Sáng 24/6, Quốc hội thảo luận ở hội trường về dự thảo Luật an toàn thông tin. Đây là một dự luật chuyên ngành rất khó và phức tạp nhưng vô cùng quan trọng, không chỉ đáp ứng các yêu cầu, mục đích như đã đề ra.
Từ thực trạng nguy cơ mất an toàn thông tin mạng
Trên hết, dự thảo Luật phải hướng đến mục tiêu đảm bảo an toàn một cách tối ưu cho hệ thống thông tin mạng nói chung nhằm phục vụ cho an ninh, quốc phòng và bảo vệ chủ quyền quốc gia, phát triển kinh tế đất nước và đặc biệt là cơ sở để đảm bảo cho lộ trình thực hiện chính phủ điện tử, thương mại điện từ đang ngày càng trở lên phổ biến. Bên cạnh đó, làm điều kiện đảm bảo cho các dự án thực hiện dịch vụ công trực tuyến và đặc biệt là bảo mật tuyệt đối cho hàng triệu giao dịch mỗi ngày của người dân một khi chip điện tử trên thẻ căn cước công dân được đưa chính thức vào sử dụng.
Trong một thế giới với sự phát triển cực kỳ nhanh chóng của mạng thông tin đã mang lại cho đời sống xã hội rất nhiều thuận lợi. Mỗi thông tin có thể trao đổi và tiếp cận hết sức nhanh chóng, nó càng tốt hơn khi có quá nhiều thiết bị thông minh mà hầu như ai cũng có, nên thời gian tìm hay trao đổi thông tin được thực hiện rất nhanh ở mọi nơi.
Mạng thông tin càng mở rộng, số người sử dụng mạng càng nhiều, tốc độ truy nhập càng cao thì nguy cơ mất an toàn thông tin và mức độ thiệt hại do các tấn công càng lớn. Các sự cố về mất an toàn thông tin đã tăng lên nhanh chóng trong thời gian qua, kéo theo những thiệt hại về vật chất và phi vật chất, ảnh hưởng lớn đến hoạt động của các cơ quan nhà nước, doanh nghiệp và người dân, gây bức xúc, lo lắng cho xã hội. Theo đó, nguy cơ mất an toàn thông tin đã trở thành thách thức lớn đối với mỗi quốc gia, trong đó có Việt Nam.
Yêu cầu đặt ra hiện nay là Việt Nam cần có các quy định pháp lý về an toàn thông tin để nội luật hóa các điều ước quốc tế mà Việt Nam là thành viên; phù hợp với thông lệ quốc tế bảo đảm an toàn thông tin, tạo môi trường bình đẳng cho các tổ chức, doanh nghiệp hoạt động sản xuất, kinh doanh tại Việt Nam.
Chính phủ đã trình của Quốc hội dự án Luật an toàn thông tin (và ngay tại kỳ họp thứ chín, Chính phủ đã tiếp thu, chỉnh lý tên gọi mới là Luật an toàn thông tin mạng) gồm 9 chương, 75 điều nhằm tạo hành lang pháp lý cho việc quản lý tốt hơn vấn đề an ninh, an toàn thông tin. Đặc biệt là thông tin trao đổi, thông tin lưu trữ trên hệ thống mạng, hay còn gọi là thông tin số, thông tin điện tử.
Làm rõ mối quan hệ giữa an toàn thông tin với an ninh thông tin
Thông tin được thể hiện dưới nhiều hình thức khác nhau từ thông tin bằng văn bản, thông tin bằng âm thanh hay thông tin được số hóa và được truyền đi dưới nhiều hình thức như truyền miệng, gửi văn bản hay truyền tải thông qua các phương tiện điện tử.
Điều 21 của Hiến pháp năm 2013 đã quy định quyền được bảo đảm an toàn đối với “
thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình… Mọi người có quyền bí mật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác. Không ai được bóc mở, kiểm soát, thu giữ trái luật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư của người khác”. Do đó, phạm vi thông tin cần được pháp luật bảo đảm an toàn là rất rộng, không chỉ là thông tin được số hóa, được trao đổi thông qua các phương tiện điện tử hay mạng Internet.
Có ý kiến cho rằng, phần lớn nội dung của dự thảo Luật chỉ tập trung quy định về bảo đảm an toàn thông tin trên mạng (bao gồm mạng viễn thông, internet và mạng máy tính). Dự thảo Luật không điều chỉnh về nội dung thông tin mà chỉ chỉ tập trung về các vấn đề kỹ thuật nhằm bảo đảm quá trình truyền tải thông tin không bị sửa đổi, tiết lộ, gián đoạn, thông tin được bảo đảm nguyên vẹn. Do đó, đề nghị đổi tên gọi của dự thảo Luật thành
Luật an toàn thông tin mạng để bảo đảm thống nhất với phạm vi điều chỉnh của Luật.
Có ý kiến đề nghị làm rõ mối quan hệ giữa an toàn thông tin với an ninh thông tin; bổ sung một số nội dung liên quan giữa bảo đảm an toàn thông tin phục vụ phát triển kinh tế - xã hội với an ninh thông tin trong thực hiện nhiệm vụ bảo đảm an ninh, quốc phòng theo tinh thần của Nghị quyết IPU-132 về chiến tranh mạng.
ĐBQH Huỳnh Thành - tỉnh Gia Lai
Vấn đề chủ quyền quốc gia về không gian mạng
Có ý kiến cho rằng, xác định chủ quyền quốc gia trên không gian mạng là vấn đề rất khó và phức tạp, đặc biệt trong bối cảnh quốc tế có nhiều biến động khó lường trên nền khoa học và công nghệ phát triển ở mức cao, nhanh như vũ bão hiện nay. Do đó, Luật cần có quy định việc cần sẵn sàng thực thi trong tình huống khi xảy ra những nguy hiểm đến an ninh quốc gia mà chúng ta cần có các biện pháp tự vệ như: Quy định trong trường hợp đặc biệt cần đóng hoàn toàn hoặc hạn chế các cổng kết nối quốc tế nhằm ngăn chặn các truy cập từ phía ngoài vào bên trong các hệ thống thuộc địa phận Việt Nam.
Có ý kiến cho rằng không nên đưa vấn đề chủ quyền không gian mạng vào dự thảo Luật. Việc đưa nội dung này vào Luật cũng cần cân nhắc vì nó chưa có tiền lệ, các quan điểm về việc phân định gianh giới lãnh thổ trên không gian điện toán (cyberspace) vẫn không nhận được sự đồng thuận của các quốc gia thành viên của Liên Hợp Quốc. Chúng ta cần cân nhắc kỹ càng khi đưa ra các nội dung này vào Luật, vì nếu không dựa trên một cơ sở pháp lý quốc tế thì việc thực thi nó với các nước đang phát triển như chúng ta là rất khó khăn và gần như không khả thi. Thay vì đề cập tới chủ quyền không gian mạng, trong dự thảo Luật đã có những quy định về ngăn chặn xung đột thông tin để làm cơ sở pháp lý cho những văn bản dưới luật quy định về tác chiến mạng, lực lượng tác chiến mạng,…
Quy định có tính khả thi hơn về bảo vệ thông tin cá nhân trên mạng
Bảo vệ thông tin, dữ liệu cá nhân là một vấn đề rất phức tạp nhưng lại chỉ được quy định trong 05 điều của dự thảo Luật (từ Điều 28 đến Điều 32 Chương III). Hiện nay, có rất nhiều quốc gia đã ban hành một đạo luật riêng về bảo vệ dữ liệu cá nhân như: Pháp, Ý, Hà Lan, Nhật Bản, Singapore, Malaysia, Philipin, Ấn Độ, Hàn Quốc…
Nhiều ý kiến cho rằng, quy định về bảo vệ thông tin cá nhân trên mạng phải là một nội dung cơ bản, quan trọng trong Luật này. Đề nghị cơ quan soạn thảo nghiên cứu bổ sung các quy định có tính khả thi hơn về bảo vệ thông tin cá nhân trên mạng trên cơ sở Bộ luật dân sự (sửa đổi), kinh nghiệm của một số quốc gia trong việc xây dựng luật về bảo vệ dữ liệu cá nhân.
Từ thực tiễn đời sống, có ý kiến đại biểu băn khoăn, là một người sử dụng mạng không nhiều lắm, một ngày truy cập độ vài lần nhưng mỗi lần vào mạng đều có cảm giác về truy cập của mình đang bị người khác kiểm soát, họ cũng truy cập vào, thậm chí họ sử dụng thông tin của mình, sử dụng truy cập của mình vào những mục đích của riêng họ, cảm thấy bất an lắm. Cho nên, đại biểu đề nghị dự thảo Luật cần phải có sự nghiên cứu, đầu tư công phu hơn để quy định bổ sung những nội dung về bảo đảm an toàn thông tin cá nhân trên mạng, nhất là: (1) Các nhà cung cấp dịch vụ phải công khai, minh bạch những ứng dụng, những liên kết trong thông tin mạng cho người sử dụng dịch vụ. Bởi vì, nhiều khi truy cập vào cảm giác như những ứng dụng mà nhà cung cấp cho mình không công khai, không minh bạch, rồi tự nhiên mình bị một hậu quả, một thiệt hại, kể cả về mặt tài chính, tài chính không nhiều lắm nhưng những thiệt hại, những tổn thất về mặt lộ, lọt thông tin thì rất đáng suy nghĩ. Cần phải có quy định về sự công khai, minh bạch trong cung cấp dịch vụ. (2) Dự thảo Luật tập trung điều chỉnh vào những hành vi thu thập, sử dụng, lưu trữ thông tin cá nhân trên mạng, kể cả mục đích thương mại và phi thương mại. Bởi vì, mục đích thương mại rõ rồi là trục lợi, nhưng mục đích phi thương mại thì cần phải có những điều chỉnh để hạn chế những việc truy cập sử dụng trái phép thông tin của người khác.
Quy định trong dự thảo Luật có dung lượng và nội hàm còn nhiều hạn chế. Cả giải thích thuật ngữ cũng như nội dung quy định chưa có sự phân biệt trong việc thu thập, xử lý, sử dụng các thông tin do cá nhân thực hiện khai báo theo yêu cầu của tổ chức cung cấp dịch vụ (thu thập thông tin) với các thông tin cá nhân do cá nhân chủ động đưa lên mạng (ví dụ tên tuổi, địa chỉ, số điện thoại, hình ảnh…), do vậy chưa thể hiện được một cách toàn diện trách nhiệm của tất cả các bên liên quan trong việc bảo vệ, bảo đảm an toàn đối với từng loại thông tin này. Dự thảo Luật cũng chưa chỉ ra được những hành vi bị nghiêm cấm trong việc thu thập, sử dụng thông tin cá nhân cũng như chế tài xử lý đối với các hành vi vi phạm trong lĩnh vực này.
Hơn nữa, theo các quy định liên quan trong dự thảo Luật thì có thể hiểu các quy định này chỉ tập trung vào việc bảo vệ các thông tin cá nhân trên mạng được nắm giữ và xử lý bởi các tổ chức, cá nhân với mục đích thương mại, kinh doanh. Còn đối với việc thu thập, sử dụng thông tin cá nhân nhằm các mục đích khác hoặc do các cơ quan nhà nước nắm giữ, xử lý lại chưa rõ cơ chế bảo vệ như thế nào.
Bảo mật, bảo an đặc biệt cho hệ thống thông tin mạng trong các cơ quan quản lý nhà nước
Qua nghiên cứu Chương V về tiêu chuẩn quy chuẩn an toàn thông tin, Chương VI quy định về kinh doanh trong lĩnh vực an toàn thông tin khi so với thực tế, đại biểu thấy chưa thuyết phục. Trong 138,6 triệu thuê bao di động hiện nay đã có hơn 52% trong số đó sử dụng điện thoại thông minh; 34% dân số sử dụng internet bằng di động.
Dạo quanh thị trường các thiết bị di động, chúng ta dễ dàng nhận thấy các cửa hàng bày bán công khai những loại điện thoại thông minh, cấu hình vô cùng mạnh, nhưng giá vô cùng rẻ, xuất xứ từ Trung Quốc. Điện thoại của các thương hiệu nổi tiếng từ cao cấp đến bình dân đều có bo mạch, chíp xử lý cũng được gia công từ quốc gia này. Chưa kể theo thống kê có hơn 200 ngàn thiết bị mạng ở hộ gia đình, các công sở, các doanh nghiệp và vô số các thiết bị thông minh từ lò vi sóng, tủ lạnh, tivi, camera quan sát và các thiết bị điều khiển từ xa, tất cả đều có khả năng kết nối được Internet. Nhưng có lỗi phần cứng và phần mềm dính lỗ hổng bảo mật misfortune cookie vô cùng nghiêm trọng. Nhiều mã độc được cài vào một cách có chủ đích, có thể gây ảnh hưởng đến bất kỳ thiết bị nào kết nối với chúng, cũng có nguồn gốc từ quốc gia này đang được lưu hành và bày bán công khai trong cả nước.
Quang cảnh phiên họp toàn thể Quốc hội ở hội trường
Trước thực trạng đó, việc đòi hỏi người dùng phải thông minh, phải hiểu biết và có trách nhiệm để tự bảo vệ thông tin cho chính mình khi sử dụng dịch vụ và các thiết bị vừa nêu, xem ra là quy định đánh đố cần phải xem lại. Ai kiểm soát cho phép nhập khẩu và bày bán. Ai kiểm định các thiết bị có an toàn, có cài đặt mã độc hay không? Làm sao để kiểm soát, kiểm tra, dán tem hợp chuẩn cho các thiết bị đã và đang lưu hành hiện nay. Hoặc chí ít là đưa ra lời khuyên, khuyến cáo một cách rõ ràng cho người dùng Internet, làm sao kiểm soát được các thông tin phản động, sai lệch, đồi trụy hay ngăn chặn nguy cơ nghiện các trang mạng xã hội, không chỉ trong giới trẻ mà thậm chí có một tỷ lệ không nhỏ là cán bộ, công chức, cả quan chức cấp cao hiện nay. Thiết nghĩ cần có câu trả lời thẳng thắn và vào cuộc của các cơ quan chức năng, trước khi luật hóa các nội dung này một cách phù hợp.
Chúng ta không thể làm ngơ cảnh báo của hãng bảo mật Kaspersky và Symantec khi cho rằng Việt Nam là nước đứng đầu danh sách các quốc gia có người dùng Internet, máy tính dễ bị lây nhiễm phần mềm độc hại cục bộ cao nhất thế giới. Việc lây lan vi rút dính mã độc đa phần là do thói quen sử dụng các dịch vụ miễn phí trên Internet.
Dịch vụ phần mềm từ các trang mạng xã hội, từ thư điện tử trá hình, đến việc tải các ứng dụng miễn phí bị cài mã độc vào điện thoại thông minh không ngừng tăng lên, cả số lượng lẫn tính chất phức tạp, nguy hiểm. Ngay trong hội trường này, khi đã được phá sóng tất cả các đường truyền Internet thế nhưng nguy cơ bị tấn công cục bộ từ nguồn các máy tính xách tay khi kết nối với mạng nội bộ Văn phòng Quốc hội vẫn có thể diễn ra. Các USB hay máy tính cá nhân đã nhiễm vi rút đều không có quy định để kiểm soát trước đó. Mức độ nguy hiểm ở đây chính là hệ thống lại không bị đánh sập, kiểu ngựa Thành Troy, không bị phá hoại công khai mà các phần mềm gián điệp, các mã độc có thể âm thầm kích hoạt điện thoại di động thông minh để ghi âm, lấy thông tin trong hội trường này và chuyển tải về máy chủ khi máy tính xách tay được kết nối trở lại với Internet bên ngoài. Đó là phương thức phổ biến của các hacker chuyên nghiệp có hệ thống, thậm chí có tài trợ của Chính phủ, của các quốc gia đã và đang có nguy cơ xung đột chính trị với nước ta.
Tấn công mạng diện rộng là nguy cơ mà diễn ra hàng giờ, hàng ngày và có mức độ nguy hiểm ngày càng tăng. Đặc biệt các mục tiêu nhắm đến hiện nay là hệ thống thông tin của các cơ quan nhà nước, từ trung ương đến địa phương. Tuy nhiên, theo báo cáo của Hiệp hội an toàn thông tin có đến 81% đơn vị cho phép nhân viên sử dụng điện thoại thông minh, máy tính bảng để truy cập vào mạng nội bộ. Con số này trong các cơ quan hành chính nhà nước còn cao hơn rất nhiều. Tuy nhiên, trong số đó có đến 74% chưa có giải pháp quản lý các thiết bị bảo mật kiểm soát về hệ thống. Giải pháp phổ biến hiện nay chỉ đa phần là cài password để hạn chế truy cập.
Đề nghị cơ quan soạn thảo cần quan tâm và dành một dung lượng phù hợp để chế định thêm các nội dung bảo mật, bảo an một cách đặc biệt cho hệ thống thông tin mạng trong các cơ quan quản lý Nhà nước. Đặc biệt là các chế định về người dùng, chuyên gia bảo mật và các thiết bị di động cá nhân được phép sử dụng trong môi trường hiện nay.
Duy Hiếu (tổng hợp)