Chuyên gia cho rằng việc mở rộng VNeID là xu hướng phù hợp, tập trung dữ liệu ở mức rất cao nên cần được thiết kế bảo mật ngay từ đầu để hạn chế rủi ro.
VNeID sẽ trở thành một “siêu ứng dụng”
Tại Chương trình số 02 về Chương trình công tác năm 2026 của Ban Chỉ đạo Trung ương về phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số, Bộ Công an được giao nhiệm vụ chủ trì, phối hợp với các bộ, ngành, địa phương liên quan tham mưu, trình Chính phủ ban hành nghị quyết của Chính phủ về phát triển công dân số, hoàn thành trong tháng 2.2026.
Tại dự thảo Nghị quyết về phát triển công dân, Bộ Công an đề xuất mở rộng VNeID trở thành một “siêu ứng dụng” với các tiện ích không giới hạn, bao gồm cung cấp ví điện tử quốc gia và dịch vụ thanh toán số, cung cấp chữ ký số cá nhân an toàn, cung cấp kho dữ liệu cá nhân, cấp địa chỉ thư điện tử chính thức cho mỗi công dân, phát triển mạng xã hội (MXH).
Theo tờ trình dự thảo, Bộ Công an nhấn mạnh các MXH do các doanh nghiệp tư nhân phát triển hiện đang phát sinh thực trạng về các tài khoản ảo, tin giả, lừa đảo. Đồng thời, Nhà nước cũng thiếu một kênh giao tiếp chính danh, hai chiều để truyền thông chính sách và lắng nghe phản biện.
Do vậy, Bộ Công an khẳng định việc xây dựng và phát triển ứng dụng định danh quốc gia VNeID là một “siêu ứng dụng” nhằm mục tiêu tạo ra một MXH mà 100% người dùng được xác thực danh tính tuyệt đối (qua VNeID). Đây cũng sẽ là kênh chính thức để công dân góp ý, phản biện và cơ quan nhà nước thông báo, giải quyết gốc rễ vấn nạn tin giả.
4 nhóm yêu cầu về tiêu chuẩn bảo mật
Trao đổi với Lao Động, chuyên gia an ninh mạng Ngô Minh Hiếu đánh giá việc mở rộng VNeID thành “siêu ứng dụng” là xu hướng phù hợp với chuyển đổi số quốc gia.
Theo chuyên gia Ngô Minh Hiếu, nếu triển khai đúng cách, nền tảng này có thể trở thành hạ tầng số lõi, giúp đồng bộ định danh – thanh toán – chữ ký số – dịch vụ công; giảm phụ thuộc vào nền tảng nước ngoài; tăng tính chính danh trong giao tiếp giữa Nhà nước và người dân.
Tuy nhiên, ông cho rằng đây là mô hình tập trung dữ liệu ở mức rất cao. Khi tích hợp ví điện tử, chữ ký số, kho dữ liệu cá nhân và MXH trong cùng một hệ sinh thái, rủi ro an ninh mạng và rò rỉ dữ liệu sẽ tăng theo cấp số nhân. Nếu không thiết kế theo nguyên tắc “security by design” ngay từ đầu, hệ thống có thể trở thành mục tiêu tấn công hấp dẫn.
Về tiêu chuẩn bảo mật, ông Hiếu nêu bốn nhóm yêu cầu.
Thứ nhất, mã hóa toàn diện: Mã hóa đầu cuối (end-to-end) cho dữ liệu nhạy cảm; mã hóa dữ liệu khi lưu trữ (at-rest) và khi truyền tải (in-transit); sử dụng HSM (Hardware Security Module) để bảo vệ khóa mật mã.
Thứ hai, phân tách và tối thiểu hóa dữ liệu: Tách biệt hoàn toàn dữ liệu tài chính, dữ liệu xã hội, dữ liệu hành chính; áp dụng nguyên tắc “zero trust” và “least privilege”; không để một điểm truy cập có thể truy xuất toàn bộ dữ liệu công dân.
Thứ ba, xác thực đa lớp và chống chiếm đoạt tài khoản: Xác thực đa yếu tố (MFA), sinh trắc học kèm kiểm tra liveness; cơ chế phát hiện hành vi bất thường (behavioral analytics); giám sát thời gian thực để phát hiện gian lận.
Thứ tư, kiểm toán và minh bạch: Kiểm toán bảo mật độc lập định kỳ; triển khai bug bounty (trả thưởng cho việc báo cáo lỗ hổng) công khai; công bố rõ chính sách quản trị và lưu trữ dữ liệu.
Liên quan đến mục tiêu “100% người dùng xác thực danh tính”, ông Hiếu cho rằng việc này chắc chắn giúp giảm đáng kể tài khoản ảo và các chiến dịch lừa đảo quy mô lớn, bởi khi mọi tài khoản đều gắn với danh tính thật, chi phí phạm tội sẽ tăng lên.
Tuy nhiên, theo ông, xác thực danh tính không phải “thuốc chữa bách bệnh”. Tin giả có thể vẫn xuất phát từ tài khoản thật; tài khoản thật có thể bị chiếm đoạt; lừa đảo có thể dịch chuyển sang nền tảng khác.
Do đó, ông cho rằng xác thực danh tính chỉ là một lớp kiểm soát. Để xử lý tận gốc tin giả và lừa đảo, cần kết hợp thêm hệ thống phát hiện nội dung độc hại bằng AI; cơ chế xử lý nhanh, minh bạch; giáo dục, nâng cao nhận thức số cho người dân.
Nguồn: https://laodong.vn/thoi-su/tich-hop-mang-xa-hoi-vao-vneid-chuyen-gia-de-nghi-bao-mat-ngay-tu-khau-thiet-ke-1659248.ldo
