(Pháp lý) - 1. Tại Mỹ
Hệ thống bảo mật an ninh của Mỹ được cho là lâu đời, mạnh mẽ và có hiệu quả nhất trên thế giới. Các đạo luật về bảo mật an ninh mạng yêu cầu các công ty và tổ chức phải bảo vệ hệ thống và thông tin của họ từ các vụ xâm phạm an ninh mạng như: vi-rút, trojan horse (một loại phần mềm ác tính), tấn công giả mạo, truy cập trái phép (nhằm đánh cắp tài sản trí tuệ hoặc thông tin bí mật) và tấn công vào hệ thống kiểm soát.
Có ba đạo luật chính liên quan đến an ninh mạng do Chính phủ liên bang ban hành: (1) Đạo luật về trách nhiệm giải trình và khả năng chuyển đổi bảo hiểm sức khỏe (Health Insurance Portability and Accountability Act - HIPAA) năm 1996; (2) Đạo luật Gramm-Leach-Bliley năm 1999; (3) Đạo luật An ninh nội địa (Homeland Security Act năm 2002) bao gồm luật An ninh thông tin Liên bang (Federal Information Security Management Act - FISMA) và đạo luật tăng cường bảo vệ an ninh mạng quốc gia năm 2015 bổ sung cho Đạo luật An ninh Nội địa năm 2002.
Ba đạo luật trên yêu cầu các tổ chức y tế, định chế tài chính và các cơ quan liên bang phải bảo vệ hệ thống và thông tin của họ. Tuy nhiên, các quy định này không khả thi trong việc bảo mật dữ liệu và chỉ yêu cầu một mức độ bảo mật “hợp lý”, không đề cập đến một số lượng lớn các ngành công nghiệp liên quan đến máy tính như các nhà cung cấp dịch vụ Internet, các công ty về phần mềm. Ngoài ra, còn có các từ ngữ không rõ ràng về nội dung trong các quy định cụ thể của các đạo luật vẫn cần phải được giải thích.
Chính vì vậy, các đạo luật của liên bang gần đây được ban hành với một số quy định mới về an ninh mạng, đồng thời sửa đổi các quy định cũ đảm bảo cho vấn đề an ninh mạng được an toàn và chặt chẽ hơn, cụ thể: (1) Đạo luật Chia sẻ thông tin an ninh mạng (CISA – Được Thượng viện Mỹ thông qua ngày 27-10-2015) đưa ra các quy định nhằm cải thiện an ninh mạng tại Mỹ thông qua việc chia sẻ thông tin về các mối đe dọa an ninh mạng và cho các mục đích khác. Luật cho phép chia sẻ thông tin trên Internet giữa Chính phủ Mỹ và các công ty sản xuất công nghệ. (2) Đạo luật Tăng cường an ninh mạng năm 2014 quy định mối quan hệ giữa nhà nước và tư nhân trong việc tăng cường nghiên cứu, phát triển an ninh mạng, giáo dục nâng cao nhận thức cộng đồng đối với vấn đề an ninh mạng. (3) Đạo luật Thông báo vi phạm dữ liệu trao đổi liên bang (Federal Exchange Data Breach Notification Act) năm 2015 yêu cầu trao đổi bảo hiểm y tế để thông báo ngay khi có thể cho từng cá nhân biết khi thông tin cá nhân của họ đã bị thu thập hoặc tiếp cận bởi một hành vi xâm phạm an ninh, trong thời hạn chậm nhất là 60 ngày kể từ ngày phát hiện hành vi xâm phạm. (4) Đạo luật Tăng cường bảo vệ an ninh mạng quốc gia (National Cybersecurity Protection Advancement Act) năm 2015 sửa đổi Đạo luật An ninh nội địa năm 2002 nhằm cho phép Trung tâm tích hợp truyền thông và An ninh không gian mạng Quốc gia của Bộ An ninh Quốc nội Mỹ (NCCIC) kiểm soát thêm các đại diện không thuộc liên bang như các bộ lạc, trung tâm phân tích, chia sẻ thông tin và tư nhân.
Ngoài ra, chính quyền các tiểu bang tại Mỹ cũng thi hành các biện pháp nhằm cải thiện an ninh mạng như tăng cường chế độ hiển thị công khai của các công ty có bảo mật yếu. Năm 2003, California đã thông qua đạo luật Thông báo vi phạm an ninh nhằm quy định các công ty đang giữ thông tin cá nhân của cư dân California khi gặp hành vi xâm phạm an ninh mạng phải tiết lộ chi tiết về vụ việc đó. Quy định các công ty sẽ bị phạt khi không bảo vệ được hệ thống an ninh của mình và để xảy ra vi phạm an ninh mạng, đồng thời cho phép công ty tự lựa chọn phương thức bảo vệ cho hệ thống của mình.
Riêng tại New York, đạo luật An ninh mạng của New York (có hiệu lực từ ngày 01-01-2017) đã xác định ngành dịch vụ tài chính là mục tiêu chủ yếu của các cuộc tấn công an ninh mạng. Cơ quan dịch vụ tài chính của New York thực hiện giám sát sát sao các nguy cơ đe dọa hệ thống tài chính, thông tin quốc gia, tổ chức khủng bố và cá nhân có hành vi phạm tội. Tội phạm an ninh mạng có thể khai thác các lỗ hổng để truy cập đến dữ liệu thông tin nhạy cảm và gây ra những thiệt hại tài chính nặng nề. Các cơ quan, tổ chức hoặc người dân New York có nguy cơ bị tiết lộ hoặc bị đánh cắp thông tin vì mục đích bất hợp pháp. Đạo luật này được đưa ra nhằm thúc đẩy sự bảo vệ thông tin của người dùng và hệ thống công nghệ thông tin của các đối tượng được quy định trong luật. Luật yêu cầu mỗi công ty phải đánh giá những nguy cơ cụ thể của các hồ sơ thông tin và thiết kế chương trình nhằm giải quyết các nguy cơ rủi ro đó. Luật cũng quy định, hàng năm, các cơ sở dịch vụ y tế phải gửi Chứng nhận tuân thủ các quy định về an ninh mạng của cơ quan dịch vụ tài chính New York cho giám sát viên từ ngày 15-02-2017.
2. Tại Australia
Australia là quốc gia có khung văn bản pháp lý tương đối hoàn thiện về an ninh mạng, bao gồm: Đạo luật về tội phạm mạng; đạo luật về thư điện tử rác; đạo luật về viễn thông và đạo luật bảo mật.
- Đạo luật về tội phạm mạng: Đạo luật cung cấp các quy định toàn diện về các tội liên quan đến Internet và máy tính như truy cập, xâm nhập máy tính trái phép, làm hỏng dữ liệu và cản trở truy cập đến máy tính, ăn cắp dữ liệu, gian lận máy tính, rình rập trên mạng, quấy rối và sở hữu các nội dung khiêu dâm về trẻ em. Đạo luật đã đưa ra một số quyền điều tra về tội phạm hình sự nhằm bảo vệ an ninh, độ tin cậy, tính nguyên vẹn của dữ liệu máy tính và truyền thông điện tử. Ngoài ra, đạo luật tăng cường khả năng áp dụng những điều khoản về khám xét và thu giữ hiện có liên quan đến dữ liệu điện tử được lưu trữ.
- Đạo luật về thư điện tử rác: Đạo luật này được đưa ra bởi Cơ quan Truyền thông và Thông tin Australia, quy định về thư điện tử mang tính thương mại và các loại tin nhắn điện tử khác. Đạo luật giới hạn gửi các loại tin nhắn điện tử mà không được sự cho phép của người nhận trừ một số trường hợp ngoại lệ. Các quy tắc về sự đồng ý, xác nhận của người gửi và tính năng không đăng ký được nêu rõ trong Đạo luật.
- Đạo luật viễn thông: Mục đích của đạo luật này là bảo vệ quyền riêng tư của mỗi cá nhân sử dụng hệ thống viễn thông của Australia và quy định những trường hợp cụ thể cho việc chặn hoặc truy cập thông tin với các thông tin lưu trữ và các thông tin được trao đổi ngay lập tức.
- Đạo luật bảo mật của Australia: Được sửa đổi vào ngày 13-02-2017, đạo luật áp dụng cho các cơ quan liên chính phủ và các tổ chức trong lĩnh vực tư nhân, quy định về việc thu thập, nắm giữ, sử dụng và tiết lộ thông tin trong hồ sơ cá nhân cho các tổ chức chính phủ và tư nhân có doanh thu hàng năm trên 3 triệu USD. Đạo luật yêu cầu các tổ chức, doanh nghiệp phải báo cáo các vụ xâm phạm dữ liệu tới Văn phòng Ủy viên Thông tin Australia(1) (OAIC) khi có hành vi truy cập, tiết lộ trái phép hoặc làm mất thông tin cá nhân được nắm giữ bởi một đối tượng và việc truy cập, tiết lộ hoặc làm mất thông tin cá nhân có thể gây ra thiệt hại nghiêm trọng cho cá nhân đó. 1,8 triệu USD là mức phạt cao nhất áp dụng đối với các doanh nghiệp khi liên tục không tuân thủ quy đinh này. Doanh nghiệp hay tổ chức sẽ được miễn trách nhiệm gửi thông báo tới OAIC khi tổ chức đó đã khắc phục được hành vi vi phạm dữ liệu, có nghĩa rằng việc truy cập hoặc tiết lộ trái phép thông tin đã được ngăn chặn hoặc hành vi vi phạm đó không có khả năng gây ra thiệt hại nghiêm trọng cho các cá nhân liên quan.
Mới đây, Cục Tình báo Tín hiệu điện tử Australia (ASD) vừa cho ra mắt “Hướng dẫn an ninh mạng” phiên bản mới, được kỳ vọng là sẽ giúp ngăn chặn ít nhất 85% hành vi xâm nhập mạng. Hướng dẫn này đã đề ra 4 biện pháp an ninh mạng lớn giúp làm giảm các hành vi xâm nhập mạng gồm: danh sách trắng các ứng dụng, các bản vá ứng dụng, bản vá hệ điều hành và hạn chế quyền quản lý của người dùng.
Ngoài ra, Australia cũng đã đưa ra Chiến lược an ninh mạng quốc gia và khẳng định rằng an ninh mạng là một phần quan trọng trong chiến lược giúp đảm bảo an ninh và phát triển đất nước, tạo ra một chiến lược nhiều năm trong việc xây dựng năng lực và lực lượng cho lĩnh vực không gian mạng trong tương lai. Mục đích của chiến lược này là giúp Australia trở thành quốc gia kinh doanh trực tuyến an toàn nhất trên thế giới bằng cách: (1) Trở thành quốc gia có hạ tầng mạng “sạch nhất” trên thế giới thông qua tỉ lệ nhiễm phần mềm độc hại thấp nhất; (2) Hình phạt nghiêm khắc nhất cho tội phạm an ninh mạng; (3) Nhiệm vụ giáo dục cho các thành viên hội đồng quản trị và CEO về an ninh mạng; (4) Tối đa gián đoạn các dịch vụ công do các lỗ hổng bảo mật trên mạng; (5) Gia tăng sự tự tin của người dân trong việc sử dụng và phụ thuộc vào các dịch vụ internet.
3. Tại Nhật Bản
Nhật Bản là một trong những quốc gia đứng đầu thế giới về ứng dụng công nghệ an ninh mạng phục vụ đời sống xã hội, quốc phòng, an ninh. Tính đến thời điểm hiện tại, Nhật Bản đã ban hành 03 đạo luật quy định các vấn đề liên quan đến an ninh mạng, gồm: (1) Đạo luật cơ bản về an ninh mạng (The Basic Act on Cybersecurity) năm 2014; (2) Đạo luật Cấm truy cập máy tính trái phép năm 1999; (3) Đạo luật Bảo vệ thông tin cá nhân năm 2003 (Act on the Protection of Personal Information – APPI). Các đạo luật này nhằm thúc đẩy toàn diện và hiệu quả chính sách an ninh mạng thông qua việc quy định các nguyên tắc cơ bản của chính sách an ninh mạng quốc gia; trách nhiệm của Chính phủ Nhật Bản, chính quyền địa phương và các bên liên quan khác cũng như các vấn đề quan trọng về chính sách an ninh mạng.
Ngoài các đạo luật trên, Nhật Bản còn xây dựng Luật Cơ bản về An ninh mạng nhằm đối phó với những thay đổi trong và ngoài nước như sự gia tăng các mối đe dọa về an ninh mạng trên quy mô toàn cầu, việc thiết lập các hệ thống Internet và các hệ thống mạng viễn thông và thông tin tiên tiến khác, sử dụng các công nghệ viễn thông và thông tin, vừa đảm bảo tự do thông tin nhưng vẫn phải bảo đảm an toàn, an ninh mạng. Mục đích của luật này là để thúc đẩy toàn diện và hiệu quả chính sách an ninh mạng; quy định các nguyên tắc cơ bản của chính sách an ninh mạng quốc gia; làm rõ trách nhiệm của Chính phủ Nhật Bản, chính quyền địa phương và các bên liên quan (nhà cung cấp hạ tầng thông tin trọng yếu, các thực thể có hoạt động sản xuất, kinh doanh liên quan đến không gian mạng và các doanh nghiệp khác, các tổ chức nghiên cứu và giáo dục, công dân Nhật Bản); quy định các vấn đề thiết yếu đối với các chính sách liên quan đến an ninh mạng như: xây dựng chiến lược an ninh mạng, thành lập Ban Chiến lược An ninh mạng; cùng với Đạo luật cơ bản về hình thành xã hội mạng viễn thông và thông tin tiên tiến nhằm tăng cường sức sống của nền kinh tế - xã hội, phát triển bền vững và hiện thực hóa các điều kiện xã hội, tại đó các công dân có thể sinh sống yên ổn, an toàn, góp phần bảo vệ an ninh, hòa bình thế giới cũng như an ninh quốc gia.
Gần đây, Chính phủ Nhật Bản đã thông qua kế hoạch đào tạo gần 1.000 chuyên gia an ninh mạng trong 4 năm tới nhằm tăng cường năng lực phòng thủ đối với các cuộc tấn công mạng trong thời gian diễn ra Olympic 2020 tại Tokyo. Kể từ năm 2017, Nhật Bản sẽ cung cấp một khoản hỗ trợ ưu đãi cho các nhân viên, yêu cầu các cơ quan chính phủ đề ra kế hoạch bồi dưỡng về an ninh mạng. Các nhân viên ưu tú nhất sẽ được chuyển đến Trung tâm An ninh mạng Nội các (NISC) và các doanh nghiệp tư nhân, chịu trách nhiệm giám sát các hoạt động tấn công mạng nhằm vào chính phủ(2).
(1) Văn phòng Ủy viên Thông tin Australia là cơ quan độc lập của chính phủ Australia và được thành lập để: quảng bá việc truy cập thông tin từ chính quyền, kể cả quyền hạn của cá nhân được truy cập các tài liệu chiếu theo Đạo luật Tự do Thông tin 1982 (FOI Act); tư vấn cho Chính phủ Australia về chính sách thông tin.
(2) Thông tin về tình hình an ninh mạng một số nước của Bộ Công an 2017.
Nguyễn Mai Trang
(Ban Nội chính Trung ương)