Tản mạn
Bluezone và người dùng
Sau những thay đổi tích cực trên ý kiến từ cộng đồng, phương án thiết kế hiện tại của ứng dụng Bluezone là rất tiến bộ, thể hiện cam kết tôn trọng quyền riêng tư của người dùng.
Để triển khai tốt một ứng dụng truy vết Covid-19 thì cần xác định rõ vai trò của 3 phía: Chính phủ - đơn vị thực hiện - người dùng. Trong đó, Chính phủ đưa ra yêu cầu đối với đơn vị thực hiện, tham vấn ý kiến chuyên gia và cộng đồng để thông qua phương án thiết kế. Đây là bước quan trọng nhất và rất mừng là chính phủ đã cam kết và tuyên bố là ứng dụng sẽ không tự ý thu thập dữ liệu của người dùng. Tại nhiều nước, cũng đã có nhiều kiến nghị của các chuyên gia nhằm vào việc yêu cầu Chính phủ lựa chọn thiết kế tốt nhất để bảo đảm an toàn thông tin cho người dùng.
Sau đó, đơn vị thực hiện cần làm đúng phương án thiết kế đó. Khi đã minh bạch, mã nguồn mở thì đơn vị thực hiện cần công khai chính xác mã của ứng dụng. Cuối cùng, trước khi kêu gọi người dân sử dụng ứng dụng, Chính phủ cần có đơn vị kiểm định của nhà nước kiểm tra xem đơn vị thực hiện có thực hiện chính xác các bước không, mã mở công khai có trùng khớp với mã của ứng dụng không. Kết quả kiểm định cần được công bố. Đồng thời, chính phủ cũng có thể kêu gọi sự kiểm định độc lập của cộng đồng. Thậm chí, với những ứng dụng quan trọng, mang tính toàn dân, một lỗ hổng có thể bị khai thác lấy dữ liệu rất lớn, thì chính phủ có thể treo thưởng cho ai phát hiện lỗ hổng bảo mật. Sức mạnh kiểm định của cộng đồng sẽ giúp Chính phủ tránh những tấn công âm thầm của tin tặc.
Hiện tại thì bước 1 đã được chúng ta làm rất tốt. Sau những thay đổi tích cực trên những ý kiến từ cộng đồng, phương án thiết kế hiện tại là rất tiến bộ, thể hiện cam kết tôn trọng quyền riêng tư của người dùng. Tuy nhiên, bước 2 và 3 thì chưa ổn. Cụ thể, mã mở của phiên bản ứng dụng mới nhất chưa được đưa ra cộng đồng phân tích. Cùng với đó, đã có những đánh giá độc lập chỉ ra những lỗ hổng nghiêm trọng (như máy chủ có thể yêu cầu người dùng gửi thông tin mà người dùng không biết) nhưng chưa được đơn vị thực hiện chú trọng, lắng nghe. Ngay khi có những đánh giá như vậy, đơn vị thực hiện cần giải trình, một là phản biện cụ thể, hai là phải sửa lỗi ngay để không ảnh hưởng tới người dùng.
Bước 1 thực chất là bước cơ bản nhất, nay đã có sự đồng thuận cao từ phía chuyên gia. Bước 2 và 3 thường đơn giản hơn và nếu chúng ta thực hiện sớm sẽ tạo được sự tin tưởng của người dùng và mục tiêu có nhiều người sử dụng để ứng dụng có ích sẽ trở thành hiện thực. Mọi lời thuyết phục sẽ không hiệu quả bằng sự minh bạch và khuyến khích người dân độc lập tìm lỗ hổng để cải tiến một ứng dụng cho toàn dân.
