Hiện nay, các dịch vụ công trực tuyến đang ngày một phát triển và trở nên quan trọng đối với nền kinh tế và kết cấu của xã hội hiện đại. Do đó, các chính sách và giải pháp an toàn, bảo mật cần phải tập trung giải quyết các thách thức cụ thể liên quan đến an toàn, bảo mật của các hệ thống hạ tầng Chính phủ điện tử.
Với Chính phủ điện tử, nhu cầu đảm bảo an toàn, bảo mật và khả năng phục hồi trước các cuộc tấn công mạng (truy cập, sửa đổi, từ chối dịch vụ) của hệ thống có tầm quan trọng cốt lõi. Các mối đe dọa đối với an toàn mạng (khủng bố mạng, gián điệp mạng, tấn công có chủ đích,…) liên tục thay đổi khi phát hiện ra các lỗ hổng mới trong các hệ thống đã được triển khai và mới được thiết lập. Yêu cầu đặt ra là cần có giải pháp để chống lại các mối đe dọa đó. Các biện pháp đảm bảo an toàn mạng cần được triển khai bao gồm: tường lửa và proxy, các phần mềm chống mã độc, đảm bảo an toàn Internet, mã hóa, cũng như thiết lập hệ thống giám sát an toàn mạng và ứng cứu sự cố.
Để giao tiếp giữa người dùng và nhà cung cấp dịch vụ được hiệu quả, các sản phẩm mà họ sử dụng cần phải có khả năng chia sẻ và trao đổi dữ liệu. Do đó, khả năng tương tác - khả năng các sản phẩm, hệ thống hoặc quy trình nghiệp vụ phối hợp với nhau để hoàn thành một nhiệm vụ chung, vẫn là mục tiêu lâu dài của Chính phủ điện tử. Khung Chính phủ điện tử châu Âu xác định ba yếu tố khác nhau của khả năng tương tác:
- Khả năng tương tác kỹ thuật, liên quan đến việc liên kết các hệ thống máy tính thông qua các tiêu chuẩn đã được thống nhất để trao đổi dữ liệu.
- Khả năng tương tác ngữ nghĩa, tập trung vào việc đảm bảo dữ liệu được trao đổi có cùng một ngữ nghĩa giữa các hệ thống được liên kết, cũng như tuân thủ các tiêu chuẩn kỹ thuật số khác nhau.
- Khả năng tương tác có tổ chức, liên quan đến việc tổ chức các quy trình nghiệp vụ và cơ sở hạ tầng để tăng cường trao đổi dữ liệu. Việc cung cấp các dịch vụ công xuyên liên ngành được coi là sẽ có tác động lớn đối với doanh nghiệp và người dân trong đó khả năng tương tác là điều kiện tiên quyết.
Các hệ thống hạ tầng Chính phủ điện tử phải giải quyết các nhu cầu giao tiếp ở nhiều cấp độ, bao gồm khả năng giao tiếp của Chính phủ với người dân, với khu vực tư nhân và trong chính khu vực công.
Vấn đề nhận dạng đặt ra một số câu hỏi quan trọng cần phải giải quyết. Trong giao dịch điện tử, vấn đề xác minh danh tính của đối tác giao dịch là rất quan trọng, không chỉ để đảm bảo rằng đối tác chính là doanh nghiệp muốn thực hiện thỏa thuận đơn lẻ đó, mà còn cho việc thực hiện giao dịch trong dài hạn. Đối tác cần chịu trách nhiệm trong tương lai bằng các chữ ký điện tử mà họ đã sử dụng khi kết thúc giao dịch. Có nguy cơ thông tin ID bị mất, bị đánh cắp, xóa hoặc không an toàn, và điều này cũng dẫn đến rủi ro rằng các thỏa thuận sẽ không được duy trì vì có thể có nghi ngờ về danh tính của đối tác.
Liên quan đến những nghi ngại về hộ chiếu sinh trắc học, thì liệu dữ liệu sinh trắc học có đáng tin cậy hay không và có được bảo vệ chống lại tội phạm muốn giả mạo dữ liệu và hộ chiếu sinh trắc học hay không? Vì vậy, hiệu quả của dữ liệu sinh trắc học sẽ là một vấn đề cần được giải quyết. Trong lĩnh vực y tế, để nhận dạng bệnh nhân, bác sĩ và các chuyên gia y tế cần các giải pháp kỹ thuật. Sẽ sử dụng mã PIN hay thẻ thông minh? Những phương tiện nhận dạng nào là cần thiết để tạo dữ liệu của bệnh nhân, sửa đổi chúng và có quyền truy cập vào chúng, và ai chịu trách nhiệm về tính chính xác của hồ sơ?
Tính khả dụng tập trung vào việc làm cho các ứng dụng và dịch vụ có khả năng sử dụng dễ dàng. Vấn đề về tính khả dụng liên quan đến các yêu cầu về bảo mật vì các nỗ lực tăng cường bảo mật dữ liệu có thể làm giảm tính khả dụng của chúng. Trong nhiều trường hợp, tính khả dụng cũng giải quyết cách thức dữ liệu sẽ được sử dụng và ai sử dụng dữ liệu. Tính khả dụng liên quan chặt chẽ tới sự tin cậy của Chính phủ điện tử, trong sự tương tác giữa các chủ thể kiểm soát, cung cấp hoặc hưởng lợi từ dịch vụ.
Ví dụ, trong y tế điện tử, các hệ thống y tế khác nhau có các hệ thống lưu giữ hồ sơ khác nhau và thậm chí trong các hệ thống này cũng có thể có các hệ thống lưu giữ hồ sơ khác nhau. Mặt khác, các hệ thống lưu giữ hồ sơ hoàn toàn được số hóa và đòi hỏi rằng nhân viên và bệnh nhân cần biết cách sử dụng hệ thống kỹ thuật số thì mới đảm bảo được tính khả dụng.
Quyền riêng tư đề cập đến mối quan hệ giữa thu thập, tối thiểu hóa, phổ biến và bảo vệ dữ liệu cá nhân thông qua sử dụng công nghệ. Quyền riêng tư trong Chính phủ điện tử đề cập đến sự bảo vệ của Chính phủ đối với thông tin cá nhân của người dân và doanh nghiệp. Mối lo ngại của người dân về cách dữ liệu cá nhân của họ sẽ được lưu trữ, xử lý và truyền tải như thế nào sẽ là một trong những rào cản hàng đầu trong triển khai Chính phủ điện tử.
Người dân và doanh nghiệp phải được đảm bảo rằng họ tương tác với các cơ quan hành chính nhà nước trong một môi trường tin cậy và tuân thủ đầy đủ các quy định có liên quan, như về quyền riêng tư và bảo vệ dữ liệu. Điều này có nghĩa là các cơ quan hành chính nhà nước phải đảm bảo rằng, quyền riêng tư của người dân và tính bảo mật của thông tin được cung cấp bởi các doanh nghiệp được tôn trọng, tin cậy.
Trong các ràng buộc bảo mật cần thiết, người dân và doanh nghiệp phải có quyền xác minh thông tin mà chính quyền đã thu thập về họ và quyết định xem thông tin này có thể được sử dụng cho các mục đích khác với những mục đích ban đầu hay không. Dữ liệu được thu thập có thể bao gồm thông tin về thu nhập, thuế, tài khoản ngân hàng, tuy nhiên cũng có thông tin cá nhân hơn như hồ sơ bệnh án, các phương pháp y tế đã từng điều trị,…
Các vi phạm an toàn và quyền riêng tư trong hệ thống Chính phủ điện tử có thể ảnh hưởng đến công dân nhiều hơn so với việc sử dụng hệ thống thông tin thông thường. Khi nhiều hệ thống Chính phủ điện tử lưu trữ dữ liệu tập trung thì tầm ảnh hưởng còn lớn hơn. Khi các hệ thống Chính phủ điện tử được thiết lập thì quyền riêng tư của người dân và tổ chức phải đối diện với mối đe dọa mới.
Các hệ thống thông tin điện tử có chứa thông tin nhạy cảm sẽ là mục tiêu của nhiều đối tượng tấn công mạng. Do đó, kiểm soát truy cập vào các hệ thống này là cần thiết để ngăn chặn việc sử dụng sai mục đích thông tin được lưu trữ. Kiểm soát truy cập nói chung có một định nghĩa rất rộng, có thể là bất cứ thứ gì từ mật khẩu đến mã PIN thẻ tín dụng, nhưng chức năng cơ bản của kiểm soát truy cập là từ chối những truy cập không mong muốn.
Trong Chính phủ điện tử, các phương tiện kiểm soát truy cập chủ yếu là điện tử hoặc vật lý, và hệ thống có thể là cơ sở dữ liệu thông tin công dân, hồ sơ y tế, tài khoản ngân hàng, các hợp đồng kiểm soát cơ sở hạ tầng như điện, hạ tầng giao thông và sân bay,… Khi kiểm soát truy cập bị xâm phạm, tức là có nguy cơ xảy ra lừa đảo hoặc truy cập bất hợp pháp vào cơ sở dữ liệu của chính phủ với thông tin về công dân.
Tương tự như vậy, ngay cả dữ liệu thông tin sinh trắc học nếu bị truy cập bất hợp pháp cũng có thể bị giả mạo. Đối với các doanh nghiệp, khi sử dụng giao dịch điện tử có thể có nguy cơ ID của họ bị giả mạo và được sử dụng để lừa đảo. Công dân sử dụng ID điện tử, cũng phải đối diện với nguy cơ bị chiếm quyền sử dụng, hoặc giả mạo dữ liệu sinh trắc học. Thêm nữa, việc số hóa các hệ thống y tế sẽ đối diện với các mối đe dọa tương tự đối với kiểm soát truy cập; ID có thể được sử dụng để lừa đảo, đánh cắp mật khẩu và thẻ thông minh. Như vậy, tất cả các hệ thống điện tử đều có nguy cơ bị xâm phạm và đánh cắp dữ liệu.
Khi các hệ thống kiểm soát truy cập an toàn và công phu được áp dụng, thì hệ thống kiểm soát truy cập càng phức tạp, càng có thể làm ảnh hưởng đến tính khả dụng của hệ thống hoặc dịch vụ. Vì vậy, để đáp ứng tính khả dụng, một hệ thống đăng nhập một lần cần được ưu tiên, cho phép người dùng nhớ chỉ một mã truy cập cho nhiều tệp dữ liệu. Cần ưu tiên giải pháp đa tài khoản để có thể ngăn ngừa mất quá nhiều dữ liệu trong trường hợp bị đánh cắp ID.
Lạm quyền là những gì xảy ra khi một đối tượng hoặc thủ tục được thiết kế cho một mục đích, nhưng bị lạm dụng cho mục đích khác. Điều này có thể xảy ra nếu phạm vi của chức năng chưa được xác định đầy đủ hoặc phân định rõ ràng. Ví dụ, một luật có thể được áp dụng để cung cấp cho cảnh sát một số quyền hạn nhất định, và nếu những quyền hạn này chưa được xác định rõ, cảnh sát có thể sử dụng chúng cho các mục đích khác ngoài mục đích ban đầu của luật.
Liên quan đến Chính phủ điện tử, đây là một vấn đề rất quan trọng vì một lượng lớn dữ liệu về công dân sẽ được cung cấp rộng rãi cho các cơ quan chính phủ, thậm chí cả những tổ chức tư nhân. Do đó, cần xem xét kỹ lưỡng về việc lưu trữ dữ liệu công dân, cách dự định sử dụng chúng và những chính sách pháp lý nào cần được thực hiện để bảo vệ dữ liệu của công dân và doanh nghiệp.
Một khi sinh trắc học của tất cả các công dân được thu thập và lưu trữ theo cách có thể tìm kiếm, chúng cũng có thể được sử dụng cho các mục đích khác như nhận dạng trong điều tra tội phạm. Ngoài ra, một hệ thống y tế điện tử có thể đối diện với nguy cơ thông tin sức khỏe của công dân bị sử dụng bởi các công ty bảo hiểm hoặc các tổ chức khác. Một loại lạm quyền khác có thể xảy ra nếu một dạng ký số điện tử được bắt buộc sử dụng trong một phạm vi của ứng dụng và sau đó được thực hiện ở một phạm vi khác. Trong phạm vi ứng dụng ban đầu tiên, chỉ cần sử dụng một giải pháp ký số điện tử có chi phí thấp, trong khi phạm vi khác cần giải pháp an toàn hơn.
Các thách thức trên cũng cần được xem xét trong các ngữ cảnh về quy mô sử dụng; phạm vi; độ phức tạp của vấn đề an toàn, bảo mật; quan hệ nhà cung cấp - người dùng; các công nghệ được sử dụng.
Các thách thức trên có những mối quan hệ với nhau, như kiểm soát truy nhập yếu hoặc lạm quyền đều dẫn đến vi phạm quyền riêng tư; nhận dạng là một biện pháp được áp dụng để kiểm soát truy nhập,… Việc thu thập đầy đủ thông tin và phân tích một cách có hệ thống các thách thức an toàn, bảo mật là bước quan trọng trong quá trình áp dụng và triển khai Chính phủ điện tử.
|
TÀI LIỆU THAM KHẢO 1. Heiser, Gernot: White Paper: Protecting e-Government against attacks.Sydney 2013. In: Intermediate Report 3: Conference Report. 2. Security of eGovernment Systems, Science and Technology Options Assessment, 2013. 3. Heiser, Gernot et al.: The Road to Trustworthy Systems. Communications of the ACM, 53(6), 107–115, June, 2010. Cryptosystem on an 8-bit Microcontroller”, 2009. |
TS. Nguyễn Anh Tuấn
14:00 | 14/10/2020
08:00 | 11/08/2021
08:00 | 13/02/2020
15:00 | 04/08/2020
10:00 | 12/11/2020
09:00 | 25/12/2020
14:00 | 12/03/2021
15:00 | 04/08/2023
Quy định về định danh điện tử và dịch vụ tin cậy (eIDAS) của Liên minh châu Âu (EU) được ban hành vào năm 2014 nhằm mục đích nâng cao lòng tin đối với các giao dịch điện tử trên thị trường nội khối, bằng cách cung cấp nền tảng pháp lý chung cho giao dịch điện tử đảm bảo an toàn giữa người dân, doanh nghiệp, cơ quan nhà nước và quốc tế trong thị trường nội khối. Từ đó tăng cường hiệu quả của các dịch vụ trực tuyến công và tư, kinh doanh điện tử và thương mại điện tử trong EU. Trong phần I của bài báo, tác giả sẽ giải thích rõ hơn về quy định eIDAS và sổ cái phân tán (Distributed Ledger Technology - DLT).
15:00 | 14/04/2023
Sự tăng trưởng nhanh chóng của các thiết bị kết nối Internet (Internet of Things-IoT) đã và đang thay đổi cách thức sống, làm việc và cả cách tạo ra, chia sẻ, thu thập, sử dụng dữ liệu của người dùng. Hiện tại có trên 14 tỷ thiết bị IoT trên toàn thế giới, con số này ước tính sẽ còn tăng cao lên tới 27 tỷ thiết bị vào năm 2025. Dự kiến trong năm 2023, thế giới sẽ chứng kiến các thiết bị IoT được triển khai rộng rãi trên nhiều mặt với nhiều công nghệ và nhiều ứng dụng mới. Cùng với sự tăng trưởng đó, vấn đề bảo mật dữ liệu và cách thức doanh nghiệp cần thích nghi để đáp ứng những yêu cầu, quy định được đặt ra là rất cần thiết. Dưới đây là những xu hướng IoT chủ yếu có thể kể đến trong năm 2023.
07:00 | 14/11/2022
Tọa đàm với chủ đề: “Vai trò chữ ký số chuyên dùng trong thời kỳ chuyển đổi số quốc gia” dự kiến sẽ được Tạp chí An toàn thông tin tổ chức vào ngày 15/11 sẽ giúp quý vị độc giả có thể hiểu rõ hơn về kết quả triển khai chữ ký số chuyên dùng trong thời gian qua và những tác động của công tác này tới công cuộc chuyển đổi số quốc gia.
16:00 | 05/09/2022
Tài khoản định danh điện tử là tập hợp gồm tên đăng nhập (chính là mã số định danh cá nhân của công dân), mật khẩu (được gửi qua tin nhắn SMS cho mỗi cá nhân) hoặc hình thức xác thực khác được tạo lập bởi hệ thống định danh và xác thực điện tử của Bộ Công an. Tài khoản này được quản lý và xác thực trên ứng dụng định danh điện tử quốc gia (VNeID) do Bộ Công an phát triển. Khi sử dụng VNeID, người dân cần chú ý một số điều để đảm bảo an toàn cho tài khoản định danh điện tử.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Quyết định 950 của Thủ tướng Chính phủ: Phê duyệt Đề án phát triển đô thị thông minh bền vững Việt Nam giai đoạn 2018 - 2025 và định hướng đến năm 2030, mở ra các định hướng trong hợp tác, phát triển giữa chính quyền đô thị các cấp với các doanh nghiệp, đối tác trong nước và quốc tế, đồng thời đang dần định hình một số xu hướng nổi bật trong xây dựng đô thị thông minh, đáng sống, phát triển bền vững tại Việt Nam.
16:00 | 30/11/2023
Sáng 23/8, Đoàn Công tác của Ban Cơ yếu Chính phủ do đồng chí Hoàng Văn Thủy, Phó Cục trưởng Cục Chứng thực số và bảo mật thông tin làm trưởng đoàn đã tới kiểm tra về tình hình sử dụng chữ ký số chuyên dùng Chính phủ trong hoạt động của cơ quan Nhà nước tại Yên Bái.
19:00 | 25/08/2023
Việc áp dụng và phát triển các công nghệ liên quan đến trí tuệ nhân tạo (AI) đã có những tiến bộ vượt bậc trong năm 2023. Một lĩnh vực dường như đã sẵn sàng được hưởng lợi từ AI là quản lý rủi ro của bên thứ ba, nghĩa là AI có thể cung cấp cho các tổ chức một cách tự động hóa hơn để quản lý rủi ro của nhà cung cấp bên thứ ba, đồng thời đảm bảo tuân thủ quy định phức tạp.
15:00 | 20/11/2023
