Sách Luật An Ninh Mạng / TOP 11 # Xem Nhiều Nhất & Mới Nhất 3/2023 # Top View

Tháng 9/2018, Tổng thống Mỹ Donald Trump đã ký Chiến lược An ninh mạng quốc gia Tăng quyền cho các cơ quan thực thi pháp luật

Tài liệu dài 40 trang được xây dựng trên cơ sở các chính sách an ninh mạng nền tảng trước đây – như tăng cường bảo vệ các “cơ sở hạ tầng quan trọng” của đất nước gồm các công ty vận hành điện hay các tổ chức tài chính. Tuy vậy, tài liệu này có một số thay đổi đáng chú ý, nhấn mạnh vào “chính sách an ninh tấn công chủ động” và đòi hỏi trách nhiệm thực thi các yêu cầu từ Cơ quan An ninh Quốc gia (NSA) và các cơ quan an ninh mạng của Hoa Kỳ.

Tài liệu được xây dựng dựa trên những nỗ lực của chính quyền Tổng thống Donald Trump và chính phủ tiền nhiệm Cựu Tổng thống Barack Obama để tăng khả năng “chỉ tên và vạch rõ” tội phạm mạng, cũng như các chủ thể hậu thuẫn đằng sau. Tài liệu được công bố chỉ rõ “Nga, Iran, Triều Tiên đã thực hiện các cuộc tấn công mạng nghiêm trọng, gây tổn hại đến công dân Mỹ và sự thịnh vượng, an ninh của quốc gia Mỹ. An ninh Mỹ phụ thuộc vào cách chúng tôi làm việc với các doanh nghiệp quốc tế, các đồng minh và đối tác của chúng tôi mà không phải trả phí để có thể ngăn chặn các hành vi tấn công trong tương lai”.

Chính sách mới củng cố và trao thêm quyền hành cho các cơ quan Hoa Kỳ, trong đó Bộ An ninh nội địa (DHS) đóng vai trò ngày càng tăng trong phòng thủ mạng từ trong nước và Bộ Quốc phòng (DoD) với các mối nguy hại từ nước ngoài.

Tấn công chủ động là cách mà Hoa Kỳ vận hành đối phó với tội phạm mạng Tấn công phản đòn

Chiến lược này xác định khả năng của các cơ quan trong Bộ Quốc phòng, như Cơ quan An ninh quốc gia (NSA) và các đơn vị quân sự, thực hiện các hành động tấn công chủ động trong không gian mạng.

Điều này có nghĩa là các cơ quan này sẽ có quyền chủ động truy dấu vết, đáp trả các nguồn tấn công ở nước ngoài. Các hoạt động này có thể nguy hiểm, vì tội phạm mạng có thể được thực hiện từ một bên thứ ba trung lập hoặc một quốc gia không thù địch, khiến cho Hoa Kỳ sẽ gặp nhiều khó khăn khi tham gia vào các hoạt động tấn công. Bởi vì những cuộc tấn công qua lại này cũng có thể gây thiệt hại cho cơ sở hạ tầng mạng của các bên. Nhưng đó là chính sách của Hoa Kỳ để bảo vệ lợi ích Nhà nước; quyền và lợi ích hợp pháp của các tổ chức, công dân Hoa Kỳ.

Chiến lược này làm khoảng cách giữa cơ quan thực thi pháp luật và các tổ chức cung ứng dịch vụ sát lại nhau hơn, trong chiến lược bảo vệ lợi ích của Nhà nước, quyền và lợi ích hợp pháp của các tổ chức, công dân Mỹ.

Các công ty dịch vụ tăng trách nhiệm trong cuộc chiến chống lại tội phạm mạng Trách nhiệm của các công ty dịch vụ

Chiến lược an minh mạng của Hoa Kỳ đề cập rất rõ về nội dung các nỗ lực bảo vệ an ninh mạng liên bang được dựa trên sự hỗ trợ của các ngành công nghiệp tư nhân. Tài liệu chỉ rõ 7 ngành công nghiệp ưu tiên về chia sẻ thông tin với các đối tác chính phủ bao gồm: “An ninh quốc gia, năng lượng và điện, ngân hàng và tài chính, sức khỏe và an toàn, thông tin liên lạc, công nghệ thông tin và giao thông”.

Nhà Trắng cũng đề nghị các công ty khởi nghiệp và doanh nghiệp tư nhân phối hợp với các cơ quan chính phủ về cách họ phát triển trí tuệ nhân tạo và các sản phẩm điện toán lượng tử, để có thể giúp ngăn chặn các mối đe dọa trên mạng.

Có những ý kiến cho rằng, sự tập trung ngày càng tăng vào vai trò của các công ty ở Mỹ, cùng với các cơ quan chính phủ trong việc chống lại tội phạm mạng có thể là vấn đề đối với các công ty này. Bởi vì, các tập đoàn phải tuân thủ luật riêng tư và bảo mật ở tất cả các quốc gia nơi họ hoạt động – không chỉ ở Hoa Kỳ.

An ninh mạng là một vấn đề ngày càng quan trọng trong quốc phòng. Tuy nhiên, dự thảo Luật an ninh mạng có một vài điều khoản đi chệch ra khỏi phạm trù an ninh mạng mà tôi nghĩ nên bỏ ra khỏi dự luật:

Điều 15: Phòng ngừa, xử lý thông tin trên không gian mạng có nội dung tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; làm nhục, vu khống; xâm phạm trật tự quản lý kinh tế.

Điều 25/2: Cơ quan […] cung cấp dịch vụ trên không gian mạng [..] phải (a) […] cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản; (b) xoá bỏ thông tin, ngăn chặn chia sẻ thông tin […] quy định tại điều 15 […]

Hai điều này giống như công cụ kiểm soát quyền tự do ngôn luận của người Việt Nam hơn là chống lại rủi ro an ninh mạng trong quốc phòng.

An ninh quốc phòng vs. Thông tin cá nhân: Chuyện các nước khác

Thực ra Việt Nam không phải là nước đầu tiên muốn tiếp cận thông tin cá nhân người sử dụng qua các công ty cung cấp dịch vụ viễn thông và Internet. Năm 2016 nổi cộm lên cuộc chiến giữa FBI và Apple khi công ty này từ chối mở khoá chiếc iPhone của một tội phạm trong vụ tấn công khủng bố ở San Bernardino, California cuối năm 2015. Trong cùng năm đó, các doanh nghiệp ngành công nghệ phải tiếp tục đối mặt với sức ép từ chính quyền các nước Châu Âu để cung cấp thông tin để giúp công tác chống khủng bố trong nước.

Ngay cả khi có một lý do rõ ràng như chống khủng bố, các công ty công nghệ vẫn chống đối quyết liệt vì họ muốn người dùng của mình biết rằng quyền riêng tư của họ rất quý giá và đáng được tôn trọng. Chắc sẽ có một lằn ranh ở giữa là điểm cân bằng giữa hai mục tiêu an ninh – quốc phòng và riêng tư – tự do cá nhân. Tuy nhiên, một bộ luật như thế rất khó viết vì (a) lằn ranh đó ở đâu và (b) khả năng chính quyền vượt qua lằn ranh này để kiểm soát các cá nhân là rất lớn. Đó là lý do cho đến nay, cuộc chiến giữa các chính phủ và các công ty công nghệ vẫn tiếp tục.

Trung Quốc và Ấn Độ cũng đang tiến về xu hướng tạo ra các bộ dữ liệu cá nhân khổng lồ của nhân dân dưới quyền kiểm soát của nhà nước. Các bộ dữ liệu này có thể giúp ích ở nhiều khía cạnh: dưới dạng điện tử, chính phủ có thể kiểm soát dữ liệu dễ dàng, lâu dài hơn (hơn là giấy), công việc thống kê, nghiên cứu cũng tiện lợi hơn; công việc đánh giá khả năng tài chính cho tín dụng, nhà đất,… cũng dễ dàng hơn.

Tự do ngôn luận có những mặt trái, nhưng là quyền công dân cơ bản cần được đảm bảo

Quay trở lại hai điều luật 15 và 25 trong dự luật an ninh mạng của Việt Nam. Chúng ta có thể thấy hai điều này giống như công cụ kiểm soát quyền tự do ngôn luận của người Việt Nam hơn là chống lại rủi ro an ninh mạng trong quốc phòng. Nếu được thông qua, Chính phủ sẽ được trao một quyền kiểm soát công dân rất đáng quan ngại.

Trong trường hợp của mình, tôi nghĩ quyền nói là quyền của họ, và quyền tiếp thu hay không vẫn là quyền của mình. Trong vụ việc của Harvard, mặc dù rất phản đối những tin nhắn xúc phạm người khác của nhóm học sinh kia, tôi nghĩ Harvard đã quyết định sai vì đã tự cho mình quyền kiểm soát người khác được hay không được nói gì. Suy cho cùng, quyền tự do ngôn luận là quyền cơ bản của mọi người trong mọi hoàn cảnh.

Đối với trường hợp của Chính phủ, tôi nghĩ cách tốt nhất để chống phản động, chống phá Nhà nước là Nhà nước chứng minh bằng thành tích quản lý, nâng cao đời sống văn hoá/kinh tế/xã hội thay vì cấm cản lời nói.

Tất nhiên, nếu có thể biết rõ phải/trái/trắng/đen, và người nắm giữ quyền kiểm soát ngôn luận là người luôn làm đúng, thì thế giới này đã có thể lọc ra được chỉ toàn lời hay ý đẹp. Tiếc là tính đúng/sai thường rất tương đối, và con người thường bất đồng với nhau ở nhiều mức độ, nên rủi ro quyền lực kiểm soát ngôn luận bị dùng cho mục đích dẹp bỏ toàn bộ ý kiến phản đối – ngay cả những ý kiến mang tính xây dựng cần thiết – là rất cao.

Khi còn bé, tôi đã từng hỏi một người chị lớn hơn nhiều tuối: “Chị ơi, nhưng nếu mình biết họ nói điều không đúng, thì tại sao vẫn để yên cho họ nói những điều không đúng?” Chị ấy trả lời rằng: “Thứ nhất, chưa chắc những gì em biết là đúng. Thứ hai, hãy để tin tốt/tin thật lấn át tin xấu/tin giả.” Và câu trả lời ấy thay đổi suy nghĩ của tôi về vấn đề này cho đến nay. Đúng, tôi viết những điều này khi tin giả là vấn nạn tràn lan, và vấn nạn càng nguy hiểm hơn khi người ta thường chỉ tin vào tin đầu tiên mình thấy online mà không tìm hiểu sâu xa hơn.

Nhưng hãy để tin thật lấn át tin giả, tin tốt lấn át tin xấu; để việc đào tạo kĩ năng tìm hiểu và chống tin giả là lời giải, hơn là trao quyền lực kiểm soát vào tay một nhóm cụ thể. Đã là quyền lực thì luôn rất dễ bị lạm dụng.

Châu Thanh Vũ Harvard, 6/7/2018

Featured Image: Photo by Florian Olivo on Unsplash

Theo như tôi được biết, thì trường đây thuật ngữ ” an ninh mạng” đã được giải thích tại Thông tư 31/2015/TT-NHNN. Mặt khác, vừa qua tôi lại được biết Quốc hội đã thông qua Luật An ninh mạng quy định về lĩnh vực an ninh mạng. Tôi có thắc mắc, vậy Luật An ninh mạng mới có giải thích về thuật ngữ “An ninh mạng” không? Nếu có thì được giải thích như thế nào? Mong các bạn giải đáp giúp tôi. Xin cảm ơn!

Theo quy định tại Khoản 1 Điều 2 Luật An ninh mạng 2018 (Có hiệu lực thi hành từ ngày 01/01/2019) thì khái niệm An ninh mạng được quy định cụ thể như sau:

An ninh mạng là sự bảo đảm hoạt động trên không gian mạng không gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

Trong quá trình hoạt động bảo vệ an ninh mạng phải đảm bảo các nguyên tắc sau:

– Tuân thủ Hiến pháp và pháp luật; bảo đảm lợi ích của Nhà nước, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

– Đặt dưới sự lãnh đạo của Đảng Cộng sản Việt Nam, sự quản lý thống nhất của Nhà nước; huy động sức mạnh tổng hợp của hệ thống chính trị và toàn dân tộc; phát huy vai trò nòng cốt của lực lượng chuyên trách bảo vệ an ninh mạng.

– Kết hợp chặt chẽ giữa nhiệm vụ bảo vệ an ninh mạng, bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia với nhiệm vụ phát triển kinh tế – xã hội, bảo đảm quyền con người, quyền công dân, tạo điều kiện cho cơ quan, tổ chức, cá nhân hoạt động trên không gian mạng.

– Chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, làm thất bại mọi hoạt động sử dụng không gian mạng xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; sẵn sàng ngăn chặn các nguy cơ đe dọa an ninh mạng.

– Triển khai hoạt động bảo vệ an ninh mạng đối với cơ sở hạ tầng không gian mạng quốc gia; áp dụng các biện pháp bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia.

– Hệ thống thông tin quan trọng về an ninh quốc gia được thẩm định, chứng nhận đủ điều kiện về an ninh mạng trước khi đưa vào vận hành, sử dụng; thường xuyên kiểm tra, giám sát về an ninh mạng trong quá trình sử dụng và kịp thời ứng phó, khắc phục sự cố an ninh mạng.

– Mọi hành vi vi phạm pháp luật về an ninh mạng phải được xử lý kịp thời, nghiêm minh.

Trân trọng!

Đến nay vẫn có rất nhiều độc giả chưa biết Luật an ninh là gì, quy định cụ thể như thế nào. Điều này cũng rất dễ hiểu, bộ luật này mới được quy định và chính thức có hiệu lực từ đầu năm 2019 vừa rồi.

Luật An ninh mạng là gì?

Phạm vi của luật An ninh mạng

Luật An ninh mạng bao gồm tất cả các mạng về cơ sở hạ tầng CNTT, viễn thông, Internet, hệ thống máy tính, cơ sở dữ liệu, xử lý thông tin, hệ thống lưu trữ và kiểm soát và điều chỉnh các hoạt động của mọi doanh nghiệp cung cấp dịch vụ trong không gian mạng và người dùng Internet bao gồm thương mại điện tử, trang web, diễn đàn trực tuyến, mạng xã hội và blog.

Luật An ninh mạng áp đặt các nghĩa vụ khác nhau đối với người vận hành hệ thống thông tin. Theo Luật An toàn thông tin mạng theo đó, người vận hành hệ thống thông tin có nghĩa là bất kỳ cơ quan, tổ chức hoặc cá nhân nào có quyền quản lý trực tiếp đối với hệ thống thông tin.

Luật An ninh mạng trong quy định hệ thống thông tin

Luật An ninh mạng phân loại các hệ thống thông tin thành:

các hệ thống thông tin quan trọng đối với an ninh quốc gia

các hệ thống không thuộc Hệ thống thông tin quan trọng (Hệ thống thông tin không quan trọng).

Hệ thống thông tin không quan trọng: mặc dù không được xác định rõ ràng, nên là bất kỳ hệ thống thông tin nào được quản lý bởi các tổ chức và doanh nghiệp tư nhân.

Hành vi bị cấm trên không gian mạng theo luật an ninh mạng

Sử dụng không gian mạng, CNTT và phương tiện điện tử để vi phạm luật pháp về an ninh quốc gia, trật tự và an toàn xã hội;

Tổ chức, kích hoạt, thông đồng, xúi giục, mua chuộc, lừa đảo hoặc lừa đảo, thao túng, đào tạo hoặc xúi giục, kêu gọi người để chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam;

Lịch sử xuyên tạc, phủ nhận thành tựu cách mạng, phá hủy khối đoàn kết dân tộc, tiến hành các hành vi phạm tội chống tôn giáo, phân biệt giới tính hoặc các hành vi phân biệt chủng tộc;

Cung cấp thông tin sai lệch, gây nhầm lẫn trong công dân, gây tổn hại cho các hoạt động kinh tế xã hội, gây khó khăn cho hoạt động của các cơ quan nhà nước hoặc của người thực hiện công vụ, hoặc xâm phạm quyền và lợi ích hợp pháp của các cơ quan, tổ chức, cá nhân khác;

Các hoạt động là mại dâm, tệ nạn xã hội hoặc buôn bán người; công bố thông tin là dâm dục, đồi trụy hoặc hình sự; hoặc phá hủy các truyền thống và phong tục tốt đẹp của người dân, đạo đức xã hội hoặc sức khỏe của cộng đồng; và

Kích động, dụ dỗ hoặc kích hoạt người khác phạm tội.

Luận An ninh mạng giám sát hệ thống thông tin

Hệ thống thông tin quan trọng: Hệ thống thông tin quan trọng phải được các cơ quan có thẩm quyền đánh giá và chỉ có thể được đưa vào hoạt động sau khi được chứng nhận là đáp ứng các điều kiện an ninh mạng. Hệ thống thông tin quan trọng có thể được kiểm tra một cách thường xuyên hoặc khi xảy ra một sự kiện được quy định theo luật này. Các nhà điều hành của Hệ thống thông tin quan trọng chịu trách nhiệm giám sát các hệ thống, xây dựng cơ chế cảnh báo tự động và nhận các cảnh báo về các mối đe dọa đối với an ninh mạng và lập kế hoạch đối phó với các tình huống đó.

Hệ thống thông tin không quan trọng: Hệ thống thông tin không quan trọng có thể bị Lực lượng đặc nhiệm an ninh mạng đặt dưới sự kiểm tra an ninh mạng khi vi phạm luật an ninh mạng vi phạm an ninh quốc gia hoặc gây thiệt hại nghiêm trọng cho trật tự và an toàn xã hội. Lực lượng đặc nhiệm an ninh mạng có thể tiến hành kiểm tra sau khi gửi thông báo bằng văn bản ít nhất 12 giờ trước khi kiểm tra cho quản trị viên của Hệ thống thông tin không quan trọng. Các thành phần được kiểm tra bao gồm phần mềm, phần cứng, thiết bị kỹ thuật số; dữ liệu được lưu trữ, xử lý và chuyển giao trong hệ thống; và phương pháp bảo vệ bí mật nhà nước.

Như vậy, Luật An ninh mạng không đặt ra cơ sở và thủ tục rõ ràng để xác định có vi phạm Luật An ninh mạng hay không. Ví dụ, Luật An ninh mạng 2018 cấm sử dụng không gian mạng để bóp méo lịch sử, phủ nhận thành tích cách mạng, phá hủy khối đoàn kết dân tộc, tiến hành phạm tội chống lại tôn giáo, phân biệt giới tính hoặc hành vi phân biệt chủng tộc. Sẽ rất khó và có thể tranh cãi để xác định một hành động là xuyên tạc lịch sử và do đó vi phạm điều khoản đó. Do đó, các quy định có thể tạo ra sự không chắc chắn cho các doanh nghiệp cung cấp dịch vụ trong không gian ảo và giữ dữ liệu của khách hàng trong quá trình cung cấp dịch vụ.

Luật an ninh mạng sẽ giám sát nội dung

Tất cả các trang web, cổng hoặc trang chuyên biệt trên mạng xã hội của các cơ quan, tổ chức và cá nhân không được cung cấp, tải lên hoặc truyền thông tin với tuyên truyền chống lại Nhà nước, kích động bạo loạn, hoặc phá vỡ an ninh hoặc gây rối trật tự công cộng, gây bối rối hoặc gây ra sự xấu hổ hoặc vi phạm lệnh quản lý kinh tế (nội dung bị cấm);

Để xác minh đăng ký tài khoản của người dùng và cung cấp thông tin của người dùng khi nhận được yêu cầu bằng văn bản từ các cơ quan có thẩm quyền về an ninh mạng;

Để ngăn chặn việc chia sẻ thông tin và xóa nội dung bị cấm trong vòng 24 giờ sau khi nhận được yêu cầu bởi Luật an ninh sẽ ngay lập tức điều tra và ngừng cung cấp dịch vụ cho các tổ chức và cá nhân tải lên thông tin bị cấm.

Người quản trị mạng có thể rất khó khăn và tốn kém khi xác định và lọc nội dung bị cấm vì một số trong số đó không rõ ràng. Ví dụ, Luật An ninh mạng 2018 xác định thông tin đang tuyên truyền chống lại Nhà nước để bao gồm nội dung:

(i) xuyên tạc hoặc phỉ báng các cơ quan hành chính nhân dân;

(ii) khởi xướng chiến tranh tâm lý, kích động chiến tranh xâm lấn, gây chia rẽ hoặc thù hận giữa các nhóm sắc tộc, tôn giáo và người dân của tất cả các quốc gia;

(iii) xúc phạm người dân, quốc kỳ, quốc huy, quốc ca, đại nhân, lãnh đạo, người nổi tiếng hoặc anh hùng dân tộc.

Khi đọc những hạn chế này, người ta có thể bị nhầm lẫn, ví dụ: Ai được coi là người vĩ đại? Hồi giáo, lãnh đạo, người nổi tiếng hay anh hùng dân tộc?

Liệu một nghiên cứu công khai mới với một quan điểm khác về thành tích của một anh hùng dân tộc Hồi giáo có thể được coi là xúc phạm người anh hùng dân tộc Hồi giáo? quy định này có thể tước quyền của người dân để chỉ trích sự lãnh đạo và quản trị của một hệ thống hành chính hoặc một số quan chức của hệ thống đó?

Thực thi luật an ninh mạng

Các lực lượng chuyên trách chịu trách nhiệm thi hành Luật An ninh mạng (Lực lượng đặc nhiệm an ninh mạng) sẽ được bổ nhiệm thuộc Bộ Công an và Bộ Quốc phòng. Lực lượng đặc nhiệm an ninh mạng có sức mạnh rộng lớn theo Luật An ninh mạng với sự giám sát hạn chế. Ví dụ, Lực lượng đặc nhiệm an ninh mạng không bắt buộc phải tuân theo các quy trình tương tự như các Quy trình tố tụng hình sự để tiến hành kiểm tra hệ thống thông tin hoặc thu thập dữ liệu người dùng và không bắt buộc phải giữ bí mật thông tin mà họ đang thu thập.

Theo Luật An ninh mạng 2018, hậu quả của việc vi phạm luật về an ninh mạng có thể ở các hình thức kỷ luật, trách nhiệm hành chính hoặc hình sự.

Các yêu cầu của Luật An ninh mạng có thể làm tăng chi phí, trách nhiệm tuân thủ và đặt ra một vấn đề nan giải cho các nhà cung cấp dịch vụ giữa tuân thủ và bảo vệ dữ liệu khách hàng. Nhiều yêu cầu trong Luật An ninh mạng sẽ phải chịu sự hướng dẫn thêm của Chính phủ. Do đó, các tổ chức và cá nhân bị ảnh hưởng nên tiếp tục tuân theo các hướng dẫn luật an ninh mạng để chấp hành tốt nhất.