Phần 2: Liên minh châu Âu (EU)

Luật An ninh mạng ở các nước châu Âu và Mỹ

VietTimes – Tiếp tục series về luật an ninh mạng ở các nước châu Âu và Mỹ, trong phần 2 này chúng ta sẽ điểm qua một số bộ luật được ban hành để giải quyết vấn đề này của Liên minh châu Âu EU.
Luật An ninh mạng của Liên minh châu Âu EU (Ảnh: Global Risk Insights)
Luật An ninh mạng của Liên minh châu Âu EU (Ảnh: Global Risk Insights)
Bài viết thuộc phần 2 của series Luật An ninh mạng ở các nước châu Âu và Mỹ

Luật lệ về an ninh mạng của EU

Những tiêu chuẩn về an ninh mạng đã nhận được sự quan tâm đặc biệt trong kỷ nguyên kinh doanh được lèo lái bởi con thuyền công nghệ. Để tối đa hóa lợi nhuận của họ, các công ty tận dụng công nghệ bằng cách vận hành phần lớn hoạt động của mình thông qua internet. Vì có một số lượng lớn các rủi ro đòi hỏi các hoạt động liên mạng, điều quan trọng ở đây là các hoạt động đó phải được bảo vệ thông qua các luật lệ toàn diện và bao quát. Các luật lệ an ninh mạng hiện thời, mỗi luật lại chịu trách nhiệm cho các khía cạnh khác nhau của hoạt động kinh doanh và thường khác biệt tùy theo khu vực hoặc quốc gia nơi một doanh nghiệp hoạt động. Căn cứ vào sự khác biệt về mặt xã hội trong từng quốc gia, cơ sở hạ tầng và các giá trị, một tiêu chuẩn an ninh mạng với tính bao quát không là tối ưu cho mục đích giảm thiểu rủi ro. Trong khi tiêu chuẩn của Mỹ cung cấp một cơ sở cho việc vận hành, EU đã tạo ra một quy định phù hợp hơn cho các doanh nghiệp hoạt động đặc biệt trong Liên minh châu Âu. Bên cạnh đó, do Brexit, điều quan trọng cần phải xem xét ở đây là làm thế nào để Vương Quốc Anh chọn để tuân thủ các luật lệ như vậy.

Ba thành tố cấu tạo nên luật an ninh mạng trong EU bao gồm ENISA, Chỉ thị về An ninh mạng và An ninh thông tin (NIS) Tiêu chuẩn bảo vệ dữ liệu chung của EU (EU GDPR).

ENISA

ENISA, Cơ quan về an ninh mạng và an ninh thông tin của Liên minh châu Âu EU, là cơ quan quản lý mà ban đầu được thành lập bởi các Quy định (EC) số 460/2004 của Nghị viện Châu Âu và của Hội đồng Liên minh châu Âu vào ngày 10 Tháng 3 năm 2004 với mục đích nâng cao an ninh mạng và an ninh thông tin, chỉ thị về an ninh mạng và an ninh thông tin(NIS), sự nhận thức cho tất cả các hoạt động liên mạng bên trong EU. ENISA hiện thời hoạt động dưới Quy định (EU) số 526/2013 để thay thế các quy định ban đầu vào năm 2013. ENISA làm việc tích cực với tất cả các nước thành viên của Liên minh châu Âu để cung cấp một loạt các dịch vụ. Trọng tâm của các hoạt động của họ tập trung vào ba yếu tố chính sau:

- Khuyến nghị các nước thành viên về quá trình hành động đối với vi phạm an ninh mạng

- Xây dựng chính sách và hỗ trợ vấn đề thực hiện cho tất cả các thành viên EU

- Hỗ trợ trực tiếp - ENISA trực tiếp làm việc với các đội nhóm hoạt động bên trong EU

ENISA được tạo nên từ một Ban quản lý dựa vào sự hỗ trợ của Giám đốc Điều hành và một nhóm các bên liên quan thường trực. Tuy nhiên, phần lớn các hoạt động lại được điều hành bởi người đứng đầu các bộ phận khác nhau.

Luật An ninh mạng ở các nước châu Âu và Mỹ  ảnh 1ENISA - Cơ quan về an ninh mạng và an ninh thông tin của Liên minh châu Âu EU (Ảnh: Electronics Weekly)
ENISA đã phát hành các ấn phẩm khác nhau bao quát tất cả các vấn đề quan trọng liên quan đến an ninh mạng. Sáng kiến trong quá khứ và hiện tại của ENISA bao gồm: Chiến lược đám mây EU, các tiêu chuẩn mở trong Công nghệ Truyền thông Thông tin, Chiến lược An ninh mạng của EU và một  nhóm điều phối An ninh mạng. ENISA cũng bắt tay hợp tác với các tổ chức tiêu chuẩn quốc tế hiện thời như ISO và ITU.

Chỉ thị về An ninh mạng và An ninh thông tin (NIS)

Vào ngày 6 tháng 7 năm 2016, Nghị viện châu Âu đưa Chỉ thị về an ninh của mạng và hệ thống thông tin (chỉ thị NIS) thành chính sách. 

Chỉ thị này có hiệu lực vào tháng 8 năm 2016 và tất cả các quốc gia thành viên của Liên minh châu Âu được cho 21 tháng để tích hợp các luật lệ của chỉ thị này vào luật quốc gia riêng của họ. Mục đích của Chỉ thị NIS này là tạo ra một mức độ an ninh mạng tổng thể cao hơn trong EU. Chỉ thị này có ảnh hưởng đáng kể đến các nhà cung cấp dịch vụ kỹ thuật số, các công nghệ xử lý tín hiệu số (DSP) và các nhà khai thác dịch vụ thiết yếu (OES). Các nhà khai thác dịch vụ thiết yếu bao gồm bất kỳ tổ chức nào mà hoạt động của họ sẽ bị ảnh hưởng rất nhiều trong trường hợp có lỗ hổng an ninh mạng, miễn là họ tham gia vào các hoạt động xã hội hoặc kinh tế quan trọng. Cả DSP và OES hiện đang chịu trách nhiệm trong việc báo cáo các sự cố an ninh cho các đội phản ứng nhanh sự cố an ninh máy tính (CSIRTs) trong một phạm vi nhất định. Trong khi DSP không phải chịu những quy định ngặt nghèo như các nhà khai thác dịch vụ thiết yếu, DSP không được thiết lập trong EU nhưng vẫn hoạt động trong EU vẫn phải đối mặt với các quy định. Ngay cả khi DSP và OES thuê ngoài việc duy trì các hệ thống thông tin của họ cho bên thứ ba, Chỉ thị NIS vẫn bắt họ phải chịu trách nhiệm cho bất kỳ sự cố an ninh nào.

Luật An ninh mạng ở các nước châu Âu và Mỹ  ảnh 2Vào ngày 6 tháng 7 năm 2016, Nghị viện châu Âu đưa Chỉ thị về an ninh của mạng và hệ thống thông tin (chỉ thị NIS) thành chính sách. (Ảnh: Reveelium)
Các quốc gia thành viên của EU được yêu cầu phải tạo ra một chiến lược chỉ thị NIS bao gồm các đội CSIRTs nói trên bên cạnh các cơ quan có thẩm quyền quốc gia (NCAs) và các cơ quan điều phối (SPOCs). Những nguồn lực này được trao trách nhiệm xử lý vi phạm an ninh mạng để giảm thiểu tác động của nó. Bên cạnh đó, tất cả các quốc gia thành viên của EU được khuyến khích chia sẻ thông tin an ninh mạng. 

Những yêu cầu bảo mật của Chỉ thị NIS bao gồm các biện pháp kỹ thuật quản lý rủi ro của hành vi vi phạm an ninh mạng bằng cách phòng ngừa. Bên cạnh đó, cả DSP và OES phải cung cấp thông tin cho phép đánh giá chuyên sâu hệ thống thông tin và chính sách bảo mật của họ. Như đã đề cập ở trên, tất cả các sự cố quan trọng phải được thông báo cho các đội CSIRTs. Độ nghiêm trọng của sự cố an ninh mạng  được xác định bởi số lượng người sử dụng sẽ bị ảnh hưởng bởi cuộc tấn công mạng cũng như khoảng thời gian xảy ra các sự cố và phạm vi địa lý của vụ việc.

Tiêu chuẩn bảo vệ dữ liệu chung của EU (EU GDPR)

Quy định chung về bảo vệ dữ liệu của EU, GDPR, ra đời vào ngay 14 tháng 4 năm 2016, tuy nhiên ngày thực thi là 25 tháng 5 năm 2018. Các quy định chung này nhằm mang lại một tiêu chuẩn duy nhất để bảo vệ dữ liệu giữa tất cả các nước thành viên trong EU. Sự thay đổi mà các quy định này sẽ mang lại bao gồm việc xác định lại biên giới địa lý. Quy định không chỉ áp dụng cho các tổ chức hoạt động trong EU mà còn áp dụng cho các tổ chức xử lý dữ liệu của bất kỳ cư dân nào của EU. Bất kể nơi nào dữ liệu được xử lý, nếu dữ liệu của một công dân EU đang được xử lý, các tổ chức hiện tại phải tuân theo quy định này. Tiền phạt cũng trở nên nặng hơn và tổng cộng có thể lên tới 20 triệu euro hay 4% doanh thu hàng năm. Ngoài ra, tương tự như những quy định trước đây, tất cả các hành vi vi phạm dữ liệu ảnh hưởng tới các quyền và sự tự do của những cá nhân cư trú tại EU phải được công bố trong vòng 72 giờ. Ban Bảo vệ dữ liệu của EU (EDP) phải chịu trách nhiệm về tất cả các giám sát theo quy định của GDPR.

Quy định chung về bảo vệ dữ liệu của EU, GDPR, ra đời vào ngay 14 tháng 4 năm 2016, tuy nhiên ngày thực thi là 25 tháng 5 năm 2018  (Ảnh: Msi Global Talent Solutions)

Sự đồng thuận đóng một vai trò quan trọng trong các quy định của GDPR. Các công ty nắm giữ dữ liệu liên quan đến công dân EU hiện thời cũng phải cung cấp cho các công dân quyền được từ chối chia sẻ dữ liệu dễ dàng như việc người dân đồng ý chia sẻ chúng. Ngoài ra, người dân cũng có thể hạn chế việc xử lý các dữ liệu được lưu trữ về họ; họ có thể chọn lựa để cho phép các công ty lưu trữ dữ liệu của họ nhưng không xử lý nó, do đó, điều này tạo ra một sự khác biệt rõ ràng. Khác với các quy định trước đây, GDPR cũng hạn chế việc chuyển giao dữ liệu của một công dân ra bên ngoài EU hoặc cho một bên thứ ba mà không có sự đồng ý trước của công dân đó. 

Quy định dự thảo ePrivacy dự kiến sẽ được áp dụng từ ngày 25 tháng 5 năm 2018.

Những vấn đề liên quan tới Brexit

Theo dòng những sự kiện chính trị gần đây , trong đó có việc Vương quốc Anh đã quyết định rút khỏi EU, các quy định hiện thời áp dụng đối với Vương quốc Anh chỉ bao gồm ENISA và Chỉ thị NIS. 

Tuy nhiên, hiện vẫn còn một số suy đoán cho rằng GDPR vẫn được áp dụng đối với Vương quốc Anh do thời gian mà các quy định GDPR được thiết lập. Bất kể ngày thực thi của GDPR là thời gian nào đi chăng nữa, bởi GDPR được ký kết và có hiệu lực trong khi Anh vẫn là một phần của Liên minh châu Âu EU, Vương Quốc Anh vẫn phải tuân thủ những quy định này. Thêm vào đó, không phải là một phần của GDPR cùng đồng nghĩa với việc bỏ lỡ Anh đã bỏ lỡ những nguồn tài nguyên giá trị.

Tính cấp thiết của một nền tảng an ninh mạng toàn cầu

Luật An ninh mạng ở các nước châu Âu và Mỹ  ảnh 4Sự hợp tác toàn cầu về an ninh mạng là điều cần thiết trong thời điểm này (Ảnh: MeriTalk)
Chẳng phải kể từ lúc cuộc tấn công mạng lớn nhất trong lịch sử - WannaCry diễn ra vào tháng 5 năm 2017, các quy định về an ninh mạng toàn cầu mới cần được cải thiện một cách toàn diện. Thực tế, chúng ta đã được chứng kiến nhiều sự hợp tác toàn cầu giữa các cơ quan thực thi pháp luật hơn bao giờ hết, tuy nhiên “lỗ đen” pháp lý, ở nhiều nơi trên thế giới, vẫn đang hoành hành. 

Trong bối cảnh này, cả luật pháp và sự hợp tác giữa châu Âu và Mỹ - một phần vô cùng quan trọng trong vấn đề bảo vệ An ninh mạng và phòng chống tội phạm công nghệ, có thể đóng vai trò như một tấm gương sáng để các khu vực khác trên thế giới học hỏi theo. Quy định về an ninh mạng chủ yếu vẫn được coi là một vấn đề của hành động đơn lẻ nhà nước - mặc dù nhiều sáng kiến được thúc đẩy bởi các tổ chức quốc tế như Diễn đàn Kinh tế Thế giới(WEF), Liên đoàn và Hiệp hội quản lý rủi ro châu Âu (FERMA), Tổ chức Hợp tác và Phát triển Kinh tế (OECD) hay Diễn đàn quản lý Internet (IGF). 

Rất nhiều sáng kiến này là không được hệ thống hóa để soạn thảo thành luật, không có tính ràng buộc và chỉ là các khuyến nghị đơn giản. Tuy nhiên, việc quản lý an ninh mạng toàn cầu đang thay đổi và các mục tiêu tiềm năng của tội phạm công nghệ bắt buộc phải giám sát quá trình phát triển của các cuộc tấn công mạng để chuẩn bị tinh thần. Vụ tấn công tiếp theo sẽ sớm diễn ra và những người bị ảnh hưởng cần phải sẵn sàng cho những sự kiện chấn động này.