QUẢN LÝ VÀ BẢO VỆ AN NINH MẠNG TẠI ÚC
Tại Úc, Dự luật sửa đổi pháp luật về an ninh mạng 2021 (Dự luật SOCI) cho phép cơ quan quản lý an ninh mạng can thiệp vào hệ thống nội bộ của các TC/DN, cũng bị phản đối không ít. Bộ trưởng Bộ Nội vụ Mike Pezzullo, từng lên tiếng chỉ trích các TC/DN bị tấn công đã từ chối hỗ trợ từ Tổng cục Tín hiệu (ASD), điều này đã được đưa ra thảo luận và để làm bằng chứng cho Ủy ban hỗn hợp của Nghị viện về Tình báo và An ninh (PJCIS) hôm 11/6/2021.
Bà Rachel Noble, Tổng giám đốc của ASD cho biết, nếu một TC/DN khi bị tấn công mà sẵn lòng hợp tác thì ASD có thể lập bản đồ mạng của họ và xác định tội phạm có liên quan ngay vào ngày đầu tiên. Ví dụ: khi hệ thống y tế của bang Victoria bị tấn công bằng mã độc tống tiền vào năm 2019, phần mềm độc hại này đã nhanh chóng được xác định và hệ thống được khôi phục hoạt động sau 04 ngày.
Ngược lại, đã có công ty từng lách luật và phải mất một tuần ASD mới có được thông tin mạng cơ bản và mất 13 ngày mới tìm ra được nguyên nhân của vụ việc.
Đây là lý do tại sao ASD cần các quyền hạn sẽ được cấp bởi Dự luật sửa đổi pháp luật về an ninh mạng. Về việc các TC/DN từ chối sự hỗ trợ của cơ quan chính phủ, bà Noble đưa ra một loạt khả năng:
- Khả năng đầu tiên được bà gọi là “sự kiêu ngạo chuyên nghiệp về công nghệ thông tin - truyền thông”, các TC/DN luôn tin rằng họ có đủ các kỹ năng và không cần trợ giúp.
- Thứ hai, các TC/DN không có kế hoạch ứng phó sự cố. Họ không biết khi xảy ra sự cố thì quan hệ với các nhà cung cấp, khách hàng, mức độ thiệt hại cho thương hiệu và các lợi ích thương mại khác sẽ như thế nào.
- Thứ ba là vấn đề pháp lý đối với người điều hành, liệu họ có phải chịu trách nhiệm hay không và hậu quả của việc không thực hiện theo lời khuyên của ASD có thể gây ảnh hưởng xấu đến công ty.
Ngày 22/11/2021, gần một năm sau khi Dự luật SOCI lần đầu tiên được đưa ra Hạ viện và đã được Quốc hội Úc thông qua. Một trong những quy định gây tranh cãi nhất của Đạo luật này đó là việc thiết lập cơ chế “Chính phủ hỗ trợ và can thiệp” để ứng phó với các sự cố an ninh mạng nghiêm trọng ảnh hưởng đến khả năng cung cấp các dịch vụ thiết yếu của các tài sản cơ sở hạ tầng quan trọng của Úc. Theo đó, trong một số trường hợp, Bộ trưởng Bộ Nội vụ có quyền chỉ định và đưa ra yêu cầu can thiệp vào các TC/DN nhằm giảm thiểu thiệt hại.
QUẢN LÝ VÀ BẢO VỆ AN NINH MẠNG TẠI TRUNG QUỐC
Chính phủ Trung Quốc cũng đã đưa ra các quy tắc bảo vệ cơ sở hạ tầng thông tin trọng yếu. Một thông báo của Cục Quản lý Không gian mạng Trung Quốc (CAC) cho biết, các cuộc tấn công mạng hiện đang diễn ra thường xuyên ở Trung Quốc và những thách thức an ninh mà cơ sở hạ tầng thông tin trọng yếu phải đối mặt là rất nghiêm trọng.
Tuy các quy định khá dài và chi tiết, nhưng điểm chính là tất cả các TC/DN của Trung Quốc hoạt động trên môi trường mạng phải tiến hành đánh giá bảo mật hàng năm, báo cáo các vụ vi phạm cho chính phủ và thành lập các đội giám sát an ninh liên tục. Các đội này có thể phát triển các kế hoạch khẩn cấp và thực hiện các cuộc diễn tập khẩn cấp một cách thường xuyên, phù hợp với các kế hoạch quốc gia về quản lý thảm họa. Nếu một sự cố được phát hiện, việc báo cáo và nâng cấp cảnh báo cho các cơ quan chức năng quốc gia là bắt buộc.
Quy định cũng nêu chi tiết về tổ chức và hậu cần, đồng thời nêu rõ khả năng nhà nước điều chỉnh các quy tắc nhận dạng cơ sở hạ tầng thông tin trọng yếu một cách linh hoạt, trách nhiệm pháp lý và hình phạt đối với các bên không chấp hành. Tuy nhiên, quy định lại không cung cấp những khuyến cáo kỹ thuật cụ thể.
QUẢN LÝ VÀ BẢO VỆ AN NINH MẠNG TẠI MỸ
Ở Mỹ, cuộc tấn công Colonial Pipeline là lời nhắc nhở gần đây nhất về an ninh mạng đang liên tục ảnh hưởng đến cơ sở hạ tầng trọng yếu của quốc gia. Phần lớn các cuộc thảo luận quanh cuộc tấn công này đã bỏ sót một điểm mấu chốt là, Chính phủ Hoa Kỳ không có phương pháp đáng tin cậy để xác định, hỗ trợ và bảo mật các cơ sở hạ tầng quan trọng. Thành viên cao cấp của Ủy ban An ninh Nội địa Hạ viện Hoa Kỳ, Hạ nghị sĩ John Katko, tái khẳng định đánh giá này trong một thông cáo báo chí hồi tháng 6/2021. Bên cạnh đó, các dự luật trước đây không cung cấp bất kỳ định nghĩa rõ ràng nào về những điều kiện để được coi là cơ sở hạ tầng trọng yếu.
Ủy ban Solarium không gian mạng Hoa Kỳ - một ủy ban lưỡng đảng thành lập năm 2019 với mục đích phát triển các tiếp cận chiến lược với việc phòng thủ chống các cuộc tấn công mạng gây hậu quả đáng kể đã khuyến cáo rằng Hoa Kỳ nên luật hóa khái niệm cơ sở hạ tầng trọng yếu về mặt hệ thống (SICI). Tiền thân của khái niệm cơ sở hạ tầng trọng yếu về mặt hệ thống được nêu trong Mục 9 của Lệnh hành pháp 13636. Lệnh này được ban hành năm 2013, thừa nhận rằng nguy cơ tấn công mạng nhằm vào cơ sở hạ tầng trọng yếu tiếp tục gia tăng và là một trong những thách thức an ninh quốc gia nghiêm trọng nhất mà Hoa Kỳ phải đối đầu.
Có lẽ hạn chế lớn nhất của Mục 9 của Lệnh hành pháp 13636 là thiếu công cụ thi hành: Việc được chỉ định vào danh sách “tối quan trọng” không mang lại bất kỳ lợi ích bổ sung, cũng như không cung cấp bất kỳ đảm bảo an ninh nào cho những tổ chức được chỉ định.
Về phòng ngừa, Luật SICI sẽ giải quyết các lỗ hổng tình báo bằng cách yêu cầu giám đốc tình báo quốc gia, làm việc với Bộ trưởng An ninh nội địa, Giám đốc không gian mạng quốc gia và các cơ quan quản lý rủi ro ngành khi cần thiết, để thiết lập các quy trình chính thức để cung cấp hỗ trợ tình báo thường xuyên cho các thực thể được bảo vệ. Điều này sẽ hữu ích trong việc điều chỉnh thu thập và đưa ra thông tin tình báo cần thiết nhất, đồng thời cung cấp các chỉ dẫn và cảnh báo để phát hiện, ngăn chặn hoặc giảm thiểu tác động của các vụ xâm phạm một cách nhanh chóng.
Mặc dù hiện nay đã có một số yêu cầu quy định về an ninh mạng, nhưng chúng không nhất quán trong các lĩnh vực khác nhau. Một phần là do sự khác biệt đáng kể về quy mô, tỷ suất lợi nhuận và vốn của các công ty trong từng lĩnh vực. Kết quả là rất khó để áp dụng một giải pháp phù hợp mà vẫn mang lại kết quả bảo mật tối ưu và không có gánh nặng quá mức khiến một số công ty gặp bất lợi trong cạnh tranh. Để giải quyết vấn đề này, luật SICI sẽ chỉ tập trung vào một phần của từng lĩnh vực, bằng cách xác định “điểm trọng yếu của các lĩnh vực quan trọng” trên tất cả các lĩnh vực. Các quy định này sẽ được tạo ra với thông tin đầu vào của các lĩnh vực và sẽ tính đến quy mô, khả năng và nguồn lực của một TC/DN và loại rủi ro có thể xảy ra khi hệ thống của đơn vị đó bị xâm phạm. Hơn nữa, Bộ trưởng An ninh nội địa có thể tham khảo ý kiến của cơ quan quản lý rủi ro ngành liên quan và cơ quan quản lý liên bang để áp dụng các tiêu chuẩn riêng trong các tình huống đặc biệt cần được chú ý.
Một cách khác mà SICI sẽ làm để xây dựng lòng tin là thông qua quy định về báo cáo sự cố mạng. Một quy định như vậy sẽ yêu cầu một tổ chức phải báo cáo trực tiếp với Bộ trưởng An ninh Nội địa trong vòng 72 giờ sau khi phát hiện ra một sự cố mạng. Trong trường hợp một tổ chức chính phủ liên bang phát hiện ra sự việc thì tổ chức đó sẽ được ủy nhiệm báo cáo sự việc liên quan cho bộ trưởng. Do đó, khi Bộ trưởng An ninh Nội địa được thông báo, bộ trưởng sẽ làm việc trực tiếp với đơn vị được bảo vệ để hỗ trợ ứng phó sự cố, hỗ trợ kỹ thuật, giảm thiểu và phục hồi. Ngoài việc hỗ trợ thực thể bị ảnh hưởng, Bộ trưởng An ninh Nội địa sẽ được ủy quyền chia sẻ thông tin với các bên khác có thể chịu rủi ro. Một hệ sinh thái gắn kết với báo cáo tấn công và nhận thức về mối đe dọa phổ biến sẽ góp phần xây dựng lòng tin nhằm đảm bảo cơ sở hạ tầng trọng yếu nhất của quốc gia vẫn an toàn.
Hơn nữa, luật SICI đảm bảo rằng các nạn nhân của cuộc tấn công mạng được bảo vệ đã hành động một cách thiện chí để đáp ứng các yêu cầu sẽ không bị kiện tụng quá mức. Nếu các TC/DN đã tuân thủ các quy định nói trên và nhận sự hỗ trợ của chính phủ, họ sẽ không phải chịu trách nhiệm về những thiệt hại do cuộc tấn công gây ra.
QUẢN LÝ VÀ BẢO VỆ AN NINH MẠNG TẠI ISRAEL
Vào tháng 02/2021, Văn phòng Thủ tướng (PMO) của Israel công bố một dự luật có tên “An ninh mạng và Cục Giám đốc Không gian mạng quốc gia”. Nếu được chính phủ và quốc hội Israel thông qua, luật này sẽ xác định lại việc quản lý an ninh mạng ở Israel. PMO đã chính thức thông qua dự thảo trước đó của dự luật vào tháng 6/2018, nhưng dự luật đã không được chấp thuận do bị phản đối gay gắt cả trong cộng đồng an ninh mạng và các cơ quan chính phủ khác đối với phạm vi thẩm quyền mà Cục Giám đốc Không gian mạng Quốc gia Israel (INCD) muốn có được. Bên cạnh đó, quá trình thành lập INCD, hiện là cơ quan thiết lập chính sách với các quyền lực điều hành, đã gây tranh cãi ngay cả trong các tổ chức an ninh của Israel.
Dự luật này nhằm điều chỉnh các chức năng và quyền hạn của INCD trong việc cung cấp các hướng dẫn về an ninh mạng cho các tổ chức công và tư nhằm ngăn chặn các cuộc tấn công mạng trong tương lai, theo ngôn ngữ của dự luật thì đây là “lợi ích công cộng trọng yếu” để ứng phó với các cuộc tấn công sắp xảy ra hoặc đang diễn ra. Nếu các TC/ DN không hợp tác, INCD có thể xin lệnh từ tòa án cho phép truy cập vào máy chủ ngay cả khi không có sự đồng ý của họ mà không phải chịu trách nhiệm pháp lý và các TC/DN phải chi trả cho các hoạt động của INCD. Từ đó đã đặt ra nhiều câu hỏi về quyền hạn đặc biệt cho phép INCD can thiệp vào trong mạng máy tính tư nhân hoặc hướng dẫn một TC/DN thực hiện các biện pháp bảo mật có thể gây ra nhiều tác động đối với quyền riêng tư và quyền sở hữu trí tuệ.
Cho đến nay, INCD vẫn để các TC/DN tư nhân chịu trách nhiệm cuối cùng về an ninh mạng. INCD chỉ đóng vai trò hỗ trợ khi các TC/DN đối mặt với các vấn đề về an ninh mạng. Ngoại trừ các tổ chức cung cấp cơ sở hạ tầng trọng yếu chịu sự điều chỉnh trực tiếp thì INCD làm việc với các tổ chức tư nhân chủ yếu theo mô hình hợp tác.
Một lo ngại khác về dự luật năm 2021 liên quan đến tác động lẫn nhau giữa các cơ quan quản lý khác nhau có trách nhiệm quản lý an ninh mạng. Cách tiếp cận của Chính phủ Israel là trao quyền cho các cơ quan quản lý ngành hiện có (trong các lĩnh vực ngân hàng, bảo hiểm, truyền thông, y tế và dịch vụ tài chính) để yêu cầu các TC/DN hoạt động trong các lĩnh vực tương ứng phát triển các chính sách an ninh mạng đầy đủ, với INCD đóng vai trò như một điều phối viên và một trung tâm chuyên nghiệp. Do vậy dự luật năm 2021 có thể sẽ làm xáo trộn sự cân bằng hiện tại.
Việc dự luật cho phép chia sẻ dữ liệu thu thập được giữa các cơ quan chính phủ cũng gây ra nhiều lo ngại hơn về việc bảo vệ và rò rỉ dữ liệu. Không rõ dữ liệu có thể được chia sẻ với tình báo nước ngoài hay không, nhưng điều này một lần nữa làm tăng những lo ngại về quyền riêng tư, sở hữu trí tuệ và các mối quan tâm khác.
TÀI LIỆU THAM KHẢO
1. https://www.lawfareblog.com/israels-version-moving-fast-and-breaking-things-new-cybersecurity-bill
2. https://www.lawfareblog.com/protecting-critical-critical-what-systemically-important-critical-infrastructure
3. https://www.theregister.com/2021/08/18/china_critical_information_infrastructure_rules/
4. https://www.zdnet.com/article/nationally-known-australian-company-lawyered-up-to-resist-asd-help/
5. https://www.gtlaw.com.au/knowledge/security-critical-infrastructure-act-soci-reforms-what-your-business-needs-know
6. https://republicans-homeland.house.gov/katko-must-get-sici-right/
7. https://www.aph.gov.au/Parliamentary_Business/Bills_Legislation/Bills_Search_Results/Result?bId=r6657