Bảo đảm an ninh mạng: Quốc tế cần có một hành lang pháp lý đủ mạnh

(Pháp lý) - Một Hội thảo quốc tế với tầm vóc và quy mô lớn nhất từ trước đến nay, với sự có mặt của đại diện gần 200 quốc gia và vùng lãnh thổ trên toàn thế giới về đảm bảo an toàn thông tin được tổ chức cuối năm 2018, đã đưa ra một đánh giá đặc biệt: An ninh mạng là một trong những mối bận tâm lớn nhất của nhân loại kể từ ngày Internet ra đời và hết sức phổ biến, đồng thời là thách thức chung của mọi quốc gia.

Từ nỗi lo mất ngủ của vị Tổng thống da màu…

Giữa tháng 5/2011, những cảnh báo từ đội ngũ chuyên gia và thực tế xảy ra tại nước Mỹ đã khiến Obama, vị Tổng thống thứ 44 của Hoa Kỳ buộc phải nhìn nhận một vấn đề nghiêm trọng: “Việc sử dụng trái phép máy tính để giành quyền kiểm soát, sửa đổi thiết lập, thu thập hoặc xúi giục các chủ sở hữu tiết lộ những thông tin cá nhân, cài đặt phần mềm không mong muốn và làm xáo trộn an ninh với phần mềm gián điệp, hoặc phần mềm chống virus đang đe dọa nước Mỹ”.

Trước những báo cáo của Bộ Tư pháp, Cơ quan tình báo CIA và cả Cục điều tra liên bang Mỹ FBI, ông Obama tâm sự đã mất ngủ nhiều đêm trước khi đưa ra đề xuất một Gói cải cách lập pháp an ninh mạng để cải thiện độ an toàn cho công dân Mỹ, chính quyền liên bang và cơ sở hạ tầng chủ chốt. Một năm tranh luận công khai và các phiên điều trần Quốc hội Mỹ sau đó đã dẫn đến việc Hạ viện Mỹ thông qua một dự luật chia sẻ thông tin và Thượng viện Mỹ phát triển một dự luật thỏa hiệp, để tìm kiếm sự cân bằng giữa an ninh quốc gia, bảo mật và lợi ích kinh doanh.

Vào tháng 2/2013, ông Obama tiếp tục đề xuất Sắc lệnh Cải thiện cơ sở hạ tầng an ninh mạng chủ chốt. Theo các chuyên gia lập pháp, Sắc lệnh là đại diện cho phiên bản mới nhất của chính sách, nhưng không được coi là luật vì chưa được giải quyết bởi Quốc hội. Sắc lệnh tìm cách cải thiện quan hệ đối tác công - tư hiện thời bằng cách tăng cường kịp thời luồng thông tin giữa Bộ An ninh nội địa Hoa Kỳ (DHS) và các công ty cơ sở hạ tầng chủ chốt.

Thành công của ông Obama trong việc đảm bảo an ninh nước Mỹ bằng việc đưa ra công bố một Dự luật An ninh mạng mới vào tháng 1/2015 được coi là đóng góp lớn. Đề xuất này đã được thực hiện trong một nỗ lực để chuẩn bị cho Mỹ trước sự bành trướng của tội phạm mạng. Trong dự luật này, ông Obama nêu ra ba nỗ lực chính để hướng tới một không gian mạng an toàn hơn đối với Mỹ. Nỗ lực chính đầu tiên nhấn mạnh tầm quan trọng của việc cấp phép chia sẻ thông tin an ninh mạng.

Một nỗ lực chính khác đã được nhấn mạnh trong đề xuất này là để hiện đại hóa các cơ quan hành pháp để “trang bị” tốt hơn cho việc đối phó với tội phạm mạng bằng cách cung cấp những công cụ mà họ cần. Nó cũng sẽ cập nhật phân loại tội phạm không gian mạng và các hậu quả. Một trong những cách để điều này sẽ trở thành hiện thực là quy kết việc bán thông tin tài chính ra nước ngoài là phạm pháp.

Vào tháng 2/2016, ông Obama đã phát triển Kế hoạch hành động an ninh quốc gia về An ninh mạng (CNAP). Kế hoạch này đã được thực hiện để tạo ra những hành động và chiến lược lâu dài trong một nỗ lực để bảo vệ nước Mỹ chống lại các hiểm họa mạng. Trọng tâm của kế hoạch này là để thông báo cho công chúng về mối đe dọa ngày càng tăng của tội phạm mạng, cải thiện bảo vệ an ninh mạng, bảo vệ thông tin cá nhân của người Mỹ…

Một trong những điểm nổi bật của chương trình này bao gồm việc tạo ra một “Ủy ban về Tăng cường an ninh mạng quốc gia” bao gồm một nhóm đa dạng các nhà tư tưởng với các quan điểm có thể góp phần vào việc đưa ra khuyến nghị về cách tạo ra một an ninh mạng mạnh mẽ hơn cho khu vực công và tư nhân. Điểm nổi bật của kế hoạch này là để tăng 35% số tiền đầu tư vào an ninh mạng trong năm 2017 so với năm 2016.

Đến những yêu cầu “khẩn” liên tiếp của Nghị viện châu Âu

Trong khi đó, tại Liên minh châu Âu, các mối đe dọa từ việc mất an toàn an ninh mạng được cảnh báo từ rất sớm ngay từ đầu những năm 2000. Tuy nhiên, các hành lang pháp lý của EU chỉ thực sự hình thành và chặt chẽ khi vào ngày 6/7/2016, Nghị viện châu Âu đưa Chỉ thị về an ninh của mạng và hệ thống thông tin (chỉ thị NIS) thành chính sách.

Chỉ thị này có hiệu lực vào tháng 8/2016 và tất cả các quốc gia thành viên của Liên minh châu Âu được cho 21 tháng để tích hợp các luật lệ của Chỉ thị này vào luật quốc gia riêng của họ.

Mục đích của Chỉ thị NIS này là tạo ra một mức độ an ninh mạng tổng thể cao hơn trong EU. Chỉ thị này có ảnh hưởng đáng kể đến các nhà cung cấp dịch vụ kỹ thuật số, các công nghệ xử lý tín hiệu số (DSP) và các nhà khai thác dịch vụ thiết yếu (OES). Các nhà khai thác dịch vụ thiết yếu bao gồm bất kỳ tổ chức nào mà hoạt động của họ sẽ bị ảnh hưởng rất nhiều trong trường hợp có lỗ hổng an ninh mạng, miễn là họ tham gia vào các hoạt động xã hội hoặc kinh tế quan trọng.

Cả DSP và OES hiện đang chịu trách nhiệm trong việc báo cáo các sự cố an ninh cho các đội phản ứng nhanh sự cố an ninh máy tính (CSIRTs) trong một phạm vi nhất định. Trong khi DSP không phải chịu những quy định ngặt nghèo như các nhà khai thác dịch vụ thiết yếu, DSP không được thiết lập trong EU nhưng vẫn hoạt động trong EU vẫn phải đối mặt với các quy định. Ngay cả khi DSP và OES thuê ngoài việc duy trì các hệ thống thông tin của họ cho bên thứ ba, Chỉ thị NIS vẫn bắt họ phải chịu trách nhiệm cho bất kỳ sự cố an ninh nào.

Đáng lưu ý, song song với Chỉ thị NIS, EU còn đưa ra một quy định chung về bảo vệ dữ liệu viết tắt là GDPR, ra đời vào ngày 14/4/2016. Các quy định chung này nhằm mang lại một tiêu chuẩn duy nhất để bảo vệ dữ liệu giữa tất cả các nước thành viên trong EU. Sự thay đổi mà các quy định này sẽ mang lại bao gồm việc xác định lại biên giới địa lý. Quy định không chỉ áp dụng cho các tổ chức hoạt động trong EU, mà còn áp dụng cho các tổ chức xử lý dữ liệu của bất kỳ cư dân nào của EU.

“Bất kể nơi nào dữ liệu được xử lý, nếu dữ liệu của một công dân EU đang được xử lý, các tổ chức hiện tại phải tuân theo quy định này” – quy định chung chỉ rõ. Tiền phạt cũng trở nên nặng hơn và tổng cộng có thể lên tới 20 triệu euro, hay 4% doanh thu hàng năm. Ngoài ra, tương tự như những quy định trước đây, tất cả các hành vi vi phạm dữ liệu ảnh hưởng tới các quyền và sự tự do của những cá nhân cư trú tại EU phải được công bố trong vòng 72 giờ. Ban Bảo vệ dữ liệu của EU (EDP) phải chịu trách nhiệm về tất cả các giám sát theo quy định của GDPR.

“Bàn tay sắt” của Chính phủ “xứ Kangaroo”

Sau nhiều vụ mất an ninh nghiêm trọng trên môi trường Internet, ngày 6/12/2018, Australia đã thông qua dự luật an ninh mạng cho phép cơ quan tình báo và cảnh sát nước này truy cập thông tin liên lạc được mã hóa của những đối tượng bị tình nghi là khủng bố và tội phạm.

Theo đạo luật này, chính quyền Canberra có thể buộc các nhà cung cấp dịch vụ mạng nội địa và quốc tế bao gồm những tập đoàn truyền thông lớn ở nước ngoài như Facebook và WhatsApp, gỡ bỏ các biện pháp bảo vệ điện tử và giúp cơ quan chức năng Australia tiếp cận thiết bị hoặc dịch vụ nằm trong diện tình nghi.

Ở cấp độ thứ nhất, chính quyền sẽ gửi yêu cầu về việc trợ giúp tự nguyện nhằm bảo vệ an ninh quốc gia tới các công ty công nghệ. Với cấp độ thứ 2, cơ quan chức năng sẽ yêu cầu các công ty công nghệ cung cấp bộ giải mã trong trường hợp họ nắm trong tay giải pháp này. Trong trường hợp thứ 3 và cũng là trường hợp nghiêm trọng nhất, Tổng chưởng lý (người đứng đầu cơ quan tư pháp liên bang) sẽ đưa ra một thông báo yêu cầu các công ty công nghệ phải xây dựng một công cụ giải mã nhằm trợ giúp cho công tác thực thi pháp luật.

Mới đây nhất, ngày 26/3/2019, Thủ tướng Australia - ông Scott Morrison đã gặp gỡ một số doanh nghiệp công nghệ lớn, trong đó có Facebook, Twitter và Google để hỏi họ về cách lên kế hoạch ngăn các nền tảng này trở thành "vũ khí" của các phần tử khủng bố, trong bối cảnh Caberra đang cân nhắc đưa ra các luật mới sau vụ thảm sát tại New Zealand. Ông cho biết Chính phủ Australia đang xem xét việc phạt tù đối với lãnh đạo các công ty theo luật mới.

Theo thống kê của Trung tâm Ứng cứu sự cố máy tính Việt Nam (VNCERT) đã có hơn 9.300 vụ tấn công mạng nhắm vào các Website của Việt Nam trong năm 2018. So với năm 2017 với 9.964 sự cố tấn công thì các cuộc tấn công mạng đã có xu hướng giảm đi nhưng giảm không đáng kể. Trong năm 2018, hệ thống giám sát an toàn thông tin mạng quốc gia đặt tại Trung tâm này đã ghi nhận được gần 400 triệu sự kiện an toàn mạng, trong đó có hơn 175,5 triệu sự kiện mức độ cao; trên 146,5 triệu sự kiện mức độ trung bình và hơn 76,4 triệu sự kiện ở mức độ thấp.

Để đảm bảo an toàn an ninh mạng, Luật An ninh mạng của Việt Nam đã được thông qua tại kỳ họp thứ 5 Quốc hội khóa XIV và chính thức có hiệu lực từ 1/1/2019. Hiện các cơ quan chức năng đang khẩn trương hoàn thiện và trình Chính phủ ban hành Nghị định hướng dẫn thi hành Luật An ninh mạng.

Nguyễn Nguyễn