Một số góp ý hoàn thiện Dự thảo Luật An ninh mạng 2018

An toàn an ninh môi trường mạng đang là mối quan tâm hàng đầu của nhiều quốc gia. Ở Việt Nam, đây vẫn còn là một vấn đề khá mới mẻ. Chính vì thế, phần đông người sử dụng mạng vẫn chưa lường trước được các nguy cơ tiềm ẩn trong môi trường mạng. An ninh mạng đang là một thách thức không chỉ đối với cá nhân mà với cả hệ thống quản lý của nhà nước, đòi hỏi sự ra đời của Luật An ninh mạng. Sau 14 lần chỉnh sửa, Dự thảo Luật An ninh mạng đã được các đại biểu Quốc hội cho ý kiến tại kỳ họp thứ tư (11/2017) và sẽ thông qua tại kỳ họp thứ năm, Quốc hội khóa XIV. Tuy nhiên, cho đến nay, Dự thảo Luật An ninh mạng vẫn còn nhiều vấn đề chưa có sự thống nhất, cần tiếp tục cân nhắc và hoàn thiện trước khi được Quốc hội thông qua.

Abstract: Safety and security of the cyber environment is a top concerned issue of several countries. In Vietnam, this is still a new matter. Therefore, majority of network users still do not anticipate the potential risks in the cyber environment. Cybersecurity is a challenge not only for the individuals but also for the goveronmental management system, requiring the introduction of the Law on Cybersecurity. After 14 amendments, the draft Law on Cybersecurity has been submitted to the National Assembly deputies for comments at the fourth session (11/2017) and will be adopted at the fifth session of the XIV National Assembly. However, up to now, the draft Law on Cybersecurity still has several issues that are inconsistent, need to be further reviewed and improved prior to the National Assembly’s appraisal and approval.

Keywords: Cybersecurity; draft Law on Cybersecurity; personal information

1. Quy định của Dự thảo Luật An ninh mạng trùng lắp với các văn bản pháp luật khác

Dự thảo Luật An ninh mạng (Dự thảo luật) có những quy định chồng chéo, nhiều điểm trùng lắp với thẩm quyền quản lý của các văn bản khác như Luật Dân sự, luật Hình sự, Luật Trẻ em, Luật An toàn thông tin, Luật Viễn thông, Luật Giao dịch điện tử, cụ thể:

– Quy định về quản lý không gian mạng đang cùng chịu sự điều chỉnh bởi các văn bản pháp lý như: Luật An toàn thông tin mạng, Luật Viễn thông, Luật Giao dịch điện tử, Nghị định 72/2013/NĐ-CP về quản lý, cùng cấp, sử dụng dịch vụ internet… Vì vậy, theo chúng tôi, nên tích hợp các nội dung của Luật An ninh mạng vào Luật An toàn thông tin mạng.

– Quy định về bảo mật thông tin cá nhân đã được điều chỉnh bởi Bộ luật Dân sự năm 2015 (BLDS 2015). Khoản 2 Điều 38 BLDS quy định: “Việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân phải được người đó đồng ý, việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến bí mật gia đình phải được các thành viên gia đình đồng ý, trừ trường hợp luật có quy định khác”. Cá nhân bị vi phạm quy định này có thể yêu cầu cơ quan, tổ chức có thẩm quyền buộc chấm dứt hành vi xâm phạm, buộc xin lỗi, cải chính công khai, buộc bồi thường thiệt hại. Câu hỏi đặt ra ở đây là: Liệu có cần quy định riêng về trách nhiệm của tổ chức cá nhân – không phải là cơ quan công quyền, về đảm bảo an ninh mạng mà thực chất là đảm bảo an toàn thông tin cá nhân, trong Dự thảo luật?

– Luật An toàn thông tin mạng (năm 2015) và Dự thảo luật đều có quy định về “hệ thống thông tin quan trọng quốc gia”, dẫn đến tồn tại hai hệ thống phân loại về các hệ thống thông tin quan trọng đối với quốc gia.

– Trong Luật An toàn thông tin mạng quy định: Doanh nghiệp kinh doanh lĩnh vực an toàn thông tin, phải được sự thẩm định, cấp phép của Bộ Thông tin và Truyền thông. Dự thảo luật quy định thêm sự thẩm định của Bộ Công an. Như vậy, khi làm thủ tục kinh doanh, doanh nghiệp phải chịu nhiều sự thẩm định, cấp phép; cấp nọ đè lên cấp kia, và không biết cấp nào mới là cấp cuối cùng ra quyết định, gây tốn kém thời gian và kinh phí cho doanh nghiệp. Các quy định này cũng tiềm tàng khả năng tái hiện cơ chế xin – cho bởi sự xuất hiện của các giấy phép con. Cho phí của các doanh nghiệp cũng sẽ tăng, bởi phải chi cho cả hoạt động thanh kiểm tra, kiểm định – được trao quyền cho lực lượng chuyên trách an ninh mạng.  Báo cáo định kỳ về an ninh mạng là một loại chi phí nữa có thể phát sinh.

– Nội hàm khái niệm “an ninh mạng” có nhiều điểm trùng lặp với khái niệm trong các luật trước đó, như Luật An toàn thông tin, Luật An toàn thông tin mạng,…

– Luật An toàn thông tin mạng đã quy định về đánh giá hợp chuẩn, hợp quy về an toàn thông tin mạng. Bản thân trong Luật cũng quy định các đơn vị chức năng thuộc Bộ Công an, Bộ Quốc phòng có trách nhiệm tham gia chứng nhận hợp chuẩn, hợp quy, tuân thủ theo các quy định cụ thể trong Luật tiêu chuẩn, quy chuẩn kỹ thuật. Trong Dự thảo luật An ninh mạng cũng có quy định tương tự. Điều này sẽ dẫn đến thực trạng doanh nghiệp muốn kinh doanh một sản phẩm hay một thiết bị phải thực hiện hợp chuẩn, hợp quy nhiều lần gây tốn kém thời gian và chi phí. Điều này không phù hợp với xu hướng xây dựng Chính phủ kiến tạo ở nước ta hiện nay.

2. Quy định của Dự thảo luật còn thiếu những giải pháp kỹ thuật và pháp luật cơ bản

Việt Nam được đánh giá là một trong 7 quốc gia có tốc độ phát triển và ứng dụng mạng cao nhất thế giới. Hiện Việt Nam có 58 triệu người dùng internet[1]. Trong bối cảnh của cuộc cách mạng công nghiệp 4.0, việc ứng dụng công nghệ thông tin đã được triển khai mạnh mẽ trong quản lý nhà nước, do đó, thực tiễn nhu cầu bảo mật, an toàn thông tin trên mạng đòi hỏi rất cao. Mặc dù vấn đề bảo mật thông tin cá nhân đã được quy định cụ thể trong nhiều luật, giữa các luật cũng có sự giao thoa. Tuy nhiên, tình trạng “rò rỉ” thông tin của cá nhân vẫn rất phổ biến, hoặc nhiều hệ thống mạng quan trọng cấp quốc gia còn có rất nhiều sơ hở và dề dàng bị tin tặc tấn công… Tuy nhiên, trong Dự thảo luật lại chưa có các giải pháp kỹ thuật cụ thể để giải quyết những vấn đề này, cụ thể như sau:

– Về vấn đề thông tin của cá nhân bị “rò rỉ”

Hầu hết mọi người dùng điện thoại, email, hay các tài khoản cá nhân trên mạng xã hội đều trải nghiệm việc bị “quấy rối”, hoặc ít nhất là nhận những thông tin không mong muốn từ một bên thứ ba nào đó. Ở đây chúng ta chưa bàn đến việc các thông tin cá nhân bị “rò rỉ” bằng cách nào, nhưng việc bị xâm phạm quyền riêng tư và bảo mật cá nhân lâu nay rõ ràng là rất phổ biến.

Có lẽ tất cả những ai sử dụng các thuê bao di động đều thường xuyên nhận được các cuộc điện thoại từ các công ty bảo hiểm; công ty bất động sản; các trung tâm chăm sóc và dịch vụ làm đẹp,… giới thiệu, chào mời sử dụng dịch vụ của họ. Bên cạnh đó, hàng ngày, còn có rất nhiều tin nhắn quảng cáo đủ mọi loại dịch vụ, bán các loại hàng hóa… gửi vào các số điện thoại cá nhân.

Câu chuyện rò rỉ thông tin cá nhân ở một mức độ quan trọng hơn, đó là, có nhiều hành khách đi máy bay bị lộ thông tin về chuyến bay. Ngay khi máy bay vừa hạ cánh, các tin nhắn mời đi taxi đã được gửi vào điện thoại của khách. Như vậy, thông tin hành khách, gồm hai thông tin riêng tư và cơ bản nhất: số điện thoại và lịch trình đi lại, đã bị thoát ra bên ngoài.

Mặc dù đây mới chỉ là những thông tin chưa thật gây nguy hiểm và những thiệt hại gây ra chưa phải là lớn, nhưng những dữ liệu cá nhân khác, được cho là rất quan trọng, như: dữ liệu tài chính; hồ sơ sức khỏe (hồ sơ khám chữa bệnh tại bệnh viện công, viện tư…) nếu bị rò rỉ thì hậu quả sẽ lớn hơn rất nhiều.

Vậy, bằng cách nào để những công ty đó lại có được số điện thoại cá nhân của các thuê bao (khách hàng) của các mạng di động khi mà họ chưa một lần giao dịch? Khi quyền lợi cá nhân bị xâm phạm, bị quấy nhiễu với một tần suất rất dày, họ phải làm thế nào để bảo vệ mình? Đâu là địa chỉ mà họ có thể tìm đến để được giúp đỡ và bảo vệ quyền lợi?

Những vấn đề này đã được tranh luận trong nhiều cuộc thảo luận về Dự thảo luật, nhưng đều chưa có câu trả lời thỏa đáng. Nếu không được nghiên cứu kỹ, phạm vi điều chỉnh theo Dự thảo luật không tách bạch rõ ràng, thì khi Luật được ban hành chẳng những an toàn thông tin mạng không được bảo đảm mà còn có nguy cơ cao hơn về sự mất an toàn, nhất là ở các đầu mối quản lý nhà nước.

– Về hệ thống bảo mật nhiều sơ hở, dễ dàng bị tin tặc tấn công

Việt Nam đã từng xảy ra rất nhiều sự cố gây hậu quả nghiêm trọng do bị tin tặc tấn công. Chẳng hạn, vụ việc tin tặc tấn công hệ thống thông tin của Vietnam Airlines bằng mã độc. Cụ thể, ngày 29/7/2016, tại sân bay Nội Bài và sân bay Tân Sơn Nhất, trong khi hành khách đang làm thủ tục thì các màn hình thông tin chuyến bay bất ngờ thay đổi. Trên màn hình hiển thị các thông tin kích động, xúc phạm Việt Nam và Philippines, xuyên tạc các nội dung về biển Đông. Hệ thống phát thanh của sân bay cũng phát đi những thông điệp tương tự, thời gian kéo dài khoảng 4 phút. Các nhà chức trách sân bay đã phải tắt toàn bộ hệ thống âm thanh, màn hình. Cùng thời điểm, trên website của hãng hàng không Việt Nam cũng bị thay đổi nội dung, đồng thời đăng tải thông tin của hơn 400.000 thành viên Golden Lotus. Người dùng khi truy cập vào địa chỉ https://www.vietnamairlines.com nhận được thông báo website đã bị hack, nội dung trang chủ được thay đổi hoàn toàn.

Phía cuối website có dẫn đường link đến Pastebin.com, chia sẻ ba liên kết để tải về tập tin excel. File này nặng khoảng 100 MB, tập hợp danh sách trên 400 nghìn tài khoản khách hàng thành viên của Việt Nam Airlines, trong đó bao gồm họ tên, ngày sinh, địa chỉ. Một số thành viên còn bị lộ chức vụ, cơ quan công tác, số điện thoại… Kiểm tra nhanh của VnExpress với 10 tài khoản thì các thông tin trong đó là chính xác[2].

Theo điều tra, hacker đã sử dụng virus cài phần mềm gián điệp vào máy quản trị, từ đó thay đổi giao diện website, tấn công vào hệ thống âm thanh, màn hình thông báo tại nhà ga. Các phần mềm gián điệp này không phải là những virus lây nhiễm một cách ngẫu nhiên mà được phát tán một cách có chủ đích (tấn công APT). Kết quả phân tích ngay khi đó cho thấy, mã độc được dùng để tấn công hệ thống thông tin của Vietnam Airlines cũng xuất hiện tại nhiều cơ quan, doanh nghiệp khác. Sau khi xâm nhập vào máy tính, nó sẽ ẩn mình dưới vỏ bọc là phần mềm diệt virus, nhờ đó có thể nằm yên trong thời gian dài mà không bị phát hiện.

Tiếp đó, hồi 22 giờ 45 phút ngày 08/3/2017, trang website tansonnhatairport.vn của sân bay Tân Sơn Nhất bất ngờ không thể truy cập[3]. Đến chiều 9/3, website của Cảng hàng không Rạch Giá cũng bị tấn công, làm thay đổi giao diện (deface)[4]. Ngoài ra, một số website khác như của Cảng Hàng không Tuy Hòa, Cảng hàng không Côn Đảo… cũng tạm ngừng hoạt động.

Ở vụ tấn công vào website của sân bay Tân Sơn Nhất, “tin tặc”[5] đã để lại lời nhắn và địa chỉ email trên trang để quản trị website có thể liên hệ nếu cần. Tin nhắn để lại thông điệp: việc tấn công không phải trò đùa, mà cảnh báo về tình trạng an toàn hệ thống mạng của sân bay có nhiều lỗ hổng. Họ hoàn toàn có thể thâm nhập cả vào hệ thống máy chủ. Điều đáng suy ngẫm ở đây là, hệ thống thông tin sân bay là hệ thống mạng rất quan trọng của quốc gia, nhưng việc tấn công vào hệ thống thông tin này lại rất dễ dàng và xảy ra nhiều lần.

Những sự cố xảy ra như vừa dẫn ở trên cho thấy, việc đảm bảo an ninh mạng cho các nhà ga sân bay, bến cảng hay các công trình quan trọng khác – đang có quá nhiều sơ hở. Điều này chứng tỏ về trình độ công nghệ, kỹ thuật cũng như khả năng tự vệ của các hệ thống quản trị rất yếu kém, chưa tương xứng với tầm quan trọng của hệ thống.

Việc ban hành Luật An toàn thông tin mạng và trong tháng 6 này Quốc hội sẽ tiếp tục thông qua Luật An ninh mạng đã thể hiện rõ ý chí và tham vọng của các nhà làm luật ở nước ta trong việc siết chặt việc quản lý mạng bằng con đường hành chính truyền thống đối với xã hội và người dân khi tham gia tự do vào các kênh thông tin và đời sống mạng. Tuy nhiên, dư luận vẫn còn nhiều băn khoăn, lo lắng bởi sự ra đời hàng loạt các luật về an toàn, an ninh mạng với những quy định chồng chéo, trùng lắp nhưng dường như lại đang thiếu sự nhìn nhận điềm tĩnh và đánh giá khách quan về một xu thế vận động không thể cưỡng lại, cũng như thiếu vắng đi các nền tảng lý thuyết căn bản… Như vậy, rất có thể các vấn đề của đời sống kinh tế – xã hội được tham vọng kiểm soát sẽ càng trở nên phức tạp hơn, bởi việc ứng dụng thái quá các công cụ pháp luật, đặc biệt trong bối cảnh các tiến trình của đời sống ảo đang chi phối toàn cầu mới chỉ bắt đầu./.

[1] https://nld.com.vn/thoi-su/du-thao-luat-an-ninh-mang-can-xem-lai-20171103221540472.htm

[2] https://vnexpress.net/tin-tuc/thoi-su/san-bay-noi-bai-tan-son-nhat-bi-tin-tac-tan-cong-3444469.html

[3] https://nld.com.vn/thoi-su-trong-nuoc/tin-tac-tan-cong-website-san-bay-tan-son-nhat-20170309161803435.htm

[4] https://congnghe.tuoitre.vn/nhip-song-so/vu-cac-website-cang-hang-khong-bi-tan-cong-bao-mat-long-leo-1278128.htm

[5] Thông tin của Bộ Công an: “tin tặc” tấn công hệ thống mạng của sân bay chỉ là 2 học sinh mới học lớp 9,http://phaply.net.vn/dien-dan-luat-gia/hoan-thien-phap-luat-ve-an-ninh-mang-mot-yeu-cau-cap-thiet.html

ThS. Nguyễn Thị Thu Hiền – Viện Quan hệ Quốc tế – Học viện Chính trị quốc gia Hồ Chí Minh

Bài viết được đăng tải trên Ấn phẩm Tạp chí Nghiên cứu Lập pháp số 10/2018.