Các chuyên gia, đại diện doanh nghiệp và cơ quan Nhà nước tham dự Hội thảo "Tương tác CA và chấp nhận CA số nước ngoài" vừa diễn ra tại Hà Nội đều khẳng định, rất cần phải thiết lập cơ chế tương tác giữa các tổ chức cung cấp dịch vụ chứng thực chữ ký số. Trong đó, đặc biệt quan trọng là việc xây dựng phương án chấp nhận chứng thư số của các nhà cung cấp CA nước ngoài, nếu như muốn thu hút các tập đoàn đa quốc gia vào Việt Nam, cũng như tạo điều kiện để doanh nghiệp, tổ chức Việt Nam đàm phán, giao thương với quốc tế.
Thứ trưởng Bộ Thông tin - Truyền thông Nguyễn Minh Hồng cho biết đẩy mạnh ứng dụng chữ ký số là nội dung cấp thiết được Chính phủ chỉ đạo. Ảnh: M.Chung. |
Nghịch lý nội - ngoại
Tính tới thời điểm này, Việt Nam đã có 8 nhà cung cấp CA được cấp phép nhưng mới chỉ có 5 trong số đó đang hoạt động, bao gồm: VNPT-CA, Viettel-CA, BKAV-CA, FPT-CA và Nacencom.
"Ba, bốn năm trở lại đây, Bộ Công Thương đã làm việc nhiều với các đối tác nước ngoài. Họ đều rất quan tâm và thận trọng với hạ tầng PKI cũng như về dịch vụ CA trong khi đàm phán. Tuy nhiên, các CA công cộng trong nước lại không được đánh giá cao khi làm ăn với nước ngoài. Một thực tế nữa là doanh nghiệp và người tiêu dùng (có vẻ như) biết đến các CA quốc tế như VeriSign và GlobalSign nhiều hơn. Vậy làm thế nào để CA trong nước phát triển được nhưng vẫn dung hòa với CA quốc tế", ông Trần Hữu Linh, Cục trưởng Cục Thương mại điện tử - Bộ Công Thương nêu vấn đề.
Phân tích về nghịch lý này, ông Linh cho biết, lý do chủ yếu là vì công năng của CA trong nước không rộng. Nếu chỉ đơn thần dùng chữ ký số để ký và mã hóa vào văn bản thì cả CA trong nước lẫn CA quốc tế đều làm tốt. Nhưng khi doanh nghiệp hay tổ chức muốn ký vào một văn bản giữa trong nước với quốc tế thì chỉ có CA quốc tế mới dùng được. Tương tự, với các DN có yếu tố nước ngoài như Tập đoàn Intel thì CA trong nước càng không đáp ứng được.
Hai lĩnh vực quan trọng khác của CA là cấp chứng thư số cho phần mềm (code Signing) và cấp chứng thư số SSL thì hiện tại, chỉ có CA quốc tế là lựa chọn duy nhất. "Phần mềm được CA trong nước chứng nhận nhưng khi người dùng cài đặt trên máy tính Windows vẫn bị hệ điều hành từ chối và cảnh báo rằng không đáng tin cậy", ông Linh cho biết.
Chính vì những hạn chế kể trên nên các CA trong nước đã để hổng sân nhà một cách đáng tiếc. Các doanh nghiệp Việt sử dụng CA rất nhiều, nhất là các lĩnh vực tài chính, ngân hàng, chứng khoán, nhưng hầu hết - đều sử dụng CA quốc tế để tiện cho giao dịch ra bên ngoài. Trong khi đó, Nghị định 26 của Chính phủ về "Thi hành Luật giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số" lại chưa đưa CA quốc tế vào phạm vi điều chỉnh.
Trong nước và quốc tế "vênh nhau"
Ông Nguyễn Trần Hiệp, đại diện Tổng cục Hải quan - một đơn vị phải ứng dụng CA rất nhiều trong các thủ tục Hải quan điện tử, lại nêu trường hợp của Tập đoàn Intel để minh chứng cho sự cần thiết của việc chấp nhận chứng thư số nước ngoài. "Những công ty lớn có vốn nước ngoài như Intel, khi vào Việt Nam đã được Chính phủ cam kết tạo cơ chế riêng để họ có thể hoạt động được, trong đó có cơ chế hải quan đặc biệt". Phía Intel đã đề nghị thực hiện ngay một quy trình hải quan điện tử rất đặc biệt, "trước đó chưa từng gặp ở Việt Nam", ông Hiệp cho biết.
Intel cũng đề nghị hải quan chấp nhận CA số do VeriSign phát hành, bởi đây là CA mà Intel sử dụng chung trên phạm vi toàn cầu, tại mọi chi nhánh của Tập đoàn. Yêu cầu này đã được Thủ tướng chấp nhận như một trường hợp ngoại lệ và đến tháng 8/2010, Văn phòng Chính phủ đã có công văn đồng ý cơ chế đặc thù cho Intel.
"Cuối tháng này, Nokia cũng đã đề nghị làm việc cùng Tổng cục Hải quan và nhiều khả năng họ cũng sẽ đề xuất sử dụng CA riêng của mình", ông Hiệp nói thêm. "Trong tương lai, nhiều tập đoàn lớn chắc cũng sẽ có nhu cầu như vậy".
Một trường hợp thứ hai mà ông Hiệp dẫn ra là của các hãng tàu biển lớn. Một trong những chủ trương quan trọng của Hải quan hiện nay là mở rộng Hải quan điện tử ở khâu trước thông quan: tàu, thuyền, máy bay có thể gửi thông tin từ trước khi cập cảng để hải quan phân tích thông tin và có thể nhanh chóng giải phóng hàng hóa, phương tiện.
"Hiện một tàu biển cập bến là phải nộp cho Hải quan cả 1500 trang tài liệu - rất mất thời gian để phân tích mà doanh nghiệp lại phải è cổ gánh phí neo đậu. Chi phí này sau này sẽ bổ cả vào các hãng xuất nhập khẩu và cuối cùng là người dùng. Tuy nhiên, vướng là ở chỗ các hãng tàu biển lớn đều có hệ thống thông tin đặt ở nước ngoài. Theo Nghị định 26, thông tin gửi đến Việt Nam phải có CA. Tuy nhiên, Luật lại chưa công nhận CA nước ngoài. Trong khi đó, ta không thể yêu cầu phía họ không sử dụng CA chung toàn cầu mà chuyển sang dùng riêng CA trong nước tại Việt Nam được".
Bản thân đại diện của FPT-CA, một nhà cung cấp dịch vụ CA trong nước cũng thừa nhận, hiện tại, nếu sử dụng CA trong nước để bảo mật máy chủ SSL là không phù hợp, trong khi đó, ở các nước thì SSL chiếm tới 60-70% doanh thu của các CA công cộng. Đây rõ ràng là một sự "chênh" của CA trong nước với xu hướng chung của thế giới.
Tìm một hướng gỡ
Theo ông Trần Hữu Linh, trao đổi dữ liệu điện tử càng nhiều thì CA càng quan trọng. Nếu các quy định hiện tại bó buộc vai trò của CA (cả trong nước lẫn quốc tế) thì sẽ làm khó cho doanh nghiệp và người dùng trong việc ứng dụng chữ ký số. Mà hệ quả của việc đó là Thương mại điện tử, Chính phủ điện tử, Giao thương sẽ không thể phát triển mạnh.
"Quy định mới của Bộ Thông tin - Truyền thông về ứng dụng chữ ký số cần tính đến nhu cầu sử dụng thực tế của người dùng, đến thực tế thành lập và vận hành của các CA quốc tế để từ đó có những điều chỉnh hợp lý khi công nhận giá trị. Đồng thời, các CA Việt nam cũng cần nâng cấp vị thế của mình để được khu vực và quốc tế công nhận nhiều hơn".
Ông Đặng Trần Hiệp cũng có đề xuất tương tự với Bộ Thông tin - Truyền thông khi đề nghị Bộ sớm có kế hoạch chấp nhận CA số nước ngoài. "Đó là một nhu cầu có thật, đảm bảo môi trường thông thoáng cho thương mại VN", ông Hiệp kết luận.
Liên quan đến đề xuất "nâng cấp vị thế cho các CA Việt", Đại diện GlobalSign cho rằng, Trung tâm Chứng thực số Quốc gia Việt Nam (trực thuộc Bộ Thông tin - Truyền thông) nên làm việc với các nhà cung cấp Quốc tế để RootCA Việt Nam được công nhận bởi các trình duyệt và nền tảng, dịch vụ phổ biến. Sau đó, Trung tâm có thể cung cấp lại dịch vụ này cho các CA công cộng trong nước (có thu phí).
Còn theo đại diện Tổng cục Thuế - Bộ tài chính, đơn vị đang tích cực triển khai việc khai thuế, nộp thuế qua mạng, công tác tuyên truyền về CA và chữ ký số hiện vẫn chưa tốt, chưa có nhiều tác dụng. Người dùng vẫn chưa biết hết về tính năng, hiệu quả của chữ ký số và vẫn còn lo lắng đến bảo mật, đến việc có thể bị giả mạo chữ ký....Bản thân nhiều CA trong nước cũng chỉ chú trọng đến khâu tiếp thị trước bán hàng. Còn sau đó, khi khách hàng sử dụng và phát sinh khúc mắc thì chưa được hỗ trợ tốt.
Bên cạnh đó, Nghị định 26 chưa quy định rõ, chữ ký số của doanh nghiệp tương đương với con dấu và chữ ký của người đại diện pháp nhân. Vì thế, nhiều Doanh nghiệp phải lấy đồng thời cả 2 chữ ký số vào ô chữ ký và con dấu, vừa mất thời gian lại vừa tốn kém mà không thiết thực. Các quy định về ai là người giữ chữ ký số (văn thư hay Giám đốc? Cơ chế ủy quyền ra sao...) cũng chưa được đề cập cụ thể, nên khi xảy ra tranh chấp thì sẽ rất khó xử lý và giải quyết.
Cuối cùng, giá thành dịch vụ, theo vị này, cũng là một rào cản. Hiện nay, DN chỉ dùng CA để thực hiện duy nhất một dịch vụ là khai thuế qua mạng, nhưng họ phải đầu tư 1 token khoảng 500.000 VND và đóng phí dịch vụ hàng năm khoảng 1.000.000 VND. Trong khi đó, mỗi tháng họ chỉ phải dùng chữ ký số đúng một lần cho bản khai thuế nên có thể thấy rõ là giá trị sử dụng không nhiều.
- Trọng Cầm