Chính sách công nghiệp an toàn thông tin mạng của EU và hàm ý cho Việt Nam
An toàn thông tin - Ngày đăng : 07:10, 29/11/2023
Chính sách công nghiệp an toàn thông tin mạng của EU và hàm ý cho Việt Nam
Không gian mạng (KGM) đã trở thành một lĩnh vực quan trọng trong hợp tác và cạnh tranh giữa các cường quốc. Là khu vực có mức độ thâm nhập mạng hàng đầu thế giới, Liên minh châu Âu (EU) có lo ngại sâu sắc đối với các mối đe dọa KGM.
Tóm tắt:
* Đặc điểm chính sách phát triển công nghệ và ngành an toàn thông tin mạng (ATTTM) của EU
- Về phát triển công nghiệp, nhấn mạnh “độc lập chiến lược”.
- Về mặt R&D, hướng tới thế hệ mới của các công nghệ chủ chốt.
- Về mặt quản trị quốc tế, nêu bật đặc điểm hình thái ý thức hệ.
* 4 kiến nghị cho Việt Nam
- Cải tiến hệ thống tiêu chuẩn và quy định về ATTTM, chủ động ứng phó với các mối đe dọa.
- Tăng cường R&D liên quan ATTTM.
- Xây dựng chính sách khuyến khích phát triển ngành ATTTM.
- Tích cực tham gia vào quản trị toàn cầu về KGM.
Ủy ban châu Âu (EC) mới (nhiệm kỳ 2019 - 2024) coi KGM là nội dung quan trọng trong chiến lược toàn cầu của mình, thường xuyên đưa ra chính sách mới để bảo vệ quyền lợi và nâng cao vai trò của EU trong định hình KGM toàn cầu.
Quy hoạch chiến lược mới về ATTTM của EU
Hiện nay, các mối đe dọa trên KGM đang được một số tác nhân sử dụng làm công cụ hòng đạt được lợi ích lớn hơn về chính trị, kinh tế và ngoại giao.
Là khu vực có mức độ thâm nhập cơ sở hạ tầng mạng thuộc nhóm cao nhất thế giới, EU có mối lo ngại sâu sắc về các mối đe dọa mạng đối với xã hội của mình. EU đã đầu tư nhiều nguồn lực để ứng phó với các thách thức trong KGM; coi việc tăng cường quản trị ATTTM là biện pháp quan trọng để thúc đẩy chuyển đổi số (CĐS), đạt được quyền tự chủ chiến lược và nâng cao ảnh hưởng trong quản trị KGM toàn cầu. [1]
Phát triển chiến lược ATTTM, xây dựng chính sách và quy định mới: Ngay từ năm 2020, EU đã đưa ra “Chiến lược ATTTM của EU cho thập kỷ kỹ thuật số” (EU CSS), làm rõ mục tiêu trong quản lý KGM, bao gồm: tăng cường khả năng phục hồi mạng, duy trì chủ quyền và khả năng lãnh đạo về công nghệ mạng, cải thiện khả năng ứng phó với khủng hoảng mạng, dẫn đầu xây dựng KGM toàn cầu. Trong bối cảnh đại dịch COVID-19 và cuộc khủng hoảng Ukraine, EU đã tận dụng cơ hội để tăng cường xây dựng các quy định, tiêu chuẩn; nâng cao ngưỡng bảo vệ ATTTM.
Năm 2021, EU liên tiếp ban hành các tài liệu “Kết luận về Chiến lược ATTTM” và “Báo cáo về Hiện trạng khả năng phòng thủ mạng của EU”... cam kết thúc đẩy các chiến lược ATTTM và tăng cường phối hợp chính sách ATTTM giữa các quốc gia thành viên. Tháng 3/2022, Hội đồng châu Âu (EC) thông qua tuyên bố chính trị về tăng cường ATTTM trong các cơ quan, tổ chức, văn phòng làm việc của EU [2]; tháng 6/2022 thông qua Khuôn khổ phối hợp ứng phó các mối đe dọa mạng [3]; thông qua xây dựng hộp công cụ chính sách để làm rõ trách nhiệm của các quốc gia thành viên.
Cập nhật hướng dẫn biện pháp bảo mật: Ở cấp độ lập pháp, bên cạnh thúc đẩy thực thi Luật ATTT mạng, EU đẩy nhanh việc đưa ra các quy định và chỉ thị mới; nhấn mạnh trách nhiệm chính của các quốc gia thành viên về ATTTM, bên cạnh đó mở rộng khả năng quản lý, phối hợp và thực thi pháp luật của các tổ chức EU.
Trên cơ sở đánh giá việc thực hiện “Chỉ thị về ATTTM và Thông tin của EU” (NIS), đề xuất chỉ thị mới về các Biện pháp ATTTM phổ biến cao của EU (NIS2) nhằm mở rộng phạm vi các thực thể chịu trách nhiệm về ATTTM. Theo NIS2, ngoài các thực thể ATTTM truyền thống, EC còn liệt kê các cơ quan hành chính công, doanh nghiệp (DN) hàng không vũ trụ..., thuộc phạm vi cơ sở hạ tầng quan trọng; liệt kê các doanh nghiệp quản lý chất thải, sản xuất và phân phối hóa chất, sản xuất và phân phối thực phẩm, dịch vụ bưu chính..., là những thực thể “quan trọng”.
NIS2 cũng đề xuất danh sách các biện pháp quản lý rủi ro ATTTM, tăng cường báo cáo các sự cố ATTTM và tăng hình phạt đối với các hành vi vi phạm. Để thực hiện đề xuất này, EC, Nghị viện châu Âu và các quốc gia thành viên đã đạt được một thỏa thuận chính trị (vào tháng 5/2022) và sẽ được soạn thảo thành luật. Ngoài ra, EC cũng thúc đẩy đưa ra các luật liên quan trong các lĩnh vực ATTTM 5G, IoT và ATTTM tài chính.
Tối ưu hóa quản lý, cải thiện khả năng ứng phó:
Cơ quan ATTTM Liên minh châu Âu (ENISA) là cơ quan thực thi chính về quy định ATTTM của EU. ENISA được giao các nhiệm vụ như thực hiện các chỉ thị về ATTTM và hệ thống thông tin trong EU, thúc đẩy các tổ chức EU và các quốc gia thành viên cải thiện khả năng ATTTM, giám sát và điều phối ứng phó với các sự cố ATTTM, tiến hành các hoạt động ứng phó với các sự cố ATTTM, thực hiện chứng nhận ATTTM...
Tháng 6/2021, EU thành lập Đơn vị KGM chung (Joint Cyber Unit) để cải thiện khả năng ứng phó với các sự cố quy mô lớn và chống lại các loại tội phạm mạng. Là nền tảng ứng phó khẩn cấp, Đơn vị KGM chung có thể chia sẻ thông tin, đưa ra cảnh báo sớm và phối hợp hiệu quả giữa các tổ chức EU và chính quyền các nước thành viên. Dựa trên nền tảng này, các quốc gia thành viên có thể xây dựng kế hoạch ứng phó thống nhất, tăng cường kết nối giữa các Nhóm ứng phó ATTTM châu Âu (CSIRT) và cải thiện mức độ giám sát tình hình ATTTM chung của EU.
Thúc đẩy ngoại giao KGM: EU tin rằng các mối đe dọa ATTTM không chỉ gây nguy hiểm cho hoạt động an toàn của các sản phẩm ICT mà còn đặt ra mối đe dọa đối với nhân quyền, pháp quyền, tự do và “các giá trị dân chủ” được châu Âu ủng hộ. Vì vậy, EU luôn coi ngoại giao KGM là một trong những ưu tiên nhằm duy trì ATTTM.
Một là, tăng cường hoạt động đa phương. EU nỗ lực thúc đẩy sáng kiến hành vi quốc gia “có trách nhiệm” trên KGM; tích cực tham gia vào việc ra mắt “Tuyên bố về tương lai của Internet”; tích cực thực hiện đối thoại ATTTM; củng cố và mở rộng quan hệ với các nước thứ ba, các tổ chức quốc tế và các nhóm lợi ích bên thứ ba.
Hai là, sử dụng sức mạnh KGM của mình để mở rộng ảnh hưởng ngoài lãnh thổ. Tích cực thúc đẩy luật pháp trong các lĩnh vực như dữ liệu và thị trường kỹ thuật số; sử dụng sức mạnh kinh tế và khả năng quản lý của mình để tăng cường quản lý các tác nhân thị trường kỹ thuật số của nước thứ ba; hỗ trợ các nước láng giềng và các nước đang phát tăng cường năng lực ATTTM, từ đó nâng cao ảnh hưởng của EU đối với các quốc gia này.
Ba là, tăng cường cuộc chiến chống tội phạm mạng xuyên biên giới. Để đối phó với các vụ tống tiền trên mạng ngày càng gia tăng, “Khung ngoại giao chung của EU để ứng phó với các hoạt động mạng độc hại” [4] được đề xuất để làm phong phú thêm hộp công cụ ngoại giao mạng (Cyber Diplomacy Toolbox).
Ưu tiên R&D công nghệ ATTTM
EU rất coi trọng hoạt động nghiên cứu và đổi mới (R&I) trong bảo đảm ATTTM; hỗ trợ phát triển và ứng dụng các giải pháp, công cụ kỹ thuật có thể giải quyết hiệu quả các mối đe dọa mạng hiện tại và tương lai.
Các công cụ chính sách hỗ trợ phát triển công nghệ và ngành công nghiệp ATTTM: Trong lĩnh vực công nghệ và công nghiệp mạng, EU đặt mục tiêu hình thành một hệ thống R&D tự chủ và có thể kiểm soát; thúc đẩy phát triển của thị trường và công nghệ ATTTM thông qua tài trợ R&D, định hướng đầu tư và hỗ trợ tài chính.
Một là, sử dụng khuôn khổ R&D của EU và chương trình châu Âu Kỹ thuật số (Digital Europe Programme) để tăng cường tài trợ cho nghiên cứu. Chương trình Horizon Europe (chương trình tài trợ chính dành cho R&I) kết hợp ATTTM vào nhóm các dự án an ninh xã hội để triển khai; thông qua mạng lưới Trung tâm Năng lực ATTTM của EU (ECCC) để tăng cường quản lý; khởi động xây dựng Trung tâm điều hành bảo mật trí tuệ nhân tạo, cơ sở hạ tầng truyền thông lượng tử (Euro QCI) và Hệ thống phân giải tên miền châu Âu (EDNS)...
Hai là, tăng cường đầu tư vào lĩnh vực công nghiệp ATTTM, coi ATTTM là một phần trong kế hoạch phục hồi châu Âu sau đại dịch COVID-19, là hướng đầu tư tài chính quan trọng của Quỹ đầu tư cơ sở hạ tầng EU và Quỹ Kết nối châu Âu; tận dụng các công cụ tài chính trong khuôn khổ “Invest EU” để thu hút đầu tư của khu vực tư nhân. EU dự kiến sẽ đạt được mức đầu tư công và tư nhân trung bình hàng năm khoảng 4,5 tỷ euro cho R&D ATTTM và công nghiệp hóa giai đoạn từ 2021 - 2027.
Định hướng chính R&D ATTTM: Về các lĩnh vực trọng điểm, tháng 4/2021 EC công bố báo cáo “Hướng nghiên cứu ATTTM cho quyền tự chủ chiến lược kỹ thuật số” [5], vạch ra các hướng R&D chính, gồm: Bảo mật dữ liệu, nền tảng phần mềm và phần cứng tin cậy, quản lý và ứng phó với mối đe dọa mạng, công nghệ mã hóa, bảo mật truyền thông kỹ thuật số,...
Về các nhiệm vụ ưu tiên, báo cáo hàng năm về nhu cầu ATTTM và các lĩnh vực ưu tiên thường xuyên được công bố để làm rõ trọng tâm của hoạt động R&D. Theo báo cáo liên quan do EU công bố vào tháng 5/2022 [6], trọng tâm nghiên cứu của EU được sắp xếp theo 4 hướng sau:
Một là, ứng phó với những thách thức bảo mật trong thế giới siêu kết nối (Hyperconnected World). Trong bối cảnh tất cả được kết nối, EU tập trung vào việc xác định lại ranh giới tương tác giữa con người với máy tính và các rủi ro bảo mật phát sinh; xác định lại các vấn đề ATTTM từ các phương pháp thu thập, xử lý dữ liệu trong bối cảnh phát triển từ 5G lên 6G.
Hai là, là bảo mật tính toán (Computational Security). Tập trung vào việc triển khai hiệu quả các sơ đồ khóa đối xứng ở cấp độ bảo mật cao hơn, lập kế hoạch và chuẩn bị cho việc chuyển đổi các hệ thống mật mã sang kỷ nguyên hậu lượng tử; hệ thống mật mã an toàn có khả năng chống lại các cuộc tấn công kênh bên; nghiên cứu các nguyên tắc toán học mới để phát triển mật mã trong tương lai;...
Ba là, là bảo mật của hệ thống thông minh (Intelligent Systems). Trọng tâm nghiên cứu bao gồm: Tích hợp hệ thống nghiên cứu trí tuệ nhân tạo (AI), thiết kế các phương pháp giám sát kết nối quy mô lớn của các hệ thống thông minh, thuật toán ATTTM lấy cảm hứng từ sinh học và kết hợp nhận thức ngữ cảnh vào học máy để cải thiện khả năng phục hồi của hệ thống.
Bốn là, ATTTM trong Khoa học đời sống (Cybersecurity in Life-sciences). Tập trung vào các rủi ro và mối đe dọa mà nghiên cứu sinh học phải đối mặt với sự giao thoa giữa công nghệ sinh học và công nghệ thông tin; phân loại lỗ hổng an toàn sinh học trong môi trường mạng; xây dựng tiêu chuẩn về an toàn sinh học trên mạng...
Các biện pháp phụ trợ khác thúc đẩy quản trị ATTTM: EU cho rằng quản trị an ninh KGM là một dự án xã hội, nếu chỉ dựa vào quyền hành chính thì khó đạt được kết quả mong muốn và phải thúc đẩy cơ chế tham gia đa bên.
Đầu tiên, thúc đẩy thành lập Tổ chức ATTTM châu Âu (ECSO) để xây dựng nền tảng trao đổi và hợp tác giữa các chuyên gia ATTTM, DN, tổ chức học thuật, cơ quan hành chính, người dùng dịch vụ...; đồng thời xác định tiêu chuẩn cho giáo dục và đào tạo ATTTM của EU.
Hai là, tăng cường phổ biến rộng rãi kiến thức và thúc đẩy nâng cao nhận thức về ATTTM của công dân EU. Tháng ATTTM của EU được tổ chức vào tháng 10 hàng năm để thúc đẩy các biện pháp thực hành tốt nhất về ATTTM cho công chúng. Phân loại ATTTM châu Âu, do Trung tâm nghiên cứu chung EU (JRC) đề xuất, làm phong phú thêm các công cụ phản ứng ATTTM của EU.
Ba là, tăng cường đào tạo nhân lực ATTTM và nâng cao khả năng ứng phó thực tế. Nền tảng kiến thức mở “Bản đồ ATTTM châu Âu” [7] được ra mắt để thu thập tiến độ công việc của hơn 750 trung tâm nghiên cứu ATTTM ở EU; phát triển cơ sở dữ liệu ATTTM giáo dục đại học (Cyber Head) để hỗ trợ thực hiện các dự án tại các trường đại học châu Âu trong đào tạo nhân tài ATTTM; thường xuyên tổ chức các giải thi đấu về ATTTM và thực hiện mô phỏng môi trường ATTTM theo thời gian thực,...
Đặc điểm chính sách phát triển công nghệ và ngành ATTTM của EU
Về phát triển công nghiệp, nhấn mạnh “độc lập chiến lược”: EU luôn coi chủ quyền số và khả năng lãnh đạo ATTTM là nền tảng quan trọng cho quyền tự chủ chiến lược của mình.
Do thiếu các công ty hàng đầu trong lĩnh vực ICT nói chung và ATTTM nói riêng, EU đã tăng cường sử dụng luật pháp và quy định, sử dụng các biện pháp bảo vệ dữ liệu, bảo vệ quyền riêng tư công dân và chống độc quyền để “trấn áp” những gã khổng lồ Internet của Mỹ như Google và Amazon; nỗ lực tạo ra không gian cho các công ty châu Âu phát triển.
Hiện nay, EU sử dụng Hộp công cụ bảo mật 5G trong sản xuất thiết bị truyền thông, nhằm ngăn chặn “các nước thứ ba” sử dụng công nghệ tạo ra “các mối đe dọa mạng”, tránh nguy cơ phụ thuộc quá nhiều vào chuỗi cung ứng. EU tiếp tục thông qua các biện pháp như tăng cường chứng nhận an toàn, hệ thống tiêu chuẩn giao thức,... thúc đẩy tính độc lập của công nghệ mạng, hiện thực hóa khả năng kiểm soát đối với cơ sở hạ tầng mạng.
Về mặt R&D, hướng tới thế hệ mới của các công nghệ chủ chốt: EU hiện vẫn tụt hậu so với các đối thủ chính (Mỹ, Trung Quốc) trong phát triển thị trường kỹ thuật số. Bên cạnh đó, EU còn sự phụ thuộc nhiều vào bên ngoài đối với các sản phẩm công nghệ mạng lõi.
Các cuộc tấn công ransomware trong đại dịch COVID-19 và mối đe dọa từ các nhóm hacker thân Nga trong cuộc khủng hoảng Ukraine đã làm gia tăng lo ngại của EU về việc thiếu công nghệ mạng lõi. Để thay đổi tình trạng này, EU đã đẩy mạnh R&D các công nghệ ATTTM chiến lược trong tương lai, đầu tư nhiều nguồn lực vào 6G, hệ thống an ninh thông minh, hệ thống an ninh lượng tử; tăng cường hướng dẫn các quỹ đầu tư, khuyến khích phát triển đổi mới của các doanh nghiệp vừa và nhỏ nhằm chiếm lợi thế trong cạnh tranh trong tương lai.
Về mặt quản trị quốc tế, nêu bật đặc điểm hình thái ý thức hệ: EU tích cực tác động đến hành vi của các quốc gia khác nhằm thúc đẩy định hướng giá trị của EU về một KGM mở. Một mặt, EU nhấn mạnh liên minh Mỹ-EU, đưa “tiêu chuẩn nhân quyền” vào khuôn khổ ATTTM; thúc đẩy hợp tác để tạo ra “quy tắc chung cho Internet” trong tương lai.
Mặt khác, tạo ra những “kẻ thù giả định” khi giải thích về các mối đe dọa ATTTM. EU nhiều lần ban hành “danh sách trừng phạt hạn chế” nhắm vào các tổ chức và cá nhân ở các quốc gia cụ thể; đặc biệt nhấn mạnh các mối đe dọa do hành động của tác nhân nhà nước gây ra.
Kiến nghị cho Việt Nam
Nâng cao trình độ công nghệ và tăng cường khả năng quản trị ATTTM, là bảo đảm quan trọng cho phát triển kinh tế số, tăng cường bảo đảm an ninh quốc gia trong thời đại mới. Trong bối cảnh quốc tế hiện nay, Việt Nam cần sử dụng tổng hợp các biện pháp như: Luật, quy định và tiêu chuẩn; nghiên cứu và phát triển công nghệ; phát triển ngành công nghiệp ATTTM; mở rộng ngoại giao KGM...; tạo môi trường trong nước và quốc tế thuận lợi để nâng cao năng lực KGM quốc gia.
Một là, cải tiến hệ thống tiêu chuẩn và quy định về ATTTM, chủ động ứng phó với các mối đe dọa:
Ban hành các luật và quy định liên quan ATTTM và bảo mật dữ liệu; thúc đẩy luồng dữ liệu có trật tự và tự do theo quy định của pháp luật; triển khai các chính sách và biện pháp để bảo vệ cơ sở hạ tầng thông tin quan trọng, ứng phó hiệu quả với hành vi của các nhóm APT và các tổ chức tin tặc; cải thiện các tiêu chuẩn về bảo mật cơ sở hạ tầng thông tin, bảo mật phần mềm, bảo mật mạng, bảo mật dữ liệu, bảo mật vận hành...; tăng cường hợp tác với các tổ chức quốc tế có tầm ảnh hưởng trong ngành như Liên minh Viễn thông Quốc tế, Tổ chức Tiêu chuẩn hóa Quốc tế, Lực lượng Đặc nhiệm Kỹ thuật Internet (IETF), Viện Kỹ sư Điện và Điện tử (IEEE).
Hai là, tăng cường R&D liên quan ATTTM:
Tăng cường nghiên cứu lý thuyết cơ bản về ATTTM, trong đó có các thuật toán mã hóa, chip mã hóa, cơ sở dữ liệu an toàn, các phần cứng và phần mềm bảo mật; khuyến khích nghiên cứu về công nghệ bảo mật quyền riêng tư; chú ý R&D đảm bảo an ninh cho Internet công nghiệp và các chuỗi cung ứng quan trọng; khuyến khích khám phá bảo mật thông tin ứng dụng các công nghệ mới như trí tuệ nhân tạo và mật mã lượng tử.
Ba là, khuyến khích phát triển ngành ATTTM:
Cải thiện môi trường pháp lý để phát triển các doanh nghiệp ATTTM, thu hút nguồn lực để phát triển hệ sinh thái ngành ATTTM; tăng cường hỗ trợ chính sách cho đổi mới công nghệ của các doanh nghiệp ATTTM; khuyến khích doanh nghiệp tăng cường đầu tư đổi mới khoa học công nghệ; phát triển các công nghệ mạng cốt lõi tự chủ quyền sở hữu trí tuệ; hỗ trợ phát triển các doanh nghiệp hàng đầu trong các lĩnh vực thiết bị phần cứng và sản phẩm phần mềm bảo mật thông tin, dịch vụ tích hợp bảo mật, công cụ chống vi-rút, thuật toán bảo mật và các dịch vụ cơ bản khác.
Bốn là, tích cực tham gia vào quản trị toàn cầu về KGM: Tăng cường đối thoại, trao đổi song phương và đa phương, thúc đẩy thiết lập trật tự KGM dựa trên luật lệ trong khuôn khổ Liên Hợp Quốc, phản đối các hành vi cố ý phá hoại trật tự ATTTM quốc tế; tích cực hợp tác liên chính phủ và quốc tế trong đấu tranh chống khủng bố mạng và tội phạm mạng; thúc đẩy trao đổi, hợp tác trong các lĩnh vực như mạng truyền thông, Internet di động, điện toán đám mây, Internet vạn vật, dữ liệu lớn, chuỗi khối...; tăng cường hợp tác trong ứng phó khẩn cấp mạng, đổi mới công nghệ, tiêu chuẩn và quy định...; tăng cường giao lưu, trao đổi kinh nghiệm chuyên gia trong lĩnh vực an toàn thông tin.
Tài liệu tham khảo:
1. https://www.secrss.com/article...
2. https://ec.europa.eu/commissio...
ip_23_3483
3. https://www.consilium.europa.e...
releases/2022/06/21/council-conclusions-on-a-framework-
for-a-coordinated-eu-response-to-hybrid-campaigns/
4. https://www.enisa.europa.eu/ev...
an-opportunity-for-the-eu-cyber-crisis-management/
workshop-presentations/20190603-eeas-eu-cyber-
diplomacy-toolbox.pdf
5. https://op.europa.eu/en/public...
publication/30b09e02-a7cc-11eb-9585-01aa75ed71a1
6. https://www.enisa.europa.eu/pu...
innovation-brief/@@download/fullReport
7. https://cybersecurity-atlas.ec...
(Bài đăng ấn phẩm in Tạp chí TT&TT số 11 tháng 11/2023)