Nằm ở một góc nhỏ phía Đông Bắc châu Âu, Estonia có tổng dân số hơn 1,3 triệu người. Sau khi tách khỏi Liên Xô cũ cách đây khoảng hơn ba thập kỷ, chính phủ nước này muốn xây dựng mọi thứ từ đầu theo định hướng một quốc gia tiến bộ công nghệ, bắt đầu bằng việc số hóa dữ liệu công dân, an ninh, kinh tế số và giáo dục.

ID Kaart - phần quan trọng của nỗ lực thành "quốc gia số"

Năm 2002, chính phủ Estonia phát hành thẻ điện tử có tên ID Kaart, hay còn gọi là chứng minh thư Estonia hoặc căn cước Estonia.

Mặt trước và mặt sau ID Kaart.

ID Kaart là tấm thẻ sử dụng mã hóa khóa công khai (public-key)/khóa riêng tư (private-key) 2.048-bit, nguồn mở, chứa hai chứng thư số (digital certificate) riêng biệt: một để xác nhận danh tính chủ thẻ, còn lại cho phép ký tài liệu, giấy tờ với chính phủ bằng chữ ký số.

Trên thẻ, có hai khóa cá nhân liên quan, mỗi khóa được bảo vệ an toàn bằng mã PIN. Người dùng có thể nhập một khóa khi được yêu cầu xác minh danh tính trực tuyến, đồng thời sử dụng khóa còn lại nếu muốn ký bằng chữ ký điện tử.

Khi đăng ký thẻ mới, hệ thống cũng tự động thiết lập địa chỉ email riêng với đuôi @eesti.ee. Công dân Estonia có thể dùng email này để nhận thông tin quan trọng từ chính phủ.

Vài tháng sau khi ra mắt, thẻ công dân điện tử của Estonia đã có hơn 2.000 người đăng ký. Tính đến năm 2010, khoảng một triệu thẻ đã được phát hành.

Tháng 10/2014, ID Kaart được thay chip mới do công ty Gemalto của Hà Lan cung cấp. Cơ quan Hệ thống Thông tin Estonia (ISA) khi đó cho biết, thế hệ chip mới này cho khả năng xử lý nhanh hơn, được sản xuất dựa trên công nghệ mới nhất và về cơ bản là an toàn hơn.

"Chip mới đã nhận được chứng chỉ bảo mật từ Pháp và Đức, xác nhận sự tuân thủ của Estonia đối với tất cả yêu cầu bảo mật. Những chip tương tự cũng được sử dụng trong chứng minh thư của một số quốc gia khác", ISA cho biết.

Không chỉ để xác định danh tính, ID Kaart còn đi kèm hàng loạt tính năng, như khám sức khỏe trên toàn quốc, lưu trữ chữ ký số... Công dân nước này cũng có thể dùng thẻ để bỏ phiếu bầu cử, đăng ký kinh doanh, đóng thuế, truy cập vào các cổng web và dịch vụ điện tử, hay cho phép thanh toán và giao dịch ngân hàng qua chữ ký số.

Không những thế, ID Kaart còn thay thế cho hộ chiếu khi đi lại trong nước hoặc Liên minh châu Âu (EU), cũng như giúp người dân mua vé giao thông công cộng, sử dụng Internet banking và xác thực trên nhiều website trong khu vực.

Bên cạnh công dân trong nước, Estonia còn là nước đầu tiên thế giới cung cấp thẻ công dân điện tử cho người nước ngoài. Việc đăng ký thẻ được thực hiện qua hình thức trực truyến. Tuy nhiên, những "công dân số" này bị giới hạn các chức năng, chẳng hạn không thể dùng thẻ để tham gia bầu cử tại Estonia.

Khủng hoảng bảo mật

Tháng 8/2017, một nhóm nhà nghiên cứu từ Czech gửi cảnh báo đến ISA về nguy cơ bảo mật trong chip của hãng Gemalto. Các chuyên gia Estonia đã đánh giá rủi ro về nguy cơ bị tấn công. Tuy nhiên, việc triển khai phòng thủ lại khá chậm.

Ngày 5/9/2017, Thủ tướng Estonia, Jüri Ratas, tổ chức một cuộc họp báo đặc biệt nhằm thông báo cho công chúng về các mối đe dọa bảo mật trên căn cước. Lúc này, Estonia đã phát hành gần 750.000 thẻ căn cước điện tử.

Thẻ căn cước của Estonia từng đối mặt với nguy cơ tấn công cao. Ảnh: Alexela.

ISA sau đó cũng lên tiếng thừa nhận: "Về lý thuyết, lỗ hổng có thể tạo điều kiện thuận lợi cho việc đánh cắp thông tin cá nhân và chữ ký số trái phép mà không cần phải dùng đến thẻ vật lý hay xác thực bằng mã PIN".

ISA trấn an rằng, các khóa công khai không đủ để mở khóa thẻ căn cước, cũng như hacker phải cần phần mềm hỗ trợ và đầu đọc thẻ phù hợp. Dù vậy, cơ quan này vẫn đề phòng bằng cách hạn chế quyền truy cập của công dân vào cơ sở dữ liệu khóa công khai của thẻ ID Kaart, mục đích chủ yếu là ngăn chặn việc sử dụng bất hợp pháp. Hàng chục chuyên gia công nghệ thông tin của Estonia đã làm việc suốt ngày đêm để giải quyết vấn đề, tạo các bản cập nhật và sao lưu cho chứng chỉ.

Tháng 10 năm đó, nhóm chuyên gia của Czech vẫn tiếp tục cảnh báo lỗ hổng bảo mật của thẻ ID Kaart. Phía Estonia vẫn tự tin, cho rằng rủi ro chỉ là tối thiểu.

Ngày 25/10/2017, ISA thông báo giải pháp cập nhật và phản ứng nhanh đã sẵn sàng. Chủ sở hữu ID Kaart đổ xô nâng cấp cho thẻ theo hình thức trực tuyến. Điều này khiến việc thông quan tại các cửa khẩu của Estonia bị ngưng trệ do người dân phải chờ nhận bản vá. Bên cạnh đó, một lượng lớn người cùng nâng cấp khiến hệ thống không thể đáp ứng và bị lỗi nhiều lần. Tốc độ cập nhật vì thế chậm hơn ISA mong đợi.

Nhiều ngày trôi qua. Nguy cơ từ các cuộc tấn công khai thác lỗ hổng trên thẻ căn cước Estonia ngày càng lớn. Lúc này, chính phủ đưa ra một quyết định mang tính quyết liệt: tán thành đề xuất của Cảnh sát, Biên phòng Estonia và Cơ quan Hệ thống Thông tin Estonia về việc chặn các thẻ căn cước có nguy cơ vào ngày 3/11/2017.

Quyết định trên đồng nghĩa với 760.000 căn cước được cấp sau ngày 16/10/2014 chỉ còn được sử dụng để nhận dạng, không thể dùng cho mục đích khác, như đăng ký y tế, thuế quan, ngân hàng... Để đảm bảo chính phủ điện tử tiếp tục vai trò, khoảng 35.000 thẻ, chủ yếu là bác sĩ, cán bộ tư pháp, công chức... được cập nhật trước.

Ngày 6/11/2017, ISA thông báo quá trình cập nhật bảo mật hoàn tất. Tuy nhiên, Margus Arm, người đứng đầu mảng thẻ e-ID tại ISA, cảnh báo rằng "vẫn cần thêm thời gian cho các tùy chọn bảo mật".

Tính từ ngày 25/10/2017 đến 6/11/2017, đã có khoảng 120.000 người đã cập nhật thẻ căn cước. 92.000 người trong số họ nâng cấp từ xa.

Cuộc khủng hoảng được ngăn chặn. Theo ISA, không có thiệt hại và không có trường hợp nào đánh cắp danh tính qua ID Kaart. Tuy nhiên, sự cố này được đánh giá là hồi chuông cảnh báo về nguy cơ bảo mật của mô hình nhà nước điện tử mà Estonia đang theo đuổi.

Dù vậy, niềm tin của người dân với nhà nước vẫn rất mạnh mẽ. Trong cuộc bầu cử tháng 10 năm đó, đã có 186.034 phiếu bầu trực tuyến trong tổng 582.542 phiếu bầu. Đây được xem là kỷ lục về bầu cử trực tuyến tại Estonia.

Sau khi khắc phục sự cố, chính phủ Estonia ngày càng quan tâm đến việc bảo mật cho thẻ căn cước điện tử công dân. Tháng 9/2018, Cơ quan Cảnh sát và Biên phòng Estonia (PPA) cũng đã tung ra hệ thống nhận dạng kỹ thuật số Smart-ID mới dùng chip sử dụng mã hóa khóa công khai ECC 384-bit bảo mật hơn. Thẻ mới cũng không phụ thuộc hoàn toàn vào chip để tránh các nguy cơ tấn công, được bổ sung mã QR Code để kiểm tra thời hạn thẻ, dùng phông chữ riêng... phục vụ cho việc nhận dạng.

Mục tiêu của Estonia là tới năm 2025, số lượng công dân điện tử lên tới 10 triệu người, gấp 8 lần dân số quốc gia này hiện tại.

Nguồn VNE