Ai nên chịu trách nhiệm cho những vụ tấn công mạng?

VietTimes – Quá trình phát triển của công nghệ, đặc biệt là cuộc cách mạng công nghiệp 4.0 đã đặt ra nhu cầu thiết yếu phải bảo vệ dữ liệu. Những cuộc tấn công mạng gây thiệt hại cho các cá nhân và tổ chức xảy ra ngày một nhiều, gây thiệt hại nặng nề. Vậy trách nhiệm bảo vệ an ninh mạng thuộc về ai: chính phủ, tổ chức, hay cá nhân?

Thực trạng đáng báo động

Ai nên chịu trách nhiệm cho những vụ tấn công mạng? ảnh 1 Theo thống kê của công ty bảo mật Symantec, Việt Nam nằm trong 10 quốc gia bị tấn công mạng nhiều nhất. Nguồn: Symantec

Năm 2017, Việt Nam ghi nhận hơn 11.000 vụ tấn công mạng dưới các hình thức khác nhau. Chỉ riêng thời gian diễn ra Hội nghị APEC, phát hiện 27 cuộc tấn công có chủ đích vào các hệ thống máy chủ, trung tâm báo chí, 17 lỗ hổng và hàng ngàn cuộc gọi có nguy cơ bị tấn công.

Hiện có 41% cơ quan, tổ chức trên toàn quốc không thực hiện đáng giá rủi ro, không phát hiện nguy cơ mã độc tiềm ẩn trong hệ thống; 51% không có quy trình phản chuẩn đề phản ứng, xử lý khi xảy ra sự cố; 73% chưa triển khai các biện pháp an toàn thông tin…

Trách nhiệm không của riêng ai

Đây là vấn đề Bộ trưởng Bộ TT&TT, Trương Minh Tuấn đã đề xuất trong buổi trả lời chất vấn Quốc hội hồi tháng 11/2017. Ông Tuấn cho rằng: “Vấn đề an ninh mạng là trách nhiệm của mỗi cá nhân, gia đình và tổ chức”.

Ai nên chịu trách nhiệm cho những vụ tấn công mạng? ảnh 2 Giám đốc Chính sách an ninh mạng Facebook ông Nathaniel J. Gleicher phát biểu trong Hội thảo Kinh tế số và chính sách an ninh mạng tại Việt Nam tổ chức 29/3 tại Hà Nội

Phát biểu trong Hội thảo Kinh tế số và chính sách an ninh mạng tại Việt Nam tổ chức 29/3, Giám đốc Chính sách an ninh mạng Facebook ông Nathaniel J. Gleicher nhận định: “An ninh mạng là trách nhiệm của cả cộng đồng. Để giải quyết tất cả các vấn đề, thúc đẩy kinh tế số, đảm bảo an ninh mạng tốt hơn cần sự phối hợp chặt chẽ của tất cả mọi người”.

Tại Mỹ, quốc gia có hệ thống an ninh mạng lâu đời, mạnh mẽ và hiệu quả nhất thế giới, Chính phủ liên bang Mỹ đã sớm ban hành 3 đạo luật quan trọng gồm: Đạo luật về trách nhiệm giải trình và khả năng chuyển đổi bảo hiểm sức khỏe (Health Insurance Portability and Accountability Act – HIPAA) năm 1996; Đạo luật Gramm-Leach-Bliley năm 1999; Đạo luật an ninh nội địa (Homeland Security Act) năm 2002.

Ba đạo luật trên yêu cầu các tổ chức và cơ quan phải bảo vệ hệ thống và dữ liệu của họ. Tuy nhiên, các quy định này không khả thi trong việc bảo mật dữ liệu và chỉ yêu cầu một mức độ bảo mật “hợp lý”, không đề cập đến một số lượng lớn các ngành công nghiệp liên quan đến máy tính như các nhà cung cấp dịch vụ Internet, các công ty công nghệ.

Chính vì vậy, các nhà chức trách Mỹ phải bổ sung quy định mới về an ninh mạng đồng thời sửa đổi các quy định cũ đảm bảo không gian mạng an toàn, chặt chẽ và cụ thể hơn. Ngoài ra, chính quyền các tiểu bang Mỹ cũng thi hành thêm các biện pháp tăng cường bảo mật. Năm 2003, California đã thông qua đạo luật Thông báo vi phạm an ninh nhằm quy định các công ty đang giữ thông tin cá nhân của cư dân California khi gặp hành vi xâm phạm an ninh mạng phải tiết lộ chi tiết về vụ việc đó. Quy định các công ty sẽ bị phạt khi không bảo vệ được hệ thống an ninh của mình và để xảy ra vi phạm an ninh mạng, đồng thời cho phép công ty tự lựa chọn phương thức bảo vệ cho hệ thống của mình.

Đầu năm ngoái, đạo luật An ninh mạng của chính quyền thành phố New York đã xác định ngành dịch vụ tài chính là mục tiêu chủ yếu của các cuộc tấn công an ninh mạng. Cơ quan dịch vụ tài chính của New York thực hiện giám sát sát sao các nguy cơ đe dọa hệ thống tài chính, thông tin quốc gia, tổ chức khủng bố và cá nhân có hành vi phạm tội. Tội phạm an ninh mạng có thể khai thác các lỗ hổng để truy cập đến dữ liệu thông tin nhạy cảm và gây ra những thiệt hại tài chính nặng nề. Các cơ quan, tổ chức hoặc người dân New York có nguy cơ bị tiết lộ hoặc bị đánh cắp thông tin vì mục đích bất hợp pháp. Đạo luật này được đưa ra nhằm thúc đẩy sự bảo vệ thông tin của người dùng và hệ thống công nghệ thông tin của các đối tượng được quy định trong luật.

Bà Đỗ Hải Anh, Phó trưởng phòng, Phòng Chính sách & Hợp tác Quốc tế, Cục An toàn thông tin cho biết: “Tại Việt Nam, Quốc hội đã ban hành Luật An toàn thông tin năm 2015. Trong chương 2 của Luật đã có quy định bảo vệ thông tin cá nhân về cung cấp, thu thập, chia sẻ thông tin. Trách nhiệm của cơ quan nhà nước cũng đã được quy định. Tiếp theo Luật, Bộ Thông tin & Truyền thông đã có Nghị định sửa đổi của Nghị định 174 về chế tài xử phạt. Bộ đã bổ sung các quy định về các vi phạm nói chung và vi phạm sự riêng tư, tạo thêm hành lang pháp lý. Cục ATTT sẽ xem xét trình lãnh đạo Bộ xây dựng 1 hệ thống kênh trực tuyến để trao đổi, chia sẻ cung cấp các vấn đề còn thắc mắc, hoặc thông tin mà cơ quan nhà nước cần hỗ trợ”.

Mỹ là quốc gia có nền công nghệ phát triển bậc nhất trên thế giới và đã mất hàng chục năm để xây dựng chính sách an ninh mạng. Vì vậy, rất khó để Việt Nam có thể đưa ra chính sách vừa ngăn chặn tất cả vụ tấn công mạng, vừa tuân thủ quy chuẩn quốc tế (như ISO 27001) mà vẫn không làm mất đi tính tự do của không gian mạng.

Internet mang lại nhiều lợi ích nhưng nó cũng đem đến vấn đề cấp bách về bảo mật. Hiện tại các chính sách chỉ hạn chế được một phần. Trong khi mối quan tâm lớn nhất của các cơ quan, tổ chức là tìm kiếm và vá lỗ hổng tồn tại trên hệ thống thì người dùng cần tự có trách nhiệm đối với dữ liệu chia sẻ trên mạng Internet.

Chỉ an toàn khi làm chủ được công nghệ

Thách thức lớn nhất đối với các quốc gia là phải liên tục thay đổi để thích nghi với sự bùng nổ của Internet Vạn Vật (IoT). Theo một thống kê tại Việt Nam, cứ 2 phút lại có 1 thiết bị có kết nối mạng bị tấn công. Các camera giám sát bị tấn công mà các doanh nghiệp, cá nhân không hề biết.

Đồng tình với vấn đề này, ông N.Gleicher cho biết: “Mạng lưới Internet ngày nay đã trở nên phức tạp hơn rất nhiều so với 1-2 thập kỷ trước, liên quan đến vô số người dùng và thiết bị. Với kết nối rộng rãi chắc chắn bất cứ ai cũng có thể là mục tiêu tấn công của tin tặc. Người dùng phải tự nhận thức về rủi ro trên không gian mạng”.

fig come hereNgười lái xe ô tô cần phải biết sửa dù không nhất thiết là thợ cơ khí Nathaniel J. Gleicher, Giám đốc Chính sách an ninh mạng Facebook

Theo ông N.Gleicher, các phương thức tấn công chủ yếu mà các tin tặc thường sử dụng có thể chia thành hai loại là: “Tấn công tức thời và dai dẳng. Trong khi các vụ tấn công tức thời, mã độc được lan truyền với tốc độ cao thì các vụ tấn công dai dẳng thường tốn rất nhiều thời gian để hình thành nên mối đe dọa. Tuy đối lập nhưng chúng đều để lại hậu quả nghiêm trọng. Và cách hiệu quả nhất để hạn chế các cuộc tấn công mạng là nâng cao hiểu biêt của người dùng”.

Tại buổi tọa đàm, bà Hải Anh đề cập tới một vấn đề khác là Big Data có trên các hệ thống Đám mây không đặt ở Việt Nam vì vậy Bộ “đã gặp khăn và phải điểu chỉnh, sửa đổi Luật Công nghệ thông tin để đưa ra các biện pháp đảm bảo an ninh”. Bà nói thêm:

Bà Đỗ Hải Anh, Phó trưởng phòng, Phòng Chính sách & Hợp tác Quốc tế, Cục An toàn thông tin (áo xanh) chia sẻ những thách thức trong quá trình thúc đẩy an ninh mạng tại Việt Nam. Nguồn: VT Bà Đỗ Hải Anh, Phó trưởng phòng, Phòng Chính sách & Hợp tác Quốc tế, Cục An toàn thông tin (áo xanh) chia sẻ những thách thức trong quá trình thúc đẩy an ninh mạng tại Việt Nam. Nguồn: VT

”Đảm bảo an toàn thông tin cần sự phối hợp của nhiều chủ thể. Trong những năm gần đây, cơ quan nhà nước quan tâm tới an ninh mạng nhưng lại sử dụng nền tảng nước ngoài và do thám tại Việt Nam. Mỹ từng cáo buộc Kaspersky thực hiện hành vi do thám. Liệu các doanh nghiệp Việt Nam đã đáp ứng yêu cầu này chưa? ”

Chỉ riêng về mạng xã hội, nhiều doanh nghiệp Việt Nam đã tham vọng cạnh tranh với Facebook, Goolge nhưng do tiềm lực tài chính kém nên đã đóng cửa sau khi hoạt động chỉ một thời gian ngắn. Hiện có Zalo  đạt 80 triệu tài khoản đăng ký nhưng so với các dịch vụ nước ngoài thì con số đó vẫn rất khiêm tốn.

Ông Bùi Quang Minh, CEO Công ty cổ phẩn an toàn thông tin MVS cho biết rất khó để đáp ứng nhu cầu an ninh mạng tại Việt Nam: “Về mặt công nghệ, có rất nhiều giải pháp bảo mật sản xuất và phân phối tại Việt Nam. Các giải pháp đã có đủ nhưng khó nằm ở năng lực tài chính và cách vận hành của từng doanh nghiệp.

Các doanh nghiệp lớn đào tạo nhiều nhưng không đủ vì mỗi ngành nghề yêu cầu kỹ sư mạng khác nhau. Thiếu thì đào tạo thêm nhưng công tác đào tạo cũng kém. Khái niệm dữ liệu riêng tư dần không còn phù hợp. Bản thân doanh nghiệp phải nhận thức bảo vệ dữ liệu cá nhân không chỉ vì bản thân mà còn vì doanh nghiệp”.

Thay cho kời kết

Dựa trên kinh nghiệm làm việc trong lĩnh vực an ninh mạng, ông N.Gleicher đã chia sẻ 4 tôn chỉ để giúp Việt Nam thúc đẩy an ninh mạng là: “Rò ràng, linh hoạt, nhất quán và hợp tác”. Trong đó, chính phủ, doanh nghiệp và cá nhân đều có trách nhiệm và phải phối hợp chặt chẽ để xây dựng không gian mạng an toàn, trở thành điểm tựa vững chắc để phát triển nền kinh tế số.