Luật An toàn thông tin và những vấn đề cơ bản cần giải quyết.

Các nguyên tắc định hướng xây dựng dự thảo Luật

Tương tự bất kỳ văn bản Luật nào, dự thảo Luật An toàn thông tin (ATTT) tuân thủ những nguyên tắc chung, kèm theo một số yếu tố đặc thù của Luật chuyên ngành:

a) Có tính thực tiễn, phù hợp thông lệ quốc tế: Đây là nguyên tắc đầu tiên và căn bản nhất của công việc xây dựng văn bản Luật.

b) Có tính tương đối: Quy định các biện pháp bảo vệ ATTT phải được cân nhắc trên cơ sở ước tính chi phí cho áp dụng biện pháp bảo vệ phải ở mức hợp lý so với thiệt hại do mất ATTT gây ra.

c) Có tính đầy đủ: Quy định về bảo đảm ATTT phải áp dụng cho tất cả các giai đoạn trong vòng đời của thông tin và HTTT, đồng thời bao trùm lên các nội dung về ATTT hiện có trong các văn bản dưới Luật đã được ban hành.

d) Có tính khái quát: Đây cũng là nguyên tắc chung của việc xây dựng văn bản Luật, chỉ nêu những yêu cầu có tính phổ quát tối thiểu, đặc biệt đối với lĩnh vực CNTT luôn có sự thay đổi rất nhanh chóng.

Bảo vệ an toàn cho thông tin và hệ thống thông tin

Các thuật ngữ, khái niệm trong lĩnh vực ATTT khá đa dạng và tương đối mới mẻ ở Việt Nam. An toàn thông tin là gì? Có nhiều cách định nghĩa  nhưng phổ biến nhất là: ATTT là sự bảo vệ thông tin và hệ thống thông tin tránh bị truy cập, sử dụng, tiết lộ, gián đoạn, sửa đổi, xóa bỏ hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn,tính bảo mật và tính khả dụng của thông tin.

Thông tin có thể tồn tại dưới dạng truyền thống là bản giấy hoặc dưới dạng điện tử, được tạo lập bằng phương tiện điện tử và được chia sẻ, truyền đưa qua mạng – nơi gây ra nguy cơ mất ATTT phổ biến hiện nay. Vòng đời của loại hình thông tin điện tử được mô tả khái quát trong Hình 1a.

Hình 1: Vòng đời của thông tin điện tử (a) và các quy định tương ứng về bảo vệ thông tin truyền đưa qua mạng (b)

Hình 1b cho thấy, khi thông tin được lưu chuyển, truyền đưa trên mạng, các đối tượng liên quan sẽ có hành vi bị điều chỉnh theo các quy định về sử dụng mật mã để mã hóa, bảo mật thông tin; quy định về ngăn chặn, không được gửi thư rác trái phép, phát tán mã độc và phần mềm độc hại và quy định về điều phối, ứng cứu sự cố mạng khi xảy ra sự cố mất ATTT.

Nếu thông tin tồn tại hoặc được lưu trữ trong phương tiện mang tin rời rạc, không kết nối mạng thì việc bảo đảm ATTT chính là bảo vệ vật lý cho phương tiện mang tin. Vì vậy, việc bảo vệ vật lý này giống với việc bảo vệ vật lý cho các tài sản hữu hình khác, không có yếu tố đặc thù. Trong các trường hợp còn lại, trừ khi truyền đưa qua mạng, thông tin tồn tại trong hệ thống thông tin (HTTT). Do đó, việc bảo đảm ATTT chính là bảo vệ thông tin và HTTT. Để bảo đảm ATTT, bên cạnh xem xét vòng đời của thông tin, cũng cần xem xét tới vòng đời của HTTT, bao gồm các giai đoạn: thiết kế, xây dựng, vận hành, nâng cấp và hủy bỏ HTTT. Mỗi giai đoạn trong vòng đời của HTTT lại có yêu cầu đặc thù về ATTT khác nhau và được mô tả khái quát trong Hình 2a. Trong các giai đoạn trên, giai đoạn vận hành là giai đoạn có nhiều yêu cầu đặc thù về ATTT nhất vì công nghệ thay đổi nhanh, đòi hỏi phải định kỳ thực hiện đánh giá rủi ro, cập nhật phiên bản phần mềm mới nhất …

Hình 2: Vòng đời của hệ thống thông tin (a) và các quy định bảo vệ HTTT (b)

Khi thông tin được lưu trữ, xử lý thông qua các hệ thống thông tin, các đối tượng liên quan sẽ có hành vi bị điều chỉnh theo các quy định về tuân thủ, áp dụng tiêu chuẩn, quy chuẩn kỹ thuật; quy định về thẩm định an toàn thông tin trong thiết kế; quy định về phân loại và bảo vệ an toàn thông tin theo cấp độ khi xây dựng, vận hành, hủy bỏ hệ thống thông tin; quy định về quản lý an toàn thông tin đối với việc kinh doanh sản phẩm và dịch vụ an toàn thông tin cùng một số các quy định khác có liên quan (Hình 2b)

Về cơ bản, có thể phân thành 02 loại xâm phạm ATTT là:

            - Xâm phạm vật lý theo các hình thức truyền thống như: chặt đứt dây cáp, tác động vật lý làm hỏng thiết bị, lấy cắp thiết bị … Chế tài cho các hành vi xâm phạm vật lý đã được quy định tương đối đầy đủ trong các văn bản pháp luật hiện hành.

            - Xâm phạm qua mạng: Đây là vấn đề đặc thù, gắn chặt với việc sử dụng CNTT&TT, mới phát sinh và trở nên hiện tượng phổ biến ở Việt Nam cũng như trên phạm vi toàn cầu. Hành lang pháp lý hiện hành còn thiếu, chưa phù hợp với tình hình thực tiễn.

Mục tiêu và phạm vi điều chỉnh của dự thảo Luật ATTT

Từ việc phân tích trên, mục tiêu và phạm vi điều chỉnh xuyên suốt của dự thảo Luật ATTT (phiên bản 4.1, ngày 11/3/2014) là tạo ra hành lang pháp lý rõ ràng nhằm:

- Bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin và HTTT trước nguy cơ bị xâm phạm ATTT qua mạng.

- Bảo đảm môi trường mạng quốc gia của Việt Nam an toàn, lành mạnh, phục vụ phát triển kinh tế, xã hội.

Ngoài ra, dự thảo Luật ATTT cũng nhằm mục tiêu hoàn thiện thêm một bước nữa hệ thống “nội luật”, thiết lập hàng rào kỹ thuật để tạo lập thị trường và năng lực công nghệ trong nước, phù hợp với thông lệ quốc tế.

Bảy vấn đề cơ bản về ATTT cần giải quyết trong dự thảo Luật

Từ phân tích thực tiễn xâm phạm ATTT trên thế giới cũng như ở Việt Nam, Ban soạn thảo đã thống nhất tập trung giải quyết 7 vấn đề cơ bản sau trong Luật ATTT:

1. Thiếu quy định về trách nhiệm của chủ sở hữu thông tin và hệ thống thông tin

Trong vài năm gần đây, thống kê của VNCERT cho thấy, số lượng các cuộc tấn công mạng ở Việt Nam gia tăng theo cấp số nhân và gây hậu quả ngày càng lớn.

Từ góc độ hoàn thiện hành lang pháp lý, biện pháp cho vấn đề này bao gồm 2 mảng cho 2 nhóm đối tượng khác nhau, cụ thể:

- Hành lang pháp lý để xử lý hành vi tấn công mạng: Luật Hình sự và các Luật chuyên ngành như Viễn thông, CNTT, Giao dịch điện tử … đã tạo được hành lang pháp lý xử lý hành vi tấn công mạng tương đối đầy đủ.

- Hành lang pháp lý quy định trách nhiệm áp dụng biện pháp bảo vệ tối thiểu của chủ quản hệ thống: hiện còn thiếu, thậm chí gần như chưa có. Việc áp dụng biện pháp bảo vệ phụ thuộc vào nhận thức của từng tổ chức, cá nhân. Theo thống kê của VNISA trong 03 năm liên tiếp (2010-2012), chỉ có khoảng 50% số lượng tổ chức có quy trình thao tác chuẩn để phản hồi khi bị tấn công mạng.

Để giải quyết vấn đề thực tiễn trên, dự thảo Luật ATTT đưa ra những quy định vừa giải quyết ngắn hạn, vừa lâu dài cho công tác bảo đảm an toàn thông tin, cụ thể:

- Về giải pháp lâu dài: Quy định về xác định cấp độ ATTT và trách nhiệm bảo đảm ATTT theo cấp độ để công tác quản lý, bảo đảm ATTT từng bước đi vào nền nếp. Việc xác định cấp độ ATTT căn cứ dựa trên mức độ quan trọng, phạm vi và mức độ ảnh hưởng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân, lợi ích công cộng của xã hội, thiệt hại về kinh tế và quốc phòng, an ninh của đất nước khi bị xâm phạm ATTT. Điều này cũng giúp các tổ chức, cá nhân có sự thống nhất tương đối trong đánh giá và bình đẳng tương đối về trách nhiệm trước pháp luật về bảo đảm ATTT. 

- Về giải pháp ngắn hạn (có thể áp dụng ngay sau khi Luật ATTT có hiệu lực):  (i) Quy định những biện pháp nguyên tắc tối thiểu nhất, phổ quát nhất trên cơ sở bộ tiêu chuẩn ISO/IEC27000 mà mọi tổ chức, cá nhân phải thực hiện để bảo đảm ATTT. (ii) Đối với cơ quan, tổ chức nhà nước: Quy định về thẩm định ATTT ngay từ khâu thiết kế HTTT, định kỳ đánh giá rủi ro ATTT trên cơ sở bộ tiêu chuẩn ISO/IEC 27000, điều kiện và kinh phí cho bảo đảm ATTT. (iii) Xây dựng và ban hành Danh mục HTTT quan trọng quốc gia, quyền và trách nhiệm bảo đảm ATTT cho HTTT quan trọng quốc gia để tập trung nguồn lực, ưu tiên triển khai trước các biện pháp bảo vệ HTTT quan trọng của đất nước.

2. Mức độ phát tán thư rác, mã độc từ các thiết bị bị lây nhiễm ở Việt Nam cao làm ảnh hưởng tới sự lành mạnh của môi trường mạng, làm giảm mức độ tin cậy trên mạng của Việt Nam

Việt Nam thường được các tổ chức bảo mật uy tín (Kaspersky, Sophos) trên thế giới xếp nằm trong nhóm những nước phát tán thư rác nhiều nhất thế giới. Hậu quả là thư điện tử gửi đi từ các địa chỉ IP của Việt Nam bị nhiều hệ thống thư điện tử khác tự động cho vào thư mục thư rác với xác suất cao. Tỷ lệ máy tính, thiết bị bị lây nhiễm mã độc cũng cao gấp 3 lần so với mức trung bình của thế giới. Vì vậy, các giao dịch có nguồn gốc từ Việt Nam thường bị nghi ngờ, có mức độ tin cậy thấp, ảnh hưởng không nhỏ trong nền kinh tế số hiện nay.

Từ góc độ hoàn thiện hành lang pháp lý, biện pháp cho vấn đề này bao gồm 2 mảng cho 2 nhóm đối tượng khác nhau, cụ thể:  

- Hành lang pháp lý để xử lý hành vi phát tán thư rác, mã độc: Luật Hình sự và các văn bản pháp luật về thư rác, hành lang pháp lý để xử lý hành vi phát tán thư rác, mã độc đã tương đối đầy đủ.

- Hành lang pháp lý quy định trách nhiệm phối hợp xử lý nguồn phát tán thư rác, mã độc: Còn thiếu và thậm chí gần như chưa có, đặc biệt là trách nhiệm phối hợp của các doanh nghiệp cung cấp dịch vụ Internet. Môi trường mạng Internet Việt Nam với tỷ lệ các thiết bị bị lây nhiễm mã độc cao nhưng không được “dọn dẹp”, gây ảnh hưởng tới lợi ích công cộng.

Để giải quyết vấn đề này, dự thảo Luật ATTT đưa ra 03 nhóm quy định, bao gồm: (i) Quy định về quản lý gửi thông điệp điện tử bao trùm lên các văn bản quy phạm pháp luật hiện hành về thư rác và tin nhắn rác. (ii) Quy định về trách nhiệm của tổ chức, cá nhân, doanh nghiệp cung cấp dịch vụ Internet trong việc phối hợp thực hiện biện pháp xử lý, ngăn chặn phát tán phần mềm độc hại, thư rác. (iii) Quy định về trách nhiệm theo dõi nhằm phát hiện và cảnh báo sớm dấu hiệu, nguy cơ, hành vi và nguồn gốc xâm phạm ATTT đối với HTTT.

3. Hiện tượng phát tán thông tin cá nhân trên mạng một cách bất hợp pháp

Hiện tượng phát tán thông tin cá nhân trên mạng một cách bất hợp pháp ở Việt Nam là một hiện tượng gây bức xúc dư luận trong thời gian qua, thậm chí một số đại biểu Quốc hội cũng đã chất vấn về việc này.

Từ góc độ hoàn thiện hành lang pháp lý, biện pháp cho vấn đề này bao gồm 2 mảng cho 2 nhóm đối tượng khác nhau, cụ thể: (i) Hành lang pháp lý để xử lý hành vi phát tán thông tin cá nhân bất hợp pháp như: Luật Dân sự và các Luật chuyên ngành như Viễn thông, CNTT, Bảo vệ người tiêu dùng … đã có nhưng còn rời rạc, chung chung, chưa đầy đủ nên gặp khó khăn khi áp dụng thực tế. (ii) Hành lang pháp lý quy định về trách nhiệm tối thiểu của các doanh nghiệp cung cấp dịch vụ qua mạng có thu thập thông tin cá nhân còn rất sơ sài, chưa nhất quán. Kết quả là các doanh nghiệp thực hiện thu thập thông tin cá nhân nhưng lại không thực hiện đủ trách nhiệm pháp lý tối thiểu về bảo vệ thông tin cá nhân, là một trong những nguyên nhân chủ yếu gây ra hiện tượng bức xúc nêu trên.

Dự thảo Luật ATTT đã dành 01 chương riêng quy định về bảo vệ thông tin cá nhân trên mạng, bao gồm các quy định cụ thể về hành vi thu thập và sử dụng, cập nhật, sửa đổi và hủy bỏ thông tin cá nhân; quy định về biện pháp bảo đảm ATTT cá nhân và trách nhiệm của cơ quan quản lý nhà nước.

4. Việc nghiên cứu, sản xuất, kinh doanh và sử dụng mật mã dân sự

Luật Cơ yếu năm 2011 hiện chỉ quy định về hoạt động cơ yếu và mật mã sử dụng trong hoạt động cơ yếu mà không quy định về mật mã dân sự.  Do đó, dự thảo Luật ATTT đã dành 01 chương riêng quy định về mật mã dân sự, bao gồm: nghiên cứu khoa học và công nghệ về mật mã dân sự, sản xuất, kinh doanh và sử dụng mật mã dân sự.

5. Quản lý ATTT đối với sản phẩm, dịch vụ ATTT

Hiện nay, trên thị trường Việt Nam lưu hành rất nhiều loại thiết bị phần cứng, phần mềm không rõ nguồn gốc, xuất xứ, có thể bị cài sẵn phần mềm theo dõi, nghe lén, sao chép thông tin bất hợp pháp, dẫn đến nguy cơ mất ATTT. Đã xuất hiện một số loại hình dịch vụ về ATTT như: tư vấn giải pháp bảo đảm ATTT, đánh giá rủi ro, phát hiện lỗ hổng và biện pháp khắc phục … Các loại hình dịch vụ về ATTT thường đòi hỏi phải can thiệp sâu vào hệ thống khách hàng, dẫn đến rủi ro cho khách hàng nếu không có quy định về trách nhiệm pháp lý của doanh nghiệp cung cấp dịch vụ ATTT.

            Từ góc độ hành lang pháp lý, cần có quy định về kiểm định, đánh giá hợp chuẩn, hợp quy về ATTT cho một số loại hình sản phẩm, dịch vụ ATTT để đạt yêu cầu tối thiểu được lưu hành trên thị trường. Việc kinh doanh một số loại hình dịch vụ ATTT phải là hình thức kinh doanh có điều kiện để bảo đảm quyền lợi cũng như ràng buộc về trách nhiệm pháp lý của doanh nghiệp cung cấp dịch vụ.

Để giải quyết vấn đề này, dự thảo Luật đưa ra bốn nhóm quy định như sau: (i) Quy định về tiêu chuẩn, quy chuẩn kỹ thuật. (ii) Quy định đánh giá hợp chuẩn, hợp quy đối với sản phẩm trong Danh mục sản phẩm yêu cầu quản lý ATTT (số lượng có hạn thực sự cần thiết để bảo đảm khả thi). (iii) Quy định về loại hình và điều kiện kinh doanh dịch vụ ATTT. (iv) Quy định về quản lý ATTT đối với sản phẩm hạn chế nhập khẩu, ví dụ: những sản phẩm có tính năng tấn công HTTT, có thể giúp giả mạo, làm sai lệch nguồn gốc gửi thông tin hoặc tấn công, vô hiệu hóa kỹ thuật mật mã để thực hiện dò tìm mật khẩu.

6. Việc ngăn chặn xung đột thông tin trên mạng

Vấn đề ngăn chặn xung đột thông tin trên mạng giữa các quốc gia hiện nay là vấn đề mới, mang tính thời sự cao, được nhiều quốc gia trên thế giới ngày càng quan tâm. Tuy nhiên, thực tiễn Việt Nam trong vấn đề này gần như chưa có văn bản nào quy định. Trong khi đó, Bộ Quốc phòng và Bộ Công an cũng đang chủ trì xây dựng một số văn bản có liên quan về tác chiến điện tử. Dự thảo Luật ATTT có một mục hướng tới điều chỉnh vấn đề này.

7. Phân định rõ chức năng, trách nhiệm quản lý nhà nước về ATTT và trách nhiệm phối hợp giữa các cơ quan quản lý liên quan

Thời gian vừa qua, việc phân định rõ chức năng, trách nhiệm quản lý nhà nước về an toàn, an ninh thông tin và trách nhiệm phối hợp giữa các cơ quan quản lý liên quan trong lĩnh vực này hết sức được quan tâm. Nghị định số 72/2013/NĐ-CP ngày 15/7/2013 là văn bản quy phạm pháp luật đầu tiên định nghĩa rõ hai khái niệm: an toàn thông tin và an ninh thông tin. Dự thảo Luật ATTT đã khái quát hóa các nội dung quản lý nhà nước về ATTT lên cao hơn nữa trong đó quy định rõ trách nhiệm của các Bộ, ngành liên quan, cơ quan quản lý chuyên ngành ATTT và thanh tra chuyên ngành ATTT.