Các thách thức an toàn, bảo mật trong quá trình triển khai chính phủ điện tử

14:20 | 29/10/2020

An toàn và bảo mật trong Chính phủ điện tử ngày càng trở nên quan trọng do xu hướng số hóa trong xã hội ngày nay, cùng với những thay đổi trong cách giao tiếp với khu vực công, cách quản lý khu vực công và dịch vụ công được cung cấp. Phát triển và tăng cường sử dụng các dịch vụ công trực tuyến hay Chính phủ điện tử đối diện với nhiều thách thức. Bài viết đề cập tới một số thách thức khi triển khai Chính phủ điện tử phải đối mặt bao gồm: An toàn và bảo mật mạng; Khả năng tương tác; Nhận dạng; Tính khả dụng; Quyền riêng tư; Kiểm soát truy nhập; Lạm quyền.

Hiện nay, các dịch vụ công trực tuyến đang ngày một phát triển và trở nên quan trọng đối với nền kinh tế và kết cấu của xã hội hiện đại. Do đó, các chính sách  và giải pháp an toàn, bảo mật cần phải tập trung giải quyết các thách thức cụ thể liên quan đến an toàn, bảo mật của các hệ thống hạ tầng Chính phủ điện tử.

An toàn và bảo mật mạng

Với Chính phủ điện tử, nhu cầu đảm bảo an toàn, bảo mật và khả năng phục hồi trước các cuộc tấn công mạng (truy cập, sửa đổi, từ chối dịch vụ) của hệ thống có tầm quan trọng cốt lõi. Các mối đe dọa đối với an toàn mạng (khủng bố mạng, gián điệp mạng, tấn công có chủ đích,…) liên tục thay đổi khi phát hiện ra các lỗ hổng mới trong các hệ thống đã được triển khai và mới được thiết lập. Yêu cầu đặt ra là cần có giải pháp để chống lại các mối đe dọa đó. Các biện pháp đảm bảo an toàn mạng cần được triển khai bao gồm: tường lửa và proxy, các phần mềm chống mã độc, đảm bảo an toàn Internet, mã hóa, cũng như thiết lập hệ thống giám sát an toàn mạng và ứng cứu sự cố.

Khả năng tương tác

Để giao tiếp giữa người dùng và nhà cung cấp dịch vụ được hiệu quả, các sản phẩm mà họ sử dụng cần phải có khả năng chia sẻ và trao đổi  dữ liệu. Do đó, khả năng tương tác - khả năng  các sản phẩm, hệ thống hoặc quy trình nghiệp vụ phối hợp với nhau để hoàn thành một nhiệm vụ chung, vẫn là mục tiêu lâu dài của Chính phủ điện tử. Khung Chính phủ điện tử châu Âu xác định ba yếu tố khác nhau của khả năng tương tác:

- Khả năng tương tác kỹ thuật, liên quan đến việc liên kết các hệ thống máy tính thông qua các tiêu chuẩn đã được thống nhất để trao đổi dữ liệu.

- Khả năng tương tác ngữ nghĩa, tập trung  vào việc đảm bảo dữ liệu được trao đổi có cùng một ngữ nghĩa giữa các hệ thống được liên kết, cũng như tuân thủ các tiêu chuẩn kỹ thuật số khác nhau.

- Khả năng tương tác có tổ chức, liên quan đến việc tổ chức các quy trình nghiệp vụ và cơ sở hạ tầng để tăng cường trao đổi dữ liệu. Việc cung cấp các dịch vụ công xuyên liên ngành được coi là sẽ có tác động lớn đối với doanh nghiệp và người dân trong đó khả năng tương tác là điều kiện tiên quyết.

Các hệ thống hạ tầng Chính phủ điện tử phải giải quyết các nhu cầu giao tiếp ở nhiều cấp độ, bao gồm khả năng giao tiếp của Chính phủ với người dân, với khu vực tư nhân và trong chính khu vực công.

Nhận dạng

Vấn đề nhận dạng đặt ra một số câu hỏi quan trọng cần phải giải quyết. Trong giao dịch điện tử, vấn đề xác minh danh tính của đối tác giao dịch là rất quan trọng, không chỉ để đảm bảo rằng đối tác chính là doanh nghiệp muốn thực hiện thỏa thuận đơn lẻ đó, mà còn cho việc thực hiện giao dịch trong dài hạn. Đối tác cần chịu trách nhiệm trong tương lai bằng các chữ ký điện tử mà họ đã sử dụng khi kết thúc giao dịch. Có nguy cơ thông tin ID bị mất, bị đánh cắp, xóa hoặc không an toàn, và điều này cũng dẫn đến rủi ro rằng các thỏa thuận sẽ không được duy trì vì có thể có nghi ngờ về danh tính của đối tác.

Liên quan đến những nghi ngại về hộ chiếu sinh trắc học, thì liệu dữ liệu sinh trắc học có đáng tin cậy hay không và có được bảo vệ chống lại tội phạm muốn giả mạo dữ liệu và hộ chiếu sinh trắc học hay không? Vì vậy, hiệu quả của dữ liệu sinh trắc học sẽ là một vấn đề cần được giải quyết. Trong lĩnh vực y tế, để nhận dạng bệnh nhân, bác sĩ và các chuyên gia y tế cần các giải pháp kỹ thuật. Sẽ sử dụng mã PIN hay thẻ thông minh? Những phương tiện nhận dạng nào là cần thiết để tạo dữ liệu của bệnh nhân, sửa đổi chúng và có quyền truy cập vào chúng, và ai chịu trách nhiệm về tính chính xác của hồ sơ?

Tính khả dụng

Tính khả dụng tập trung vào việc làm cho các ứng dụng và dịch vụ có khả năng sử dụng dễ dàng. Vấn đề về tính khả dụng liên quan đến các yêu cầu về bảo mật vì các nỗ lực tăng cường bảo mật dữ liệu có thể làm giảm tính khả dụng của chúng. Trong nhiều trường hợp, tính khả dụng cũng giải quyết cách thức dữ liệu sẽ được sử dụng và ai sử dụng dữ liệu. Tính khả dụng liên quan chặt chẽ tới sự tin cậy của Chính phủ điện tử, trong sự tương tác giữa các chủ thể kiểm soát, cung cấp hoặc hưởng lợi từ dịch vụ.

Ví dụ, trong y tế điện tử, các hệ thống y tế khác nhau có các hệ thống lưu giữ hồ sơ khác nhau và thậm chí trong các hệ thống này cũng có thể có các hệ thống lưu giữ hồ sơ khác nhau. Mặt khác, các hệ thống lưu giữ hồ sơ hoàn toàn được số hóa và đòi hỏi rằng nhân viên và bệnh nhân cần biết cách sử dụng hệ thống kỹ thuật số thì mới đảm bảo được tính khả dụng.

Quyền riêng tư

Quyền riêng tư đề cập đến mối quan hệ giữa thu thập, tối thiểu hóa, phổ biến và bảo vệ dữ liệu cá nhân thông qua sử dụng công nghệ. Quyền riêng tư trong Chính phủ điện tử đề cập đến sự bảo vệ của Chính phủ đối với thông tin cá nhân của người dân và doanh nghiệp. Mối lo ngại của người dân về cách dữ liệu cá nhân của họ sẽ được lưu trữ, xử lý và truyền tải như thế nào sẽ là một trong những rào cản hàng đầu trong triển khai Chính phủ điện tử.

Người dân và doanh nghiệp phải được đảm bảo rằng họ tương tác với các cơ quan hành chính nhà nước trong một môi trường tin cậy và tuân thủ đầy đủ các quy định có liên quan, như về quyền riêng tư và bảo vệ dữ liệu. Điều này có nghĩa là các cơ quan hành chính nhà nước phải đảm bảo rằng, quyền riêng tư của người dân và tính bảo mật của thông tin được cung cấp bởi các doanh nghiệp được tôn trọng, tin cậy.

Trong các ràng buộc bảo mật cần thiết, người dân và doanh nghiệp phải có quyền xác minh thông tin mà chính quyền đã thu thập về họ và quyết định xem thông tin này có thể được sử dụng cho các mục đích khác với những mục đích ban đầu hay không. Dữ liệu được thu thập có thể bao gồm thông tin về thu nhập, thuế, tài khoản ngân hàng, tuy nhiên cũng có thông tin cá nhân hơn như hồ sơ bệnh án, các phương pháp y tế đã từng điều trị,…

Các vi phạm an toàn và quyền riêng tư trong hệ thống Chính phủ điện tử có thể ảnh hưởng đến công dân nhiều hơn so với việc sử dụng hệ thống thông tin thông thường. Khi nhiều hệ thống Chính phủ điện tử lưu trữ dữ liệu tập trung thì tầm ảnh hưởng còn lớn hơn. Khi các hệ thống Chính phủ điện tử được thiết lập thì quyền riêng tư của người dân và tổ chức phải đối diện với mối đe dọa mới.

Kiểm soát truy nhập

Các hệ thống thông tin điện tử có chứa thông tin nhạy cảm sẽ là mục tiêu của nhiều đối tượng tấn công mạng. Do đó, kiểm soát truy cập vào các hệ thống này là cần thiết để ngăn chặn việc sử dụng sai mục đích thông tin được lưu trữ. Kiểm soát truy cập nói chung có một định nghĩa rất rộng, có thể là bất cứ thứ gì từ mật khẩu đến mã PIN thẻ tín dụng, nhưng chức năng cơ bản của kiểm soát truy cập là từ chối những truy cập không mong muốn.

Trong Chính phủ điện tử, các phương tiện kiểm soát truy cập chủ yếu là điện tử hoặc vật lý, và  hệ thống có thể là cơ sở dữ liệu thông tin công dân, hồ sơ y tế, tài khoản ngân hàng, các hợp đồng kiểm soát cơ sở hạ tầng như điện, hạ tầng giao thông và sân bay,… Khi kiểm soát truy cập bị xâm phạm, tức là có nguy cơ xảy ra lừa đảo hoặc truy cập bất hợp pháp vào cơ sở dữ liệu của chính phủ với thông tin về công dân.

Tương tự như vậy, ngay cả dữ liệu thông tin sinh trắc học nếu bị truy cập bất hợp pháp cũng có thể bị giả mạo. Đối với các doanh nghiệp, khi sử dụng giao dịch điện tử có thể có nguy cơ ID của họ bị giả mạo và được sử dụng để lừa đảo. Công dân sử dụng ID điện tử, cũng phải đối diện với nguy cơ bị chiếm quyền sử dụng, hoặc giả mạo dữ liệu sinh trắc học. Thêm nữa, việc số hóa các hệ thống y tế sẽ đối diện với các mối đe dọa tương tự đối với kiểm soát truy cập; ID có thể được sử dụng để lừa đảo, đánh cắp mật khẩu và thẻ thông minh. Như vậy, tất cả các hệ thống điện tử đều có nguy cơ bị xâm phạm và đánh cắp dữ liệu.

Khi các hệ thống kiểm soát truy cập an toàn và công phu được áp dụng, thì hệ thống kiểm soát truy cập càng phức tạp, càng có thể làm ảnh hưởng đến tính khả dụng của hệ thống hoặc dịch vụ. Vì vậy, để đáp ứng tính khả dụng, một hệ thống đăng nhập một lần cần được ưu tiên, cho phép người dùng nhớ chỉ một mã truy cập cho nhiều tệp dữ liệu. Cần ưu tiên giải pháp đa tài khoản để có thể ngăn ngừa mất quá nhiều dữ liệu trong trường hợp bị đánh cắp ID.

Lạm quyền

Lạm quyền là những gì xảy ra khi một đối tượng hoặc thủ tục được thiết kế cho một mục đích, nhưng bị lạm dụng cho mục đích khác. Điều này có thể xảy ra nếu phạm vi của chức năng chưa được xác định đầy đủ hoặc phân định rõ ràng. Ví dụ, một luật có thể được áp dụng để cung cấp cho cảnh sát một số quyền hạn nhất định, và nếu những quyền hạn này chưa được xác định rõ, cảnh sát có thể sử dụng chúng cho các mục đích khác ngoài mục đích ban đầu của luật.

Liên quan đến Chính phủ điện tử, đây là một vấn đề rất quan trọng vì một lượng lớn dữ liệu về công dân sẽ được cung cấp rộng rãi cho các cơ quan chính phủ, thậm chí cả những tổ chức tư nhân. Do đó, cần xem xét kỹ lưỡng về việc lưu trữ dữ liệu công dân, cách dự định sử dụng chúng và những chính sách pháp lý nào cần được thực hiện để bảo vệ dữ liệu của công dân và doanh nghiệp.

Một khi sinh trắc học của tất cả các công dân được thu thập và lưu trữ theo cách có thể tìm kiếm, chúng cũng có thể được sử dụng cho các mục đích khác như nhận dạng trong điều tra tội phạm. Ngoài ra, một hệ thống y tế điện tử có thể đối diện với nguy cơ thông tin sức khỏe của công dân bị sử dụng bởi các công ty bảo hiểm hoặc các tổ chức khác. Một loại lạm quyền khác có thể xảy ra nếu một dạng ký số điện tử được bắt buộc sử dụng trong một phạm vi của ứng dụng và sau đó được thực hiện ở một phạm vi khác. Trong phạm vi ứng dụng ban đầu tiên, chỉ cần sử dụng một giải pháp ký số điện tử có chi phí thấp, trong khi phạm vi khác cần giải pháp an toàn hơn.

Các thách thức trên cũng cần được xem xét trong các ngữ cảnh về quy mô sử dụng; phạm vi; độ phức tạp của vấn đề an toàn, bảo mật; quan hệ nhà cung cấp - người dùng; các công nghệ được sử dụng.

Lời kết

Các thách thức trên có những mối quan hệ với nhau, như kiểm soát truy nhập yếu hoặc lạm quyền đều dẫn đến vi phạm quyền riêng  tư; nhận dạng là một biện pháp được áp dụng  để kiểm soát truy nhập,… Việc thu thập đầy đủ thông tin và phân tích một cách có hệ thống các thách thức an toàn, bảo mật là bước quan trọng trong quá trình áp dụng và triển khai Chính phủ điện tử.

TÀI LIỆU THAM KHẢO

1. Heiser, Gernot: White Paper: Protecting e-Government against attacks.Sydney 2013. In: Intermediate Report 3: Conference Report.

2. Security of eGovernment Systems, Science and Technology Options Assessment, 2013.

3. Heiser, Gernot et al.: The Road to Trustworthy Systems. Communications of the ACM, 53(6), 107–115, June, 2010. Cryptosystem on an 8-bit Microcontroller”, 2009.