Thẻ CCCD gắn chip đạt chuẩn bảo mật quân sự, vì sao chưa phổ biến trong giao dịch điện tử?
Thẻ CCCD đạt chuẩn bảo mật quân sự, vì sao chưa phổ biến?

Thẻ CCCD gắn chip đạt chuẩn bảo mật quân sự, vì sao chưa phổ biến trong giao dịch điện tử?

Mới đây, MK Group – đơn vị sản xuất hàng chục triệu thẻ căn cước gắn chip tại Việt Nam – đã công bố đạt chứng chỉ Common Criteria EAL5+ cho hệ điều hành và ứng dụng chip ICAO tích hợp trên thẻ căn cước công dân. Điều này đồng nghĩa với việc tấm thẻ đang nằm trong ví của khoảng 90 triệu người dân Việt Nam được bảo vệ ở cấp độ cao, tương đương tiêu chuẩn quân sự, có khả năng chống lại các cuộc tấn công tinh vi với nguồn lực lớn. Tuy nhiên, một câu hỏi đặt ra là: nếu công nghệ đã đạt mức bảo mật như vậy, tại sao việc xác thực bằng CCCD gắn chip vẫn chưa trở nên phổ biến trong các giao dịch điện tử? Và liệu đây có phải là "lá chắn" hữu hiệu trước làn sóng deepfake và lừa đảo số đang bùng nổ hiện nay?

Common Criteria EAL5+: Tiêu chuẩn bảo mật cao ngang tầm quân sự

Common Criteria (CC) là một thỏa thuận quốc tế về đánh giá an toàn bảo mật cho sản phẩm công nghệ thông tin, được công nhận bởi hơn 30 quốc gia phát triển như Hoa Kỳ, Đức, Pháp, Nhật Bản và Hàn Quốc. Tiêu chuẩn này chia mức đảm bảo an toàn thành 7 cấp độ, từ EAL1 đến EAL7. Trong đó, CC EAL5+ được coi là mức bảo mật rất cao, đảm bảo khả năng chống chịu tấn công cả phần mềm lẫn phần cứng theo cách tinh vi, thường được áp dụng trong chip ví tiền điện tử, thẻ thông minh và các thiết bị bảo mật quan trọng.

Việc thẻ CCCD gắn chip của Việt Nam đạt được chứng chỉ này cho thấy nó đang nằm trong nhóm bảo mật cao của định danh dân sự toàn cầu, ngang bằng với mức được sử dụng tại nhiều quốc gia có hạ tầng số phát triển nhất hiện nay như Hoa Kỳ, Estonia, Đức và Thụy Sĩ. Ông Nguyễn Trọng Khang – Chủ tịch MK Group – nhấn mạnh rằng giá trị lớn nhất không chỉ nằm ở tờ chứng chỉ, mà còn ở việc hệ điều hành chip được phát triển bởi đội ngũ kỹ sư Việt Nam, giúp loại bỏ nguy cơ phụ thuộc hoặc tồn tại "cửa sau" (back door) trong công nghệ.

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

CCCD gắn chip: Giải pháp chống deepfake và lừa đảo số?

Trong bối cảnh lừa đảo trực tuyến với sự hỗ trợ của AI, bao gồm các công nghệ deepfake và chiếm quyền điều khiển điện thoại, đang trở thành mối lo ngại lớn, CCCD gắn chip được kỳ vọng là một lời giải hiệu quả. Ông Khang giải thích rằng sau khi Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân có hiệu lực, nhiều ngân hàng đã chọn cách xây dựng kho dữ liệu sinh trắc học riêng, lưu trữ hình ảnh khuôn mặt và vân tay của hàng triệu khách hàng. Tuy nhiên, mô hình này tồn tại điểm yếu chí mạng: môi trường xác thực nằm trên thiết bị người dùng và máy chủ của ngân hàng, dễ bị tấn công nếu điện thoại bị nhiễm mã độc hoặc bị chiếm quyền.

Giải pháp từ MK Group đi theo hướng khác: toàn bộ quá trình xác thực diễn ra trong môi trường phần cứng được bảo vệ ở cấp độ cao. Với CCCD gắn chip đạt chuẩn CC EAL5+, người giao dịch bắt buộc phải có hai yếu tố đồng thời: "vật chiếm hữu" là chiếc thẻ vật lý và "đặc điểm sinh học" được so khớp trực tiếp bên trong con chip thông qua cơ chế Match-on-Card. Dữ liệu sinh trắc học không rời khỏi chip, không truyền lên máy chủ, và hệ thống chỉ trả về kết quả đúng/sai đã được ký số. Điều này giúp ngăn chặn hiệu quả các cuộc tấn công deepfake, vì kẻ gian không thể hoàn tất giao dịch nếu không có thẻ vật lý và đặc điểm sinh học thật của chủ sở hữu.

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình

Tại sao xác thực bằng CCCD vẫn chưa phổ biến?

Mặc dù công nghệ bảo mật đã ở mức cao, việc xác thực qua CCCD gắn chip đến nay vẫn chưa thực sự phổ biến trong giao dịch điện tử. Theo ông Khang, sự chuyển dịch mô hình không chỉ là vấn đề công nghệ, mà còn là bài toán tiết kiệm nguồn lực và quyền kiểm soát dữ liệu. Phần lớn ngân hàng muốn tự lưu trữ dữ liệu sinh trắc học vì hai lý do chính: chủ động và tối ưu chi phí. Khi dữ liệu nằm trong hệ thống của mình, họ không phụ thuộc vào bên thứ ba và có thể tiết kiệm được phần phí xác thực cho mỗi giao dịch.

Tuy nhiên, ông Khang chỉ ra rằng chi phí thực tế không chỉ nằm ở khoản phí dịch vụ xác thực. Khi ngân hàng tự lưu trữ dữ liệu, họ đồng thời trở thành "chủ sở hữu dữ liệu nhạy cảm", phải chịu trách nhiệm pháp lý nếu xảy ra rò rỉ, đối mặt với rủi ro "honeypot" (trở thành mục tiêu hấp dẫn cho hacker), và tốn kém chi phí vận hành cho hạ tầng và nhân sự bảo mật. Trong khi đó, mô hình xác thực phi tập trung dựa trên CCCD gắn chip giúp ngân hàng loại bỏ hoàn toàn rủi ro rò rỉ tập trung, vì hacker muốn tấn công phải lấy được từng thẻ vật lý và đặc điểm sinh học của từng người, điều gần như bất khả thi ở quy mô lớn.

Một yếu tố khác cản trở sự phổ biến là nhận thức thị trường. Nhiều tổ chức chưa hiểu đầy đủ lợi ích của mô hình xác thực phi tập trung, nơi họ không cần sở hữu dữ liệu gốc mà vẫn có thể tin tưởng kết quả xác thực. Đồng thời, họ cũng chưa nhận thức hết những rủi ro của hình thức bảo mật phần mềm và xác thực tập trung. Ông Khang tin rằng khi chi phí rủi ro pháp lý và an ninh mạng ngày càng được lượng hóa rõ ràng, mô hình "Identity Verifier" – đơn vị xác thực dựa trên hạ tầng định danh quốc gia – sẽ trở nên hợp lý hơn về mặt chiến lược, giúp ngân hàng tập trung vào sản phẩm và trải nghiệm khách hàng thay vì tự vận hành hệ thống lưu trữ dữ liệu đầy rủi ro.

Ý nghĩa chiến lược và tầm nhìn tương lai

Việc đạt chứng chỉ Common Criteria EAL5+ không chỉ khẳng định chất lượng bảo mật của thẻ CCCD gắn chip, mà còn mang ý nghĩa chiến lược quan trọng cho Việt Nam. Thứ nhất, nó cho thấy CCCD của Việt Nam đang ngang tầm với nhóm quốc gia có hạ tầng định danh ở mức cao, dù hạ tầng số tổng thể của nước ta vẫn đang trong quá trình hoàn thiện. Điều này tạo điều kiện để tích hợp và có thể được công nhận lẫn nhau với các nước phát triển nhất, mở ra tiềm năng cho người Việt sử dụng thẻ như một loại giấy tờ đi lại và giao dịch quốc tế trong tương lai.

Thứ hai, nó tạo nền tảng để tích hợp các ứng dụng và góp phần xây dựng Chính phủ số, hiện đại hóa đất nước. Với MK Group, chứng chỉ này là điều kiện để tham gia sâu hơn vào các dự án chính phủ số, hộ chiếu điện tử và định danh công dân ở thị trường quốc tế. Trong năm qua, MK đã xuất khẩu trọn bộ dây chuyền sản xuất thẻ sang Ethiopia, bao gồm cả chuyển giao công nghệ và vận hành nhà máy, chứng tỏ năng lực xây dựng hạ tầng định danh hoàn chỉnh. Ngoài ra, việc được cấp phép dịch vụ chữ ký số giúp MK Group hoàn thiện hệ sinh thái "Xác thực – Bảo mật – Giao dịch", phục vụ tối đa cho nền kinh tế số.

Ông Khang cũng nhấn mạnh tầm quan trọng của việc làm chủ công nghệ lõi, lấy ví dụ từ vụ việc hệ thống camera giao thông tại Tehran bị khai thác để theo dõi các quan chức cấp cao, cho thấy rằng nếu công nghệ không do mình kiểm soát, hạ tầng được xây dựng để bảo vệ xã hội có thể trở thành điểm yếu về an ninh. Do đó, việc phát triển các giải pháp xử lý tại biên (edge) thay vì gửi toàn bộ dữ liệu về máy chủ trung tâm là cần thiết để giảm thiểu rủi ro. Ông kết luận rằng trong kỷ nguyên số, Việt Nam cần tin tưởng vào khả năng tự xây dựng những hệ thống đủ an toàn để bảo vệ dữ liệu và chủ quyền số của quốc gia, thay vì phụ thuộc vào công nghệ ngoại.