Nâng cao ý thức người dân trong bảo mật thông tin
Mới đây, GS Phan Dương Hiệu, Viện Bách khoa Paris (Pháp) đã có Bài giảng đại chúng “How to protect privacy with cryptographic methods”, trình bày về các phương pháp sử dụng mật mã để bảo vệ thông tin riêng tư của người dùng. Sự kiện do quỹ VINIF chủ trì, phối hợp Trường ĐH Bách Khoa Hà Nội tổ chức.
|
GS Phan Dương Hiệu, Viện Bách khoa Paris (Pháp). |
GS Phan Dương Hiệu cho biết, con người có mong muốn được chia sẻ thông tin. Tuy nhiên, con người là chủ thể duy nhất có quyền quyết định chia sẻ đến đâu thông tin cá nhân của mình.
Việc bảo vệ quyền riêng tư sẽ cho phép từng cá nhân quản lý được việc quyết định có chia sẻ hay không những thông tin cá nhân.
Việc bảo vệ quyền này tưởng như hiển nhiên nhưng không thực sự dễ dàng. Nhìn vào lịch sử thì thấy, việc cố gắng quản lý và khai thác thông tin cá nhân ngoài sự cho phép luôn luôn xảy ra. Các chính phủ hầu hết đều muốn thu thập, quản lý tối đa thông tin cá nhân với nhiều lý do khác nhau, trong đó có lý do bảo đảm an toàn cho người dân.
Vào thời Tổng thống Bill Clinton (Mỹ), chính quyền đã có quyết định cho phép đưa vào trong từng máy tính một con chip (clipper Chip). Con chip này có khả năng giúp thu thập thông tin trong máy và FBI có thể lấy được thông tin của từng người.
Ngay lập tức, đã có một làn sóng phản đối, đứng đầu là những nhà khoa học Mỹ. Họ đã lập ra một nhóm phản đối dữ dội việc vi phạm quyền riêng tư này.
Một nhà khoa học (Matt Blaze) sau đó đã chứng minh lỗ hổng trong việc đưa chip này vào máy tính cá nhân, chứng tỏ là nếu Chính phủ Mỹ lấy được thông tin của công dân thì đối phương cũng có thể lấy được. Cuối cùng, Chính phủ Mỹ đã phải từ bỏ chương trình này.
“Từ vụ việc này có thể thấy, sự phản ứng của cộng đồng và các nhà khoa học đã có tác động rất lớn. Nếu cộng đồng có ý thức trong việc bảo vệ quyền riêng tư và các nhà khoa học chứng minh được tác hại của nó thì Chính phủ sẽ phải có được sự cân bằng giữa việc bảo vệ được an toàn công dân mà không vi phạm đến quyền con người, quyền riêng tư”, ông Hiệu nói.
Trao đổi với PV Tri thức và Cuộc sống, GS Phan Dương Hiệu cho hay, những năm trở lại đây, các dịch vụ mạng xã hội và các công cụ xử lý dữ liệu lớn đã đem lại trải nghiệm tốt hơn cho người dùng. Tuy nhiên, mặt trái của chúng là các công ty, chính phủ thu thập dữ liệu cá nhân của khách hàng, công dân.
Điều đó đặt ra vấn đề là người dùng phải có ý thức về những nguy hại trong việc tiết lộ thông tin cá nhân. Những thông tin như dữ liệu y tế, dữ liệu gen… có thể không chỉ ảnh hưởng tới cá nhân mà cả đến những thế hệ sau này.
“Những tác hại có thể rất lớn, ảnh hưởng tới nhiều thế hệ, và một ngày có thể quay trở lại khống chế tất cả những hành động của cá nhân. Cho nên, mỗi người phải có ý thức về những rủi ro và quyết định chia sẻ đến đâu”, ông Hiệu chia sẻ.
Đặc biệt, theo GS Hiệu, ở góc độ từng cá nhân thì đôi khi có thể chưa thấy rõ được tác hại của việc để lộ thông tin cá nhân. Tuy nhiên, khi việc để lộ này xảy ra trên diện rộng, liên kết cả triệu người thì lại là vấn đề rất nghiêm trọng.
Bởi từ đó, người ta có thể hiểu về một cộng đồng ở nhiều góc độ, và đưa đến những cách nhìn định hướng cho từng cá nhân và làm mất tự do cá nhân, nhất là nếu áp đặt một hệ thống tính điểm công dân như Trung Quốc đang làm. Đây là vấn đề hết sức nguy hiểm và người dân cần phải ý thức về điều này. Theo đó, việc bảo vệ không những cho mình, mà còn cho cả cộng đồng.
Cần sự kiểm soát của cơ quan độc lập
Cùng với việc nâng cao ý thức người dân, ông Hiệu cho rằng, từ phía các chính phủ cũng có những quy định phù hợp về việc khai thác thông tin. Theo đó, cần có quy định ở mức độ nào thì thông tin được phép thu thập, ở mức độ nào thì không.
Ví dụ, những thông tin cơ bản trên chứng minh thư, hộ khẩu (thông tin tĩnh) thì được phép thu thập và cần hiện đại hóa hệ thống quản lý hành chính để thuận lợi cho công dân. Tuy nhiên, những thông tin quá cá nhân, hoặc thông tin động, như vị trí di chuyển… thì không, vì sẽ dẫn đến sự hạn chế tự do và sẽ rất nguy hiểm nếu bị lộ.
Đặc biệt, cần phải có những cơ quan độc lập để kiểm soát tất cả những ứng dụng phần mềm phát triển… xem có tuân thủ theo những quy định đó không, liệu có thu thập quá nhiều thông tin và trong quá trình xử lý bảo mật có thể giữ được những thông tin đó một cách an toàn hay không, hay là có nhiều lỗ hổng và hacker có thể khai thác dễ dàng.
|
GS Phan Dương Hiệu trình bày bài giảng đại chúng “How to protect privacy with cryptographic methods”. |
Chẳng hạn, hiện nay, khi sử dụng một ứng dụng nào đó, người dùng thường được hỏi rằng có cho phép ứng dụng truy cập những dữ liệu cá nhân, thì cần có những quy định về việc này. Theo đó, cần xem xét việc hỏi đó có hợp lý hay không, chứ không thể cứ đưa ra một điều khoản rất dài khiến người dùng có thể không để ý, bấm “đồng ý” là coi như mất hết bảo mật thông tin cá nhân.
“Khi chúng ta có những quy chuẩn thì tất cả những điều khoản cũng cần phải được nghiên cứu có tuân thủ những quy chuẩn đó không, có lạm dụng sự “ngây thơ” của người dùng để khai thác hay không? Riêng quyền được đặt ra câu hỏi cũng là một vấn đề. Không phải muốn đặt ra bất kỳ một câu hỏi nào cũng được.
Ngay cả khi người dùng đồng ý thì phía ứng dụng cũng phải có những hạn chế ở mức nhất định, không được thu thập ở mức quá đà thông tin của người dùng”, ông Hiệu chia sẻ.
GS Phan Dương Hiệu cho hay, hiện nay, ở châu Âu đã có những quy định, quy chuẩn về việc bảo mật cá nhân, và cùng với đó, có những cơ quan độc lập để kiểm soát. Tuy nhiên, ở Việt Nam hiện vẫn còn khá tự do trong việc khai thác thông tin cá nhân. Đặc biệt, hiện chưa có những cơ quan độc lập để kiểm soát việc này.
“Những thông tin về lỗ hổng bảo mật trong ngân hàng, hoặc những lỗ hổng bảo mật trong nhiều cơ quan hiện nay theo tôi là đáng ngại cho người dân. Những thông tin về cá nhân bị khai thác khá bừa bãi. Cần có những thảo luận rộng về vấn đề này, để nâng cao ý thức của từng cá nhân người dân về bảo vệ quyền riêng tư và vai trò của nhà nước, trong việc kiểm soát của các tổ chức độc lập”, ông Hiệu nói.
Cùng với đó, theo GS Hiệu, cần có sự minh bạch từ phía Chính phủ. Chẳng hạn, Chính phủ cần phải nói rõ sẽ thu thập những thông tin gì và phương án giải quyết về mặt kỹ thuật cần được mở để cộng đồng đánh giá.
Ví dụ như ứng dụng Bluezone vừa qua phải đưa ra giải pháp kỹ thuật và phần mềm mở để cộng đồng đánh giá được lỗ hổng và các nguyên lý sử dụng trong đó. Vì nó không chỉ liên quan đến những thông tin tĩnh, mà cả thông tin động theo thời gian thực, rất nguy hiểm. Khi đưa ra cho cộng đồng đánh giá thì nhiều lỗ hổng bảo mật có thể được khắc phục và việc thu thập thông tin cá nhân cũng được gỡ bỏ.
“Tất cả những phát triển trên diện rộng cần phải có sự cẩn trọng ở mức rất cao. Trong khi chúng ta chưa có những quy định cụ thể thì cần phải nâng cao nhận thức của người dân về việc bảo mật thông tin cá nhân, và cả phía Chính phủ cũng không nên tự cho mình quyền quá nhiều trong việc thu thập thông tin cá nhân của người dân.
Khi người dân nâng cao ý thức thì sẽ có sự đòi hỏi về việc được bảo vệ thông tin cá nhân và đồng thời chính phủ cũng cần có sự tôn trọng điều đó. Bảo vệ quyền riêng tư của mỗi cá nhân cũng là để đảm bảo sự tự do theo nghĩa rộng”, GS Hiệu cho hay.
Giáo sư Phan Dương Hiệu hiện công tác tại Viện Bách khoa Paris (Institut Polytechnique de Paris) và là trưởng nhóm An ninh mạng - Mật mã tại trường Viễn thông Paris (Télécom Paris).
Giáo sư Phan Dương Hiệu nhận bằng Tiến sĩ năm 2005 và Tiến sĩ khoa học năm 2014 về Mật mã tại trường Đại học hàng đầu nước Pháp Ecole Normale Supérieure (ENS). Năm 36 tuổi, ông là Giáo sư tại Viện nghiên cứu XLIM, ĐH Limoges, Pháp. Từ năm 2013, GS. Phan Dương Hiệu là thành viên của Ủy ban điều hành hội nghị mật mã Asiacrypt. Các nghiên cứu của GS. Phan Dương Hiệu tập trung vào mật mã, đặc biệt là mã hóa công khai, chữ kí số, mã hóa phát sóng, mã hóa chức năng và hệ thống mật mã phân cấp.
Mai Loan