XÁC THỰC BẰNG DỮ LIỆU SINH TRẮC HỌC: CẦN CẨN TRỌNG TRƯỚC NHỮNG BƯỚC ĐI KHÔNG THỂ ĐẢO NGƯỢC.

XÁC THỰC BẰNG DỮ LIỆU SINH TRẮC HỌC: CẦN CẨN TRỌNG TRƯỚC NHỮNG BƯỚC ĐI KHÔNG THỂ ĐẢO NGƯỢC.

(TS Phan Dương Hiệu, Giáo sư Trường Viễn Thông thuộc Đại học Bách Khoa Paris, Pháp. Bài đăng trên TẠP CHÍ TIA SÁNG, Bộ Khoa học và Công nghệ ngày 2/7/2024)

GS Phan Dương Hiệu là con trai của nhà toán học nổi tiếng Việt Nam Phan Đình Diệu, trong mùa hè anh về thăm quê nhà.TS Phan Đình Diệu là viện trưởng đầu tiên của Viện Khoa học tính toán và điều khiển (nay là Viện Công nghệ thông tin Việt Nam), là người sáng lập và là chủ tịch đầu tiên của Hội Tin học Việt Nam, phó trưởng ban thường trực Ban chỉ đạo chương trình quốc gia về công nghệ thông tin khóa 1 (1993-1997).

Trong kho sinh trắc sẽ có nhiều mức độ, mỗi lần phải sử dụng một mức độ cao hơn là một bước đi “không thể đảo ngược”. Và nếu cứ leo thang mức độ dần dần, rồi đến nước phải sử dụng cả dữ liệu gene, đó sẽ là bước tận cùng, để rồi nếu thua là không còn vũ khí nào khác.

Phải sử dụng hình ảnh thực, tức thời để xác nhận giao dịch (trên 10 triệu)? Điều gì sẽ xảy ra khi những kho dữ liệu này bị tấn công, đường truyền, thiết bị đầu cuối bị đe doạ?

Cuộc chiến chống lừa đảo, giả mạo sẽ ngày càng cam go trong tương lai. Mỗi khi kẻ tấn công vượt qua một mức bảo vệ, chúng ta lại buộc phải sử dụng một vũ khí mới để ngăn chặn. Và lần này chúng ta phải vào lấy thêm trong kho “sinh trắc học”.

Bản chất cuộc chiến chống lừa đảo, giả mạo là phải làm sao khi ta rút một bảo kiếm ra, kẻ tấn công phải không vô hiệu được nó. Hiệu quả tức thì chắc chắn sẽ có tác dụng, nhưng để duy trì được tác dụng lâu dài thì cần một chiến lược cẩn trọng.

Trước hết cần nhìn lại quá khứ.

Thực tế là chúng ta chưa có giải pháp ứng phó hiệu quả trước kẻ tấn công lừa đảo, giả mạo. Vì sao? Vì chúng ta quá dễ dãi, không coi quyền riêng tư là quan trọng, vì chúng ta không có cơ chế quy trách nhiệm cho việc để lộ dữ liệu riêng tư. Hệ quả là kho dữ liệu của người dùng bị lộ, thông tin người dùng bị lộ, việc kiểm soát dữ liệu người dùng hời hợt. Từ đó, phía bên kia, kẻ tấn công dễ dàng truy cập thông tin, kiểm soát dữ liệu người dùng, dễ dàng giả mạo và lừa đảo trên quy mô lớn. Không có tầm nhìn về bảo vệ nên kẻ tấn công dễ dàng lập những tài khoản ảo, dễ dàng lừa đảo chuyển khoản lấy tiền người dùng để chuyển qua lại một rừng ảo để xoá dấu vết, dễ dàng rửa tiền trên quy mô cực lớn. Và rồi khi sự lừa đảo quá lớn vượt mọi khả năng kiểm soát, chúng ta hoảng loạn và buộc phải lao vào kho “sinh trắc”, lấy thêm một vũ khí ra để tự vệ.

CHỈ DẤU VỀ MỘT CUỘC CHIẾN CAM GO

Bước dùng thêm sinh trắc để bảo vệ là một chỉ dấu cho thấy cuộc chiến sẽ cam go. Trong kho sinh trắc sẽ có nhiều mức độ, mỗi lần phải sử dụng một mức độ cao hơn là một bước đi “không thể đảo ngược”. Và nếu cứ leo thang mức độ dần dần, rồi đến nước phải sử dụng cả dữ liệu gene, đó sẽ là bước tận cùng, để rồi nếu thua là không còn vũ khí nào khác.

Giờ đây, chúng ta phải sử dụng hình ảnh thực, tức thời để xác nhận giao dịch. Tất nhiên sẽ phải có kho dữ liệu cực lớn để lưu các hình ảnh, dữ liệu sinh trắc nhằm đối sánh, xác thực. Tất nhiên hình ảnh thực sẽ được truyền qua các kênh thông tin. Điều gì sẽ xảy ra khi những kho dữ liệu này bị tấn công, đường truyền hay các thiết bị đầu cuối bị truy nhập? Kẻ xấu sẽ lại có toàn bộ dữ liệu người dùng. Và với những công cụ AI ngày càng mạnh, điều gì sẽ đảm bảo kẻ xấu không thể vượt qua bức tường xác thực mới?

Chúng ta ngày càng thu thập nhiều dữ liệu cá nhân hơn. Trong lúc còn chưa thể bảo vệ kho dữ liệu cũ, thì điều gì đảm bảo chúng ta sẽ bảo vệ tốt những kho dữ liệu đồ sộ mới, đã, đang và sẽ được thu thập? Nguy hiểm hơn, nếu kẻ xấu truy nhập vào kho dữ liệu hình ảnh, sinh trắc, chúng có thể giả mạo ta không chỉ để xác thực ngân hàng mà còn cho nhiều mục đích khác không liên quan đến ngân hàng. Chúng có thể tạo ra một thế giới giả về con người ta mà bản thân ta không thể kiểm soát và không thể chứng minh là mình bị giả mạo.

Khi điện thoại của bạn liên tục bị làm phiền bởi hàng loạt cuộc gọi hay tin rác mời gọi đầu tư, chào hàng dự án.., đó là chỉ dấu cho thấy kho dữ liệu về tài khoản hay sở hữu của bạn đã bị lộ và người ta ngang nhiên công khai sử dụng nó, quay lại mời chào chính bạn. Vậy nếu dữ liệu hình ảnh, sinh trắc của bạn bị lộ, thì nguy cơ giả mạo còn có độ chính xác cao hơn nhiều. Bạn sẽ không còn có khả năng chủ động kiểm soát cuộc sống của chính mình.

TỰ BẢO VỆ MÌNH: LÀM SAO ĐỂ DỮ LIỆU SINH TRẮC MỖI NGƯỜI KHÔNG RƠI VÀO TAY KẺ XẤU?

Điều tiên quyết là bạn cần có ý thức đòi hỏi sự bảo vệ cho chính mình. Người ta nói với bạn rằng họ phải thu thập dữ liệu sinh trắc của bạn để bảo vệ bạn tốt hơn. Bạn chí ít cần đòi hỏi: anh có trách nhiệm thế nào trong việc bảo vệ dữ liệu sinh trắc của tôi để không bị rơi vào tay kẻ xấu?

Tối đa và tối thiểu. Một hệ thống vận hành tốt là một hệ thống bảo vệ tối đa dữ liệu cá nhân cho người dân, đồng thời chỉ cần thu thập tối thiểu dữ liệu cá nhân của người dân. Ở đó, con người vừa được an toàn, vừa có tự do.

Để bảo vệ thực sự tốt, trước khi thu thập dữ liệu của cá nhân, nhà nước và ngân hàng cần cam kết và làm rõ:

+ Nếu như dữ liệu sinh trắc bị lộ, trách nhiệm của nhà nước, của ngân hàng thế nào? Ai, đơn vị cụ thể nào sẽ phải chịu trách nhiệm, chế tài xử phạt ra sao?

+ Hệ thống có phương thức an toàn ra sao để từng mắt xích không thể lấy dữ liệu bảo mật? Hệ thống kỹ thuật cần phải đảm bảo rằng dù nhân viên (kể cả lãnh đạo) ngân hàng có bị thao túng thì vẫn không thể lấy và bán được dữ liệu cá nhân.

Việc bảo mật dữ liệu là chuyện rất lớn và không dễ, những người làm công nghệ thông tin (IT) dù rất giỏi cũng không thể lường được mọi lỗ hổng. Với một hạn định áp dụng xác thực khuôn mặt khi chuyển khoản vào ngày 1/7, nếu các ngân hàng chưa chuẩn bị kịp dẫn tới buộc phải sử dụng các hệ thống yếu kém, chưa được kiểm nghiệm đầy đủ, và kẻ xấu có thể dễ dàng thâm nhập thì hậu quả sẽ rất khôn lường. Chúng ta cần hết sức cẩn trọng và thử nghiệm sử dụng từng bước hạn chế để chỉ khi đạt an toàn tối đa mới áp dụng rộng rãi các phương thức mới.

CÓ THỂ HỌC HỎI KINH NGHIỆM CỦA TRUNG QUỐC.

Chúng ta cũng cần học hỏi thế giới, về bảo mật dữ liệu có thể nhìn ngay kinh nghiệm của Trung Quốc. Sau một thời gian thu thập dữ liệu tràn lan, họ đã hiểu sự nghiêm trọng khi để lộ dữ liệu cá nhân và đã có những điều luật rõ ràng để xử lý cực kỳ nghiêm khắc tất cả những đơn vị nào để lộ dữ liệu. Dữ liệu càng quan trọng, trách nhiệm càng cao. Khi trách nhiệm được đẩy lên mức rất cao thì không thể còn ai có thể coi thường. Tất cả các đơn vị sở hữu dữ liệu cá nhân sẽ phải nghiêm túc triển khai các phương án kỹ thuật bảo vệ ở mức cao nhất. Từ nhu cầu đó, các công ty chuyên gia về thẩm định an toàn và triển khai các biện pháp bảo mật được phát triển rất mạnh, nhiều công ty “kỳ lân” được mở ra, thúc đẩy một nền kinh tế bảo mật số năng động, chất lượng ở mức rất cao theo những tiêu chuẩn bảo mật được nhà nước xem xét cẩn trọng. Một hệ thống vận hành tốt là một hệ thống bảo vệ tối đa dữ liệu cá nhân cho người dân, đồng thời chỉ cần thu thập tối thiểu dữ liệu cá nhân của người dân. Ở đó, con người vừa được an toàn, vừa có tự do.