Giám đốc Trung tâm An ninh mạng - Cục A05 nói về xác suất vượt qua hệ thống xác thực khuôn mặt
Theo thượng tá Lê Xuân Thủy, các thuật toán xác thực khuôn mặt hiện nay dựa trên 512 điểm đặc trưng của khuôn mặt. Xác suất để làm giả theo ông là rất nhỏ.
Thượng tá Lê Xuân Thủy - Giám đốc Trung tâm An ninh mạng, Cục A05, Bộ Công an
Ngày 1/7 vừa qua, các ngân hàng trên cả nước đã chính thức áp dụng nhận dạng sinh trắc học cho các giao dịch chuyển khoản trên 10 triệu đồng/lượt hoặc trên 20 triệu đồng/ngày. Biện pháp này được cho là sẽ góp phần giảm thiểu tình trạng giả mạo tài khoản và chiếm đoạt tài sản.
Bên lề hội thảo "An ninh dữ liệu trên không gian mạng", VietTimes đã có cuộc trao đổi nhanh với thượng tá Lê Xuân Thủy - Giám đốc Trung tâm An ninh mạng, Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao A05 (Bộ Công an) xung quanh việc xác thực khuôn mặt, chữ ký số cũng như đấu tranh phòng chống mua bán dữ liệu cá nhân.
Video thượng tá Lê Xuân Thủy chia sẻ về xác thực sinh trắc học
PV: Ông có thể chia sẻ về tình trạng mua bán và lộ lọt dữ liệu tại Việt Nam hiện nay?
Thượng tá Lê Xuân Thủy: Hiện nay tình trạng mua bán lộ lọt dữ liệu đang diễn ra tương đối tràn lan và là vấn đề nhức nhối trong xã hội. Qua theo dõi, Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (Bộ Công an) nhận thấy động cơ, mục đích của các đối tượng đứng sau việc mua bán, trao đổi dữ liệu là rất đa dạng, trong đó có các hoạt động lừa đảo, đặc biệt là mạo danh lừa đảo người thân. Đối tượng tìm hiểu, nắm được thông tin cá nhân của các nạn nhân từ đó thực hiện hành vi lừa đảo.
Nguyên nhân của tình trạng này là do chúng ta sau một thời gian dài phát triển và đặc biệt là đẩy mạnh chuyển đổi số thì vô hình trung tất cả các nghiệp vụ của chúng ta sẽ dựa trên nền tảng số và sẽ hình thành các kho dữ liệu. Trên thực tế, một số cơ quan, tổ chức chưa quan tâm bảo vệ các kho dữ liệu này một cách đúng mức. Thành ra quá trình chuyển đổi số cũng mang lại nhiều rủi ro số, cần phải có các biện pháp ứng phó phù hợp.
Để giảm thiểu nguy cơ lộ lọt thông tin, mua bán trao đổi thông tin bất hợp pháp, hiện nay một số đơn vị đã áp dụng phương án phòng thủ, bảo vệ an ninh mạng, giám sát 24/7 nhằm kịp thời phát hiện, ngăn chặn các hoạt động tấn công xâm nhập, chiếm đoạt dữ liệu.
Vấn nạn này đã được rất nhiều các chuyên gia an ninh mạng nói đến trong thời gian vừa qua, nhưng theo tôi có một yếu tố nữa rất quan trọng, đó là các đơn vị phải có sự phân loại dữ liệu để chuẩn bị cho các kế hoạch phòng thủ và bảo vệ dữ liệu phù hợp.
Đặc biệt, với các tổ chức có lượng dữ liệu lớn như các công ty viễn thông, ngân hàng, các tổ chức giao dịch thương mại điện tử thì không thể có chính sách giống nhau đối với các loại dữ liệu. Cần có sự phân loại, phân lớp, xác định những dữ liệu nào tuyệt đối không được chia sẻ, dữ liệu nào được phép chia sẻ theo quy định của pháp luật, dữ liệu nào được công khai, từ đó sẽ đầu tư và có chiến lược phòng thủ, bảo vệ an ninh dữ liệu một cách phù hợp.
Về mặt chính sách, hiện nay chúng ta đã có Nghị định 13 của Chính phủ về vấn đề bảo vệ dữ liệu cá nhân và tiến tới sẽ xây dựng thành Luật bảo vệ dữ liệu cá nhân. Các quy định pháp luật này là yêu cầu bắt buộc để các tổ chức, doanh nghiệp có thể đánh giá và phân loại, phân lớp các dữ liệu để sử dụng, khai thác phù hợp trên không gian mạng.
Thời gian qua, thực hiện theo quy định của Ngân hàng Nhà nước, các ngân hàng đã yêu cầu khách hàng bổ sung nhận dạng sinh trắc học cho các giao dịch trên 10 triệu đồng. Theo ông, liệu xác thực sinh trắc học có an toàn tuyệt đối không, có xác suất mà tin tặc có thể qua mặt xác thực sinh trắc học không?
Thượng tá Lê Xuân Thủy: Việc Ngân hàng Nhà nước bắt đầu đưa nhận dạng sinh trắc học để xác thực cho các giao dịch trên 10 triệu đồng là một bước đi nhảy vọt, sẽ giảm thiểu rất nhiều các giao dịch rửa tiền và giao giao dịch của tội phạm. Theo thống kê của chúng tôi thì thời gian qua tội phạm đã tạo lập rất nhiều tài khoản giả mạo hoặc tài khoản rác để luân chuyển dòng tiền bất hợp pháp.
Với việc xác thực bằng sinh trắc học thì sẽ giảm hẳn vấn nạn tài khoản giả mạo và thậm chí có thể nói gần như bằng không. Đối tượng lừa đảo không thể thực hiện các giao dịch với số tiền lớn. Nhiều người dùng còn băn khoăn là công nghệ xác thực và nhận diện hình ảnh có đảm bảo an toàn hay không. Vấn đề này trên thế giới cũng đã có rất nhiều nghiên cứu và chứng minh về mức độ tin cậy, an toàn của các thuật toán này.
Tất nhiên về mặt thống kê, xác suất thì đâu đó sẽ có tỷ lệ nhất định những khuôn mặt trùng nhau về các dấu hiệu. Ví dụ như khuôn mặt được trích chọn 512 đặc trưng, trên lý thuyết thì có thể tạo được một khuôn mặt mô phỏng với 512 đặc trưng đó. Theo tôi biết các thuật toán hiện nay dựa trên 512 điểm đặc trưng của khuôn mặt. Nhưng xác suất để làm giả theo tôi là rất nhỏ. Thế giới cũng đã có các nghiên cứu và cho đến nay những hệ thống như thế vẫn được sử dụng cho các giao dịch trực tuyến trong lĩnh vực tài chính ngân hàng.
Nếu như chúng ta đã có các giải pháp sinh trắc học rồi thì việc sử dụng chữ ký số trong các giao dịch tài chính có cần thiết không thưa ông?
Thượng tá Lê Xuân Thủy: Trả lời một câu hỏi chung chung như vậy cũng hơi khó, vì còn tùy thuộc vào giao dịch đấy là giao dịch gì? Chữ ký số thì theo Luật giao dịch điện tử thừa nhận đấy là một chữ ký và giao dịch với chữ ký đó có giá trị pháp lý như chữ ký tươi. Vì vậy, chữ ký số có thể sử dụng để xác nhận giao dịch, thậm chí sử dụng để ký hợp đồng điện tử hay công chứng điện tử. Đấy là những vấn đề thuộc phạm trù khác và theo tôi chữ ký số ở đây mang ý nghĩa là xác thực nhiều hơn là câu chuyện đảm bảo an ninh, an toàn.
