ISO/IEC 20059: Tiêu chuẩn quốc tế mới tăng cường bảo mật sinh trắc học

Khi kỹ thuật biến hình “morphing” trở thành mối đe dọa của sinh trắc học

Trong bối cảnh trí tuệ nhân tạo (AI) ngày càng phát triển mạnh mẽ và ứng dụng rộng rãi, bên cạnh lợi ích, những thách thức, mối đe dọa an ninh mạng cũng trở nên tinh vi và khó lường hơn. Một trong những thách thức nổi cộm hiện nay chính là hiện tượng “morphing”, hay còn gọi là “kỹ thuật biến hình”- kỹ thuật tạo ra hình ảnh giả mạo bằng cách pha trộn đặc điểm khuôn mặt của nhiều người.

Để đối phó với nguy cơ này, Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) và Ủy ban Kỹ thuật Điện Quốc tế (IEC) vừa chính thức ban hành tiêu chuẩn ISO/IEC 20059, đặt ra khuôn khổ đánh giá và phòng vệ cho các hệ thống sinh trắc học trước loại hình tấn công đặc biệt nguy hiểm này.

Sinh trắc học vốn được xem là một trong những công nghệ nhận dạng an toàn nhất nhờ dựa vào đặc điểm sinh học duy nhất của mỗi người như vân tay, mống mắt hay khuôn mặt. Tuy nhiên, chính sự bùng nổ của các công cụ chỉnh sửa ảnh và AI đã mở đường cho kỹ thuật biến hình phát triển, khiến việc giả mạo danh tính trở nên khả thi và dễ dàng hơn bao giờ hết.

Với kỹ thuật này, kẻ gian có thể tạo ra một bức ảnh “lai” giữa hai hoặc nhiều khuôn mặt, đánh lừa hệ thống nhận diện tự động, thậm chí cả nhân viên kiểm tra trực tiếp. Điều này đặt ra thách thức lớn đối với an ninh tại các sân bay, cửa khẩu biên giới, cũng như trong hoạt động quản lý nhập cư.

^{ISO/IEC 20059 – Tiêu chuẩn hóa bảo mật sinh trắc học toàn cầu.}

Thực tế đã có khá nhiều trường hợp tấn công kỹ thuật biến hình gây chấn động dư luận trong thời gian qua. Ví dụ điển hình, để phản đối chính sách lưu trữ dữ liệu sinh trắc học, ở Đức, một nhà hoạt động đã từng xin cấp hộ chiếu bằng ảnh khuôn mặt bị chỉnh sửa, hợp nhất gương mặt mình cùng với người khác.

Nghiêm trọng hơn nữa, vào năm 2021, cảnh sát tại Slovenia phát hiện hơn 40 hộ chiếu có ảnh sử dụng kỹ thuật biến hình và chúng được tuồn cho những người Albania muốn xin tị nạn tại Canada. Những sự kiện này đã cho thấy lỗ hổng an ninh thực sự là có thật. Phát hiện sớm là cần thiết để phòng tránh khai thác. Hầu hết, điểm chung của các cuộc tấn công này nhằm vào một điểm yếu lớn nhất là lợi dụng vào thực tế, các hệ thống sinh trắc học được thiết kế để cho phép một mức độ thay đổi nhất định về ngoại hình của một người theo thời gian.

ISO/IEC 20059 – công cụ chuẩn hóa bảo mật sinh trắc học toàn cầu

Chính vì vậy, tiêu chuẩn ISO/IEC 20059 ra đời nhằm giải quyết trực diện vấn đề đó. Tiêu chuẩn được xây dựng bởi Ủy ban kỹ thuật liên hợp ISO/IEC JTC1 SC37, vốn chuyên nghiên cứu và ban hành các tiêu chuẩn liên quan đến sinh trắc học.

Điểm nổi bật của ISO/IEC 20059 là đưa ra phương pháp thử nghiệm có thể mô phỏng các tình huống thực tế, chẳng hạn như tại cửa khẩu hay quầy kiểm soát an ninh, nơi mà hệ thống phải đối diện với những ảnh chân dung bị chỉnh sửa tinh vi. Từ đó, cơ quan quản lý và nhà sản xuất có thể đánh giá chính xác mức độ an toàn của công nghệ nhận diện trước khi đưa vào sử dụng rộng rãi.

Tiêu chuẩn này tập trung vào hai chỉ số then chốt: MAP (Morphing Attack Potential - Đánh giá khả năng biến hình) và MAD (Morphing Attack Detection – Phát hiện sự tấn công biến hình). MAP phản ánh khả năng hệ thống bị đánh lừa bởi ảnh giả mạo, trong khi MAD đo lường năng lực phát hiện những nỗ lực tấn công đó.

Cùng với đó, ISO/IEC 20059 quy định hai loại chỉ số đánh giá quan trọng: tỷ lệ sai phân loại ảnh biến hình và tỷ lệ sai phân loại mẫu thật. Các chỉ số này giúp xác định hệ thống phân biệt được đâu là ảnh gốc, đâu là ảnh bị làm giả, đồng thời hạn chế tình trạng từ chối nhầm người dùng hợp pháp.

Việc ban hành ISO/IEC 20059 mang nhiều ý nghĩa đối với an ninh toàn cầu. Thứ nhất, tiêu chuẩn này thiết lập khuôn khổ thống nhất để so sánh và kiểm định các hệ thống sinh trắc học, tăng cường niềm tin của người dùng cũng như cơ quan quản lý. Thứ hai, nó giúp cải thiện đáng kể an ninh tại các cửa khẩu biên giới và sân bay, nơi công tác xác minh danh tính được thực hiện với lưu lượng lớn và yêu cầu tốc độ cao. Thứ ba, ISO/IEC 20059 còn góp phần hỗ trợ chính phủ và doanh nghiệp trong việc xây dựng tiêu chí khi mua sắm, triển khai hay cấp phép hệ thống sinh trắc học.

Tuy nhiên, việc áp dụng tiêu chuẩn mới cũng gặp không ít thách thức. Bởi lẽ kỹ thuật biến hình ngày càng đa dạng và tinh vi, đặc biệt khi kết hợp với trí tuệ nhân tạo. Điều này đòi hỏi các hệ thống phải thường xuyên cập nhật và nâng cao năng lực phát hiện. Bên cạnh đó, việc triển khai thử nghiệm theo tiêu chuẩn tốn kém cả về chi phí và nguồn nhân lực, khi cần xây dựng cơ sở dữ liệu mẫu thật và mẫu giả mạo phong phú. Một vấn đề khác là cân bằng giữa bảo mật và quyền riêng tư, bởi dữ liệu sinh trắc học luôn thuộc diện nhạy cảm, cần tuân thủ nghiêm ngặt các quy định bảo vệ dữ liệu cá nhân.

Giới chuyên gia đánh giá ISO/IEC 20059 là bước tiến lớn trong nỗ lực toàn cầu nhằm bảo vệ an ninh sinh trắc học. Dẫu vậy, để phát huy hiệu quả, tiêu chuẩn này cần được áp dụng đồng bộ với các biện pháp kỹ thuật tiên tiến, cơ chế quản lý chặt chẽ và khung pháp lý minh bạch. Chỉ khi ba yếu tố công nghệ, quản lý và pháp luật cùng phát triển song hành, an ninh danh tính trong kỷ nguyên AI mới thực sự được đảm bảo.

Bảo Linh (theo Sourcesecurity)