Theo kết quả khảo sát của Liên Hợp quốc, từ năm 2004 đến nay, Estonia luôn nằm trong danh sách 20 quốc gia có CPĐT phát triển nhất thế giới. Năm 2013, ông Peter Herlihy, một quan chức của dịch vụ CPĐT Anh đã nói rằng, Estonia là quốc gia mà CPĐT được người dân sử dụng nhiều nhất trên thế giới.
Mô hình Chính phủ điện tử của Estonia
Thẻ công dân điện tử e-ID
Thành phần phổ biến nhất trong hệ thống CPĐT của Estonia là thẻ công dân điện tử (e-ID). Đây là công cụ tạo ra một xã hội kết nối, khiến các dịch vụ công hay tư đều trở nên cá nhân hoá và thuận tiện hơn mà vẫn đảm bảo được quyền riêng tư.
Theo một báo cáo của Ngân hàng Thế giới, khi Estonia bắt đầu sử dụng thẻ công dân điện tử vào năm 2002, họ đã vượt qua khoảng cách số bằng sự phối hợp giữa chính phủ và các doanh nghiệp tư nhân. Lý do đưa Estonia đến thành công nằm ở những nguyên tắc cơ bản được chấp nhận từ giai đoạn khởi động các sáng kiến về xã hội điện tử:
- Phi tập trung hóa kết hợp với khả năng kết nối giữa các hệ thống bằng việc: không lưu trữ dữ liệu trên một cơ sở dữ liệu tập trung; mỗi bên tham gia (các cơ quan chính phủ, doanh nghiệp và thậm chí cả những cá nhân) có quyền tự do chọn hệ thống sử dụng và hoạt động với nguyên tắc tất cả các hệ thống tham dự phải có thể làm việc với nhau vào thời điểm phù hợp.
- Lựa chọn cách tiếp cận nền tảng mở, bảo mật: mục đích là mọi tổ chức hay cá nhân có thể sử dụng cơ sở hạ tầng khoá công khai được cung cấp.
- Cam kết với một quá trình mở: các tính năng được khuyến khích cải tiến, tăng trưởng và nâng tầm một cách hài hoà.
- Đầu tư dài hạn vào một cơ sở hạ tầng phù hợp, với hai yếu tố: một phần mềm chung kết nối các ứng dụng với nhau (X-Road) và hệ thống thẻ công dân điện tử an toàn.
Có thể thấy rằng, 3 nguyên tắc đầu chỉ mang tính lý thuyết và việc triển khai thực tế không hề đơn giản. Điều làm nên thành công của Estonia là họ đã tuân theo những nguyên tắc đó trong hơn một thập kỷ.
Ngày nay, đa số người dân Estonia đều có thẻ công dân điện tử vì điều đó là bắt buộc. Điều quan trọng là thẻ e-ID của Estonia được sử dụng tới hơn 80 triệu lần trong năm 2014 và mức độ sử dụng ngày càng gia tăng. Số dịch vụ sử dụng e-ID tăng từ 40 (năm 2013) lên 1.600 (năm 2015).
Thẻ e-ID của Estonia có gắn một con chip và cần hai mã PIN, một mã để xác thực chủ thẻ và một mã dùng để ký số. Thẻ này có thể dùng để bỏ phiếu trực tuyến rất dễ dàng. Đến thời điểm bầu cử, công dân truy cập mạng và dùng mã PIN đầu của e-ID để xác thực danh tính. Hệ thống sẽ truy cập tuổi của người đó từ cơ sở dữ liệu dân cư (qua X-Road - hệ thống chia sẻ thông tin mà chúng ta sẽ tìm hiểu ở phần sau của bài viết) để xác nhận người đó có đủ tuổi tham gia bầu cử hay không. Hệ thống cũng biết về địa chỉ thường trú để cung cấp thông tin bầu cử của quận/huyện tương ứng. Khi nhập xong thông tin lựa chọn cho phiếu bầu, công dân chỉ cần nhập mã PIN còn lại để ký xác nhận “giao dịch”. Hệ thống bầu cử trực tuyến còn được bảo vệ bằng nhiều cơ chế an toàn khác. Ví dụ, để chống gian lận hay sự can thiệp của mã độc, phần mềm bầu cử kiểm tra cử tri thông qua máy ảnh của điện thoại thông minh. Ngoài ra, một người được phép bầu nhiều lần (cả trực tuyến và ngoại tuyến), lần bầu cuối sẽ thay thế những lần bầu trước đó. Bầu cử trực tuyến giúp người dân tiết kiệm được nhiều thời gian và tiền bạc.
Các cơ quan chính quyền và các doanh nghiệp cũng thu được lợi ích tương tự vì họ không cần thu thập thông tin, hay tạo ra một hệ thống trao đổi thông tin từ đầu. Kết quả là các dịch vụ được thực hiện trong thời gian rất ngắn. Việc đăng ký thành lập một doanh nghiệp ở Estonia chỉ mất khoảng 18 phút, kê khai thuế mất 5 phút và việc hoàn thuế thực được hoàn tất chỉ trong vài tuần. Người sử dụng các phương tiện giao thông công cộng có thể đưa thẻ công dân (e-ID) cho người soát vé thay vì trình vé, người lái xe cũng dùng e-ID thay cho giấy phép lái xe. Một cán bộ cảnh sát giao thông có thể truy cập thông tin trong vài giây thay vì 20 phút kiểm tra giấy tờ.
Không chỉ tiện lợi, hệ thống e-ID của Estonia đã vượt qua phần lớn các hệ thống thẻ định danh điện tử khác bởi 4 điều: Phân biệt các vai trò gắn với một thẻ định danh; Bảo vệ quyền riêng tư trong thế giới số; Mở rộng các quy định pháp luật trong những trường hợp cần thiết và người dân có quyền truy cập, kiểm tra dữ liệu cá nhân của họ mà các tổ chức đang nắm giữ.
X-Road - cơ chế chia sẻ thông tin an toàn
E-ID không phải là cấu phần quan trọng nhất và không đủ để giải quyết bài toán CPĐT, giúp lấp đầy khoảng cách số giữa Estonia với các nước phát triển. Trước khi triển khai e-ID, Estonia đã xây dựng X-Road - một cơ chế chia sẻ thông tin an toàn cho công dân, các cơ quan chính phủ và các công ty tư nhân. Khả năng chia sẻ thông tin giữa các bên giúp giảm thiểu yêu cầu nhập lại thông tin, đồng thời hạn chế vấn đề sai lệch thông tin giữa các hệ thống. Hệ thống này cho phép công dân Estonia làm mọi việc với chiếc thẻ định danh điện tử của mình.
Đóng vai trò trục xương sống của hệ thống CPĐT của Estonia, X-Road là một lớp giữa phân tán. Dữ liệu được trao đổi trực tiếp giữa các tổ chức mà không cần tới trung gian. Nếu hai tổ chức đã thiết lập kết nối an toàn, thì việc trao đổi dữ liệu chỉ phụ thuộc vào sự sẵn sàng của họ và kết nối mạng giữa họ. X-Road cũng không thay đổi quyền sở hữu dữ liệu. Nhà cung cấp dịch vụ kiểm soát việc ai có quyền truy cập các dịch vụ. X-Road nhắm tới việc chuẩn hoá giao thức trao đổi giữa các tổ chức, điều cho phép các tổ chức kết nối với mọi nhà cung cấp dịch vụ mà không cần triển khai thêm các giao thức khác.
X-Road bao gồm 3 phần có liên quan mật thiết với nhau: kỹ thuật, tổ chức và pháp lý.
Từ góc độ kỹ thuật, X-Road bao gồm những máy chủ an ninh giống nhau, đặt tại đường biên của hệ thống mạng của các tổ chức và một tập các dịch vụ phân tán. Về cơ bản, đây là một hệ thống ngang hàng với khả năng liên tác được đảm bảo bởi phần mềm phân phối tập trung.
Về mặt tổ chức, X-Road là một nhóm có trách nhiệm duy trì các dịch vụ trung tâm, phát triển các phần mềm an ninh và truyền thông để cộng đồng có thể sử dụng hệ thống.
Về mặt pháp lý, X-Road là một tập các điều luật do Chính phủ Estonia ban hành, nhằm thiết lập những quy tắc sở hữu rõ ràng liên quan tới dữ liệu công dân và quy định tất cả các cơ quan chính phủ sử dụng hệ thống thông tin hợp pháp phải chia sẻ hệ thống thông tin cho những đơn vị khác thông qua X-Road.
Sơ đồ dưới đây thể hiện rõ vai trò “xương sống” của X-Road đối với CPĐT của Estonia; vai trò cầu nối của nó giữa các cơ quan chính phủ và các doanh nghiệp; mối quan hệ giữa X-Road và các cấu phần khác của CPĐT như e-ID, hệ thống thông tin địa lý, cổng thông tin chính phủ, các hệ thống quản trị.
Mô hình X-Road của Estonia
Một yếu tố trọng yếu khác là việc áp dụng chính sách minh bạch thông tin, điều đem đến niềm tin cho những người dùng thẻ định danh điện tử. Chính sách minh bạch thông tin đã giúp hệ thống “chinh phục” người dùng và đem lại những hiệu quả rõ rệt.
Ngân hàng Thế giới đã lượng hoá cụ thể về tác động của hệ thống X-Road và e-ID trong báo cáo hồi tháng 6/2015. Trong tài liệu đó, Kristjan Vassil của trường Đại học Tartu giả định rằng, một phần ba số truy vấn trên X-Road tương ứng với một lần tương tác giữa công dân với cơ quan nhà nước mà lẽ ra sẽ phải thực hiện ngoại tuyến (mặt đối mặt) và mỗi lần như vậy tốn 15 phút. Với các giả định đó, thời gian tiết kiệm được trong năm 2014 đã lên tới 2,8 triệu giờ. Nói cách khác, giá trị mà X-Road đem lại tương đương với 3.225 người làm việc 24/7 trong suốt một năm.
Estonia không chỉ xem CPĐT là công cụ để phục vụ công dân hay nâng cao chất lượng dịch vụ, mà họ còn coi CPĐT là bệ phóng cho sáng tạo. Năm 2012, tờ Wall Street Journal cho biết, số lượng doanh nghiệp khởi nghiệp trên đầu người của Estonia nhiều hơn bất kỳ nước nào ở châu Âu. Năm 2014, Estonia thậm chí còn mở cửa CPĐT cho công dân nước ngoài bằng cách cung cấp quyền công dân điện tử để các doanh nhân có thể thành lập doanh nghiệp ở đó trong khi họ sinh sống ở một nơi khác.
Con đường dẫn đến thành công của CPĐT Estonia
Trước đây, mức độ phát triển công nghệ của Estonia ở mức thấp, môi trường CNTT của Estonia chỉ được đánh giá là “điển hình của khu vực”. Do thua kém về công nghệ nên trong khi những nước phát triển đã phát triển CPĐT trước Estonia 10 hay thậm chí 20 năm, Estonia vẫn chưa tìm được ra con đường của mình.
Một trong những lợi thế của Estonia so với các nước cộng hòa thuộc Liên Xô là Viện Điều khiển học (Institute of Cybernetics), thuộc Viện hàn lâm khoa học được thành lập vào tháng 9/1960. Trong lúc các Viện khác nghiên cứu về toán và kỹ thuật, Viện Hàn lâm khoa học Estonia đã tập trung vào lập trình máy tính.
Năm 1993, cộng đồng CNTT của Estonia đã chuẩn bị một tài liệu chiến lược để thiết lập các nền tảng và nguyên tắc quản lý các hệ thống thông tin hiện đại của nhà nước. Tuy nhiên, cho tới những năm đầu thập kỷ 90 (thế kỷ 20), Estonia vẫn không có một chính sách phát triển công nghệ hay chuẩn bị những chính sách hướng đến lĩnh vực CNTT&TT. Chi tiêu của chính phủ cho nghiên cứu và phát triển trong thời gian này ở dưới mức 0,5% GDP và không có một chính sách quan trọng nào về công nghệ hay sáng tạo. Ngay cả chi tiêu cho CNTT&TT của họ trong giai đoạn 1995 - 2003 cũng ở mức khiêm tốn so với các nước khác. Ngân sách của chính phủ Estonia dành khoảng 1% chi tiêu cho CNTT&TT, trong khi nhiều nước khác chi từ 2,5% đến 4% GDP.
Năm 1997, Estonia khởi động chương trình “Bước nhảy của hổ” cung cấp CNTT cho các trường học. Việc hỗ trợ CNTT cho các trường tiểu học và trung học có thể coi là những dịch vụ công cơ bản và không được xem là điều gì đột phá, ngay cả ở khu vực Trung và Đông Âu. Tới năm 2007, việc trao đổi văn bản điện tử giữa các cơ quan nhà nước vẫn còn hạn chế do các cơ quan khác nhau mua những phần mềm khác nhau, không đảm bảo tương thích. Ngay cả nếu họ mua cùng một gói phần mềm thì việc cấu hình khác nhau cũng dẫn đến sự không thương thích trong xử lý dữ liệu. Điều đó có nghĩa là dữ liệu phải được nhập lại một cách thủ công. Vì nhiều cơ quan chính phủ Estonia thường dựa vào các giải pháp độc quyền, nên họ thường bị khoá vào những nhà cung cấp cụ thể và đôi khi họ phụ thuộc không chỉ vào một công ty mà còn là một người nào đó.
Các văn bản pháp luật về CPĐT của Estonia không được ban hành sớm hơn so với các nước Trung và Đông Âu khác. Ngoại lệ, duy nhất là luật bảo vệ dữ liệu được thông qua năm 1996, sớm hơn các nước trong khu vực từ 4 - 5 năm.
Estonia không có chiến lược cho CPĐT và cũng không tạo ra một bộ/cơ quan đặc biệt nào chịu trách nhiệm về xã hội thông tin như Slovenia. Các nguyên tắc cho chính sách thông tin năm 1998 cũng là một văn bản chiến lược rất chung. Các luật về CNTT, cũng giống như các lĩnh vực khác trong khu vực công, khá tối giản ở Estonia. Cách tiếp cận của nước này chủ yếu nằm ở khâu triển khai, thay vì ban hành văn bản chiến lược.
Thành phần mạnh nhất của CPĐT của Estonia là các dịch vụ điện tử cho công chúng và các dịch vụ đó có khởi nguồn từ các dịch vụ internet banking. Chất lượng, độ bảo mật và tính đơn giản của dịch vụ Internet Banking thu hút phần lớn người dùng Internet sử dụng (năm 2002, 57%). Dịch vụ này được coi là lý do quan trọng thứ ba để người dùng sử dụng Internet, sau thư điện tử (76%) và tìm kiếm thông tin (62%). Nhiều cơ quan chính phủ bắt đầu sử dụng hệ thống xác thực được dùng trong Internet Banking, nhờ đó cho phép cung cấp các dịch vụ công trực tuyến. Từ năm 2000, người dân Estonia đã có thể khai báo thuế trực tuyến nhờ vào hệ thống xác thực của các dịch vụ Internet banking.
Một khảo sát năm 2002 về việc sử dụng dịch vụ công trực tuyến cho thấy, 48% người dùng Internet ở Estonia thanh toán các dịch vụ CPĐT qua internet banking. Sự phát triển của dịch vụ này đã dẫn đến sự thay đổi khi các cơ quan chính phủ tìm thấy động lực đổi mới, sáng tạo. Các ngân hàng cũng có lợi khi hợp tác với chính phủ, vì điều đó cho phép họ mở rộng mạng lưới và dịch vụ. Các ngân hàng như Hansapank (đã đổi tên thành Swedbank năm 2008) trở thành trung tâm của mạng lưới. Các công dân truy cập các dịch vụ hành chính công được chuyển hướng tới trang web của ngân hàng khi cần xác thực định danh người dùng. Các cơ quan chính phủ thấy được lợi ích của cách làm này vì nó hiệu quả, an toàn, đơn giản và tiết kiệm tối đa chi phí.
Một loạt các dịch vụ có thể được truy cập qua hệ thống ngân hàng trực tuyến như mua vé xe buýt, thanh toán phí dịch vụ và tiền điện thoại, tham gia các cuộc bầu cử địa phương và toàn quốc. Năm 2002, khi chính phủ triển khai hệ thống thẻ định danh điện tử, một công cụ an toàn hơn để xác thực người dùng, thẻ này chưa được chấp nhận rộng rãi ngay lập tức vì người dân vẫn quen với cách làm cũ. Sau nhiều năm, khi các ngân hàng tích cực hỗ trợ việc sử dụng thẻ định danh điện tử trong giao dịch ngân hàng trực tuyến, bằng cách giảm số giao dịch hàng ngày có thể thực hiện bằng phương pháp xác thực cũ và phân biệt mức phí thì thói quen của người dân mới thay đổi.
Từ những phân tích trên, có thể nói rằng, trong quá trình phát triển của Estonia, Internet banking đã là nhân tố quan trọng, ảnh hưởng tới các dịch vụ ngân hàng điện tử nhiều hơn là các chiến lược của chính phủ. Nói như vậy không có nghĩa là chiến lược và kiến trúc hệ thống không quan trọng đối với CPĐT của Estonia. Điều quan trọng là Estonia đã có chiến lược và triển khai kiến trúc một cách phù hợp để tận dụng tối đa nguồn lực và đồng thời là nguồn cảm hứng áp dụng công nghệ từ ngành ngân hàng và những doanh nghiệp tư nhân.
Nguyễn Anh Tuấn
Tổng hợp
08:00 | 18/12/2018
14:00 | 29/11/2018
09:00 | 31/01/2019
13:00 | 11/12/2019
14:00 | 21/09/2018
15:00 | 11/03/2019
17:00 | 30/08/2024
Xu hướng sử dụng mạng botnet để thực hiện tấn công DDoS của tin tặc ngày càng tăng cao, dẫn đến lưu lượng truy cập vào trang web tăng đột ngột và làm cho server bị quá tải, gây ra những tổn thất nặng nề cho các doanh nghiệp. Trong bài viết này, tác giả sẽ đưa ra những điểm yếu, lỗ hổng tồn tại trên máy tính của các cơ quan, tổ chức tại Việt Nam dễ bị tin tặc tấn công. Qua đó cũng đề xuất một số khuyến nghị nâng cao cảnh giác góp phần cho công tác phòng chống phần mềm độc hại và chia sẻ dữ liệu mã độc.
13:00 | 17/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
09:00 | 10/01/2024
Ngày nay, công nghệ trí tuệ nhân tạo (AI) có vai trò hết sức quan trọng trong mọi lĩnh vực của đời sống. Trong đó, lĩnh vực an toàn thông tin, giám sát an ninh thông minh có tiềm năng ứng dụng rất lớn. Bên cạnh các giải pháp như phát hiện mạng Botnet [1], phát hiện tấn công trinh sát mạng [2], việc ứng dụng AI trong giám sát an ninh, hỗ trợ điều tra tội phạm cũng đang được nghiên cứu, phát triển và ứng dụng rộng rãi. Trong bài báo này, nhóm tác giả đề xuất giải pháp sử dụng mô hình mạng nơ-ron tinh gọn phân loại tương tác giữa 2 người trong chuỗi ảnh rời rạc. Kết quả nghiên cứu có vai trò quan trọng làm cơ sở xây dựng và phát triển các mô hình phân loại hành động bất thường, phát hiện xâm nhập.
15:00 | 24/10/2023
Google cho biết đang thử nghiệm tính năng “IP Protection” mới cho trình duyệt Chrome để nâng cao quyền riêng tư của người dùng bằng cách che giấu địa chỉ IP của họ bằng máy chủ proxy.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trong bối cảnh an ninh mạng ngày càng trở nên phức tạp và tinh vi, các tổ chức đang dần nhận ra rằng các phương pháp bảo mật truyền thống không còn đáp ứng được yêu cầu bảo vệ hệ thống của họ. Chính trong hoàn cảnh này, mô hình Zero Trust nổi lên như một giải pháp toàn diện, giúp bảo vệ hệ thống mạng khỏi các cuộc tấn công cả từ bên ngoài và bên trong. Tuy nhiên, việc triển khai Zero Trust không đơn giản, bài học kinh nghiệm nào để các tổ chức triển khai thành công mô hình bảo mật hiện đại này?
13:00 | 11/11/2024