Thực hiện Nghị quyết 02 của Ban cán sự Đảng Bộ Tài chính, Bộ trưởng Bộ Tài chính đã ban hành Kế hoạch hành động của Bộ Tài chính nhằm đẩy mạnh triển khai ứng dụng công nghệ của cách mạng công nghiệp lần thứ 4 trong lĩnh vực tài chính – ngân sách.

Kế hoạch hành động được ban hành theo Quyết định số 446 ngày 30/3/2018 đã đưa ra 20 hoạt động cụ thể để thực hiện 5 nhóm nhiệm vụ và giải pháp được nêu tại Nghị quyết 02.

Cụ thể, xây dựng chiến lược, hoàn thiện cơ chế, chính sách chuyển đổi số; tiếp tục xây dựng, phát triển tài chính điện tử, hình thành hệ sinh thái tài chính số; thiết lập môi trường làm việc điện tử và xây dựng Cổng giao tiếp ngành tài chính; triển khai dịch vụ hạ tầng và an toàn bảo mật thông tin tài chính; tuyên truyền nâng cao nhận thức và kiến thức về cuộc cách mạng công nghiệp 4.0.

Căn cứ vào kế hoạch hành động này và Nghị quyết số 02, các đơn vị thuộc Bộ Tài chính sẽ xây dựng và ban hành kế hoạch hành động chi tiết.

Theo đánh giá của Cục ATTT, nguy cơ này có thể ảnh hưởng đến các phần mềm, ứng dụng hỗ trợ mã hóa thư điện tử trên cả Windows, Linux, MacOS và các hệ điều hành cho các thiết bị di động.

Thông tin ban đầu về lỗ hổng trên OpenPGP và S/MIME, Cục ATTT cho biết: ngày 14/5, nhóm chuyên gia an toàn thông tin của Châu Âu có tên EFF (Electronic Frontier Foundation) đã công bố nhóm lỗ hổng (có tên EFAIL) trong các công cụ hỗ trợ mã hóa PGP và S/MIME cho phép đối tượng tấn công có thể giải mã thư điện tử đã được người dùng mã hóa bằng OpenPGP và S/MIME khi gửi đi hay cả những thư điện tử mã hóa đã thu thập được trước đó.

Một trong những cách để đối tượng tấn công có thể lấy được nội dung thư điện tử đã giải mã là khai thác việc tự động hiển thị nội dung HTML như sau: Thu thập thư điện tử đã mã hóa;Sửa đổi thư mã hóa trong đó có thể chèn nội dung để lấy thông tin thư đã giải mã sử dụng thuộc tính src của thẻ ; Gửi thư mã hóa đã bị sửa đổi đến nạn nhân; Ứng dụng mã hóa email phía nạn nhân sẽ thực hiện giải mã và nạp các thông tin khác trong đó thông tin sau giải mã bao gồm cả URL đối tượng tấn công chèn vào và nội dung thư đã giải mã. Việc yêu cầu thông tin trong thẻ cho phép đối tượng tấn công nhận được thông tin đã giải mã.

Hình thức này có thể thực hiện trên Apple Mail (macOS), Mail App (iOS), Thunderbird (Windows, macOS, Linux), Postbox (Windows) and MailMate (macOS).

Ngoài ra còn một số cách khác nhóm chuyên gia mô tả cũng cho phép lấy được thư điện tử mã hóa bằng PGP và S/MIME thông qua tấn công các chế độ CBC/CFB của thuật toán mã hóa mà hai chuẩn này sử dụng.