Những thách thức mới về quản lý định danh

Quản lý định danh, triển khai và đảm báo độ tin cậy định danh, xác thực điện tử đang là đòi hỏi và cũng là thách thức lớn đối với các cơ quan, tổ chức, doanh nghiệp trong cuộc cách mạng công nghiệp 4.0.

Hệ thống định danh và lỗ hổng giao dịch

Trước cuộc Cách mạng Công nghiệp trong lịch sử loài người, phần lớn dân số thế giới sống thành cộng đồng nông thôn. Mặc dù có tội phạm nhưng việc nhận dạng ai là ai rất dễ dàng vì mọi người đều quen mặt lẫn nhau. Nhưng kể từ hai thế kỷ trở lại đây, con người bắt đầu sống giữa người lạ, xã hội vấp phải việc định danh cá nhân để truy tìm tội phạm. Nhiều phát minh đã xuất hiện để định danh công dân nhưng càng ngày những hệ thống định danh kiểu cũ càng gặp rắc rối khi Internet xuất hiện.

Năm 1858, Sir William James Herschel người Anh đã đưa ra hệ thống định danh đầu tiên trên thế giới là lấy dấu vân tay của người dân. Trên thực tế, người Trung Quốc đã dùng cách lấy dấu vân tay cách nay 3000 năm. Nhưng ý tưởng của Herschel vẫn được áp dụng cho tới ngày nay. Vài năm sau sáng kiến của Herschel, có hệ thống định danh bằng cách đo các thông số cơ thể người nhưng cách này không ổn khi vấp phải những ca song sinh. Sinh trắc học là cách kết hợp cả hai cách trên, nhận dạng bằng cách sử dụng những đặc điểm riêng biệt của một công dân, bất kể là bộ phận nào. Đó có thể là gương mặt, cử chỉ, vóc dáng, hệ mạch máu, giọng nói, mống mắt,… Phân tích DNA cũng là một phương thức khác nhận diện tội phạm.

Số lượng giao dịch trực tuyến trên thế giới hiện đang tăng đều đặn. Theo Statisa, doanh thu thương mại điện tử mảng bán lẻ ước tính đạt đến 4135 tỉ USD trong năm 2020, tăng từ 2843 tỉ USD năm 2018. Đà tăng trưởng này cho thấy xu hướng môi trường mua bán không cần xuất hiện của khách hàng càng ngày càng phổ biến.

Nhưng không may là tội phạm mạng cũng luỹ tiến theo đà tăng trưởng này, song hành với thương mại điẹn tử toàn cầu. Các trường hợp giả mạo thẻ tính dụng và mất thông tin cá nhân chỉ tính riêng tại Mỹ đã lên đến 8,6 tỉ USD năm 2017, tăng đến 9,1 USD năm 2018, trong đó thanh toán không có sự hiện diện của người mua chiến 65% các trường hợp lừa đảo. Tất cả điều này đều do nạn trộm cắp định danh. Ngày càng có nhiều hàng hoá và dịch vụ dựa trên định danh khách hàng. Những kiểm tra bảo mật lỏng lẻo mật khẩu hay những hệ thống xác thực không yêu cầu đặc điểm riêng biệt của cá nhân càng giúp bọn tội phạm dễ dàng lấy cắp được thông tin định danh hơn, gây hoạ không lường như khoá tài khoản truy cập hoặc làm tổn hại danh tiếng của cá nhân nào đó.

Những thay đổi về công nghệ là câu trả lời

Các tổ chức, doanh nghiệp bắt đầu triển khai nhiều quy định quản lý rủi ro khác nhau nhằm bảo vệ doanh nghiệp mình khỏi bị mất cắp thông tin, giảm chi phí điều hành và duy trì các chính sách phổ biến như Know Your Customer (KYC) hay Customer Identification Program (CIP). Các chuyên gia về quản lý rủi ro phải chuyển sang dùng các hệ thống xác thực phức tạp hơn để đảm bảo khách hàng thuận dùng các đòi hỏi của CDD. Tuy nhiên, các mô hình quản lý rủi ro tích hợp xác thực định dnah chuyên cho giao dịch trực tuyến lại không mấy thuận tiện và khiến người dùng khó chịu vì nhiều quy trình rắc rối, phức tạp.

Tuỳ vào loại hình kinh doanh mà các nhà quản lý nhìn nhận xác thực định danh theo cách khác nhau. Trong khi nguyên tắc cơ bản là đảm bảo cho định danh của mỗi khách hàng là duy nhất, là chính xác thì một số nhà quản lý muốn nhiều phương pháp định danh kết hợp. Tuy nhiên, giải pháp xác thực định danh thường được chỉnh sửa để phù hợp cho từng ý tưởng kinh doanh, từng rủi ro hay từng ưu tiên.

Sinh trắc học trên thiết bị di động sẽ xác thực 2 nghìn tỉ USD thanh toán năm 2023

Sinh trắc học di động gồm nhận diện mống mắt, dấu vân tay, giọng nói và gương mặt, mà Juniper Research ước tính sẽ xác thực cho khoảng 2 nghìn tỉ USD giá trị thanh toán vào năm 2023. Động lực chính tạo ra con số này là các sáng kiến thanh toán mới xuất hiện trong ngành; thanh toán thương mại điện tử vượt qua thanh toán truyền thống. “Biometric-as-a-service” sẽ tích hợp trong các dịch vụ điện toán đám mây bảo mật, sẽ xác thực định danh của khách hàng trong vài năm tới. Khách hàng cũng sẽ sử dụng dấu vân tay, gương mặt… thay vì gõ vào thông tin thẻ tín dụng như hiện nay.

Smartphone có thể xem là bệ phóng cho điều này bởi vì điện thoại chính là phần cứng sinh trắc học phù hợp nhất cho người dùng, và có thể sẽ đạt đến 90% trên tổng thanh toán điện tử đến năm 2023 (theo báo cáo Mobile Pay Security: Biometric Authentication & Tokenisation), trong đó quét bằng dấu vân tay phổ biến hơn cả. Báo cáo này cũng cho biết trong vòng 5 năm tới, có khoảng 1 tỉ thiết bị có khả năng quét mống mắt và nhận diện gương mặt để thực hiện thanh toán.

Trung Quốc số hoá chứng minh thư

Chính phủ TQ vừa hợp tác với Tencent, WeChat để số hoá thẻ căn cước (CMND) để tiện cho các nền tảng thanh toán điện tử, mạng xã hội và tin nhắn di động. Người dân TQ cũng sẽ cung cấp cho chính quyền và doanh nghiệp thông tin định danh chính xác cho CMND điện tử này. CMND điện tử được dùng trong các dịch vụ công, khách sạn… mà không cần CMND truyền thống. TQ cũng có kế hoạch xử lý mạnh tay nạn trộm cắp định danh trực tuyến bằng cách sử dụng công nghệ nhận diện khuôn mặt để nhận diện người nộp đơn đăng ký CMND điện tử. Sáng kiến này hiện được triển khai ở 26 thành phố, trong đó có Thâm Quyến, là nơi Tencent đặt trụ sở.

Điều luật eIDAS của châu Âu

EU cũng nhận thấy khung pháp lý quá cũ của họ, cộng thêm đà phát triển công nghệ, đã góp phần đẩy mạnh phát triển kinh doanh xuyên biên giới. Rõ ràng xác thực điện tử như là chữ ký điện tử mang lại giải pháp xác thực số, xác thực niềm tin cho mọi giao dịch. Bộ khung về dịch vụ nhận diện, xác thực và tin cậy eIDAS (electronic identification, authentication and trust services) đã được EU soạn ra nhằm giải quyết vấn nạn này.

Yếu tố quan trọng ẩn trong eIDAS là niềm tin mà EU cho là phương tiện để mở khoá tiềm năng kinh tế về giao dịch thương mại điện tử. Bộ luật eIDAS đã được áp dụng từ 29/09/2018, giúp công dân EU có thể truy cập dịch vụ công trong các quốc gia EU khác với cùng eID. Trong suốt giai đoạn thử nghiệm ở Áo, Đức và Hà Lan, người dân đã có thể kết nối định danh điện tử của họ với cơ sở hạ tầng xác thực điện tử, cho phép người dân tại Đức có thể truy cập các dịch vụ công cộng tại Áo.

Bằng lái số tại Mỹ

Bốn tiểu bang của Mỹ gồm: Maryland, Washinton DC, Idaho và Colorado hiện đang sử dụng giấy phép lái xe số DDL (digital driver’s license). Mục tiêu là cung cấp một công cụ xác thực an toàn để tận dụng tính phổ biến của smartphone. DDL được xem là phiên bản an toàn hơn rất nhiều để xác thực định danh tài xế. Nó là hình thức điện tử của bằng lái thông thường, được chứa trên điện thoại để cung cấp các thông tin cá nhân và thông tin về bằng lái liên quan. Nền tảng DDL được thiết kế rất dễ sử dụng, nhưng vẫn đảm bảo được tính an toàn và tương thích với các dịch vụ và giải pháp khác nhau. Nền tảng này đã được Mỹ thử nghiệm khoảng 2 năm qua, do Viện Tiêu chuẩn và Công nghệ Mỹ (NIST) hỡ trợ, cung cấp giải pháp cho bốn trường hợp: chia sẻ thông tin, đăng ký, cập nhật thông tin ngay khi tài xế đang trên đường và các điều luật giao thông.

Nền tảng số tại Canada

Nhận thức được tầm quan trọng của việc định danh người dùng trong nền kinh tế số và để sử dụng những dịch vụ “nhạy cảm” như ngân hàng, Canada đưa ra dịch vụ xác thực số (app cho di động), giúp người dùng có thể xác thực đúng định danh của mình trong vài giây. Nền tảng này do SecureKey xây dựng, dựa trên blockchain IBM và nền tảng được nhiều ngân hàng Canada hỗ trợ như CIBC, Scotiabank, RBC, Desjardins và BMO.

Kể từ năm 2016, các việc tài chính đã đầu tư tổng cộng đến 27 triệu CAD. Nền tảng này hoạt động bằng cách sử dụng định danh số hiện thời lấy từ dữ liệu định danh của các ngân hàng để xác thực ID người dùng. Điều này có nghĩa là thông tin định danh được xác thực bằng những đơn vị có độ tin cậy cao, và có thể xác thực mỗi lần người dùng muốn sử dụng các dịch vụ của một nhà cung cấp mới nào khác. Do đó, ứng dụng này giúp người truy cập được nhiều dịch vụ dễ dàng hơn, đồng thời tránh được rủi ro về giả mạo và nhất là củng cố nền kinh tế số của Canada.

Thuật ngữ Boost Safety và các thông tin về đặc điểm riêng biệt của cá nhân hay kết hợp vài phương thức xác thực đã chứng minh được tính hiệu quả để tránh nạn trộm cắp định danh. Điều này xem ra rất cần thiết đối với mọi doanh nghiệp khi muốn giảm rủi ro kinh doanh khi chuyển mô hình kinh doanh lên mạng, số hoá mọi hoạt động doanh nghiệp để từ đó thúc đẩy tăng lợi nhuận.

Theo Khám phá tháng 05/2019

Leave a Reply

Your email address will not be published. Required fields are marked *

Bạn không thể sao chép nội dung của trang này