Tuần tin: Vương Đình Huệ, Võ Văn Thưởng ‘hạ cánh’ chưa an toàn
Các sự kiện nổi bật: * Kỷ luật ông Vương Đình Huệ; tạm hoãn xử lý ông Võ Văn Thưởng * Việt
Chỉ khi nào công khai, minh bạch và thật sự cầu thị, chính quyền mới có thể thuyết phục dân.
Không phải tới ngày 29/5/2021, khi Bộ Y tế ban hành Quyết định 2666/QĐ-BYT, [1] chính quyền mới phát đi tín hiệu bắt buộc người dân cài đặt Bluezone trên điện thoại cá nhân.
Ngay từ tháng 8/2020, Ban Chỉ đạo Quốc gia về phòng, chống dịch COVID-19 do Phó thủ tướng Vũ Đức Đam đứng đầu đã yêu cầu xem xét ban hành quy định mang tính bắt buộc chủ thuê bao di động cài đặt các ứng dụng khai báo và theo dõi y tế, trong đó có Bluezone. [2]
Đây cũng là kiến nghị của tổ chuyên gia phát triển ứng dụng Bluezone gửi đến ban chỉ đạo vào thời điểm trên – theo lời ông Nguyễn Tử Quảng, CEO của Bkav, một trong những đơn vị phát triển ứng dụng. [3]
Ngoài tác dụng được quảng bá như “tấm khiên công nghệ” bảo vệ người Việt Nam trước đại dịch, [4] Bluezone ngay từ đầu luôn được chính quyền và các đơn vị thực hiện khẳng định là một giải pháp đột phá, đảm bảo hoàn toàn quyền riêng tư của người dùng. [5]
Câu chuyện đằng sau phức tạp hơn một chút.
Khi mã nguồn và sách trắng (white paper) của Bluezone được công bố vào tháng 4/2020, các chuyên gia về công nghệ thông tin đã chỉ ra nhiều điểm bất cập trong cách thức hoạt động của nó. [6]
Giáo sư Phan Dương Hiệu, một chuyên gia về mật mã đang làm việc tại Pháp, đã nêu vấn đề trong việc Bluezone được thiết kế để thu thập địa chỉ MAC cố định của các thiết bị chung quanh, kể cả khi thiết bị đó không cài ứng dụng này. [7]
Mỗi thiết bị có một địa chỉ MAC (MAC address) cố định và riêng biệt, được dùng để xác nhận và liên hệ khi kết nối với nhau. Nó gần giống như số chứng minh nhân dân hay căn cước công dân của mỗi người. Một ứng dụng thu thập địa chỉ MAC của các thiết bị chắc chắn sẽ không đảm bảo được tính chất ẩn danh và riêng tư của người dùng. Theo Giáo sư Hiệu, việc cố tình thiết kế ứng dụng hoạt động như trên có thể bị xem là hành vi “nghe lén”, ăn cắp dữ liệu cá nhân và hoàn toàn đi ngược các tiêu chuẩn về quyền riêng tư.
Khi ý kiến được đưa ra tại GitHub, nơi Bluezone công bố mã nguồn, một thành viên có tên “BkavMS17”, người nhận là đại diện cho nhóm phát triển ứng dụng, đã vào phản biện và bảo vệ cách làm này, khẳng định đây là phương thức hoàn toàn hợp pháp.
Sách trắng của Bluezone được công bố vào thời điểm trên cho rằng việc thu thập địa chỉ MAC của các thiết bị không cài Bluezone là “điểm hiệu quả hơn so với những giải pháp hiện có”. [8]
Ngoài ra, kỹ sư Dương Ngọc Thái, một chuyên gia bảo mật làm việc tại Google, cũng có nhiều ý kiến đóng góp ban đầu chỉ ra những lỗ hổng bảo mật của ứng dụng. [9] Trong đó, đáng chú ý nhất là việc Bluezone chỉ khởi tạo một mã định danh (Bluezone ID) duy nhất cho người dùng. Bằng cách này, những dữ liệu về hành trình, hoạt động, lịch sử tiếp xúc của người dùng có thể bị theo dõi và xác định danh tính, bất kể có phải là người bị xác định nhiễm bệnh (F0) hay không.
Phương thức hoạt động ban đầu của Bluezone vì vậy không đảm bảo các tiêu chuẩn bảo mật, an toàn và riêng tư như công bố.
Đơn vị phát triển Bluezone không chính thức phản hồi những ý kiến này trên các diễn đàn hay phương tiện truyền thông. Các chuyên gia được nêu tên ở trên cho biết sau một thời gian họ đưa ra ý kiến, đại diện của Cục Tin học hóa (thuộc Bộ Thông tin và Truyền thông) có liên hệ riêng với họ để ghi nhận.
Vào tháng 8/2020, ở phiên bản cập nhật của mình, Bluezone đã âm thầm thay đổi, không còn thu thập địa chỉ MAC, đồng thời cho khởi tạo các Bluezone ID ngẫu nhiên, được thay đổi thường xuyên trên mỗi thiết bị. Đây là cách làm tương tự như những phần mềm truy vết COVID-19 ở nhiều nước trên thế giới.
Sách trắng của Bluezone phiên bản hiện tại đã bỏ đi các nội dung này, không đề cập gì đến những thay đổi đã thực hiện. [10]
Vào tháng 4/2020, hai ông lớn của làng công nghệ, Apple và Google, công bố hợp tác thực hiện một hệ thống truy vết COVID-19 cho các thiết bị chạy hệ điều hành Android (của Google) và iOS (của Apple). [11] Đây được xem là bước tiến lớn để phục vụ cho hoạt động kiểm soát dịch, khi 99% các thiết bị di động trên thế giới hiện sử dụng một trong hai hệ điều hành này.
Vào tháng 5/2020, hai công ty cùng phát hành “API thông báo tiếp xúc” (exposure notification API) cho cơ quan y tế của các nước. [12]
API là viết tắt của “application programming interface” (giao diện lập trình ứng dụng). Hiểu một cách đơn giản, nó là cánh cửa để dẫn vào nhà người khác.
Ở đây, Apple và Google tạo ra một cánh cửa chuyên biệt dành cho các ứng dụng theo dõi tiếp xúc dịch bệnh, giúp chúng hoạt động trên các hệ điều hành của mình.
API không phải là ứng dụng hoàn chỉnh. Nó chỉ là giao thức (gồm các quy tắc) liên kết ứng dụng (apps) với cơ sở dữ liệu (database). Các cơ quan y tế có nhu cầu sẽ tạo ra ứng dụng riêng, đi qua cánh cửa (API) của Google và Apple, từ đó chạy trên thiết bị của người dùng.
Hệ thống của hai công ty này chính là phương thức truy vết sử dụng Bluetooth ở mức năng lượng thấp (BLE) mà Bluezone quảng bá. Điểm khác biệt là nó nhấn mạnh vào tính ẩn danh và riêng tư, đảm bảo không thu thập dữ liệu nào của người dùng.
Vào tháng 9/2020, Apple và Google tiến thêm một bước, cho ra đời hệ thống “thông báo tiếp xúc cấp tốc” (exposure notification express). [13] Với hệ thống mới này, các cơ quan y tế không cần tạo ứng dụng riêng, chỉ cần hoàn thiện tập tin thiết lập, nêu rõ các yêu cầu của mình. Hai hệ điều hành Android và iOS sẽ tự động tạo ứng dụng dựa trên thiết lập đó.
Tính đến tháng 5/2021, hơn 40 quốc gia đã phát triển ứng dụng dựa trên hệ thống của Google và Apple. [14] Việt Nam không nằm trong số đó.
Giải thích vì sao Việt Nam không lựa chọn hệ thống này, sách trắng phiên bản hiện tại của Bluezone viết: [15]
“Giải pháp của Google và Apple hiện đã ra mắt chỉ hỗ trợ các máy điện thoại đủ điều kiện nâng cấp hệ điều hành mới. Trong khi thực tế số điện thoại không đủ điều kiện nâng cấp hệ điều hành mới ở Việt Nam còn rất lớn, đây là lý do chúng tôi vẫn chưa chuyển sang dùng API của Google và Apple.”
Điều này không đúng với thực tế.
Apple khẳng định hệ thống này hoạt động trên các thiết bị di động chạy hệ điều hành iOS phiên bản từ 12.5 trở lên, nghĩa là hỗ trợ cả các loại iPhone rất cũ như iPhone 5s (bán ra vào năm 2013). [16] Google thì cho biết các thiết bị chạy hệ điều hành Android 6 trở lên, thậm chí là Android 5 (ra mắt năm 2014) cũng được hỗ trợ. [17]
Phiên bản dành cho iPhone của Bluezone tương thích với các thiết bị chạy iOS từ phiên bản 10.3 trở lên, nghĩa là hỗ trợ thêm dòng iPhone 5 (ra mắt năm 2012) so với giải pháp của Apple. Tuy nhiên, phiên bản Android hiện tại của Bluezone chỉ có thể được cài đặt trên các thiết bị chạy Android 6 trở lên, nghĩa là kén chọn thiết bị hơn giải pháp của Google.
Lý do vì vậy không nằm ở vấn đề kỹ thuật. Khả năng còn lại khiến Việt Nam quyết định bỏ qua giải pháp được cấp sẵn của Google và Apple có thể nằm ở các quy định nghiêm ngặt của hệ thống này về việc tôn trọng bảo mật, tính ẩn danh và quyền riêng tư của người dùng.
Trong một bài viết trên GitHub vào tháng 8/2020, kỹ sư Dương Ngọc Thái đã đặt câu hỏi về việc máy chủ Bluezone có thể âm thầm lấy dữ liệu mà không cần sự đồng ý của người dùng. [18] Trong đó, toàn bộ lịch sử tiếp xúc (contact history) có thể được đẩy lên máy chủ mà không cần người dùng đồng ý.
Đến thời điểm hiện tại, vẫn chưa thấy đại diện của nhóm phát triển ứng dụng vào phản biện ý kiến trên.
Các chuyên gia cũng đề nghị Bluezone cập nhật mã nguồn được công bố cho đúng với phiên bản mới nhất để cộng đồng có thể biết được cách thức hoạt động ra sao.
Hiện tại, Bluezone trên điện thoại Android là phiên bản 3.3.8, cập nhật ngày 20/5/2021. Trên GitHub, nơi Bluezone công bố mã nguồn, phiên bản mới nhất được cập nhật là 3.0.3 (tháng 9/2020).
Không được tiếp cận với mã nguồn thực tế mà ứng dụng đang chạy, các chuyên gia độc lập không thể kiểm chứng được những cam kết mà nhóm phát triển ứng dụng và chính quyền đưa ra.
Các cuộc thảo luận về Bluezone, rất tiếc, chỉ mới diễn ra ở những diễn đàn chuyên môn của cộng đồng công nghệ thông tin như GitHub. Nội dung của nó chưa được phổ biến cho số đông người dân, vốn là đối tượng chịu ảnh hưởng lớn nhất của dự án.
Trên các phương tiện truyền thông nhà nước, những thông tin về Bluezone cho đến nay vẫn rất một chiều: đều nói về tác dụng tích cực và hiệu quả vượt trội.
Trong khi đó, rất nhiều nghiên cứu ở nước ngoài đã đặt dấu hỏi về độ chính xác của công nghệ truy vết bằng Bluetooth của các ứng dụng tương tự Bluezone. [19]
Các nghiên cứu chỉ ra rằng tín hiệu Bluetooth chịu ảnh hưởng của rất nhiều yếu tố, từ thiết kế không gian, vật liệu xây dựng, cho đến mẫu thiết bị di động. Thậm chí, việc để điện thoại ở túi trước, túi sau hay trong balo cũng ảnh hưởng đến sóng Bluetooth.
Các ứng dụng khi ghi nhận được sự tiếp xúc với người dùng khác cũng không tính toán được đến hoàn cảnh thực tế. Ví dụ như hai người đứng cách nhau 2 mét ngoài trời có xác suất lây nhiễm thấp hơn nhiều so với hai người cách nhau 4 mét trong phòng kín, hoặc khoảng cách tiếp xúc giữa hai người có thể là dưới 1 mét, nhưng nếu họ đeo khẩu trang thì nguy cơ gần như bằng không.
Những vấn đề trên dẫn đến nhiều cảnh báo sai, buộc người “tiếp xúc gần với F0” (theo kết quả ứng dụng) phải đi cách ly không cần thiết, trong khi có thể bỏ qua những người “không tiếp xúc” nhưng thực chất có thể đã nhiễm bệnh.
Mục đích thực chất và chiến lược của chính quyền khi triển khai (bắt buộc) ứng dụng Bluezone cũng là một dấu hỏi khác.
Vào thời điểm vừa ra mắt, Bộ trưởng Bộ Thông tin Truyền thông Nguyễn Mạnh Hùng khẳng định ứng dụng này giúp “chỉ ra đúng những người tiếp xúc gần và đủ lâu, có thể lây nhiễm; tránh việc một người bị lây thì cả làng, cả khu bị cách ly”. [20]
Trên thực tế, kể từ khi dịch xuất hiện vào đầu năm 2020 đến nay, Việt Nam vẫn luôn thực hiện chiến lược phong tỏa khu vực, một người bị lây cả khu đều bị cách ly.
Cách đây vài ngày, Bộ trưởng Hùng nhấn mạnh “dữ liệu cá nhân sau một tháng lưu trữ thì xóa để người dân yên tâm tuân thủ”. [21]
Dù phản ứng khá muộn (trước đó một năm đã có nhiều người đưa ra kiến nghị này), đây vẫn là một cam kết đáng hoan nghênh.
Vấn đề nằm ở chỗ, những cam kết miệng mà không có giấy trắng mực đen thì không đáng tin cậy.
Trường hợp của Singapore là một dẫn chứng. [22]
Vào tháng 6/2020, Bộ trưởng Ngoại giao Singapore Vivian Balakrishnan, người đồng thời đứng đầu dự án Quốc gia Thông minh (Smart Nation) của nước này, đã cam kết chắc nịch trước báo giới là “ứng dụng truy vết và các dữ liệu của nó chỉ được dùng cho việc truy vết người bệnh, chấm hết.”
Nửa năm sau, ông buộc phải xin lỗi khi thông tin lộ ra là dữ liệu trong ứng dụng đã được giao cho cảnh sát để hỗ trợ điều tra tội phạm.
Nhằm trấn an và xoa dịu dư luận, vào tháng 2/2021, chính quyền Singapore đã thông qua nội dung điều chỉnh mới trong luật về COVID-19, xác nhận các dữ liệu điện tử từ ứng dụng chỉ được dùng cho công tác chống dịch, ngoại trừ nhận được yêu cầu từ cơ quan điều tra cho những “vụ án nghiêm trọng” (serious offences).
Đây tất nhiên vẫn là một hành vi lạm dụng, khi nó đi ngược lại cam kết ban đầu và hoàn toàn có thể dẫn đến những nguy cơ lạm quyền sau này.
Trong một bài trả lời phỏng vấn trên báo Tuổi Trẻ vào tháng 8/2020, ông Trần Việt Hải, người phụ trách dự án Bluezone khẳng định ứng dụng “hoạt động theo mô hình phân tán nên dữ liệu hoàn toàn do người dùng quản lý”. [23]
Trong sách trắng của Bluezone cũng viết “tất cả dữ liệu về lịch sử tiếp xúc chỉ lưu trữ trên smartphone của người dùng, không chuyển lên hệ thống lưu trữ tập trung”. [24]
Đó không phải là những mô tả chính xác về Bluezone và có thể khiến nhiều người hiểu lầm.
Các ứng dụng truy vết trên thế giới đã và đang được triển khai có thể chia làm hai loại: hoạt động theo phương thức tập trung (centralized) hoặc phi tập trung (decentralized). [25]
Với phương thức tập trung, dữ liệu người dùng được tải từ thiết bị lên máy chủ (server) và được cơ quan phụ trách quản lý theo dõi. Khi người dùng được xác nhận nhiễm bệnh, thông tin sẽ được phát từ máy chủ xuống các thiết bị khác.
Ở phương thức phi tập trung, hay “phân tán”, dữ liệu nằm trên máy người dùng. Khi có trường hợp nhiễm bệnh, các thiết bị sẽ tự gửi thông báo cho nhau.
Mỗi mô hình đều có ưu nhược điểm riêng, giữa một bên là dễ quản lý nhưng có nguy cơ lạm dụng và xâm hại thông tin người dùng, và một bên là đảm bảo quyền riêng tư nhưng hiệu quả truy vết thấp do phụ thuộc hoàn toàn vào từng cá nhân.
Lựa chọn giải pháp nào là một việc cần minh bạch và được thảo luận công khai.
Xem xét trường hợp của Singapore với ứng dụng truy vết TraceTogether. Nó được xây dựng trên giao thức BlueTrace (BlueTrace protocol) do nước này tự phát triển.
Trong sách trắng giải thích, những người phát triển ứng dụng của Singapore khẳng định “trên lý thuyết, chúng tôi tôn trọng quyền riêng tư và khả năng triển khai tự động [của mô hình phi tập trung], nhưng trên thực tế, qua trao đổi thường xuyên với nhân viên y tế, những người chịu trách nhiệm giám sát dịch bệnh và truy vết tiếp xúc, chúng tôi có kiến nghị khác”. [26]
Giải pháp khác của họ ở đây là mô hình “kết hợp cả tập trung và phi tập trung”, với dữ liệu tiếp xúc nằm trên máy người dùng, nhưng khi có ca xác định nhiễm bệnh, máy chủ sẽ thu nhận dữ liệu tương ứng và cơ quan y tế sẽ chủ động trong việc truy vết. Bluezone hoạt động gần giống với mô hình lai này.
Đơn vị phát triển của Singapore đã công khai mã nguồn của ứng dụng lẫn mã nguồn về cách thức hoạt động của máy chủ (cloud-based backend). [27]
Bằng việc minh bạch thông tin và thẳng thắn với người dùng về lựa chọn của mình, chính quyền Singapore có thể giảm thiểu tối đa những hiểu lầm, nhập nhằng hay tranh cãi về hoạt động của ứng dụng.
Với thông tin đầy đủ và minh bạch, người dân Singapore có khả năng giám sát những cam kết của chính phủ tốt hơn, đặc biệt khi xảy ra vi phạm như trong trường hợp tự ý chia sẻ dữ liệu đã đề cập ở trên.
1. L. (2021, June 1). Quyết định 2666/QĐ-BYT 2021 Hướng dẫn sử dụng ứng dụng khai báo y tế. LuatVietnam. https://luatvietnam.vn/y-te/quyet-dinh-2666-qd-byt-2021-huong-dan-su-dung-ung-dung-khai-bao-y-te-202809-d1.html
2. Online T. T. (2020, August 18). Xem xét quy định buộc thuê bao di động cài đặt ứng dụng Bluezone. TUOI TRE ONLINE. https://tuoitre.vn/xem-xet-quy-dinh-buoc-thue-bao-di-dong-cai-dat-ung-dung-bluezone-20200818165210204.htm
3. – N.Hiền, V. (2020, August 20). Kiến nghị bắt buộc thuê bao di động cài Bluezone. PLO. https://plo.vn/ban-doc/kien-nghi-bat-buoc-thue-bao-di-dong-cai-bluezone-933280.html
4. Dân, B. N. (2020, November 5). Làm chủ công nghệ giúp Việt Nam kiểm soát thành công đại dịch. Báo Nhân Dân. https://nhandan.vn/khoa-hoc/lam-chu-cong-nghe-giup-viet-nam-kiem-soat-thanh-cong-dai-dich-623292/
5. Dân, B. N. (2020a, May 1). Ứng dụng Bluezone: Đột phá trong sử dụng công nghệ chống dịch COVID-19. Báo Nhân Dân. https://nhandan.vn/thong-tin-so/ung-dung-bluezone-dot-pha-trong-su-dung-cong-nghe-chong-dich-COVID-19-455748/
6. Minh N. (2020, April 27). Phần mềm chống COVID-19 của VN công khai mã nguồn, khẳng định an toàn. ZingNews.vn. https://zingnews.vn/phan-mem-chong-COVID-19-cua-vn-cong-khai-ma-nguon-khang-dinh-an-toan-post1078037.html
7. B. (2020). Về việc thu và sử dụng địa chỉ MAC cố định. · Issue #3 · BluezoneGlobal/documents. GitHub. https://github.com/BluezoneGlobal/documents/issues/3
8. B. (2020). Bluezone White Paper. BluezoneGlobal/documents. GitHub. https://github.com/BluezoneGlobal/documents/blob/master/Bluezone_White_paper.pdf
9. Duong, T. (2020, August 3). Cảnh báo: lỗ hổng nghiêm trọng trong ứng dụng Bluezone. Duong Ngoc Thai. https://vnhacker.blogspot.com/2020/04/lo-hong-nghiem-trong-trong-phan-mem.html
10. Bluezone – White Paper. (2020). Bluezone. https://bluezone.gov.vn/Bluezone_White_paper.pdf
11. Brandom, R., & Robertson, A. (2020, April 10). Google and Apple launching coronavirus contact-tracing system for iOS and Android. The Verge. https://www.theverge.com/2020/4/10/21216484/google-apple-coronavirus-contract-tracing-bluetooth-location-tracking-data-app
12. Team, K. (2020, May 20). Exposure Notification API launches to support public health agencies. Google. https://blog.google/inside-google/company-announcements/apple-google-exposure-notification-api-launches/
13. Brandom, R. (2020, September 1). Apple and Google to simplify exposure notification with new app system. The Verge. https://www.theverge.com/2020/9/1/21410281/apple-google-coronavirus-exposure-notification-contact-tracing-app-system
14. Check if an Exposure Notifications app is available in your area – Android Help. (2021). Google. https://support.google.com/android/answer/10289696
15. Xem [10]
16. Apple Developer Documentation. (2021). Apple. https://developer.apple.com/documentation/exposurenotification/building_an_app_to_notify_users_of_COVID-19_exposure
17. Exposure Notifications API | Google API for Exposure Notifications. (2021). Google Developers. https://developers.google.com/android/exposure-notifications/exposure-notifications-api
18. B. (2020a). Một số đề nghị với team Bluezone · Issue #17 · BluezoneGlobal/react-native-bluetooth-scan. GitHub. https://github.com/BluezoneGlobal/react-native-bluetooth-scan/issues/17
19. Landau, S. (2021, May 24). Contact-tracing apps have serious physical, biological limitations. Big Think. https://bigthink.com/coronavirus/contact-tracing-apps-have-serious-physical-biological-limitations
20. Xem [6]
21. An C. (2021, June 2). “Dữ liệu cá nhân được xóa sau một tháng lưu trữ.” vnexpress.net. https://vnexpress.net/du-lieu-ca-nhan-duoc-xoa-sau-mot-thang-luu-tru-4287814.html
22. Han, K. (2021, February 10). COVID app triggers overdue debate on privacy in Singapore. Civil Rights News | Al Jazeera. https://www.aljazeera.com/news/2021/2/10/COVID-app-triggers-overdue-debate-on-privacy-in-singapore
23. Online T. T. (2020, August 9). Cơ chế vận hành, thu thập thông tin của Bluezone như thế nào? TUOI TRE ONLINE. https://tuoitre.vn/co-che-van-hanh-thu-thap-thong-tin-cua-bluezone-nhu-the-nao-20200809091515527.htm
24. Xem [10]
25. Kelion, L. C. C. B. (2020, May 7). Coronavirus contact-tracing: World split between two types of app. BBC News. https://www.bbc.com/news/technology-52355028
26. BlueTrace – White Paper. (2021). BlueTrace. https://bluetrace.io/static/bluetrace_whitepaper-938063656596c104632def383eb33b3c.pdf
27. OpenTrace. (2021). GitHub. https://github.com/opentrace-community