Chủ đề

(Không gian mạng) - Sự bùng nổ cả về chiều rộng lẫn chiều sâu của không gian mạng, đi cùng với nó là sự phát triển nhanh chóng của các công nghệ mới như điện toán đám mây (Cloud Computing), dữ liệu lớn (Big Data), trí thông minh nhân tạo (AI) hay Internet vạn vật (IoT) đang hỗ trợ cuộc sống, phát triển nền kinh tế, tái cấu trúc xã hội. Nhưng sự bùng nổ quá nhanh cùng với sự phức tạp của nó cũng tạo ra nhiều tác động tiêu cực, buộc các tổ chức, các quốc gia, các khu vực phải đặt ra những luật lệ cho không gian mạng.

Sự bùng nổ quá nhanh cùng sự phức tạp của không gian mạng buộc các tổ chức, các quốc gia, các khu vực phải đặt ra những luật lệ cho lĩnh vực này.

Ý niệm về việc đặt luật cho không gian mạng đã có từ lâu nhưng rất khó để tìm thấy một định nghĩa cụ thể về luật an ninh mạng (cybersecurity law). Wikipedia diễn giải chung như sau “Quy định an ninh mạng bao gồm những hướng dẫn bảo vệ công nghệ thông tin và hệ thống máy tính nhằm buộc các công ty và tổ chức phải giữ cho dữ liệu và hệ thống của họ khỏi các hình thức tấn công từ các loại virus mạng, các hình thức xâm nhập không được phép như để ăn cắp sở hữu trí tuệ hay thông tin mật, và cho hệ thống máy tính khỏi bị kiểm soát”. Từ sự diễn giải trên khi tìm hiểu về các quy định liên quan đến an ninh mạng tại nhiều quốc gia, chúng ta nhận thấy ý niệm phổ quát các quy định về an ninh mạng nhắm vào các tổ chức hay công ty phải bảo vệ khách hàng hay người sử dụng công nghệ của mình khỏi bị tấn công, và ở phương diện quốc gia là bảo vệ những công dân của họ, điển hình nhất là luật EU GDPR của Liên minh châu Âu (EU).

Mục tiêu của luật phải là bảo vệ con người

Trên thực tế, có ít quốc gia đặt riêng cho mình một luật về an ninh mạng. Ở nhiều nước dự luật đã không trở thành luật vì việc siết chặt an ninh mạng làm tổn hại đến nền kinh tế của họ, đến hoạt động đầu tư và việc làm và cuối cùng tác động đến năng lực cạnh tranh của quốc gia, nhất là trong giai đoạn cách mạng công nghiệp 4.0. Trái lại, những quy định về an ninh mạng, bao gồm cả an ninh quốc phòng trên môi trường mạng được đặt vào trong những bộ luật hiện hành, như luật an ninh nội địa, với mục đích là làm cho hoạt động mạng đáp ứng những bộ luật có sẵn. Tinh thần làm luật này được bản báo cáo Cybersecurity Law Overview của tổ chức Mannheimer Swartling, công bố tháng 4-2017, ghi nhận. Bản báo cáo dẫn ra những quy định về an ninh mạng ở Mỹ, EU, Đức, Mexico, Ấn Độ đều là những đạo luật (Act) nằm dưới hay bên trong các luật (Law).

Bản báo cáo của Mannheimer Swartling, được nghiên cứu và tổng hợp từ quy định về an ninh mạng của các quốc gia khác nhau, cho thấy thuật ngữ an ninh mạng (cybersecurity) là để chỉ việc bảo vệ mạng lưới, máy móc và dữ liệu khỏi các cuộc tấn công, phá hoại, hay đột nhập không được phép, gọi chung là cuộc tấn công (attack). “Việc luật hóa an ninh mạng đang được triển khai tại hầu hết các quốc gia và thường phân tán vào trong các lĩnh vực luật khác nhau”, báo cáo viết. Báo cáo phân chia luật an ninh mạng làm ba nhóm, thứ nhất là nhóm đáp ứng an ninh nội địa, thứ hai là nhóm bảo vệ lợi ích quốc gia, và thứ ba là nhóm ngăn chặn các hình thức tội phạm trong không gian mạng.

Nhóm bảo vệ an ninh nội địa buộc tổ chức công quyền và công ty khai thác mạng phải bảo đảm rằng họ có đủ biện pháp để ngăn chặn các cuộc tấn công trên nền tảng Internet. Ở đây thường là những biện pháp tối thiểu để bảo vệ các dịch vụ công cộng, bao gồm dịch vụ thiết yếu và cơ sở hạ tầng quan trọng như cơ sở về cung cấp điện nước, bệnh viện và ngân hàng chống lại những mối đe dọa từ không gian mạng. Mặt khác, nhóm này cũng bao gồm những luật lệ bảo vệ dữ liệu riêng tư của cá nhân hay công dân.

Nhóm bảo vệ lợi ích quốc gia bao gồm những luật lệ liên quan chặt chẽ đến quốc phòng, trong mục tiêu giữ gìn toàn vẹn lãnh thổ quốc gia bằng việc ngăn chặn các hoạt động như dùng mạng Internet để do thám hay thực hiện điệp vụ. Những luật lệ thuộc nhóm này thường áp lên các nguyên tắc thị trường và giới hạn dòng vốn đầu tư nước ngoài trong việc mua lại các công ty nội địa, hạn chế các nhà cung ứng nước ngoài tham gia đấu thầu các dự án hạ tầng khoa học kỹ thuật và công nghệ thông tin quan trọng. Các luật lệ này cũng thường hạn chế việc xuất khẩu và cung ứng công nghệ an ninh thiết yếu nhằm tránh bị phổ biến ra ngoài.

Nhóm chống các hình thức tội phạm mạng bao gồm những quy định có liên quan đến các hoạt động tội phạm sử dụng phương tiện điện tử hay kỹ thuật số, gọi là cybercrime, và các hoạt động mạng có khả năng dẫn đến tình trạng phạm tội, gọi là cyber-enable crime, phổ biến nhất là các hành động đột nhập hệ thống, đánh cắp thông tin, hay đánh cắp dữ liệu. Trong trường hợp này, nhiều quốc gia áp dụng Công ước Budapest trong việc xác định những hoạt động mạng nhất định nào đó có thể trở thành tội phạm mạng.

Bảo vệ an ninh mạng ở Mỹ

Mỹ là quốc gia có nhiều đạo luật liên quan đến an ninh mạng nhất. Chính phủ Mỹ tin rằng an ninh đối với những hệ thống máy tính quan trọng cho cả thế giới bởi hai nguyên nhân. Trước hết là sự gia tăng vai trò của công nghệ thông tin và theo đó là sự nổi lên của thương mại điện tử hay các hình thức giao dịch trực tuyến. Bảo vệ an toàn cho không gian mạng bây giờ trở thành một thành phần thiết yếu của nền kinh tế. An toàn mạng trở thành yếu tố sống còn cho việc bảo vệ an toàn các hệ thống thiết yếu như đáp ứng tình trạng khẩn cấp và bảo vệ các hệ thống hạ tầng như lưới điện.

Ở cấp liên bang, các đạo luật nhắm đến những ngành công nghiệp đặc thù, bao gồm ba nhóm chính là đạo luật về bảo hiểm y tế 1996 viết tắt là HIPAA, đạo luật về ngân hàng được thiết lập từ 1999 có tên là Gramm-Leach-Bliley Act, và những điều luật liên quan đến quản lý an toàn thông tin gọi tắt là FISMA (Federal Information Security Management Act) nằm trong luật An ninh nội địa được thông qua năm 2002.

Theo sau việc bang California thông qua đạo luật Notice of Security Breach Act buộc các công ty tàng trữ dữ liệu công dân phải công bố trường hợp bị tấn công, nhiều bang khác cũng làm ra các đạo luật bảo vệ hữu hiệu cho công dân mình. Mặt khác, các cơ quan chức năng, tùy theo lĩnh vực của mình cũng ban hành những quy định ngành để bảo đãm phần việc của họ trên không gian mạng.

Bản báo cáo của Mannheimer Swartling cho thấy hệ thống luật pháp ở Mỹ rất rõ ràng, không chồng chéo và các điều luật liên quan đến không gian mạng đặt vào đúng chỗ của nó, bao quát được cả ba mục tiêu bảo vệ an ninh nội địa, bảo vệ lợi ích quốc gia và ngăn chặn tội phạm mạng. Các đạo luật thường do cơ quan chuyên ngành đề nghị, ví dụ Cybersecurity Enhancement Act 2014 do National Institute of Standards and Technology (NIST) nhắm vào việc chuẩn hóa đối với các công ty phát triển hạ tầng thiết yếu, hay National Cybersecurity Protection Act 2014 do National Cybersecurity and Communications Integration Center thuộc Bộ An ninh Nội địa soạn thảo, và đối với lĩnh vực ngân hàng, luật căn bản là Gramm-Leach-Bliley Act 1999.

Giữ gìn trật tự an ninh mạng ở châu Âu

Viêc đặt luật cho không gian mạng ở châu Âu khác với Mỹ. Trong khi ở Mỹ người ta tập trung vào những tiêu chuẩn làm căn bản vận hành không gian mạng thì tại châu Âu các nhà quản lý tạo ra những sự điều chỉnh luật để thích hợp với hoạt động kinh doanh nơi mỗi quốc gia thành viên EU. Tiêu chuẩn an toàn mạng, vì thế, trở thành nổi bật đối với các công ty kinh doanh dựa trên công nghệ.

Ba bộ luật an ninh mạng quan trọng nhất của cộng đồng châu Âu là ENISA, NIS Directive và mới nhất EU GDPR bắt đầu có hiệu lực từ ngày 25-5 vừa qua. ENISA (The European Union Agency for Network and Information Security) ra đời từ năm 2004, được bổ sung vào 2013 nhắm đến việc điều chỉnh các hoạt động mạng. Hướng dẫn NIS về an toàn mạng lưới và hệ thống thông tin có hiệu lực từ tháng 8-2016 nhằm giúp các quốc gia đưa các điều khoản an ninh mạng vào luật của mỗi nước trong vòng 21 tháng. Cuối cùng là Luật bảo vệ dữ liệu tổng quát viết tắt là GDPR (General Data Protection Regulation) ban hành vào ngày 14-4-2016 và có hiệu lục bắt buộc kể từ ngày 25-5-2018.

Có thể nói, ngày 25-5-2018 đánh dấu một giai đoạn quyết liệt của EU trong việc bảo vệ dữ liệu cá nhân và quyền riêng tư cho mỗi công dân trên không gian mạng. Đây là luật của EU, nhưng nó đang lan rộng hiệu ứng đến các nước khác với việc nhiều tập đoàn công nghệ như Microsoft đem vào áp dụng trên toàn cầu. Các tập đoàn khác đang điều chỉnh để đáp ứng luật. Một số công ty tạm ngừng dịch vụ ở châu Âu, trong khi một số công ty khác chấm dứt hoạt động vì không đủ tài nguyên, năng lực để điều chỉnh hay không còn mua được dữ liệu để khai thác. Cái giá để đáp ứng các điều khoản của luật GDPR rất lớn, nhưng lợi ích cho người sử dụng mạng còn lớn lao và lâu dài hơn. Các công ty đang đầu tư hệ thống an ninh mới để có khả năng bảo vệ dữ liệu. Một số công ty đang phải kiểm tra kho dữ liệu đã thu thập xem chúng có chính xác và hợp pháp để lưu giữ không. Và cuối cùng như chúng ta đang thấy, GDPR buộc các công ty công nghệ lớn phải thay đổi chính sách. EU GDPR đang tạo nên hiệu ứng kép, vừa bảo vệ người sử dụng mạng, vừa phát triển công ăn việc làm cho doanh nghiệp và công dân của EU.

Chiều hướng thiết lập luật an ninh mạng

Việc thiết lập luật an ninh mạng, cho dù phân tán vào các luật hiện hành hay tạo thành đạo luật, gọi chung là luật cứng (hard law) thường có những tiêu cực vì không biến đổi kịp theo thời gian và các hướng phát triển rất đa dạng của không gian mạng. Một khuynh hướng mới là hình thành loại luật mềm (soft law) bằng những quy định chuẩn hóa nền kỹ nghệ đạt đến trình độ yêu cầu an ninh hiện hành.

Úc là một trong các quốc gia đi theo hướng này, họ đưa trình độ an ninh mạng lên ngang bằng với Mỹ và châu Âu nhưng lại không đặt thành luật mà thiết chế tiêu chuẩn an ninh thích hợp cho từng lĩnh vực và loại hình doanh nghiệp. Kinh nghiệm này chứng minh cho thấy không phải thiếu luật cứng là không có phương cách bảo vệ an ninh mạng. Một chiều hướng khác, nhiều quốc gia đang xem lại những luật về đầu tư nước ngoài với những ràng buộc mới cho các công ty công nghệ, điển hình như tại Đức và Pháp.

Giới chuyên gia công nghệ cho rằng đã có sự phân cực trong luật an ninh mạng, một đằng hướng về an ninh nội địa bảo vệ công dân, đằng kia thiên về lợi ích quốc gia bảo vệ các dịch vụ thiết yếu và cơ sở hạ tầng quan trọng.

(Theo Kinh Tế Đô Thị)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên