Dừng hoạt động cung cấp dịch vụ chữ ký số từ xa của công ty Misa

  • 21:03 ,26/05/2020
Để bảo đảm việc cung cấp dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số từ xa đúng quy định và an toàn, Trung tâm Chứng thực điện tử quốc gia (Bộ Thông tin và Truyền thông) vừa đề nghị công ty cổ phần Misa dừng cung cấp dịch vụ chữ ký số công cộng (Misa-CA) theo mô hình ký số từ xa cho đến khi hệ thống kỹ thuật của doanh nghiệp này đáp ứng các quy định về an toàn bảo mật.

Trung tâm Chứng thực hiện tử Quốc gia vừa có công văn số 216/NEAC-TĐPC ngày 21/5/2020 gửi công ty cổ phần Misa về xử lý hoạt động cung cấp dịch vụ chứng thực chữ ký số công cộng theo mô hình chữ ký số từ xa (còn gọi là dịch vụ eSign ký số trên di động và ký số từ xa của doanh nghiệp này).

Trung tâm Chứng thực điện tử quốc gia cho biết, công ty cổ phần Misa - đơn vị được Bộ Thông tin và Truyền thông cấp phép cung cấp dịch vụ chữ ký số công cộng (Misa-CA) đã cung cấp 2.583 chứng thư số theo mô hình này.

Tuy nhiên, theo Nghị định 130/2018/NĐ-CP, dịch vụ chứng thực chữ ký số công cộng là ngành nghề kinh doanh có điều kiện (tiền kiểm). Do đó, để bảo đảm việc cung cấp dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số từ xa đúng quy định và an toàn, Trung tâm Chứng thực điện tử quốc gia đề nghị công ty cổ phần Misa dừng cung cấp dịch vụ chứng thực chữ ký số công cộng theo mô hình chữ ký từ xa cho đến khi hệ thống kỹ thuật của MISA-CA đáp ứng các quy định tại Thông tư số 16/2019/TT-BTTTT (của Bộ Thông tin và Truyền thông ngày 5/2/2019 quy định danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số theo mô hình ký số trên thiết bị di động và ký số từ xa).

Cùng với đó, Misa phải có phương án xử lý tất cả chứng thư số đã cấp cho thuê bao theo mô hình ký số từ xa; có phương án bảo đảm quyền lợi khách hàng.

Theo ông Hứa Tiến Thành, Phó Chủ nhiệm Câu lạc bộ Chữ ký số và giao dịch điện tử Việt Nam, có doanh nghiệp đã sử dụng chữ ký số eSign của Misa phản ánh, người dùng chỉ cần nhớ username/password là có thể thực hiện ký số mọi giao dịch, trên bất kỳ thiết bị di động nào mà người dùng đó sử dụng. Điều này có nghĩa là bất kỳ ai biết username/password đều có quyền sở hữu khóa riêng của username này, thực hiện ký số bất kỳ giao dịch nào mà chủ nhân thực sự không biết cho đến khi có sự cố được phát hiện (như mất tiền trong ngân hàng, hợp đồng...).

“Nếu xảy ra sự việc như trên, một đặc tính quan trọng nhất của dịch vụ chứng thực chữ ký số công cộng đã bị vi phạm đó là “tính chống chối bỏ”. Bất kỳ người dùng nào sử dụng giải pháp của Misa cũng có thể chối bỏ việc ký số, và cho rằng, username/password của mình đã bị hack, bị lộ, nguy hiểm hơn, người dùng có thể đổ lỗi cho chính Misa làm lộ username/password của họ”, ông Hứa Tiến Thành cho biết.

Với lý do trên, giải pháp eSign của Misa không đáp ứng được tiêu chí pháp lý của Thông tư 16/2019/TT-BTTTT cũng như Nghị định 130/2018/NĐ-CP của Chính phủ về chữ ký số đảm bảo chống chối bỏ.

Nguồn: Hiền Minh/Cổng Thông tin điện tử Chính phủ
  • Hotline
    (028) 3920 1523
  • Email