• Thứ Tư, 04/08/2004 05:09 (GMT+7)

    Thách thức về xác thực điện tử

    Ngày 17/12/2002, tổng thống Mỹ George Bush đã kí phê chuẩn luật Chính Phủ Điện Tử (CPĐT). Hiện nay nước này có hơn 50 triệu người sử dụng các dịch vụ CPĐT trực tuyến, khoảng 50% giao dịch thương mại với chính phủ đã được thực hiện qua mạng. Tuy vậy, con đường tiến tới CPĐT̉ vẫn còn nhiều chông gai. Một trong số đó là xác thực điện tử (XTĐT), vấn đề được nhiều người coi là “xương sống” của một CPĐT thực sự.

    Cổng XTĐT Và Những Lợi Ích
    Đối với những dịch vụ CPĐT liên quan đến thông tin nhạy cảm, việc xác thực người sử dụng là vấn đề sống còn. Tháng 10/2001, chính phủ Mỹ đã giao cho GSA - Cơ Quan Quản Lý Dịch Vụ Công - quản lý dự án xây dựng Cổng Xác Thực Điện Tử (CXTĐT) (E-Authentication Gateway). Qui trình sử dụng cổng này được mô tả trong bảng cuối bài.
    Cổng dịch vụ công trung tâm (www.firstgov.gov) hội tụ hơn 180 triệu trang web của cả̀ chính phủ liên bang lẫn địa phương. Ví dụ, nếu muốn khai thuế, bạn chỉ cần từ website này nối kết tới địa chỉ www.irs.gov để khai và nộp hồ sơ thuế. Tại đây, www.irs.gov sẽ chuyển bạn tới CXTĐT. Các bằng chứng xác thực (BCXT) (Authentication Credentials) gồm nhiều loại, từ đơn giản như mật khẩu, số xác định người dùng (PIN- Personal Identification Number), đến phức tạp như vân tay, mẫu ADN... Tất cả sẽ được các nhà cung cấp BCXT ghi nhận và quản lý. Nếu việc xác thực đó thành công, giao dịch mong muốn sẽ được thực hiện.

    Với đặc điểm nổi bật là tách riêng chức năng xác thực và cấp quyền, CXTĐT trở thành một giải pháp tối ưu. Do không cấp quyền và quản lý quyền của người dùng cũng như không cung cấp, quản lý hoặc lưu trữ các BCXT, CXTĐT loại bỏ được rủi ro và tiết kiệm tài nguyên cho khâu lưu trữ, quản lý BCXT.
    Về chi phí, xây dựng CXTĐT tốn khoảng 73 triệu USD trong giai đoạn 2002 -2008, so với  460 triệu USD nếu các bộ ngành tự xây dựng hệ thống XTĐT riêng rẽ.
    Về kỹ thuật, CXTĐT thống nhất các phương pháp XTĐT hoặc chí ít cũng tạo ra một môi trường thống nhất, cho phép sử dụng cùng lúc nhiều phương pháp xác thực khác nhau.
    Như vậy, CXTĐT ra đời thiết lập chuẩn thống nhất tiếp cận các dịch vụ CPĐT, đồng thời đảm bảo an toàn và hiệu quả tối đa trong giao dịch.

    Vì sao 'lỡ hẹn'?
    CXTĐT lẽ ra phải được đưa vào vận hành từ tháng 9/2003. Song, GSA đã lùi thời điểm đó đến tháng 3/2004 (6 tháng sau). Nguyên nhân của sự “lỡ hẹn” được giải thích bởi công nghệ, chính sách và bảo mật, là “ba chân kiềng” trong XTĐT, đều đang “có vấn đề”.

    Chính Sách Chưa Hoàn Thiện
    Để giúp các bộ ngành xác định mức độ cần đảm bảo XTĐT, tháng 3/2003, OMB (Bộ Quản Lý và Ngân Sách) đưa ra bản dự thảo hướng dẫn XTĐT, gồm 4 mức độ đảm bảo chuẩn: tối thiểu, thấp, trung bình, cao. Ví dụ ở mức độ tối thiểu,  hậu quả do XTĐT gây ra nhiều nhất chỉ là sự không tiện lợi (không có mất mát về tài chính, hay tổn thất về danh dự, lợi ích) của các bên giao dịch. Bản dự thảo cũng đưa ra các bước tiến hành gồm: (1) Các bộ ngành tiến hành đánh giá rủi ro mang tính hệ thống của giao dịch; (2) Khớp những rủi ro vừa được xác định với 4 mức độ đảm bảo chuẩn về XTĐT; (3) Xác định công nghệ xác thực để tiến hành dựa trên bản hướng dẫn kỹ thuật XTĐT.
    Ngoài ra, để đảm bảo mức độ đáng tin cậy của các BCXT, tháng 7/2003, GSA đưa ra một dự thảo khung giúp các bộ ngành đánh giá qui trình ban hành BCXT của các nhà cung cấp theo bốn mức độ cần đảm bảo chuẩn trên.
    Tuy vậy, bao giờ bản dự thảo trên trở thành văn bản chính thức vẫn đang là một câu hỏi chưa có câu trả lời.

    Yêu cầu xác thực người dùng chưa được xác định đầy đủ
    Để giúp các bộ ngành xác định các yêu cầu xác thực người dùng cho các dịch vụ công, GSA đã phối hợp với Viện Kỹ Nghệ Phần Mềm (Software Engineering Institute) xây dựng qui trình xác định yêu cầu xác thực dựa trên phân tích rủi ro của giao dịch. Tuy nhiên, đến tháng 8/2003, chỉ có 12 trên tổng số 24 dự án dịch vụ CPĐT hoàn thành việc xác định này. Nguyên nhân của việc chậm trễ là do tiến độ triển khai các dự án dịch vụ CPĐT. Nhiều dự án mới ở giai đoạn bắt đầu nên rất khó xác định các yêu cầu xác thực người dùng.

    Chưa có Chuẩn kỹ thuật
    Khi lập dự án, GSA không tính đến một thực tế là hầu hết các công nghệ hiện có đều thực hiện cùng lúc chức năng xác thực và cấp quyền. Sau khi thu thập thông tin từ hơn 50 nhà cung cấp, GSA mới nhận ra rằng có quá nhiều chuẩn và giao thức cho xác thực. Lãnh đạo GSA thừa nhận rằng tại thời điểm hiện nay, không thể tìm được một hoặc một tập đủ nhỏ các chuẩn phù hợp với CXTĐT và tương hỗ với nhiều hệ thống khác. Có đề xuất là nên phát triển một giao diện lập trình ứng dụng API (Application-Programming Interface) dựa trên chuẩn mở, hoạt động như cầu nối các dịch vụ công của các bộ ngành với dịch vụ của CXTĐT. Điểm mạnh của giải pháp này là không cần tuân theo giao diện chuẩn đơn nhất cố định nào.
    Tuy nhiên, theo các chuyên gia, phát triển chuẩn này mất rất nhiều thời gian trong khi thời gian dành cho GSA không còn nhiều.
    Một phát sinh nữa mà GSA chưa tính đến là hiện nay không tồn tại công nghệ đăng nhập một lần (theo kiểu CXTĐT áp dụng) liên thông giữa các hệ thống, ứng dụng và cơ sở dữ liệu. Đồng thời, công nghệ chứng thực nói chung đều tích hợp xác thực và phân quyền vào một dịch vụ. Sử dụng CXTĐT đồng nghĩa với việc yêu cầu các nhà sản xuất cắt bỏ chức năng xác thực trong ứng dụng của họ.
    Những khó khăn không lường trước về mặt công nghệ nói trên đã kéo dài thời gian xây dựng CXTĐT.

    Các vấn đề an ninh thông tin cá nhân, bảo mật, tài chính
    Theo kế hoạch, GSA sẽ phải xây dựng qui trình đánh giá tác động đối với thông tin cá nhân. Theo đó, các bộ ngành sẽ xem xét công nghệ sử dụng có đảm bảo yêu cầu về an ninh thông tin cá nhân không. Nhưng qui trình đó đến nay vẫn chưa xong. Việc chia sẻ thông tin cá nhân giữa các bộ ngành sao cho không bị rò rỉ hoặc thất thoát cũng còn nhiều vấn đề phải bàn.
    Thử thách cuối cùng mà GSA đã không tính đến trong kế hoạch là tài chính. GSA đã xây dựng một chiến lược kêu gọi hỗ trợ tài chính và nhân lực từ 14 bộ ngành. Trong tổng số chi phí 60 triệu xây dựng và duy trì CXTĐT từ 2002 đến 2006, các bộ ngành phải hỗ trợ 50% (tức 30 triệu USD). Tuy nhiên, do dự án kéo dài nên tháng 8/2002, GSA lại đưa ra kế hoạch tài chính mới và nâng tổng phí lên 73 triệu USD từ 2002 đến 2008. Với kế hoạch mới, các bộ ngành sẽ phải hỗ trợ 36,5 triệu USD và trong năm 2003, phải hỗ trợ ngay 25 triệu USD. Tuy nhiên, bộ ngành đóng góp vừa chậm lại vừa ít: đến tháng 5/2003, chỉ thu được 4,1 triệu USD từ 5 bộ ngành.

    Bài học kinh nghiệm
    Như vậy, những người quản lý dự án XTĐT cần phải theo sát với thực tế, đặc biệt là công nghệ. Cần xác định chính xác và đầy đủ những rủi ro công nghệ sẽ gặp phải trong quá trình thực hiện dự án ngay từ bước đi ban đầu. Thực tế cho thấy, GSA đã không quan tâm đầy đủ đến yếu tố này, đặc biệt là vấn đề hợp chuẩn. Ngoài ra, vì đây là một dự án có qui mô lớn và rất phức tạp, bao quát một số lượng lớn các dịch vụ với các mức yêu cầu đảm bảo xác thực khác nhau, nên tất cả các bộ ngành cần hợp tác chặt chẽ với nhau. Với dự án CXTĐT, vấn đề này rất nan giải bởi các bộ ngành không chịu sự quản lý của GSA. Lẽ ra, GSA phải nhận thức điều này và chuẩn bị trước những đối sách thích hợp.
    Cuối cùng, nhưng rất quan trọng là phải xây dựng một kế hoạch tài chính khả thi. Thiếu nguồn lực tài chính, mọi giải pháp dù hay đến đâu cũng trở nên bất khả thi.

    Hồng Nhật

     

     

    ID: B0312_24