Quyết định khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam

Ngày 13/05/2020, Ban Chủ nhiệm Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam (VCDC) đã ra Quyết định khai trừ Công ty Cổ phần MISA ra khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam. Nguyên nhân của việc này là do MISA không tuân thủ Quy chế của Câu lạc bộ, thực hiện một số việc lảm ảnh hưởng đến uy tín của CLB và có nguy cơ ảnh hưởng đến sự phát triển bền vững của thị trường Chữ ký số ở Việt Nam, cụ thể:

Ngày 05/12/2019, Bộ Thông tin và Truyền thông ban hành Thông tư số 16/2019/TT-BTTTT Quy định “Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số theo mô hình ký số trên thiết bị di động và ký số từ xa”, thông tư này chính thức có hiệu lực từ ngày 01/04/2020. Thông tư này được kỳ vọng mở rộng thị trường chữ ký số cá nhân, thúc đẩy phát triển chính phủ điện tử, giảm giá thành chứng thư số cung cấp cho người dân và doanh nghiệp nhưng vẫn đảm bảo an toàn, bảo mật đối với hạ tầng khoá công khai (PKI) tại Việt Nam.

Ngày 26/3/2020, Trung tâm chứng thực điện tử Quốc gia tổ chức họp cùng các đơn vị cung cấp dịch vụ chứng thực chữ ký số để trao đổi về phương án triển khai thông tư 16/2019/TT-BTTTT. Cuộc họp kết luận với chủ trương đồng thuận là các đơn vị cần kiểm tra, đánh giá về kỹ thuật trước khi cung cấp dịch vụ ra thị trường.

Ngày 29/04/2020 VCDC đã tổ chức họp câu lạc bộ về các nội dung trên, các thành viên cùng nhất trí trước khi cung cấp chính thức dịch vụ phải thực hiện kiểm định được thông qua về mặt kỹ thuật và quy trình bởi NEAC theo đúng Thông tư 16/2019/TT-BTTTT. Trong buổi họp này các thành viên cũng thống nhất công ty MISA phải dừng cung cấp dịch vụ eSign (dịch vụ ký số trên di động và ký số từ xa của MISA) hiện đang cung cấp trên thị trường, cho đến khi đánh giá xong giải pháp để đảm bảo phát triển bên vững hạ tầng PKI Việt Nam.

Ngày 7/5/2020, Trung tâm chứng thực điện tử Quốc gia ban hành hướng dẫn về việc thực hiện thông tư 16/2019/TT-BTTTT, trong đó quy định các đơn vị cung cấp dịch vụ chứng thực chữ ký số phải được thẩm tra phương án kỹ thuật đáp ứng các tiêu chuẩn theo quy định tại thông tư 16/2019/TT-BTTTT và quy chế chứng thực đáp ứng việc cung cấp dịch vụ theo mô hình ký số trên thiết bị di động và/hoặc ký số từ xa trước khi cung cấp dịch vụ ra thị trường

Qua báo cáo của các thành viên VCDC và của các đơn vị đang sử dụng giải pháp chữ ký số từ xa của công ty MISA (dịch vụ eSign), VCDC được biết hiện nay công ty MISA hiện tại chưa làm đúng quy định của Bộ Thông tin và Truyền thông về quy trình thủ tục cung cấp dịch vụ, cụ thể là dịch vụ của công ty MISA “chưa được thẩm tra và cấp chứng thư số cho tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng theo quy định tại Điều 22 Nghị định số 130/2018/NĐ-CP” theo hướng dẫn số 190/NAEC-TĐPC ngày 07/05/2020 của Trung tâm chứng thực điện tử Quốc gia mà đã cung cấp dịch vụ ra thị trường.

Theo khảo sát của VCDC, hiện dịch vụ chữ ký số của MISA đã cung cấp cho các doanh nghiệp để thực hiện các giao dịch tài chính quan trọng như khai thuế, nộp thuế….. Đồng thời, VCDC cũng nhận được ý kiến của doanh nghiệp đang sử dụng dịch vụ eSign của MISA chỉ cần dùng tài khoản và mã PIN cố định là có thể ký số trên bất kỳ điện thoại, máy tính nào.

Theo các chuyên gia của VCDC, việc không tuân thủ theo hướng dẫn của Bộ thông tin và Truyền thông đã dẫn tới hậu quả là: giải pháp eSign đang triển khai trên thị trường của công ty MISA không đảm bảo an toàn, bảo mật, cụ thể là tính chống chối bỏ của chữ ký số, chữ ký số do MISA cung cấp cũng chỉ tương đương như tài khoản và mật khẩu thông thường về mặt an toàn, bảo mật.

Tuy nhiên công ty MISA vẫn tiếp tục triển khai dịch vụ mặc dù đã được cảnh báo những tác hại to lớn do vấn đề mất an toàn, bảo mật có thể xảy ra đối với xã hội, doanh nghiệp và các cơ quan tổ chức chấp nhận chữ ký số eSign. Do đặc thù dịch vụ dựa trên sự “tin tưởng”, chỉ cần một Nhà cung cấp dịch vụ Chứng thư số công cộng bị đổ vỡ là gây ra rất nhiều khó khăn, phức tạp cho doanh nghiệp sử dụng, cho cơ quan tổ chức chấp nhận chữ ký số. Vài chục Chứng thư số bị lợi dụng kẽ hở trong quản lý, không tuân thủ quy trình là có thể gây ra những hệ lụy khôn lường cho Doanh nghiệp, Cơ quan tổ chức. Với hàng nghìn chữ ký số đã cung cấp ra thị trường cho những dịch vụ quan trọng như khai thuế, hóa đơn điện tử… việc cung cấp dịch vụ không đảm bảo an toàn, bảo mật của MISA có nguy cơ xảy ra các rủi ro rất lớn vì một chứng thư số không đảm bảo có thể tạo ra hàng triệu chữ ký số giả mạo.

Sau nhiều lần họp bàn thống nhất, cùng những Quyết định nhắc nhở đối với thành viên MISA, tuy nhiên MISA vẫn tiếp tục triển khai giải pháp không đảm bảo an toàn ra thị trường. Do đó, thực hiện theo quy chế của CLB, Ban chủ nhiệm CLB VCDC quyết định khai trừ MISA ra khỏi CLB.