêu chuẩn mới không chỉ với Việt Nam mà ngay cả với quốc tế, những hãng sản xuất thiết bị lớn như Utimaco, ASCERTIA, Cryptomathic… có kinh nghiệm cũng như nguồn lực là các chuyên gia có kinh nghiệm trong lĩnh vực CA mà cũng mới chủ yếu được cấp chứng chỉ đáp ứng được các yêu cầu cho 02 tiêu chuẩn, việc được nhận chứng chỉ qua các Lab chứng nhận của Châu Âu cũng mất khoảng 2 năm. Do đó, với khó khăn về nhân sự, điều kiện nghiên cứu, hạ tầng thử nghiệm để nghiên cứu, hiểu được các tiêu chuẩn và đưa ra được bộ tiêu chuẩn, bài đo để làm tài liệu tham chiếu cho các thành viên đồng thời đề xuất lên Bộ TT và TT là một thách thức lớn với đội ngũ chuyên gia của VCDC.

Một khó khăn nữa khi áp dụng tiêu chuẩn trong mô hình ký số từ xa tại Việt Nam hiện nay là chúng ta chưa có hành lang pháp lý về các mức (level) khác nhau khi ứng dụng chữ ký số. Qua nghiên cứu cho thấy, vấn đề then chốt khi triển khai giải pháp ký số từ xa là quy trình Xác minh (verify) và xác thực (authentication) thuê bao để xác định quyền truy cập và sử dụng khóa ký, có nhiều cấp độ, mức độ từ thấp đến cao để thực hiện các quy trình này với độ tin cậy khác nhau. Việc lựa chọn giao dịch với mức độ tin cậy như thế nào sẽ quyết định đến mức độ an toàn chấp nhận được, tính phù hợp để áp dụng và cả chi phí phải bỏ ra của người dùng có hợp lý hay không? VCDC nhận thấy, nếu không nghiên cứu cẩn thận trong triển khai, có thể dẫn tới các hệ lụy khó lường cho toàn xã hội.

Sau khi thông tư 16/2019/TT-BTTTT ban hành, cũng đã có một vài đơn vị tỏ ra “nóng vội” triển khai giải pháp ký số từ xa ngay khi chưa được cấp phép, trong đó có đơn vị triển khai hàng nghìn Chứng thư số ra thị trường sau đó đã bị Cơ quan nhà nước tạm dừng và phải thu hồi Chứng thư số, VCDC đánh giá giải pháp này đang tiềm ần rất nhiều nguy cơ mất an toàn khi chưa được thẩm định, đánh giá đảm bảo".

Ông Ngô Tuấn Anh cho biết thêm: “Ngoài việc các đơn vị phát triển Giải pháp cần tham khảo kỹ các tiêu chuẩn kỹ thuật để xây dựng giải pháp đảm bảo đúng quy định, thì vai trò của NEAC cũng rất lớn, NEAC nên phải có Quy trình kiểm tra, đánh giá chặt chẽ, tránh để lọt các giải pháp không đảm bảo, khi đó hậu quả sẽ khôn lường”.

Được biết, ngay trong tuần tới VCDC sẽ liên tục có các buổi làm việc, lấy ý kiến phản biện từ các chuyên gia, trước khi ban hành nội bộ Bộ tiêu chuẩn, đồng thời sẽ đề xuất Bộ TT&TT tham khảo xây dựng bộ tiêu chí khi kiểm tra, đánh giá.

Theo vcdc.vn