* Bài viết thuộc phần 1 của series "Luật An ninh mạng ở các nước Âu Mỹ"
Vụ mã độc tống tiền Wannacry vào tháng 5 năm nay không phải là trường hợp tấn công mạng đầu tiên được ghi nhận trong lịch sử, sự trỗi dậy của Internet và những công nghệ mới đã dẫn tới sự hình thành một loại hình tội phạm mới – tội phạm mạng – điều mà chúng ta không hề mong đợi chỉ trong vòng một thập kỷ trước. “Nhờ” vào vấn đề cấp bách này, không chỉ một mà nhiều bộ luật an ninh mạng đã ra đời trên khắp các quốc gia để bảo vệ công dân và các doanh nghiệp trước những mối nguy bằng tất cả khả năng mà họ có.
An ninh mạng là gì?
Theo từ điển trích dẫn trong Phát kiến quốc gia về sự nghiệp và nghiên cứu an ninh mạng (NICCS), An ninh mạng được định nghĩa là “hoạt động hoặc quá trình, khả năng, hay trạng thái mà theo đó thông tin, hệ thống thông tin liên lạc và thông tin chứa trong đó được bảo vệ khỏi và/hoặc bảo vệ chống lại thiệt hại, sự sử dụng trái phép hoặc sửa đổi, khai thác”.
Điều đó có nghĩa là An ninh mạng bao gồm các giải pháp được thiết kế để bảo vệ người dùng máy tính và các công ty vận hành trên Internet. Trong thực tế, An ninh mạng là một phần trong khái niệm rộng hơn được gọi là An ninh thông tin – mục tiêu mà nó hướng đến là bảo vệ thông tin kỹ thuật số khỏi các hệ thống được kết nối với nhau.
Dưới đây là một số khái niệm khác có mối liên hệ mật thiết với vấn đề an ninh mạng:
Tội phạm mạng: bao gồm tất cả các hành vi phạm tội được thực hiện thông qua Internet
Hiểm họa mạng: Khả năng gây tổn hại đến các tổ chức và người dùng thông qua Internet.
Không gian mang: Thực tế mô phỏng áp dụng trong máy tính và mạng kỹ thuật số tồn tại trên toàn cầu, đây là một khái niệm rộng hơn nhiều so với Internet.
Nói ngắn gọn, An ninh mạng ra đời nhằm bảo vệ chúng ta chống lại các cuộc tấn công hoặc các hành động bất hợp pháp của các bên thứ ba trên mạng Internet.
Hành vi, đối tượng nào bị quy kết là tội phạm mạng?
Hành vi phạm pháp có thể là bất cứ thứ gì từ lừa đảo online, đưa virus máy tính vào hệ thống máy tính của một công ty nào đó, ăn cắp thông tin tài khoản và mật khẩu người dùng trên một nền tảng nhất định, tuyên truyền những điều dối trá về một người nào đó hoặc thậm chí mạo danh hay đánh cắp danh tính.
Danh sách các hành vi bị coi là phạm pháp được trích trong Bộ Pháp điển Hoa Kỳ bao gồm trộm cắp danh tính, hack, xâm nhập vào các hệ thống máy tính, khiêu dâm trẻ em, vi phạm sở hữu trí tuệ. Ngoài ra, luật ở các tiểu bang của Mỹ có thể áp đặt thêm tội và một số tội chồng chéo khác.
Luật pháp của Liên minh châu Âu EU có định nghĩa hạn chế hơn về những hành vi cấu thành tội phạm mạng bao gồm: truy cập bất hợp pháp, can thiệp hệ thống bất hợp pháp, can thiệp dữ liệu bất hợp pháp, ngăn chặn bất hợp pháp
Do đó, an ninh mạng bao gồm nhiều đối tượng liên quan đến pháp luật hình sự và dân sự và việc bảo vệ danh dự hoặc tính riêng tư như thế giới thực. Điều cần được quan tâm ở đây là chiều trực tuyến,nơi mà những hành động bất hợp pháp được tạo ra và những tác động xảy ra trong thế giới kỹ thuật số.
Hoa Kỳ & Luật pháp an ninh mạng
An ninh mạng được cấu thành từ một tập hợp nhiều luật lệ, lý do là bởi không có một luật lệ duy nhất nào có thể quản lý tất cả mọi thứ. Hãy cùng VietTimes tìm hiểu sơ lược về một số bộ luật an ninh mạng tồn tại ở cường quốc Hoa Kỳ và Liên minh châu Âu EU.
Luật của chính quyền Liên bang
Có rất ít các luật an ninh mạng liên bang, và các luật hiện thời tập trung vào các ngành cụ thể. Có 3 đạo luật an ninh mạng chính đó là Đạo Luật về Quyền riêng tư trong lĩnh vực Y tế (HIPPA) năm 1996, Đạo Luật Gramm-Leach-Bliley trong lĩnh vực Tài chính năm 1999 và Đạo Luật An ninh nội địa năm 2002, trong đó bao gồm đạo luật Quản trị An ninh Thông tin Liên bang (FISMA).
Ba đạo luật này yêu cầu các tổ chức Y tế, thể chế tài chính và các cơ quan liên bang phải bảo vệ các hệ thống và thông tin của họ. Ví dụ, FISMA, đạo luật áp dụng cho mọi cơ quan của chính quyền Liên bang “yêu cầu sự phát triển và áp dụng các chính sách bắt buộc, các nguyên tắc, các tiêu chuẩn và các hướng dẫn về an ninh thông tin”. Tuy nhiên, những luật này lại không giải quyết được vấn đề của các ngành khác liên quan tới máy tính chẳng hạn như ngành cung cấp dịch vụ Internet (ISPs) và ngành phần mềm. Hơn thế nữa, những đạo luật này không chỉ rõ những biện pháp an ninh mạng nào phải được áp dụng và yêu cầu chỉ một mức độ an ninh hợp lý.Ngôn ngữ mơ hồ của những đạo luật này khiến người ta hiểu theo nhiều cách khác nhau. Bruce Scheier, nhà sáng lập của Công ty An ninh mạng Counterpane cho rằng các công ty sẽ không đầu tư đủ vào vấn đề an ninh mạng trừ khi chính quyền bắt họ phải làm vậy. Ông ấy cũng nói rằng các vụ tấn công mạng thành công vào hệ thống mạng của chính quyền vẫn xảy ra bất chấp những nỗ lực của họ.
Có ý kiến cho rằng Đạo luật Quản lý chất lượng dữ liệu đã cung cấp cho Cục Quản lý Ngân sách và Hành chính Hoa Kỳ thẩm quyển theo luật định để áp dụng luật bảo vệ cơ sở hạ tầng chủ chốt thông qua quá trình ban hành Đạo Luật về thủ tục hành chính. Ý tưởng này đã không được xem xét đầy đủ và sẽ yêu cầu phân tích pháp lý bổ sung trước khi việc ban hành luật có thể bắt đầu.
Luật của chính quyền tiểu bang
Chính quyền các bang đã cố gắng để cải thiện an ninh mạng bằng cách tăng tầm nhìn chung của các doanh nghiệp về vấn đề an ninh mạng yếu kém. Vào năm 2003, California đã thông qua Đạo luật Khai báo lỗ hổng An ninh mạng yêu cầu bất kỳ công ty nào giữ thông tin cá nhân của công dân California và có lỗ hổng an ninh mạng phải báo cáo chi tiết vụ việc này. Thông tin cá nhân này bao gồm tên, số an sinh xã hội, số giấy phép lái xe, số thẻ tín dụng hoặc thông tin tài chính. Một số tiểu bang khác đã làm theo California và thông qua đạo luật này. Các Đạo luật khai báo lỗ hổng an ninh này trừng phạt các công ty vì thất bại trong việc bảo vệ an ninh mạng của họ đồng thời cho họ tự do lựa chọn cách đảm bảo mật hệ thống của họ. Ngoài ra, quy định này sẽ tạo ra một động lực cho các công ty tự nguyện đầu tư vào an ninh mạng để tránh khả năng mất danh tiếng và thiệt hại kinh tế có thể đến từ một cuộc tấn công mạng.
Năm 2004 Cơ Quan Lập Pháp California thông qua Dự luật California 1950 cũng áp dụng cho các doanh nghiệp sở hữu hoặc giữ thông tin cá nhân cho cư dân California. Dự luật này yêu cầu các doanh nghiệp duy trì một mức độ hợp lý về an ninh và những biện pháp bảo mật cần thiết này cũng mở rộng tới các đối tác kinh doanh. Đây là một sự cải tiến trên các tiêu chuẩn liên bang vì nó mở rộng số lượng doanh nghiệp cần thiết để duy trì một tiêu chuẩn chấp nhận được về an ninh mạng. Tuy nhiên, giống như pháp luật liên bang, nó đòi hỏi một mức độ an ninh mạng hợp lý và khiến người ta hiểu theo nhiều cách khác nhau cho đến khi án lệ được thiết lập.
Các Dự luật đề xuất
Quốc hội Mỹ đã đề xuất rất nhiều dự luật mở rộng luật an ninh mạng. Đạo luật An ninh và Khai báo dữ liệu tiêu dùng sửa đổi Đạo luật Gramm-Leach-Bliley để yêu cầu khai báo lỗ hổng bảo mật của các thể chế tài chính. Các nghị sĩ cũng đã đề xuất “mở rộng Gramm-Leach-Bliley cho tất cả các ngành công nghiệp động chạm tới thông tin tài chính của người tiêu dùng, bao gồm bất kỳ công ty nào chấp nhận thanh toán bằng thẻ tín dụng”. Quốc hội đã đề xuất các đạo luật an ninh mạng tương tự như Đạo luật California Thông báo về lỗ hổng bảo mật cho các công ty giữ thông tin cá nhân của người dùng. Đạo luật Bảo vệ và bảo mật thông tin yêu cầu các nhà môi giới dữ liệu phải “đảm bảo độ chính xác dữ liệu và bảo mật, xác thực và theo dõi người dùng, phát hiện và ngăn chặn hoạt động trái phép, và giảm thiểu tác hại đến các cá nhân”.
Ngoài việc đòi hỏi các công ty cải thiện an ninh mạng, Quốc hội cũng đang xem xét dự luật về các cuộc tấn công mạng bất hợp pháp. Đạo luật bảo vệ an toàn bản thân khỏi xâm phạm mạng (Đạo luật SPY) là một dự luật thuộc loại này. Dự luật này tập trung vào các vấn đề như lừa đảo và phần mềm gián điệp đã được thông qua vào ngày 23 tháng 5 năm 2005 tại Hạ viện Hoa Kỳ, nhưng đã bác bỏ tại Thượng viện. Dự luật này “coi việc sử dụng trái phép một máy tính để giành quyền kiểm soát nó, sửa đổi thiết lập của nó, thu thập hoặc xúi giục các chủ sở hữu tiết lộ những thông tin cá nhân, cài đặt phần mềm không mong muốn, và làm xáo trộn an ninh, chống phần mềm gián điệp, hoặc phần mềm chống virus là bất hợp pháp”.
Vào tháng 7 năm 2012, Đạo luật An ninh Mạng đã được đề xuất bởi Thượng nghị sĩ Joseph Lieberman và Susan Collins. Dự luật này sẽ có yêu cầu việc tự nguyện tạo ra “tiêu chuẩn thực hành tốt nhất” để bảo vệ cơ sở hạ tầng chủ chốt khỏi các cuộc tấn công mạng, trong đó các doanh nghiệp sẽ được khuyến khích áp dụng thông qua những động lực như bảo vệ trách nhiệm pháp lý. Dự luật đã được đưa vào một cuộc bỏ phiếu tại Thượng viện nhưng lại không được thông qua. Tổng thống Obama đã lên tiếng ủng hộ cho Đạo luật này trong một bài viết được đăng trên Nhật báo phố Wall và nó cũng nhận được sự ủng hộ từ các quan chức trong quân đội và an ninh quốc gia trong đó có John O. Brennan, trưởng cố vấn chống khủng bố của Nhà Trắng.
Theo tờ The Washington Post, các chuyên gia cho rằng sự thất bại trong việc thông qua đạo luật này có thể khiến Hoa Kỳ “dễ bị tổn thương bởi những vụ hack tràn lan hoặc các vụ tấn công mạng nghiêm trọng”. Đạo luật này bị phản đối bởi các thượng nghị sĩ đảng Cộng hòa bao gồm John McCainwho, người mà lo ngại rằng việc thông qua các đạo luật là không có hiệu quả và có thể là một gánh nặng cho các doanh nghiệp. Sau cuộc bỏ phiếu Thượng viện, Thượng nghị sĩ đảng Cộng hòa Kay Bailey Hutchison nói rằng việc phản đối dự luật này không phải là một vấn đề đảng phái, mà vấn đề ở đây là Đạo luật này đã có cách tiếp cận không đúng với an ninh mạng. Cuộc bầu cử Thượng viện có 6 phiếu chống của Đảng Dân chủ, trong khi đó có 5 phiếu ủng hộ phía Đảng Cộng hòa. Những người chỉ trích dự luật bao gồm Phòng Thương mại Hoa Kỳ, nhóm ủng hộ bao gồm Liên minh tự do dân sự Mỹ và hội luật sư công cộng chuyên bảo vệ quyền tự do công dân cho người dùng máy tính (EFF), chuyên gia an ninh mạng Jody Westby và The Heritage Foundation, cả hai đều cho rằng mặc dù chính phủ không cần thiết có những động thái tác động lên an ninh mạng, dự luật năm 2012 đã có những thiếu sót trong cách tiếp cận và thể hiện “sự xâm phạm quá mức của quyền lực liên bang”.
Vào tháng 1 năm 2015, Cựu Tổng thống Obama đã công bố một Dự luật An ninh mạng mới. Đề xuất này đã được thực hiện trong một nỗ lực để chuẩn bị cho Mỹ trước sự bành trướng của tội phạm mạng. Trong dự luật này, Tổng thống Obama nêu ra ba nỗ lực chính để hướng tới một không gian mạng an toàn hơn đối với Mỹ. Nỗ lực chính đầu tiên nhấn mạnh tầm quan trọng của việc cấp phép chia sẻ thông tin an ninh mạng. Bằng cách này, đề xuất của Tổng thống Obama khuyến khích chia sẻ thông tin giữa chính phủ và khu vực tư nhân. Điều này sẽ cho phép chính phủ biết những hiểm họa mạng chính mà các công ty tư nhân đang phải đối mặt và sau đó sẽ cho phép chính phủ cung cấp bảo vệ trách nhiệm pháp lý đối với những công ty đã chia sẻ thông tin của họ. Hơn thế nữa, điều này sẽ cung cấp cho chính phủ ý tưởng tốt hơn về những gì nước Mỹ cần để bảo vệ chính mình.
Một nỗ lực chính khác đã được nhấn mạnh trong đề xuất này là để hiện đại hóa các cơ quan hành pháp để “trang bị” tốt hơn cho việc đối phó với tội phạm mạng bằng cách cung cấp những công cụ mà họ cần. Nó cũng sẽ cập nhật phân loại tội phạm không gian mạng và các hậu quả. Một trong những cách để điều này sẽ trở thành hiện thực là quy kết việc bán thông tin tài chính ra nước ngoài là phạm pháp. Một mục tiêu khác của nỗ lực này là việc khởi tố tội phạm mạng. Và nỗ lực lớn cuối cùng của Dự thảo luật này là yêu cầu các doanh nghiệp báo cáo việc xâm phạm dữ liệu người dùng nếu thông tin cá nhân của họ phải chịu hi sinh. Bằng cách yêu cầu các công ty phải làm như vậy, người dùng sẽ nhận thức được thời điểm mà dữ liệu cá nhân của họ đang trong tình trạng nguy cấp bị trôm cắp.
Một trong những điểm nổi bật của chương trình này bao gồm việc tạo ra một “Ủy ban về Tăng cường An ninh Mạng Quốc gia”. Mục đích của việc này là để tạo ra một Ủy ban bao gồm một nhóm đa dạng các nhà tư tưởng với các quan điểm có thể góp phần vào việc đưa ra khuyến nghị về cách tạo ra một an ninh mạng mạnh mẽ hơn cho khu vực công và tư nhân. Điểm nổi bật thứ hai của kế hoạch này là để thay đổi mảng IT của Chính phủ được an toàn hơn. Điểm nổi bật thứ ba của kế hoạch này là để cho người Mỹ hiểu biết về cách họ có thể bảo mật các tài khoản trực tuyến và tránh hành vi trộm cắp thông tin cá nhân của mình thông qua xác thực đa yếu tố. Và cuối cùng, Điểm nổi bật thứ tư của kế hoạch này là để tăng 35% số tiền đầu tư vào an ninh mạng trong năm 2017 so với năm 2016.