Cách LGU+ vận hành mã nhận dạng thuê bao IMSI đang làm bùng lên tranh cãi về bảo mật, qua đó thúc đẩy một đợt rà soát rộng hơn đối với hệ thống an ninh viễn thông, từ phía doanh nghiệp đến cơ quan lập pháp.

Theo các nguồn tin trong ngành ngày 20/3, từ khi triển khai LTE vào đầu năm 2011, LGU+ đã sử dụng phương thức gán IMSI có liên kết với số điện thoại thuê bao. IMSI là mã định danh duy nhất được lưu trên USIM để nhận diện thuê bao trên mạng di động.

Điểm gây tranh cãi là LGU+ không bổ sung cơ chế ngẫu nhiên hóa cho IMSI. Trong trường hợp bên thứ ba biết số điện thoại của người dùng và đồng thời thu thập được giá trị IMSI, họ có thể đối chiếu hai dữ liệu này để suy ra vị trí của thuê bao, ở mức trạm gốc.

Ông Park Chun-sik, cựu giáo sư An ninh mạng tại Đại học Ajou, cho biết việc đối chiếu số điện thoại với IMSI có thể liên kết với lịch sử truy cập của IMSI và qua đó xác định thuê bao đang nằm trong vùng phủ của trạm gốc nào. Theo ông, mức độ chính xác không quá chi tiết, nhưng vẫn đủ để nhận diện vị trí ở cấp trạm gốc.

Dù vậy, mức độ rủi ro thực tế vẫn còn gây tranh luận. LGU+ cho biết chưa ghi nhận trường hợp IMSI bị rò rỉ. Doanh nghiệp này cũng cho rằng IMSI chỉ là mã định danh, nên khó trực tiếp dẫn tới thiệt hại như nhân bản thiết bị hoặc chiếm quyền cuộc gọi. Công ty đồng thời khẳng định cách vận hành hệ thống IMSI của mình không vượt ra ngoài tiêu chuẩn quốc tế.

Một số ý kiến trong ngành cũng có đánh giá tương tự. Một chuyên gia bảo mật viễn thông nhận định chỉ với IMSI thì rất khó dẫn tới hành vi đánh cắp thông tin tài chính hoặc nghe lén cuộc gọi, song khả năng nhận diện thuê bao vẫn là yếu tố gây áp lực cho doanh nghiệp.

Trước tranh cãi này, LGU+ đã triển khai biện pháp ứng phó. Công ty tái cấu trúc hệ thống bảo mật USIM và đưa cơ chế ngẫu nhiên hóa vào thiết kế IMSI. Từ ngày 13/4, LGU+ sẽ đổi USIM và tiến hành cấu hình lại cho toàn bộ khách hàng.

Tuy nhiên, lo ngại của người dùng được dự báo khó sớm lắng xuống. Nhiều ý kiến cho rằng niềm tin đối với hạ tầng viễn thông đã bị ảnh hưởng, khi sự việc tại LGU+ diễn ra trong bối cảnh trước đó từng có sự cố liên quan đến USIM tại SK Telecom và vụ thanh toán giá trị nhỏ trái phép tại KT vào năm ngoái.

Một số đánh giá cho rằng vụ việc lần này có thể trở thành cơ hội để toàn ngành nâng mức cảnh giác về bảo mật và thúc đẩy thay đổi mang tính cấu trúc. Sau khi SK Telecom và KT đã thay USIM cho toàn bộ khách hàng trong năm ngoái, việc LGU+ tiếp tục triển khai kế hoạch tương tự đồng nghĩa phần lớn người dùng smartphone trên thực tế đều đã hoặc sẽ phải đổi USIM. Đợt thay USIM quy mô lớn này cũng làm dấy lên kỳ vọng có thể xử lý các lỗ hổng bảo mật còn tồn tại trên USIM cũ.

Ở cấp thể chế, Quốc hội cũng đang đẩy nhanh việc bổ sung khung pháp lý. Bà Choi Min-hee, nghị sĩ đảng Dân chủ và là Chủ tịch Ủy ban Khoa học, Công nghệ thông tin, Phát thanh và Truyền thông của Quốc hội, cho biết sẽ sớm trình dự thảo sửa đổi Luật Kinh doanh viễn thông nhằm ngăn việc IMSI liên kết trực tiếp với số điện thoại của khách hàng. Mục tiêu là luật hóa các tiêu chuẩn bảo vệ tối thiểu, trên cơ sở các tranh cãi bảo mật viễn thông lặp lại trong thời gian qua.

Với hạ tầng thế hệ tiếp theo, các biện pháp bảo mật căn cơ hơn cũng đang được xúc tiến. Trong môi trường 5G SA, công nghệ SUCI sẽ được áp dụng để mã hóa và truyền thông tin định danh thuê bao, qua đó xử lý IMSI dưới dạng mã hóa thay vì để lộ trực tiếp. Khi Bộ Khoa học và ICT Hàn Quốc đã yêu cầu triển khai 5G SA trong năm nay, hệ thống bảo mật được kỳ vọng sẽ tiếp tục được củng cố.

Ông Park Chun-sik nhấn mạnh sự việc lần này cần trở thành động lực để các nhà mạng đầu tư cho bảo mật một cách chủ động và liên tục. Theo ông, các doanh nghiệp viễn thông phải không ngừng nâng cấp hệ thống an ninh và hoàn thiện các lớp bảo vệ hiện có.