Sự tuân thủ quy định về cung cấp chứng thư số của các CA công cộng
Thời gian vừa qua, nhiều đơn vị tổ chức tài chính, ngân hàng, bảo hiểm, y tế… đã sử dụng dịch vụ ký số từ xa trên nền tảng di động do các CA lớn cung cấp. Tuy đem lại nhiều thuận tiện và lợi ích, nhưng đằng sau đó, việc ứng dụng giải pháp kỹ thuật có thực sự đảm bảo tin cậy, an toàn an ninh bảo mật trong giao dịch điện tử hay chỉ là công cụ, ứng dụng thay thế cho việc xác thực bảo mật (như OTP hiện nay), dẫn đến sự mất niềm tin vào dịch vụ tin cậy chữ ký số trong giao dịch điện tử cho khách hàng, đơn vị sử dụng.
Vì nóng vội, muốn triển khai nhanh, mong muốn dẫn đầu thị trường dịch vụ chữ ký số, chứng thư số theo mô hình ký số từ xa, một vài đơn vị đã cung cấp dịch vụ ra thị trường trong khi chưa được cơ quan chức năng cấp phép theo đúng quy định của pháp luật.
Vụ việc Công ty MISA bị Trung tâm Chứng thực điện tử quốc gia (NEAC), Bộ Thông tin và Truyền thông (TT&TT) yêu cầu tạm dừng cung cấp dịch vụ chứng thực chữ ký số từ xa (MISA eSIGN) vừa qua đã để lộ những lỗ hổng lớn về tính tuân thủ tiêu chuẩn kỹ thuật, hành lang pháp lý hiện hành đối với các nhà cung cấp dịch vụ chứng thực chữ ký số. Misa đã triển khai cung cấp dịch vụ ký số từ xa ra thị trường, cung cấp cho hàng nghìn khách hàng trước ngày 01/4/2020 - thời điểm Thông tư số 16/2019/TT-BTTTT chính thức có hiệu lực và khi chưa trình hồ sơ kỹ thuật đầy đủ tuân thủ pháp lý để NEAC thẩm định. Hơn nữa, Misa cho thấy sự mập mờ trong dịch vụ, bởi không cung cấp cho khách hàng đầy đủ thông tin về Hợp đồng khi được yêu cầu.
Dịch vụ chứng thực chữ ký số công cộng là ngành nghề kinh doanh có điều kiện (tiền kiểm) được quy định tại Nghị định số 130/2018/NĐ-CP. Ngày 07/5/2020, NEAC cũng đã ban hành Công văn số 190/NEAC-TĐPC về hướng dẫn chi tiết triển khai việc áp dụng các Tiêu chuẩn bắt buộc quy định tại Thông tư số 16/2019/TT-BTTTT, yêu cầu các CA báo cáo sự thay đổi tính năng kỹ thuật và nộp hồ sơ đề nghị cấp chứng thư số cho dịch vụ ký số trên thiết bị di động, ký số từ xa. Việc một số đơn vị cố tình làm trái quy định đã gióng một hồi chuông cảnh báo về sự tuân thủ pháp lý của các doanh nghiệp này. Đồng thời, trong công tác quản lý, kiểm tra và rà soát hoạt động cung cấp dịch vụ chứng thực chữ ký số tại Việt Nam cũng cần phải siết chặt hơn nữa.
Hiện nay, trên thị trường đa số các CA công cộng đều cung cấp dịch vụ chứng thực chữ ký số sử dụng USB Token, nhưng tình trạng cấp chứng thư số khi chưa có đủ hồ sơ, giấy tờ nộp kèm của cá nhân, tổ chức theo quy định cũng là một thực tế đáng báo động. Rà soát mới đây nhất của Bộ TT&TT trong công tác kiểm tra định kỳ với những CA công cộng lớn cho thấy có một số lượng không nhỏ các hồ sơ, giấy tờ nộp kèm không đầy đủ (tuân thủ theo Nghị định số 130/2018/NĐ-CP). Chứng thư số của thuê bao có thể coi thay con dấu đỏ của tổ chức, như chứng minh thư điện tử của người dùng, đại diện cho chủ sở hữu trong những giao dịch điện tử, ký số tài liệu điện tử với giá trị pháp lý như bản giấy có dấu đỏ và chữ ký tươi. Việc các doanh nghiệp lỏng lẻo trong quản lý, cấp phát chứng thư số, quản lý thiết bị lưu khóa hiện nay sẽ dẫn đến những hậu quả nghiêm trọng khi không xác minh, định danh chính xác đối tượng sở hữu chứng thư số, tiếp tay cho những đối tượng lừa đảo, làm giả giấy giờ, gây khó khăn trong việc tra cứu trách nhiệm khi xảy ra tranh chấp trong giao dịch điện tử.
Đánh giá tiêu chuẩn kỹ thuật áp dụng cho ký số từ xa theo Thông tư số 16/2019/TT-BTTTT
Sáng 30/7 vừa qua, Bộ TT&TT đã có cuộc họp cùng Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam về thực hiện triển khai dịch vụ chữ ký số từ xa và tiêu chuẩn kỹ thuật tuân thủ theo Thông tư số 16/2019/TT-BTTTT. Cuộc họp dưới sự chủ trì của ông Nguyễn Thành Hưng, Thứ trưởng Bộ TT&TT; Trung tâm Chứng thực điện tử quốc gia (NEAC), Vụ Khoa học Công nghệ, Vụ Pháp chế - Bộ TT&TT; đại diện Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam; đại diện 7 CA công cộng đã nộp hồ sơ xin cấp phép cung cấp dịch vụ chữ ký số và chứng thực chữ ký số theo mô hình ký số từ xa và các CA công cộng khác.
Tại cuộc họp, ông Ngô Tuấn Anh, đại diện Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam đã đề xuất với Bộ TT&TT về phương thức đánh giá hệ thống ký số từ xa tuân thủ Thông tư số 16/2019/TT-BTTTT áp dụng cho hạng mục ký số từ xa. Ông chia sẻ: Về phương thức thẩm định, đánh giá đối với dịch vụ chữ ký số cho cá nhân, môđun mã hóa bảo mật HSM bắt buộc phải đạt chứng nhận quốc tế theo quy định của Thông tư, còn môđun ký số quản lý khóa ký SAM và các thành phần khác thì Câu lạc bộ đề xuất đánh giá tự xây dựng bộ tiêu chuẩn kỹ thuật và đề nghị Bộ TT&TT hợp chuẩn đánh giá phụ lục tiêu chuẩn kỹ thuật của Thông tư 16. Đối với dịch vụ chữ ký số cho tổ chức, môđun bảo mật HSM và môđun ký số SAM sẽ bắt buộc phải tuân thủ và đạt chứng nhận quốc tế như quy định. Còn các thành phần khác chỉ cần thực hiện tuân thủ theo Thông tư 16.
Một số thành viên CLB Chữ ký số cho rằng, nếu bắt buộc tuân thủ đầy đủ theo Thông tư số 16 sẽ khiến chi phí triển khai lớn, giá thành sản phẩm, dịch vụ khi đến tay khách hàng cao và khó thực hiện trong thời gian ngắn, đồng thời đề xuất hạ thấp tiêu chuẩn đã quy định tại Thông tư số 16 đối với ký số từ xa.
Liên quan đến vấn đề này, Ông Phạm Quốc Hoàn, Phó Giám đốc NEAC giải thích rõ về quy định tiêu chuẩn quốc tế cho dịch vụ ký số từ xa: Đối với quy chuẩn của Thông tư 16 hiện đang áp dụng đúng theo quy định về tiêu chuẩn đối với dịch vụ ký số từ xa, dịch vụ tin cậy cho chữ ký số từ xa của châu Âu (EU). Loại hình chữ ký điện tử đủ tiêu chuẩn (Qualified Electronic Signature) mà EU đang áp dụng cho các nhà cung cấp dịch vụ tin cậy, chữ ký số, chữ ký số từ xa là môđun bảo mật HSM, môđun ký số SAM bắt buộc đạt chứng nhận từ các phòng Lab đủ điều kiện chứng nhận. Các thành phần khác có thể thực hiện đảm bảo tuân thủ đầy đủ chức năng, tiêu chuẩn kỹ thuật, chính sách tuân thủ theo quy định.
Đại diện Vụ Khoa học Công nghệ, Bộ TT&TT nhấn mạnh, tương tự các lĩnh vực, ngành nghề khác như Viễn thông, Tần số, thì dịch vụ cung cấp chữ ký số từ xa là một dịch vụ tin cậy. Bộ TT&TT đã ban hành các tiêu chuẩn bắt buộc áp dụng đảm bảo tuân thủ chặt chẽ theo các quy định quốc tế, cụ thể là theo tiêu chuẩn của Châu Âu - EU ESTI. Trong đó, yêu cầu bắt buộc môđun HSM và ký số SAM phải có chứng nhận đạt chuẩn, vì đây là thành phần bảo mật trọng yếu đối với dịch vụ tin cậy, quản lý và sinh khóa ký, ký số của khách hàng trong các giao dịch điện tử. Các thành phần khác thực hiện tuân thủ đầy đủ các chức năng, tiêu chuẩn kỹ thuật, chính sách được quy định rõ tại Thông tư số 16.
Ông Nguyễn Thành Hưng, Thứ trưởng Bộ TT&TT nhấn mạnh quan điểm thực hiện đúng quy định pháp luật hiện nay, không hạ thấp tiêu chuẩn để đẩy nhanh quá trình cung cấp dịch vụ ký số từ xa. Đây là dịch vụ tin cậy, do đó không thể để mất niềm tin của khách hàng/thị trường vào lĩnh vực giao dịch điện tử. Các quốc gia phát triển như châu Âu, Nhật Bản, Mỹ phải mất nhiều năm và có trình độ kỹ thuật công nghệ cao mới cung cấp, triển khai dịch vụ chữ ký số từ xa, ký số trên nền tảng đám mây đảm bảo an toàn tin cậy được. Kinh nghiệm trong hơn 20 năm qua mà Bộ TT&TT đã thực thi áp dụng triển khai các quy chuẩn kỹ thuật Viễn thông của châu Âu thành công cho thấy, không thể hạ thấp tiêu chuẩn kỹ thuật đối với những lĩnh vực và dịch vụ bắt buộc khi chúng ta chưa đủ năng lực và trình độ công nghệ.
Đại diện đơn vị TrustCA cũng đưa ra ý kiến, đối với dịch vụ tin cậy, hai môđun quan trọng nhất là môđun HSM mã hóa bảo mật và SAM quản lý khóa ký phải tuân thủ theo tiêu chuẩn quốc tế nhằm đảm bảo an toàn cho người dùng. Còn các thành phần khác cần thực hiện đúng, tuân thủ theo quy định của Thông tư 16 hiện nay bao gồm chức năng, quy trình và chính sách. Đối chiếu theo Thông tư số 16, môđun HSM cho dịch vụ ký số phải đạt chuẩn eIDAS EN 419 221-5:2018, còn đối với môđun SAM phải đạt chuẩn CC EAL4+ eIDAS EN 419 241-2.
Về đề xuất giải pháp triển khai thực hiện dịch vụ ký số từ xa, Công ty Softdreams đề xuất hai phương án: Thứ nhất, triển khai theo như yêu cầu của Bộ TT&TT, đối với môđun HSM và SAM ký số quản lý khóa người dùng phải tuân thủ hoàn toàn theo quy định pháp luật và đảm bảo có chứng nhận quốc tế. Thứ hai, Việt Nam có thể chỉ định đơn vị xây dựng phòng lab, phòng kiểm thử độc lập, chẳng hạn như Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã (Ban Cơ yếu Chính phủ) có thể xây dựng phòng lab đạt chuẩn quốc tế, để đánh giá phần mềm do các đơn vị trong nước tự phát triển từ môđun SAM đến các thành phần phần mềm khác để đảm bảo tuân thủ theo thông lệ quốc tế.
Trên cơ sở các ý kiến đề xuất của đại diện các CA công cộng, ông Nguyễn Thành Hưng, Thứ trưởng Bộ TT&TT hoan nghênh tinh thần xây dựng và các sáng kiến cụ thể. Thứ trưởng Bộ TT&TT nhấn mạnh và chỉ rõ: hiện nay, với dịch vụ chứng thực chữ ký số sử dụng USB token, nhiều đơn vị vẫn không tuân thủ quy định theo Nghị định 130/2018/NĐ-CP và Thông tư 06/2015/TT-BTTTT. Thời gian tới các cơ quan quản lý nhà nước sẽ siết chặt quản lý để các CA cung cấp các dịch vụ hiện hữu có chất lượng tốt nhất. Đối với chữ ký số từ xa trong giao dịch điện tử, vì đây là dịch vụ tin cậy, do đó cần phải đảm bảo tiêu chuẩn bảo mật cũng như sự an toàn tối đa trong mọi giao dịch điện tử, chúng ta không vì gấp rút, vội vàng mà làm mất niềm tin của khách hàng đối với dịch vụ chữ ký số.
Nhìn lại thị trường dịch vụ chứng thực chữ ký số Việt Nam
So sánh với những thị trường có mô hình hoạt động tương tự Việt Nam như Ấn Độ hay Hàn Quốc, dịch vụ chứng thực chữ ký số công cộng ở những nước này được quy định chi tiết về khung pháp lý, khung kỹ thuật và được kiểm soát chặt chẽ về tính tuân thủ pháp lý, tiêu chuẩn kỹ thuật từ đăng ký dịch vụ, quản lý cấp chứng thư số, đến dịch vụ chữ ký số, quản lý hệ thống đại lý. Dù phục vụ thị trường lớn, nhu cầu số hóa cao, giao dịch điện tử đã phát triển trong 10 - 15 năm qua, nhưng số lượng các nhà cung cấp dịch vụ chứng thực chữ ký số tại Ấn Độ và Hàn Quốc vẫn chỉ có 7 - 8 nhà cung cấp.
Tại Việt Nam, các văn bản quy định về cung cấp dịch vụ chữ ký số, chứng thực chữ ký số trong giao dịch điện tử đã được ban hành tương đối đầy đủ, nhưng vẫn chưa đủ chặt chẽ, một số tiêu chuẩn, quy chuẩn kỹ thuật chưa phù hợp, dẫn đến nhiều đơn vị có thể xin và được cấp phép. Số lượng đơn vị được cấp phép nhiều, trong khi thị trường còn nhỏ, bên cạnh đó công tác kiểm tra, giám sát các CA công cộng và đại lý chưa thực sự tốt, dẫn đến nhiều hệ lụy với người dùng.
Với đặc thù của dịch vụ tin cậy như chứng thư số, sự tăng trưởng về số lượng nhà cung cấp phải tỷ lệ thuận với khả năng kiểm tra, giám sát của cơ quan quản lý, cũng như cần một hành lang pháp lý mạnh mẽ, một chế tài đủ sức răn đe. Nếu không làm được điều này thì thực trạng đang tồn tại chỉ là phần nổi của tảng băng chìm của những bất cập trong cung cấp dịch vụ ký số, chứng thực chữ ký số công cộng hiện nay.