Sinh trắc học trong thế giới "không tin ai"

Xác thực sinh trắc học được xem là tương lai của bảo mật trong nhiều lĩnh vực, trong đó có ngân hàng. Nhưng để nó phát huy hiệu quả trong một thế giới đầy rẫy lừa đảo, cần phải làm nhiều hơn là thêm bước nhận diện khuôn mặt, quét vân tay ngoài mật khẩu và mã PIN.

Ta có thể thay tài khoản ngân hàng, đổi mật khẩu, thậm chí thay tên đổi họ, nhưng không bao giờ có thể thay đổi các đặc điểm sinh học, nhân dạng của mình. 

"Các dữ liệu này có thể bị tội phạm mạng hoặc kẻ lừa đảo sử dụng nhằm vào tất cả mọi người trong tương lai" - chuyên gia an ninh Jeremiah Fowler nói với tạp chí Wired hồi tháng 3.

Khi các chính phủ, ngân hàng và các tổ chức khác trên thế giới ngày càng dựa vào việc thu thập dữ liệu sinh trắc học của người dân, khách hàng để xác thực danh tính của họ, nguy cơ dữ liệu này bị đánh cắp, rò rỉ trực tuyến hay rơi vào tay kẻ xấu cũng tăng theo.

Xu hướng chung

Sinh trắc học (biometrics), theo định nghĩa ngắn gọn của Biometrics Institute, một tổ chức thúc đẩy công nghệ này, là cách nhận dạng tự động các cá nhân dựa trên đặc điểm sinh học và hành vi của họ.

Hãng bảo mật Kaspersky định nghĩa sinh trắc học là "các thước đo sinh học hay đặc điểm thể chất có thể dùng để nhận dạng các cá nhân", chẳng hạn như quét vân tay, nhận diện khuôn mặt, quét võng mạc... Ngoài ra còn có các kiểu sinh trắc học khác như ADN, hình dáng cơ thể, giọng nói, thậm chí cách đi đứng và thói quen gõ phím.

Các chủ tài khoản ngân hàng ở VN từ cuối tháng 7 đến giờ đã xôn xao chuyện phải cập nhật thông tin sinh trắc học để xác thực bằng khuôn mặt cho ngân hàng theo quy định mới. Đây cũng là xu hướng chung của thế giới.

Tháng 4-2023, Ngân hàng Nhà nước Pakistan (SBP) ra chỉ thị yêu cầu các tổ chức tín dụng trên toàn quốc phải có thêm tùy chọn xác thực sinh trắc học để tăng cường bảo mật và ngăn lừa đảo, với thời hạn 8 tháng (tức tới cuối năm) phải hoàn thành.

Theo đó, các ngân hàng thương mại và tín dụng vi mô phải cung cấp ít nhất 2 giải pháp bảo mật kết hợp cho khách hàng - nhận diện khuôn mặt, xác thực giấy tờ tùy thân theo thời gian thực thông qua ứng dụng, hoặc xác thực qua cuộc gọi. Theo báo The Express Tribune của nước này, quy định áp dụng cho cả chủ tài khoản không phải là công dân Pakistan, có quốc tịch nước ngoài, người tạm trú…

Sau quy định này, Cơ quan quản lý dữ liệu quốc gia Pakistan (NADRA) tung ra dịch vụ giúp các ngân hàng thu thập và xử lý dữ liệu sinh trắc học của người dùng từ xa. 

Mọi thứ có vẻ ổn thỏa; tháng 4 năm nay, trang Biometric Update dẫn báo cáo của SBP cho biết số người dùng app ngân hàng có xác thực sinh trắc học đã đạt 16 triệu tính tới hết năm 2023, tăng thêm 1 triệu người so với quý 1-2023.

Nguy cơ rò rỉ

Trong một bài viết hồi tháng 7 năm ngoái, 3 chuyên gia quản trị rủi ro tài chính ngân hàng của hãng tư vấn Deloitte nhấn mạnh xác thực sinh trắc học có vai trò quan trọng trong việc ngăn ngừa nạn lừa đảo mạo danh (synthetic identity fraud), khi kẻ lừa đảo tự thu thập/đánh cắp thông tin cần thiết - từ thông tin cá nhân đến hình ảnh, giọng nói - để mạo danh nạn nhân.

Lừa đảo mạo danh là hình thức tội phạm tài chính gia tăng nhanh nhất ở Mỹ, ước tính sẽ gây thiệt hại ít nhất 23 tỉ USD, theo dự báo của Trung tâm dịch vụ tài chính thuộc Deloitte. Điều này buộc các ngân hàng và giới công nghệ tài chính phải phát triển các hệ thống bảo mật sinh trắc học tân tiến hơn để ngăn chặn tội phạm trong tương lai.

Các chuyên gia của Deloitte nhấn mạnh sinh trắc học có vai trò quan trọng trong mô hình bảo mật "không tin ai" (zero-trust), tức mọi giao dịch phát sinh đều phải được coi là đáng nghi ngay từ đầu để tăng cường kiểm tra, xác thực rồi mới thực thi. Sinh trắc học, với các thông tin khó sao chép như vân tay hay mống mắt, được kỳ vọng sẽ là lớp bảo mật đáng tin cậy.

Nói vậy không có nghĩa đây là liều thuốc thần. "Các công cụ bảo mật sinh trắc học có thể cải thiện kết quả xác minh và xác thực danh tính, nhưng nhiều giải pháp [xác thực] mới nổi lại dễ bị qua mặt bởi các chiêu đánh lừa đầy sáng tạo mà chi phí lại thấp" - các tác giả viết.

Đã có thử nghiệm và trường hợp thực tế, trong đó xác thực khuôn mặt và vân tay trong quy trình xác thực KYC của các ngân hàng bị "qua mặt" bằng các công cụ từ đơn sơ như tấm thủy tinh, băng dính, thậm chí kẹo dẻo, tới tinh vi như deepfake.

Những lỗ hổng này cho thấy cần phải tiếp tục tăng cường khả năng của các hệ thống xác thực sinh trắc học, nhất là nhận biết được độ sống động (liveness) của chủ thể, các chuyên gia khuyến nghị. Nhưng đó cũng chưa phải là vấn đề đáng lo duy nhất.

Thông tin thu thập để xác thực sinh trắc học chắc chắn phải được lưu trữ ở đâu đó, và nơi lưu trữ đó hoàn toàn có nguy cơ bị xâm nhập, đánh cắp và rò rỉ thông tin. "Nếu chính phủ, ngân hàng hay tổ chức bất kỳ chuyển nó cho một công ty bên thứ ba hoặc một công ty tư nhân, họ sẽ mất quyền kiểm soát dữ liệu đó. Khi sự cố xảy ra, họ sẽ tiêu đời" - Fowler nói trong cùng bài viết trên Wired. Đây không phải cảnh báo suôn hay "kịch bản xấu nhất" trong các nghiên cứu rủi ro, mà đã thực sự xảy ra.

Tháng 4 vừa rồi, Fowler phát hiện 500GB dữ liệu nhạy cảm liên quan tới công dân và nhân viên công quyền Ấn Độ trên một máy chủ "hớ hênh", có liên quan tới ThoughtGreen Technologies, một hãng gia công giải pháp công nghệ thông tin có văn phòng ở Ấn, Úc và Mỹ. 

Số dữ liệu này gồm 1,6 triệu tài liệu thu thập từ năm 2021, một mỏ thông tin cá nhân nhạy cảm - từ giấy khai sinh, bằng cấp tới đơn xin việc - của giáo viên, nhân viên hỏa xa, đáng nguy nhất là của cả lực lượng cảnh sát và quân đội.

Theo chia sẻ độc quyền của Fowler với Wired, trong số này có nhiều tập tin cài đặt ứng dụng di động, trong đó có "phần mềm khuôn mặt" và một thư mục với 8GB dữ liệu gương mặt đã quét và được máy tính xử lý. 

Ngoài ra còn có đơn xin vào ngành cảnh sát, với đầy đủ thông tin cá nhân như chân dung, giấy tờ tùy thân, thậm chí cả đặc điểm nhận dạng kiểu "nốt ruồi bên cánh mũi", "cằm có sẹo". "Thứ tôi thấy đầu tiên là hàng ngàn hàng vạn bản lưu dấu vân tay" - Fowler nói.

Chuyên gia bảo mật này cho biết máy chủ nói trên đã bị đóng, song vụ việc cho thấy các đơn vị thu thập và lưu trữ dữ liệu sinh trắc học có thể bị xâm nhập ra sao, và các thông tin nhạy cảm, tối quan trọng với từng cá nhân có thể bị sử dụng sai mục đích thế nào.

Một lần nữa, đây không phải là cảnh báo suông. Fowler cho biết có vẻ như một số thông tin sinh trắc học của nhân viên hành pháp Ấn Độ đã bị công khai trên mạng. 

Trên một kênh Telegram với vài trăm thành viên, Fowler thấy có rao bán "dữ liệu cảnh sát Ấn Độ". Vì lý do đạo đức, ông không mua số dữ liệu đó để kiểm chứng, song cho rằng cách đặt tên thư mục, cấu trúc thông tin "hoàn toàn khớp với những gì tôi thấy [trong dữ liệu rò rỉ gốc]".

Shivangi Narayan, một nhà nghiên cứu độc lập ở Ấn Độ, cho biết luật bảo vệ dữ liệu của Ấn Độ cần phải quyết liệt hơn, và các công ty, tổ chức cũng cần bảo vệ dữ liệu tốt hơn. 

"Rất nhiều dữ liệu được thu thập khắp Ấn Độ nhưng không ai bận tâm xem nên lưu trữ chúng đúng mực thế nào" - ông nói với Wired. Theo nhà nghiên cứu này, các vụ rò rỉ dữ liệu xảy ra thường xuyên tới mức "người ta không thèm bất ngờ nữa".

Xây dựng niềm tin

Theo trang tin công nghệ VentureBeat, dữ liệu sinh trắc học từ ảnh chân dung, hộ chiếu, dấu vân tay và cả ADN thu thập được từ các vụ tấn công mạng, đánh cắp dữ liệu "là hàng bestseller" trên mạng ngầm (dark web).

Trong khi tội phạm mạng ngày càng tung ra các chiêu trò lừa đảo tinh vi hay công cụ vượt bảo mật tân tiến thì "phe thiện" lại lép vế - thiếu hẳn cách bảo vệ hiệu quả dữ liệu sinh trắc học, tác giả Louis Columbus viết.

Trong báo cáo cuối năm 2023, hãng nghiên cứu thị trường Gartner nhận định mặc dù xác thực sinh trắc học mang lại lợi thế hơn hẳn các phương thức xác thực thông tin trước đây, song "rào cản với sự ứng dụng rộng rãi phương pháp này là các kiểu tấn công mới và lo ngại về quyền riêng tư".

Trong một báo cáo khác hồi tháng 2, Gartner dự báo tới năm 2026, ít nhất 30% doanh nghiệp sẽ xem xác thực khuôn mặt không còn là giải pháp đáng tin vì deepfake sẽ dễ dàng đánh bại mọi chốt chặn.

Nói vậy không phải để bi quan. Như mọi tiến bộ công nghệ trước đó, luôn có cuộc đua giữa bên phòng thủ và kẻ tấn công. Cải thiện các giải pháp sinh trắc học để bảo vệ tốt hơn trong một thế giới "không tin ai" là mục tiêu của giới công nghệ.

Về phần người dùng, "không tin ai" là thái độ đúng để luôn cảnh giác trước đủ thứ chiêu trò lừa đảo ngày nay. Nhưng có một thứ cần tin, và mong là không bao giờ mất niềm tin: dữ liệu sinh trắc học của mỗi cá nhân sẽ an toàn ở nơi chúng được trao.