Thông tư sửa đổi, bổ sung nhiều nội dung liên quan đến việc cấp, đổi, thu hồi và quản lý sử dụng chứng thư số, áp dụng với các đơn vị thuộc Ngân hàng Nhà nước; các tổ chức tín dụng; chi nhánh ngân hàng nước ngoài; Kho bạc Nhà nước và Bảo hiểm tiền gửi Việt Nam.

Theo đó, NHNN  bổ sung quy định tạm dừng dùng chứng thư số trong các trường hợp: tổ chức gửi hồ sơ tạm dừng lên Cục CNTT; có yêu cầu bằng văn bản của cơ quan công an hoặc Bộ TT&TT; có sai sót hoặc sự cố có thể ảnh hưởng đến hệ thống cung cấp dịch vụ chứng thực chữ ký số.

Về thu hồi chứng thư số, quy định nêu rõ tổ chức quản lý thuê bao có thể đề nghị thu hồi chứng thư số hoặc hủy bỏ một số nghiệp vụ chứng thư số của thuê bao. Trường hợp thu hồi chứng thư số, toàn bộ nghiệp vụ chứng thư số của thuê bao bị thu hồi.

Ngoài ra, chứng thư số của thuê bao bị thu hồi do hết hiệu lực sử dụng hoặc theo yêu cầu của tổ chức quản lý thuê bao theo yêu cầu bằng văn bản của cơ quan tiến hành tố tụng, cơ quan công an hoặc Bộ TT&TT; Tổ chức quản lý thuê bao có quyết định thu hồi giấy phép hoạt động, chia, tách, sáp nhập, giải thể hoặc phá sản theo quy định của pháp luật hay có đủ căn cứ xác định thuê bao vi phạm các quy định về quản lý, sử dụng khoá bí mật và thiết bị lưu giữ khoá bí mật;

Quy định nêu rõ trách nhiệm của tổ chức quản lý thuê bao chứng thư số. Theo đó, các tổ chức chỉ định cá nhân hoặc bộ phận đầu mối phụ trách đăng ký, quản lý hồ sơ, văn bản, báo cáo liên quan đến chứng thư số, danh sách thuê bao của tổ chức; thông báo cho Cục CNTT (NHNN) lần đầu và khi có thay đổi cá nhân/bộ phận đầu mối.

Đăng ký và chịu hoàn toàn trách nhiệm về tính chính xác của các thông tin tại văn bản, hồ sơ, báo cáo liên quan đến chứng thư số của thuê bao thuộc tổ chức quản lý gửi Cục CNTT.

Quản lý, thống kê, cập nhật danh sách thuê bao trong tổ chức. Tối thiểu 6 tháng 1 lần, thực hiện rà soát, đối chiếu danh sách chứng thư số đã được NHNN cấp so với nhu cầu sử dụng và thông tin thực tế tại tổ chức quản lý thuê bao. Các chứng thư số không khớp đúng thông tin, tổ chức quản lý thuê bao phải thực hiện ngay thủ tục thay đổi thông tin, tạm dừng, thu hồi hoặc hủy bỏ nghiệp vụ chứng thư số.

Thông báo kịp thời cho Cục CNTT tạm dừng hoặc thu hồi chứng thư số của thuê bao trong các trường hợp ghi lộ, lọt, đánh cắp; thiết bị lưu khóa bí mật bị thất lạc; thuê bao thay đổi vị trí công tác không cần sử dụng chứng thư số để phục vụ công việc…

Chứng thư số cấp cho tổ chức phải được giao cho cá nhân quản lý và sử dụng. Việc bàn giao phải được lập thành văn bản quy định rõ vai trò, trách nhiệm của cá nhân được giao quản lý. Cá nhân được giao quản lý phải thực hiện vai trò, trách nhiệm của thuê bao quy định.

Việc bảo quản và sử dụng mã khoá truy cập thiết bị, các dữ liệu trong thiết bị lưu khoá bí mật một cách an toàn, bí mật trong suốt thời gian chứng thư số của mình có hiệu lực và bị tạm dừng; không chia sẻ, cho mượn mã khóa truy cập thiết bị, thiết bị lưu khóa bí mật của chứng thư số.

Khi nghỉ việc, chuyển công tác hoặc thay đổi vị trí công tác, yêu cầu công việc không cần sử dụng chứng thư số phải bàn giao thiết bị lưu khóa bí mật cho tổ chức quản lý thuê bao. Người ký chịu trách nhiệm về tính xác thực thông tin do mình ký số và chỉ thực hiện ký số trên các hệ thống thông tin khi hệ thống thông báo trạng thái chứng thư số của mình có hiệu lực.

Ngoài ra, từ năm 2021, NHNN thay đổi nhiều loại giấy tờ trong hồ sơ cấp chứng thư số. Cụ thể, đối với cấp, bổ sung nghiệp vụ chứng thư số cho cá nhân là người có thẩm quyền thì bên cạnh văn bản đề nghị cấp, bổ sung nghiệp vụ chứng thư số; Giấy đề nghị cấp, bổ sung nghiệp vụ chứng thư số cho cá nhân theo mẫu còn phải nộp văn bản chứng minh tư cách đại diện hợp pháp của người có thẩm quyền của cơ quan, tổ chức (gồm: Giấy chứng nhận đăng ký doanh nghiệp hoặc Giấy chứng nhận đăng ký hợp tác xã…; Quyết định bổ nhiệm của người đề nghị cấp, bổ sung nghiệp vụ chứng thư số đối với cơ quan Nhà nước).

Trong khi đó, đối với cấp, bổ sung nghiệp vụ chứng thư số cho cá nhân là người được người có thẩm quyền ủy quyền thì phải nộp văn bản ủy quyền của người có thẩm quyền cho phép người được ủy quyền đại diện cho tổ chức ký duyệt hồ sơ, văn bản, tài liệu, báo cáo, giao dịch trên hệ thống thông tin tương ứng với nghiệp vụ của chứng thư số đề nghị cấp. Người được ủy quyền không được ủy quyền lại cho người khác thực hiện…

D.V

Hợp tác phát triển giải pháp ký số di động “Make in Vietnam”

Câu lạc bộ chữ ký số và giao dịch điện tử Việt Nam vừa ký kết hợp tác với 2 đơn vị là đại diện của các hãng phần cứng bảo mật lớn trên thế giới để cùng phát triển giải pháp ký số di động “Make in Vietnam”.

Phát biểu tại lễ khai mạc vòng chung khảo cuộc thi “Sinh viên với An toàn thông tin ASEAN 2020” diễn ra sáng 28/11, Phó Chủ tịch Hiệp hội An toàn thông tin Việt Nam (VNISA) Vũ Quốc Khánh cho biết, đây là năm thứ 13 cuộc thi được tổ chức và là năm thứ 2 cuộc thi mở rộng ra khu vực ASEAN.

“Cuộc thi năm nay được tổ chức với phương thức và quy mô đặc biệt khác với các năm trước do bối cảnh ảnh hưởng bởi đại dịch Covid-19. Đặc biệt, Vòng thi chung khảo lần đầu được tổ chức theo hình thức kết hợp giữa thi trực tuyến và trực tiếp”, ông Khánh cho hay. 

Tham gia tranh tài về kiến thức, kỹ năng an toàn thông tin tại vòng chung khảo, 10 đội sinh viên Việt Nam thi online tập trung tại cơ sở đào tạo Hà Nội của Học viện Công nghệ Bưu chính Viễn thông; còn 6 đội quốc tế thi online hoàn toàn tại nước của mình. Đây đều là những đội thi đã thể hiện xuất sắc trong vòng sơ khảo diễn ra ngày 31/10.

Danh sách 16 đội thi chung khảo "Sinh viên với an toàn thông tin ASEAN 2020".

Đề thi chung khảo được xây dựng theo cách thức đối kháng (tấn công và phòng thủ trực tiếp). Các đội thi trong thời gian 8 giờ liên tục.

Luật chơi của đề thi chung khảo dựa trên thể thức King of the hill (KOTH) và Attack Defense (AD). Theo đó, cuộc thi được chia thành nhiều hiệp thi đấu, nhiệm vụ của các đội chơi là đánh chiếm các vùng đất (châu lục) thông qua khai thác lỗi của dịch vụ và submit flag tương ứng trong mỗi hiệp đấu. Đồng thời, các đội phải bảo vệ các vùng đất đang chiếm đóng thông qua việc vá các lỗ hổng bảo mật của dịch vụ. 

Vòng chung khảo có tổng cộng 88 hiệp thi đấu. Cụ thể, trong 4 giờ đầu tiên có 24 hiệp đấu, với mỗi hiệp 10 phút; 2 giờ tiếp theo cũng có 24 hiệp nhưng mỗi hiệp kéo dài 5 phút; và 2 giờ cuối cùng có 40 hiệp, với 3 phút/hiệp.

Luật chơi của đề thi chung khảo “Sinh viên với An toàn thông tin ASEAN 2020” dựa trên thể thức King of the hill (KOTH) và Attack Defense (AD).

Về cách thức tấn công, các đội chơi đánh chiếm các vùng đất (châu lục) thông qua khai thác lỗi dịch vụ và submit flag thành công sớm nhất trong mỗi hiệp đấu. Sau khi đánh chiếm thành công, đội chơi sẽ sở hữu vùng đất và giành trọn số điểm vùng đất đó mỗi round; cho đến khi vùng đất bị đội khác cướp đoạt. Đáng lưu ý, flag của vùng đất sẽ được thay đổi vào đầu của mỗi hiệp đấu và các dịch vụ được thiết kế với nhiều lỗ hổng bảo mật khác nhau.

Ví dụ như, tại vòng 6, Team 9 chiếm thành công (cắm cờ) vùng đất Bắc Mỹ (500 điểm), thì Team 9 sẽ sở hữu vùng Bắc Mỹ và nhận được 500 điểm trong Hiệp 6 và những hiệp tiếp theo cho đến khi Bắc Mỹ bị một đội khác cướp đoạt thông qua việc submit thành công flag của vùng Bắc Mỹ. 

Đối với việc phòng thủ, sau khi chiếm thành công một vùng đất, đội chiếm đóng có thể triển khai hệ thống phòng thủ không thông qua việc vá lỗi các lỗ hổng dịch vụ. Tuy nhiên, đội chiếm đóng chỉ có 1 lượt miễn phí triển khai hệ thống phòng thủ (bản vá) trong suốt quá trình chiếm đóng vùng đất (lượt vá thêm có thể mua bằng tiền có được từ việc giải các bài Jeopardy).

Bản vá lỗi sẽ được kiểm duyệt tự động và trả về trạng thái “Đồng ý” hoặc “Từ chối". Khi được đồng ý, nghĩa là bản vá vượt qua được việc kiểm duyệt của hệ thống và được áp dụng lên dịch vụ tương ứng của vùng đất; các đội chơi khác sẽ được thông báo về bản vá và có quyền xem nội dung bản vá. Trường hợp bị từ chối - bản vá không vượt qua việc kiểm duyệt của hệ thống, sẽ bị vô hiệu ngay lập tức. Song song, các đội chơi khác sẽ được thông báo về tình trạng bản vá. 

Bảng xếp hạng 16 đội thi sau 4 giờ thi đấu đầu tiên của vòng chung khảo "Sinh viên với An toàn thông tin ASEAN 2020".

Theo ghi nhận của phóng viên, sau 4 giờ thi đấu tương đương với 24 hiệp đầu tiên, dẫn đầu là đội NotEfiens đến từ Đại học Bách Khoa – Đại học Quốc gia TP.HCM, với 1.200 điểm và 500 coin. Có cùng số điểm với NotEfiens nhưng kém số coin, đội HCMUS.TWICE của Đại học Khoa học tự nhiên - Đại học Quốc gia TP.HCM xếp ở vị trí thứ 2. Các đội xếp ở các vị trí tiếp theo là AmongUs (Đại học FPT Hà Nội), MSEC_ADC (Học viện Kỹ thuật Quân sự) và PTIT.1NFERNO (Học viện Công nghệ Bưu chính Viễn thông) với điểm số lần lượt là 700, 600, 500 điểm. 

Với các đội thi đến từ các nước ASEAN khác, sau 4 giờ thi đấu đầu tiên, ngoài đội Elite 1 đến từ Indonesia ghi được 100 điểm, các đội còn lại đều chưa ghi được điểm.

Tính đến 13h ngày 28/11, bảng xếp hạng đang chứng kiến sự cách biệt điểm số giữa vị trí số 1, 2 và các vị trí còn lại. Trong khi HCMU.Twice và NotEfiens đang thay nhau giữ vị trí nhất và nhì với 2.400 điểm, các đội ở vị trí còn lại chỉ đạt 900 điểm. Sáu đội gồm PTIT.AmongUs, CyberX, Bermuda, SMU Whitehat Society, Sarang Tabuan và cyberpunk2020 vẫn chưa ghi được điểm.