Chính phủ các nước trên thế giới đang chuyển sang hệ thống nhận dạng số (e-ID) cho công dân. Mục tiêu là đơn giản hóa việc tiếp cận các dịch vụ công, khai thác giá trị kinh tế to lớn và thúc đẩy hòa nhập xã hội . Thay thế các quy trình giấy tờ lỗi thời, các hệ thống sinh trắc học mới này sử dụng xác minh sinh trắc học để cung cấp một phương thức an toàn cho phép công dân truy cập từ xa nhiều dịch vụ khác nhau.

Lý do cho việc sử dụng e-ID là rõ ràng. Các dịch vụ công được số hóa cao của Estonia, với 99% có sẵn trực tuyến, mang lại khoản tiết kiệm hàng năm tương đương với khoảng 2% sản lượng kinh tế của đất nước.

Brazil là một minh chứng thuyết phục khác về nhận dạng số ở quy mô quốc gia. Chỉ trong vài năm, quốc gia này đã chuyển đổi Gov.br thành một trong những hệ sinh thái dịch vụ công kỹ thuật số lớn nhất thế giới, với hơn năm nghìn dịch vụ liên bang được số hóa hoàn toàn. Công dân có thể xác thực từ xa trên hàng nghìn dịch vụ bằng công nghệ sinh trắc học khuôn mặt an toàn, và lớp tương tác của nền tảng này giúp người dân không cần phải liên tục nộp các tài liệu đã được các cơ quan chính phủ lưu giữ.

Luis Felipe Monteiro, Phó chủ tịch phụ trách quan hệ thể chế tại Unico và cựu Bộ trưởng Chính phủ số Brazil, tóm tắt tác động:

“Gov.br đã đưa Brazil lên bản đồ toàn cầu về hiệu quả của khu vực công. Với khoảng 170 triệu người dùng và 92% trong số hơn năm nghìn dịch vụ công được số hóa hoàn toàn, nền tảng này không chỉ mang lại sự linh hoạt và tiện lợi cho người dân mà còn mang lại khoản tiết kiệm hữu hình hàng năm, được tính bằng hàng tỷ real. Nhận dạng kỹ thuật số, dựa trên sinh trắc học khuôn mặt an toàn, là chìa khóa thống nhất quyền truy cập vào tất cả các dịch vụ này, biến mối quan hệ giữa người dân và Nhà nước thành một trải nghiệm an toàn hơn, đơn giản hơn và hiệu quả hơn. Tiến bộ này đã giúp Brazil được Ngân hàng Thế giới công nhận là quốc gia đứng thứ hai thế giới về mức độ trưởng thành của chính phủ số.”

Đến năm 2025, Gov.br đã ghi nhận hơn 140 triệu chữ ký số hợp lệ về mặt pháp lý, trong khi việc chia sẻ dữ liệu giữa các cơ quan đã tạo ra hơn 3,95 tỷ R$ tiền tiết kiệm tích lũy. Thành tựu của Brazil cho thấy khi nhận dạng sinh trắc học được bảo mật, toàn diện và đáng tin cậy, nó sẽ trở thành cơ sở hạ tầng quốc gia thiết yếu.

Nhưng quá trình chuyển đổi số này có thể bị cản trở bởi một rào cản quan trọng: khủng hoảng niềm tin. Việc phòng ngừa gian lận hiệu quả là thách thức hàng đầu. Nếu không có nó, nguy cơ đánh cắp danh tính hàng loạt và vi phạm dữ liệu sẽ làm tê liệt tiến trình. Gian lận số nhắm vào các dịch vụ chính phủ đang bùng nổ, với các giao dịch gian lận bị nghi ngờ tăng vọt 33% từ năm 2023 đến năm 2024.
Làn sóng tội phạm mới này làm xói mòn lòng tin của công chúng, vốn là yếu tố cần thiết để áp dụng rộng rãi.

Cái giá của sự không hành động

Dữ liệu công khai cho thấy quy mô đáng kinh ngạc của gian lận danh tính kỹ thuật số. Theo ước tính của Juniper Research và LexisNexis Risk Solutions, tổn thất toàn cầu do gian lận liên quan đến danh tính đã vượt quá 50 tỷ USD vào năm 2024 , tăng hơn 20% so với cùng kỳ năm trước.

Các nhà lãnh đạo công chúng có trách nhiệm bảo vệ dữ liệu của công dân và tính toàn vẹn của chi tiêu công, đảm bảo mọi khoản thuế đều đến được đích đúng đắn.

Do đó, việc trì hoãn hiện đại hóa chính là chấp nhận trực tiếp tổn thất về tài chính, mất lòng tin và dễ bị tổn thương về mặt thể chế.

Mối đe dọa mới: Sản xuất do AI thúc đẩy

Bản chất của loại hình gian lận này đã thay đổi căn bản. Bảo mật truyền thống được xây dựng để ngăn chặn việc mạo danh, đánh cắp danh tính thật hoặc sử dụng tài liệu gian lận. Mối đe dọa mới, được hỗ trợ bởi Trí tuệ nhân tạo (AI), là sự giả mạo, tạo ra danh tính giả trông giống thật.

Cơ chế phòng thủ cốt lõi của hệ thống, công nghệ sinh trắc học, hiện đang là mục tiêu của một loại tấn công mới. Phương pháp tinh vi này sử dụng dữ liệu sinh trắc học bị làm giả hoặc đánh cắp để tạo ra các dữ liệu giả mạo có độ chân thực cao.

Mối đe dọa này, được xác định là xu hướng hàng đầu trong năm 2025, được gọi là gian lận danh tính tổng hợp . Kẻ tấn công hiện sử dụng công nghệ deepfake tinh vi, độ phân giải cao do AI tạo ra để đánh lừa hệ thống nhận dạng khuôn mặt theo hai cách chính:

1. Tấn công Trình bày (PAD): Phương pháp "giả mạo" phổ biến nhất. Kẻ gian có thể sử dụng các hiện vật giả mạo, chẳng hạn như ảnh độ phân giải cao, video hiển thị trên màn hình hoặc mặt nạ 3D tiên tiến, làm dữ liệu đầu vào cho camera.

2. Tấn công tiêm (IAD): Kẻ lừa đảo hoàn toàn bỏ qua camera vật lý và sử dụng phần mềm (như camera ảo hoặc trình giả lập) để "tiêm" luồng video deepfake trực tiếp vào đường truyền dữ liệu của ứng dụng.

   
   Điều này tạo ra một "Khoảng cách xác minh" nghiêm trọng. Một hệ thống lỗi thời có thể xác minh thành công người dùng không tồn tại bằng cách xác nhận rằng ảnh tự sướng deepfake khớp chính xác với giấy tờ tùy thân được tạo tổng hợp.

   
   "Tiêu chuẩn vàng" toàn cầu cho quốc phòng

   
   Để xây dựng lòng tin, chính phủ phải áp dụng một hệ thống phòng thủ hiện đại, nhiều lớp được xác định theo tiêu chuẩn toàn cầu. Không chỉ dừng lại ở việc xác minh cơ bản, khuôn khổ này còn sử dụng xác thực sinh trắc học mạnh mẽ để đảm bảo danh tính của người dùng là thật và cá nhân đó hiện diện.
   Đầu tiên, các nhà phân tích hàng đầu như Gartner tuyên bố rằng bất kỳ quy trình xác minh danh tính (IDV) hiện đại nào cũng có ba thành phần bắt buộc:

   
   

1. Xác thực tài liệu

2. So khớp sinh trắc học

3. Phát hiện sự sống động tích hợp.

   
   "Phát hiện sự sống" là công nghệ cụ thể chứng minh người dùng là người thật trong quá trình kiểm tra. Đây là thành phần giúp ngăn chặn gian lận giả mạo. Tuy nhiên, không phải tất cả công nghệ phát hiện sự sống đều được tạo ra như nhau. Các tiêu chuẩn toàn cầu để chứng minh khả năng bảo vệ này rất rõ ràng:

   
   

   Tiêu chuẩn 1: ISO 30107-3 (Đã được iBeta kiểm tra)

   
   

   Đây là chuẩn mực toàn cầu 11 về Phát hiện Tấn công Trình bày (PAD). Các phòng thí nghiệm độc lập như iBeta đã kiểm tra giải pháp chống lại hàng ngàn nỗ lực giả mạo. Để tuân thủ Cấp độ 1 và Cấp độ 2, hệ thống phải có Tỷ lệ Lỗi Phân loại Trình bày Tấn công (APCER) là 0%. Yêu cầu này yêu cầu hệ thống phải chặn thành công tất cả (100%) các cuộc tấn công này.

   
   

   Tiêu chuẩn 2: CEN/TS 18099

   
   Tiêu chuẩn kỹ thuật châu Âu này xác định các yêu cầu để phát hiện và ngăn chặn Tấn công Tiêm (IAD), trong đó kẻ gian vượt qua camera vật lý và chèn các luồng video tổng hợp (deepfake, camera ảo, trình giả lập) trực tiếp vào hệ thống. Việc tuân thủ CEN/TS 18099 đảm bảo rằng các hệ thống xác minh sinh trắc học có thể chống lại thế hệ tấn công mới này.
   Bản cập nhật này là một bước ngoặt lớn: Việc tuân thủ ISO đối với PAD không còn đủ nữa . Hệ thống của chính phủ cũng phải chứng minh được khả năng chống lại các cuộc tấn công chèn mã độc được định nghĩa bởi CEN/TS 18099.

Yêu cầu về khả năng tiếp cận: Tại sao "Sự năng động thụ động" mạnh mẽ lại cần thiết

Một hệ thống an toàn mà người dân lương thiện không thể sử dụng là một thất bại. Trải nghiệm người dùng lý tưởng cũng quan trọng như bảo mật. Hệ thống ID kỹ thuật số phải được thiết kế để hòa nhập, chủ động ngăn chặn "khoảng cách số" vốn có thể gây thiệt thòi cho những cá nhân như người cao tuổi, người khuyết tật hoặc những người có trình độ kỹ thuật số thấp.
Đây là lỗi của hệ thống phát hiện "Active Liveness" truyền thống. Các hệ thống này buộc người dùng phải thực hiện các hành động: "nháy mắt ngay", "quay đầu", "tiến lại gần hơn". Quá trình này có thể gây nhầm lẫn, khó khăn và là nguyên nhân chính khiến người dùng từ bỏ quy trình tích hợp.

Phương pháp tốt nhất? "Sự sống động thụ động". Công nghệ tiên tiến này không yêu cầu người dùng phải thực hiện bất kỳ thao tác nào ngoài một bức ảnh selfie đơn giản. Nó hoạt động "nhẹ nhàng" ở chế độ nền, phân tích kết cấu, ánh sáng và các chuyển động nhỏ để chứng minh sự sống động ngay lập tức.
Sự sống động thụ động là một công nghệ nền tảng, đảm bảo an ninh minh bạch, dễ tiếp cận với mọi công dân và tối đa hóa khả năng áp dụng.

Kết luận: Xây dựng giải pháp nâng cao dịch vụ công

Tương lai của định danh điện tử chính phủ phụ thuộc vào lòng tin có thể xác minh được. Một kiến trúc phòng thủ đa lớp là điều cần thiết để bảo mật các dịch vụ công dân. Đây là yêu cầu không thể thương lượng đối với các tổ chức như cơ quan chính phủ và tổ chức tài chính xử lý các quy trình như Nhận biết Khách hàng (KYC). Các hệ thống sinh trắc học tiên tiến này phải được xây dựng để chống lại các mối đe dọa hiện đại.

Kiến trúc này phải bao gồm:

🔐 Lớp 1: Chống giả mạo (Phòng thủ PAD)
Công nghệ phát hiện sự sống thụ động được chứng nhận (ISO 30107-3) ngăn chặn các cuộc tấn công trình chiếu — chẳng hạn như ảnh, video hoặc mặt nạ hiển thị trước camera — đồng thời đảm bảo trải nghiệm người dùng liền mạch và toàn diện cho tất cả mọi người.

🛡️ Lớp 2: Chống tiêm chích (Phòng thủ IAD)
Tính năng phát hiện tấn công tiêm đã được xác minh (CEN/TS 18099 + NIST SP 800-63-4) chặn các luồng video tổng hợp — deepfake được tiêm qua camera ảo hoặc trình giả lập bỏ qua thiết bị vật lý.

⚠️ Deepfake không phải là một lớp — chúng chính là mối đe dọa. Chúng có thể được sử dụng trong cả các cuộc tấn công PAD và IAD. Đó là lý do tại sao cả hai lớp đều cần thiết để bảo vệ toàn diện khỏi gian lận danh tính do deepfake gây ra.

Kiến trúc này đảm bảo:
• ✅ Bảo mật chống lại cả giả mạo và tiêm mã độc
• ✅ Tuân thủ các tiêu chuẩn toàn cầu (ISO, CEN, NIST)
• ✅ Khả năng tiếp cận của mọi công dân thông qua sự sống động thụ động
• ✅ Tin tưởng vào các dịch vụ công kỹ thuật số

Để phát huy hết tiềm năng của danh tính số, trước tiên chính phủ phải xây dựng được lòng tin của người dân.

Tính toàn vẹn của dịch vụ nhận dạng kỹ thuật số của bạn phụ thuộc vào việc đánh bại các mối đe dọa này. Bảo vệ công dân của bạn, ngăn chặn hành vi trộm cắp danh tính và đảm bảo trải nghiệm người dùng liền mạch.

Để khám phá cách nền tảng bảo mật sinh trắc học nhiều lớp được chứng nhận của chúng tôi có thể bảo vệ các dịch vụ của bạn và thiết lập niềm tin có thể xác minh của công dân, hãy liên hệ với Oz Forensics ngay hôm nay!