Nhận diện các hành vi tấn công mạng máy tính và kiến nghị tăng chế tài hình sự

(Pháp lý) – Thực tế cho thấy, hành vi tấn công mạng máy tính hay viễn thông gây ra hậu quả vô cùng nặng nề cho tổ chức, doanh nghiệp, như rò rỉ thông tin, xáo trộn hoặc gián đoạn hoạt động sản xuất kinh doanh, ảnh hưởng xấu tới uy tín, thương hiệu…

Tuy nhiên, chế tài đối với các hành vi vi phạm còn tương đối thấp, chưa đủ sức răn đe. Do đó, cơ quan chức năng cần tăng cường chế tài nghiêm khắc hơn để đảm bảo tính răn đe, phòng ngừa cần thiết. Đồng thời, rà soát, cân nhắc bổ sung quy định các hành vi và biện pháp xử lý đối các hành vi liên quan đến tấn công mạng.

 

can-tang-cuong-che-tai-nghiem-khac-hon-doi-voi-hanh-vi-gay-roi-tan-cong-mang-de-dam-bao-tinh-ran-de-phong-ngua-1638328341.png
 

Cần tăng cường chế tài nghiêm khắc hơn đối với hành vi gây rối, tấn công mạng để đảm bảo tính răn đe, phòng ngừa (ảnh minh hoạ)

 

Bắt giam 2 người tấn công, gây rối loạn hoạt động Báo điện tử VOV

Ngày 27/11, Công an tỉnh Quảng Nam xác nhận đã khởi tố vụ án, khởi tố bị can, bắt tạm giam đối với Huỳnh Phước Mẫn (31 tuổi, ngụ thị trấn Tiên Kỳ, huyện Tiên Phước, Quảng Nam) để điều tra về hành vi "cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử".

Theo Cơ quan điều tra - Công an tỉnh Quảng Nam, việc điều tra vụ án có sự phối hợp với Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao – Bộ Công an.

 

huynh-phuoc-man-thuc-hien-hanh-vi-tan-cong-bao-dien-tu-vov-khi-dang-o-nha-tai-thi-tran-tien-ky-huyen-tien-phuoc-1638328341.jpg
 

Huỳnh Phước Mẫn thực hiện hành vi tấn công Báo Điện tử VOV khi đang ở nhà tại thị trấn Tiên Kỳ, huyện Tiên Phước (Ảnh: Facebook nhân vật)

Mẫn được xác định là một trong những thành viên tham gia tấn công mạng đối với báo điện tử VOV.vn của Đài Tiếng nói Việt Nam vào ngày 13/6/2021. Theo Cơ quan điều tra, Mẫn thực hiện hành vi tấn công báo điện tử VOV.vn tại nhà riêng nhằm ủng hộ bà Nguyễn Phương Hằng, Tổng Giám đốc Công ty CP Đại Nam (Bình Dương). Cơ quan điều tra chưa xác định hành vi của Mẫn có động cơ, mục đích khác.

Cũng trong ngày 27/11, Công an tỉnh Bình Định xác nhận đã khởi tố vụ án, khởi tố bị can, bắt tạm giam Vương Quốc Thịnh (33 tuổi, trú tại xã Cát Hanh, huyện Phù Cát, tỉnh Bình Định) để điều tra về hành vi "Cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử" theo Điều 287 Bộ luật hình sự.

Công an tỉnh Bình Định cho biết, Thịnh là một trong những người đã tấn công DDoS báo điện tử VOV.vn vào ngày 13/6 khiến việc truy cập báo này bị tê liệt trong một thời gian. Thịnh khai nhận, thường xuyên xem livestream của bà Nguyễn Phương Hằng trên mạng xã hội nên tham gia vào Nhóm ủng hộ trên facebook (Fan).

 

cong-an-tinh-binh-dinh-lam-viec-voi-vuong-quoc-thinh-ao-trang-ngoi-ngoai-cung-ben-phai-1638328341.jpg
 

Công an tỉnh Bình Định làm việc với Vương Quốc Thịnh - áo trắng , ngồi ngoài cùng bên phải (Ảnh CAND)

Trước đó, ngày 12/6, Báo điện tử VOV đăng tải 2 bài viết liên quan đến bà Nguyễn Phương Hằng, phản ánh việc bà Hằng sử dụng ngôn ngữ lệch chuẩn, xúc phạm cá nhân. Do vậy, Thịnh cùng một số thành viên nhóm Fan đã kêu gọi tẩy chay Báo điện tử VOV, đồng thời hướng dẫn các thao tác nhằm tấn công gây rối Báo này.

Liên quan đến việc tấn công Báo điện tử VOV, Công an tỉnh Lâm Đồng đã triệu tập, xử phạt P.T (16 tuổi, trú tại xã Lộc Thành, huyện Bảo Lâm, tỉnh Lâm Đồng) số tiền 7,5 triệu đồng. P.T cũng đã tấn công VOV hồi tháng 6/2021 nhưng do ở độ tuổi thiếu niên, nhận thức còn hạn chế nên cơ quan chức năng chỉ xử phạt hành chính.

Nhận diện các hành vi tấn công mạng máy tính

Trao đổi với Phóng viên Pháp lý, chuyên gia công nghệ thông tin Trần Thanh Thắng - Tổng giám đốc công ty công nghệ WEBNEW Việt Nam - cho rằng, tấn công mạng gây ra hậu quả vô cùng nặng nề cho các tổ chức, doanh nghiệp, như rò rỉ thông tin, xáo trộn hoặc gián đoạn hoạt động kinh doanh, làm ảnh hưởng tới uy tín, thương hiệu... Hiện nay, trên môi trường mạng internet có một số hình thức tấn công mạng phổ biến như: tấn công mạng bằng phần mềm độc hại, tấn công giả mạo, tấn công trung gian, tấn công từ chối dịch vụ, tấn công cơ sở dữ liệu…

Trở lại vụ tấn công mạng nhằm vào Báo điện tử VOV, ông Thắng cho rằng đây là hình thức tấn công từ chối dịch vụ. Theo đó, tin tặc đánh sập hệ thống hoặc máy chủ tạm thời bằng cách tạo ra một lượng traffic khổng lồ ở cùng một thời điểm khiến cho hệ thống bị quá tải. Do vậy, người dùng không thể truy cập vào mạng máy tính trong thời gian tin tặc tấn công. Sự nguy hiểm thể hiện ở chỗ chính các máy tính thuộc mạng lưới máy tính trên cũng không biết bản thân đang bị lợi dụng làm công cụ tấn công.

chuyen-gia-cong-nghe-thong-tin-tran-thanh-thang-1638328341.jpg
 

Chuyên gia công nghệ thông tin Trần Thanh Thắng khuyến cáo các doanh nghiệp cần chủ động tăng cường công tác bảo mật, đảm bảo an toàn trong quá trình khai thác, vận hành các trang thiết bị, hệ thống CNTT.

Cũng theo vị chuyên gia, để có thể truy tìm các đối tượng, cơ quan chức năng sẽ dựa vào địa chỉ IP. Theo đó, hầu hết các trang web hiện nay đều lưu giữ lại chi tiết nhật ký truy cập của người dùng. Lực lượng chức năng sẽ thông qua các nhà cung cấp dịch vụ internet để thu thập thông tin địa chỉ IP như người đăng ký, bao gồm tên và địa chỉ… từ đó có thể lần ra các đối tượng đứng đằng sau các vụ tấn công mạng. Tuy nhiên, nếu các đối tượng sử dụng IP ảo thì sẽ gây khó khăn rất lớn cho lực lượng chức năng trong quá trình truy tìm dấu vết, ông Trần Thanh Thắng cho biết.

Đối với các tổ chức, doanh nghiệp có sử dụng, ứng dụng công nghệ thông tin trong hoạt động của đơn vị mình, cần tăng cường công tác bảo mật, đảm bảo an toàn thông tin. Xây dựng các quy trình bảo đảm an toàn thông tin trong quá trình khai thác, vận hành các trang thiết bị hệ thống công nghệ thông tin. Đồng thời, thường xuyên tổ chức các khóa đào tạo nâng cao trình độ, kỹ năng bảo mật an toàn thông tin trên không gian mạng cho toàn bộ cán bộ, nhân viên và đội ngũ nhân sự để hạn chế thấp nhất việc bị hacker tấn công. Chuyên gia công nghệ thong tin Trần Thanh Thắng khuyến cáo.

Chế tài pháp luật của Việt Nam đối với hành vi tấn công mạng

Dưới góc độ pháp lý,  Luật sư Nguyễn Mạnh Thuật cho biết đến thời điểm hiện nay, hành lang pháp lý cho việc khai thác, sử dụng công nghệ thông tin, công nghệ máy tính, mạng Internet và môi trường mạng xã hội đã tương đối đầy đủ, như Luật Công nghệ thông tin 2006, Luật An toàn thông tin mạng 2015, Luật An ninh mạng năm 2018, cùng các Nghị định, Thông tư hướng dẫn thi hành…

Pháp luật qui định , tấn công mạng là hành vi sử dụng không gian mạng, công nghệ thông tin hoặc phương tiện điện tử để phá hoại, gây gián đoạn hoạt động của mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu, phương tiện điện tử (khoản 8 Điều 2 Luật An ninh mạng 2018).

Về chế tài xử lý hành chính, theo khoản 3 Điều 77 Nghị định 15/2020/NĐ-CP, hành vi “tạo ra hoặc cài đặt hoặc phát tán chương trình vi rút máy tính hoặc phần mềm gây hại vào thiết bị số của người khác” bị phạt tiền từ 30-50 triệu đồng.

Về chế tài xử lý hình sự, trong Bộ luật Hình sự (BLHS) 2015 đã quy định “Tội sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, thiết bị, phần mềm để sử dụng vào mục đích trái pháp luật” (Điều 285), “Tội phát tán chương trình tin học gây hại cho hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử” (Điều 286), “Tội cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử” (Điều 287); “Tội xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác” (Điều 289).

Tuy nhiên, Luật sư Thuật cho rằng, trong bối cảnh hiện nay, các hành vi vi phạm liên quan đến tấn công mạng có xu hướng ngày càng tinh vi phức tạp, tiềm ẩn nguy cơ gây ra những hậu quả vô cùng nghiêm trọng cho xã hội, nhưng chế tài đối với các hành vi vi phạm còn tương đối thấp. Đặc biệt như mức cao nhất của khung hình phạt với các tội danh liên quan đến tấn công mạng theo Bộ luật hình sự hiện chỉ ở mức 12 năm tù, chưa tương ứng với thiệt hại vô cùng lớn có thể gây ra, chưa đảm bảo tính giao dục răn đe và phòng ngừa chung. Đặc biệt, Nghị định 15/2020/NĐ-CP hiện hành chưa ghi nhận một số hành vi liên quan đến tấn công mạng mới phát sinh cần phải xem xét xử lý hành chính mà chưa đến mức xử lý hình sự.

Do đó, để hoàn thiện pháp luật và nâng cao hiệu quả thực thi pháp luật nhằm xử lý các hành vi liên quan đến tấn công mạng trong tình hình mới, cơ quan chức năng cần tăng cường chế tài nghiêm khắc hơn để đảm bảo tính răn đe, phòng ngừa cần thiết. Đồng thời, rà soát, cân nhắc bổ sung quy định thêm các hành vi và biện pháp xử lý đối các hành vi liên quan đến tấn công mạng, Luật sư Nguyễn Mạnh Thuật kiến nghị.

Kinh nghiệm của EU và Nhật Bản trong xử lý tội phạm công nghệ cao

Theo Tổ chức Cảnh sát hình sự quốc tế (INTERPOL), tội phạm công nghệ cao (CyberCrimes) được phân chia thành 3 loại: tấn công phần cứng và phần mềm máy tính (ví dụ: phần mềm độc hại và xâm nhập mạng…); tội phạm tài chính (ví dụ: lừa đảo trực tuyến, xâm nhập của các dịch vụ tài chính trực tuyến và lừa đảo); lạm dụng, đặc biệt là những trẻ em (ví dụ: truyền bá ảnh, phim đồi trụy, khiêu dâm về trẻ em trên mạng). Theo INTERPOL, xu hướng mới trong tội phạm mạng đang nhập lại làm một và gây tốn kém cho nền kinh tế toàn cầu nhiều tỷ Đô la.

Nếu như trước đây, tội phạm mạng chủ yếu là do các cá nhân hoặc nhóm nhỏ thì ngày nay các tổ chức tội phạm đã hình thành các mạng lưới tội phạm ảo liên kết chặt chẽ giữa các cá nhân từ khắp nơi trên thế giới trong thời gian thực nhằm thực hiện hành vi phá hoại trên quy mô đặc biệt lớn. Bên cạnh đó, các tổ chức tội phạm đang chuyển sang Internet để tạo thuận lợi cho hoạt động và tối đa hóa lợi nhuận phi pháp trong thời gian ngắn nhất.

Tại Nhật Bản, trước nguy cơ tội phạm công nghệ cao tăng rất nhanh cùng với sự phát triển như vũ bão của Công nghệ Thông tin. Năm 1999, Nhật Bản đã thành lập lực lượng không gian mạng (Cyber Force), tiền thân là Đơn vị Phòng chống tội phạm tin học thuộc Cục Công nghệ Thông tin (Bộ An ninh), được giao nhiệm vụ điều tra, ngăn chặn và chống lại loại tội phạm nguy hiểm này. Cyber Force được ví như đơn vị tinh nhuệ nhất của Cảnh sát Nhật Bản trong đấu tranh và bảo vệ người dân, doanh nghiệp, cơ quan, tổ chức và chính phủ trước tội phạm công nghệ cao hoạt động xuyên biên giới với thủ đoạn khó lường. Cyber Force chính là cánh tay trợ giúp đắc lực cho công tác điều tra tội phạm tin học.

Trung tâm xử lý thông tin của Cyber Force có nhiệm vụ thu thập và phân tích dữ liệu. Các thành viên của Cyber Force được đào tạo, huấn luyện thường xuyên về nghiệp vụ tin học tại Phân viện đào tạo riêng (Cyber Force Training System) nhằm đảm bảo bắt kịp đà gia tăng của tội phạm công nghệ cao cũng như có thể thích ứng với mọi tình huống thực tế.

Cyber Force sở hữu hệ thống dò mạng được coi là nòng cốt của đơn vị. Nhờ hệ thống kỹ thuật công nghệ tiên tiến này mà cảnh sát Nhật Bản có thể thu thập, tổng hợp, phân tích thông tin qua mạng Internet, qua đó khám phá ra những thủ đoạn tấn công của tội phạm tin học đồng thời chia sẻ thông tin, kinh nghiệm với các đơn vị cảnh sát khác có liên quan.

Khác với Nhật bản, Liên minh châu Âu (EU) đã đưa ra các điều luật trừng phạt cứng rắn hơn đối với tội phạm mạng và tin tặc. Theo đó, ngày 04/7/2013, với đa số phiếu tán thành, EU đã quyết định tăng hình phạt tù đối với người bị kết tội tấn công, vi phạm dữ liệu mạng. Trong đó, đáng chú ý là EU quyết định tăng thêm ít nhất hai năm tù cho “tội truy cập bất hợp pháp hệ thống thông tin” và ít nhất là năm năm tù đối với “tội tấn công mạng” gây hại tới các cơ sở hạ tầng như nhà máy điện, hệ thống nước và mạng lưới giao thông.

Các nhà lập pháp EU cho rằng, các tội phạm mạng nguy hiểm nhất là những đối tượng xâm phạm vào mạng lưới hạ tầng của các quốc gia và các hành vi trộm cắp dữ liệu nhạy cảm từ hệ thống máy tính. Các loại tội phạm tin học khác cũng bị tăng hình phạt, như “tội ngăn chặn trái phép hoạt động thông tin liên lạc hoặc tạo ra các công cụ cho mục đích này”. Ngoài ra, bất kỳ công ty nào sử dụng các công cụ hoặc thuê tin tặc để ăn cắp dữ liệu cũng sẽ chịu trách nhiệm theo luật mới.

Đây không phải là lần đầu tiên EU bỏ phiếu về việc thắt chặt các hình phạt đối với tội phạm mạng. Trong năm 2011, các nhà lập pháp EU đã đồng ý tăng hình phạt đối với tội phạm tin học, bao gồm cả hình phạt mới cho người sáng tạo các botnet (virus độc hại xâm nhập, khống chế hệ thống máy tính)…

Xuân Trường

Bạn đọc đặt tạp chí Pháp lý dài hạn vui lòng để lại thông tin