Khóa luận Hoàn thiện pháp luật về an ninh mạng

Nội dung text: Khóa luận Hoàn thiện pháp luật về an ninh mạng

1. ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA LUẬT    KHÓA LUẬN TỐT NGHIỆP Bộ môn Lý luận và Lịch sử Nhà Nước và Pháp luật ĐỀ TÀI: HOÀN THIỆN PHÁP LUẬT VỀ AN NINH MẠNG Người thực hiện : Nguyễn Mạnh Tùng Lớp : K61CLC MSV : 16061087 Người hướng dẫn : TS. Nguyễn Văn Quân Hà Nội – 2020 ` ¬
2. LỜI CAM ĐOAN Tôi xin cam đoan Khóa luận tốt nghiệp “Hoàn thiện pháp luật về an ninh mạng” là công trình nghiên cứu của riêng tôi. Các số liệu, thông tin được trích dẫn được sử dụng trong Khóa luận này là hoàn toàn chính xác, tin cậy, trung thực và kết quả nghiên cứu do quá trình học tập, nghiên cứu của bản thân và sự hướng dẫn tận tình của Giáo viên hướng dẫn TS. Nguyễn Văn Quân. Hà Nội, ngày 01 tháng 06 năm 2020 Tác giả Khóa luận tốt nghiệp Nguyễn Mạnh Tùng i
3. MỤC LỤC LỜI CAM ĐOAN i MỤC LỤC ii MỞ ĐẦU 1 I.Tính cấp thiết của đề tài 1 II. Mục đích nghiên cứu 2 1. Mục tiêu chung 2 2.Đối tượng và phạm vi nghiên cứu 3 3.Phương pháp nghiên cứu 3 4.Kết cấu khóa luận 4 CHƯƠNG 1:KHÁI QUÁT PHÁP LUẬT VỀ AN NINH MẠNG CỦA VIỆT NAM .5 I. Pháp luật về An ninh mạng của Việt Nam 5 1.Một số nội dung chính của Luật An ninh mạng: 7 2.Nguyên tắc và chính sách về bảo vệ An ninh mạng của Việt Nam 11 II.Các thuật ngữ về An ninh mạng: 13 1. An ninh mạng 13 2.Thông tin 17 3. Không gian mạng 18 4.Tội phạm mạng 21 5. Khủng bố mạng 22 6. Gián điệp mạng 23 III. Điểm hạn chế trong pháp luật về an ninh mạng của Việt Nam 24 1. Sự trùng lặp pháp luật 24 2. Hạn chế trong cách quy định và sự thiếu hụt văn bản hướng dẫn 28 TIỂU KẾT CHƯƠNG 1 36 CHƯƠNG 2: THỰC TRẠNG AN NINH MẠNG TRÊN THẾ GIỚIVÀ Ở VIỆT NAM 37 ii
4. I.Tình hình An ninh mạng trên thế giới: 37 1. Tổng quan về tình hình an ninh mạng trên thế giới 37 2. Các cuộc tấn công mạng và tác động của chúng 41 II.Tình hình An ninh mạng ở Việt Nam 44 1. Tổng quan về tình hình an ninh mạng của Việt Nam 44 2. Thống kê, đánh giá và dự báo về tình hình an ninh mạng của Việt Nam trong những năm gần đây và thời gian sắp tới 47 3. Những nguy cơ và thách thức đến từ môi trường mạng 48 III.Tình hình thực hiện pháp luật về an ninh mạng của Việt Nam 50 TIỂU KẾT CHƯƠNG 2 56 CHƯƠNG 3: MỘT SỐ KIẾN NGHỊ HOÀN THIỆN PHÁP LUẬT AN NINH MẠNG CỦA VIỆT NAM 57 I. Hệ thống các biện pháp bảo đảm An ninh mạng 57 II.Pháp luật về an ninh mạng của một số nước trên thế giới và kinh nghiệm cho Việt Nam 61 1. Tổng quan về pháp luật và chiến lược an ninh mạng của các nước trên thế giới 61 2. Pháp luật an ninh mạng của một số nước trên thế giới 65 III.Kiến nghị hoàn thiện pháp luật và thực thi hiệu quả Luật An ninh mạng của Việt Nam 73 1.Hoàn thiện pháp luật 73 2. Thực thi pháp luật và chiến lược an ninh mạng quốc gia 77 TIỂU KẾT CHƯƠNG 3 80 KẾT LUẬN 81 DANH MỤC TÀI LIỆU THAM KHẢO 82 iii
5. MỞ ĐẦU I. Tính cấp thiết của đề tài: Trong xã hội phát triển ngày nay thì một trong những yếu tố quan trọng mang ý nghĩa quyết định sự tiến bộ của nền văn minh nhân loại, đó là công nghệ. Ứng dụng khoa học công nghệ được sử dụng vào trong các ngành nghề khác nhau và từng bước đóng vai trò cốt yếu trong nhiều lĩnh vực đời sống xã hội. Một trong những phát kiến có thể nói là vĩ đại nhất trong lịch sử công nghệ- thông tin của loài người đó là mạng Internet. Với sự phát triển như vũ bão của khoa học công nghệ, không gian mạng trở thành một bộ phận cấu thành không thể thiếu, đóng vai trò quan trọng trong xây dựng xã hội thông tin và phát triển kinh tế tri thức. Sự bùng nổ của công nghệ mang tính đột phá như trí tuệ nhân tạo, Internet của vạn vật, máy tính lượng tử, điện toán đám mây, hệ thống dữ liệu lớn, hệ thống dữ liệu nhanh đã làm không gian mạng thay đổi sâu sắc cả về chất và lượng, được dự báo sẽ mang lại những lợi ích chưa từng có cho xã hội loài người nhưng cũng làm xuất hiện những nguy cơ tiềm ẩn vô cùng lớn. Từ khi mạng Internet ra đời, các vấn đề an ninh như tấn công mạng, đánh cắp thông tin, giả mạo, khủng bố liên tục diễn ra, an ninh mạng ngày nay không chỉ dừng lại ở việc bảo mật thông tin của cá nhân, doanh nghiệp mà còn liên quan đến chính trị, kinh tế, pháp lý, trở thành thủ đoạn trong việc đối đầu giữa các nước. Các cuộc tấn công mạng với động cơ chính trị vào hệ thống thông tin trọng yếu của các nước ngày càng gia tăng, gây thiệt hại nghiêm trọng về kinh tế, quốc phòng và an ninh. Tội phạm mạng ngày càng nguy hiểm với nhiều thủ đoạn tinh vi, kỹ thuật cao, sử dụng các loại mã độc ứng dụng trí tuệ nhân tạo để tấn công, xâm nhập. Không gian mạng đang trở thành môi trường thuận lợi để các cơ quan đặc biệt, nước ngoài, cá nhân, tổ chức khủng bố liên lạc, tuyển mộ lực lượng, gây quỹ, truyền bá tư tưởng chống đối cực đoan, kích động sự hận thù và bạo lực. Mạng Internet không chỉ là phương tiện thiết yếu trong cuộc sống, mà nó còn đặt ra nhiều vấn đề mới cho an ninh quốc gia. 1
6. Nhiều quốc gia đã nhận thức rõ về những mối đe dọa đối với an ninh mạng, coi đây là thách thức mới, mối đe dọa mới có tầm quan trọng và nguy hiểm cao nên đã cụ thể hóa thành các văn bản chính sách, văn bản pháp luật như luật hoặc văn bản dưới luật tại hơn 80 quốc gia, tổ chức, liên minh quốc tế như Mỹ, Anh, Đức, Hà Lan, Pháp, Canada, Hàn Quốc, nhằm tạo ra các thiết chế, cơ sở pháp lý chống lại các nguy cơ đe dọa đến an ninh quốc gia từ không gian mạng; thành lập các lực lượng chuyên trách về an ninh mạng, tình báo mạng, chiến tranh mạng, phòng chống khủng bố mạng và tội phạm mạng. Đến nay, có 138 quốc gia trong đó có 95 nước đang phát triển đã ban hành Luật An ninh mạng. Chỉ trong vòng 06 năm trở lại đây, đã có 23 quốc gia trên thế giới ban hành trên 40 văn bản luật về an ninh mạng. Luật An ninh mạng (LANM) của Việt Nam đã được Quốc hội khóa XIV thông qua tại Kỳ họp thứ 5, gồm 7 chương, 43 điều, quy định những nội dung cơ bản về bảo vệ an ninh mạng đối với hệ thống thông tin an ninh quốc gia; phòng ngừa, xử lý hành vi xâm phạm an ninh mạng; triển khai hoạt động bảo vệ an ninh mạng và quy định trách nhiệm của cơ quan, tổ chức, cá nhân, chính thức có hiệu lực từ 01/01/2019. Sự tác động của các vấn đề về an ninh mạng đến kinh tế, văn hóa, chính trị và xã hội là vô cùng to lớn. Việc phòng ngừa, đấu tranh chống lại tội phạm và những hành vi bất hợp pháp trên không gian mạng là một nhiệm vụ tất yếu đối với mỗi quốc gia. Tuy nhiên tại Việt Nam, cho tới nay, an ninh mạng còn là một vấn đề chưa được nghiên cứu thực sự kỹ lưỡng, hiện có khá ít những nghiên cứu chuyên sâu về vấn đề này đặc biệt là trên khía cạnh pháp lý. Hi vọng bài nghiên cứu này có thể chỉ ra những vấn đề pháp lý liên quan đến an ninh mạng nói chung và pháp luật về an ninh mạng của nước ta nói riêng, từ đó đề ra những hướng đi, giải pháp nhằm từng bước nâng cao hiệu quả của công tác phòng ngừa, đấu tranh chống tội phạm mạng và hoàn thiện pháp luật an ninh mạng của Việt Nam. II. Mục đích nghiên cứu 1. Mục tiêu chung Nghiên cứu tập trung vào một số vấn đề pháp lý của an ninh mạng, đánh giá 2
7. chúng dưới góc nhìn pháp luật. Đi sâu vào phân tích nội dung của Luật An ninh mạng. Thông qua các vụ việc cụ thể cũng như nghiên cứu pháp luật về an ninh mạng của Việt Nam và một số nước trên thế giới, tìm ra những điểm đáng chú ý, phân tích trên cơ sở pháp lý. Từ đó đưa ra phương hướng hoàn thiện pháp luật, giải pháp, khuyến nghị để nâng cao hiệu quả thực thi và bảo đảm an ninh mạng. So sánh pháp luật Việt Nam với pháp luật của các quốc gia khác, từ đó tìm ra những điểm khác biệt trong mô hình, phương thức xây dựng và thực thi pháp luật về an ninh mạng. Chỉ ra những thuận lợi, khó khăn trong vấn đề phòng ngừa, đấu tranh chống tội phạm mạng cũng như vai trò, sự tác động của pháp luật tới hoạt động này. 2.Đối tượng và phạm vi nghiên cứu Không gian: Nước Cộng hòa xã hội chủ nghĩa Việt Nam, các quốc gia, vùng, lãnh thổ khác trên thế giới. Thời gian: từ năm 2010 tới nay Đối tượng nghiên cứu: Pháp luật về an ninh mạng của Việt Nam và một số nước khác. Các vụ tấn công mạng và sự cố an ninh mạng lớn trên thế giới do tội phạm mạng, khủng bố mạng gây ra và sự ảnh hưởng của chúng tới đời sống, kinh tế, chính trị, xã hội . Vấn đề nghiên cứu: An ninh mạng dưới góc độ pháp lý; Hoàn thiện pháp luật về an ninh mạng ở Việt Nam. Do an ninh mạng tác động đến rất nhiều mặt của đời sống xã hội nên nghiên cứu sẽ chỉ tập trung vào khía cạnh liên quan đến an ninh quốc gia, trật tự an toàn xã hội chứ không đề cập nhiều tới những khía cạnh khác như kinh tế hay môi trường, 3.Phương pháp nghiên cứu Nghiên cứu dựa trên phương pháp luận của Chủ nghĩa Mác-Lênin. Trên cơ sở đó, đề tài sẽ sử dụng một số phương pháp nghiên cứu khác như sau: Phương pháp so sánh: đối sánh vấn đề lý luận và thực tiễn giữa Việt Nam và các quốc gia khác trên thế giới nhằm tìm ra những điểm chung và khác biệt về vấn đề lý luận và thực tiễn về các vấn đề an ninh mạng. 3
8. Phương pháp phân tích và bình luận để làm rõ những vấn đề lý luận, tìm ra mối liên hệ giữa lý luận và những hành vi thực tế, tìm ra những điểm còn hạn chế trong chính sách, pháp luật từ đó đánh giá và đề xuất phương hướng giải quyết,. Phương pháp tổng kết thực tiễn nhằm khái quát hoá thực trạng, có cái nhìn bao quát về tình hình an ninh mạng và pháp luật hiện nay, xem xét và đánh giá những bài học kinh nghiệm thực tiễn. 4.Kết cấu khóa luận Nghiên cứu gồm 3 phần, xây dựng theo hướng nghiên cứu từ những vấn đề lý luận và thực trạng tới nguyên nhân và đưa ra giải pháp. Phần đầu tiên, phân tích pháp luật về an ninh mạng của Việt Nam, đặc biệt là nội dung của Luật An ninh mạng. Chỉ ra những ưu điểm và nhược điểm, rút ra cái nhìn tổng quan nhất về pháp luật an ninh mạng. Ngoài ra, những khái niệm quan trọng trong lĩnh vực an ninh mạng cũng được làm rõ trên cơ sở so sánh, đánh giá qua các quan điểm ở nhiều góc độ khác nhau. Ở phần này, nghiên cứu cũng tập trung vào những điểm còn hạn chế, bất cập trong Luật An ninh mạng của Việt Nam, làm cơ sở đặt ra phương hướng hoàn thiện ở phần sau. Phần hai, nghiên cứu tìm hiểu tình hình an ninh mạng nói chung, tình hình an ninh mạng trên thế giới và tại Việt nam. Chỉ ra những hệ quả và tác động từ những vụ tấn công mạng, phân tích những mối đe dọa có thể xảy ra. Từ đó tìm ra sự cần thiết của pháp luật trong hoạt động kiểm soát, ngăn chặn và xử lý những mối đe dọa tới từ không gian mạng. Phần ba, nghiên cứu đưa ra hệ thống biện pháp bảo đảm an ninh mạng, từ đó đề ra những giải pháp nhằm củng cố, kiểm soát các vấn đề an ninh mạng, đồng thời kiến nghị phương hướng hoàn thiện pháp luật và thực thi hiệu quả Luật An ninh mạng của Việt Nam. Xây dựng mô hình phối hợp giữa kỹ thuật công nghệ và pháp luật nhằm nâng cao khả năng bảo vệ an ninh mạng. 4
9. CHƯƠNG 1: KHÁI QUÁT PHÁP LUẬT VỀ AN NINH MẠNG CỦA VIỆT NAM I. Pháp luật về An ninh mạng của Việt Nam Dân số thế giới hiện nay được ước tính vào khoảng 7,7 tỉ người, xấp xỉ 55% số đó có tiếp cận với mạng Internet1. Mạng, thiết bị và dịch vụ công nghệ thông tin ngày càng quan trọng đối với cuộc sống hàng ngày. Những nguy cơ nguy hiểm tới từ không gian mạng là hiện hữu đối với bất kỳ lĩnh vực nào của đời sống xã hội. Cũng như thế giới thực, thế giới mạng cũng phải đối mặt với hàng loạt các mối đe dọa an ninh to lớn. Cùng với sự phát triển của mạng máy tính, những tầng lớp người mới được sinh ra, đó là những hacker. Hacker là khái niệm có lẽ không còn xa lạ đối với xã hội, họ có đam mê và trình độ cao đối với máy tính, công nghệ thông tin. Nhìn chung, Hacker chia thành hai phái: phái thứ nhất nghiên cứu, khám phá công nghệ tin học để báo cho các nhà quản trị hệ thống thông tin, tìm cách phòng ngừa, sửa chữa, khắc phục nhằm bảo vệ cho hệ thống – đó là các hacker mũ trắng (white-hat hacker). Phái thứ hai muốn tấn công hệ thống, lấy cắp thông tin, tiền bạc hoặc chỉ để ghi lại tên tuổi của mình cho nổi tiếng – đó là các hacker mũ đen (black-hat hacker). Loại hacker mũ đen này hết sức nguy hiểm do trình độ cao kèm theo mục đích đen tối của chúng. Hacker mũ đen là một trong những nguyên nhân chính của tội phạm mạng hoặc khủng bố mạng, gây rối loạn an ninh mạng nói chung. Tình hình an ninh mạng trên thế giới cũng như nước ta hiện nay diễn biết rất phức tạp. Tin tặc, tội phạm mạng ngày càng có nhiều thủ đoạn, chiêu trò nhằm mục đích xấu như đánh cắp thông tin, tống tiền, bôi nhọ danh dự, phá hoại an ninh quốc gia, trật tự xã hội, Từ đó nảy sinh yêu cầu cấp thiết về những biện pháp đối phó, phòng ngừa và xử lý tình trạng trên. Bên cạnh những giải pháp mang tính kỹ thuật thì căn cứ pháp lý, nền tảng pháp luật sẽ là cơ sở vững chắc để thực thi chính sách, hoạt động phòng ngừa, ứng phó với các nguy nguy cơ đe dọa an ninh mạng của các cơ quan nhà nước, tổ chức và cá nhân. 1 Theo số liệu thống kê của Ngân hàng thế giới. Tham khảo tại: Truy cập ngày 14/04/202 5
10. Sự phát triển của các hành vi trên không gian mạng từ giả mạo, đánh cắp thông tin đến tống tiền, phá hoại hệ thống hay cao hơn là đe dọa đến an ninh quốc gia, an toàn trật tự xã hội đặt ra vấn đề về nhu cầu pháp luật để điều chỉnh phù hợp cho từng hành vi, hoạt động và hậu quả mà chúng gây ra. Cụ thể với Việt Nam, có một giai đoạn chúng ta chỉ dựa vào các nghị định và hướng dẫn của Chính phủ quy định về xử phạt vi phạm hành chính và quy định về quản lý, cung cấp, sử dụng dịch vụ internet và thông tin trên mạng, cùng với một số thông tư hướng dẫn thực hiện2. Kể cả khi có sự ra đời của Luật An toàn thông tin mạng (LATTTM) vào năm 20153, việc nhận diện, đánh giá và xử lý các hành vi trên không gian mạng vẫn chưa chính xác, chưa tiếp cận bao quát, đúng bản chất. Việc xử lý tình hình an ninh mạng phát triển từ những giải pháp mang tính kỹ thuật tới những biện pháp an ninh, biện pháp xã hội và không thể thiếu là biện pháp pháp lý. Từ năm 1997 chúng ta bắt đầu tiếp cận và sử dụng Internet. Theo thống kê của Báo cáo Digital Marketing Việt Nam 2019, sau hơn 20 năm phát triển, nước ta có 64 triệu người dùng Internet. Với con số này, Việt Nam là quốc gia có lượng người dùng Internet cao thứ 12 trên toàn thế giới và đứng thứ 6 ở khu vực châu Á. Tuy nhiên pháp luật Việt Nam chưa đáp ứng được theo xu thế và tốc độ phát triển này. Xây dựng, hoàn thiện hệ thống pháp luật về an ninh mạng, cụ thể là Luật An ninh mạng (LANM) là yêu cầu hết sức cấp thiết, là cơ sở pháp lý quan trọng trong phòng ngừa, đấu tranh, xử lý các hoạt động vi phạm pháp luật trên không gian mạng, bảo vệ quyền và lợi ích hợp pháp của các tổ chức, cá nhân; tạo hành lang pháp lý để nâng cao năng lực bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia, góp phần bảo đảm chủ quyền, an ninh, trật tự và xây dựng môi trường an toàn, lành mạnh trên không gian mạng. Trước khi LANM được ban hành, các vấn đề của an ninh mạng đã được quy định rải rác tại nhiều văn bản pháp luật trong các lĩnh vực khác nhau, tổng hợp thành các nguyên tắc, yêu cầu và trách nhiệm của các bên liên quan về an toàn 2 Nghị định số 28/2009/NĐ-CP, Nghị định Quy định xử phạt hành chính trong quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin điện tử trên Internet (Hết hiệu lực ngày 15/01/2014). 3 Luật số 86/2015/QH13, Luật An toàn thông tin mạng 6
11. thông tin mạng, quản lý về mặt nội dung các thông tin được đăng tải trên không gian mạng và bảo mật dữ liệu người dùng trong môi trường Internet. Một số văn bản có thể kể đến như: Luật An toàn thông tin mạng 2015 (LATTTM); Luật Viễn thông 2009; Luật giao dịch điện tử 2005; Các quy định này được thể hiện chung chung và không rõ ràng, có khả năng tạo điều kiện cho các cơ quan nhà nước giải thích và áp dụng một cách tùy tiện, đồng thời gây khó khăn cho các doanh nghiệp cung cấp dịch vụ trên không gian mạng và tăng nguy cơ xâm phạm các quyền cơ bản của công dân liên quan đến tự do ngôn luận và bảo mật thông tin cá nhân, và trên hết là chúng chưa có tính thống nhất và cụ thể hóa. Do các căn cứ pháp luật có liên quan đến vấn đề an ninh mạng nằm ở nhiều văn bản khác nhau nên nghiên cứu sẽ không đi sâu vào nội dung của chúng mà sẽ đưa ra so sánh tương quan đối với LANM ở phần sau. 1.Một số nội dung chính của Luật An ninh mạng: LANM của Việt Nam đã được Quốc hội khóa XIV thông qua tại Kỳ họp thứ 5, với tỷ lệ 86.86%, gồm 7 chương, 43 điều, quy định những nội dung cơ bản về bảo vệ an ninh mạng đối với hệ thống thông tin an ninh quốc gia; phòng ngừa, xử lý hành vi xâm phạm an ninh mạng; triển khai hoạt động bảo vệ an ninh mạng và quy định trách nhiệm của cơ quan, tổ chức, cá nhân. Cụ thể là: Thứ nhất, quy định các khái niệm cơ bản và chính sách của Nhà nước về an ninh mạng; nguyên tắc và biện pháp bảo vệ an ninh mạng, bảo vệ không gian mạng quốc gia; hợp tác quốc tế về an ninh mạng; các hành vi bị nghiêm cấm về an ninh mạng; xử lý vi phạm pháp luật về an ninh mạng. Đây là cơ sở để xác định phạm vi đấu tranh, biện pháp áp dụng, các hành vi vi phạm và cách thức phòng ngừa, xử lý các hành vi này cũng như triển khai công tác nghiên cứu, hoàn thiện lý luận về an ninh mạng. Thứ hai, quy định các hoạt động bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia. Với các quy định về thẩm định, kiểm tra, đánh giá điều kiện, ứng phó, khắc phục sự cố an ninh mạng được quy định tại Chương II, hệ thống thông tin quan trọng về an ninh quốc gia được bảo vệ chặt chẽ từ bên 7
12. trong. Với các biện pháp bảo vệ an ninh mạng, xử lý các hành vi tấn công mạng, khủng bố mạng, gián điệp mạng, chiếm đoạt thông tin thuộc bí mật nhà nước, các hành vi chống, phá Nhà nước được quy định tại Chương I, Chương III, hệ thống thông tin quan trọng về an ninh quốc gia được bảo vệ từ bên ngoài. Đây là cơ sở pháp lý quan trọng, thể hiện sự bảo vệ tương xứng với vai trò của hệ thống thông tin an ninh quốc gia. Thứ ba, đưa ra các quy định nhằm tạo nền tảng pháp lý trong phòng ngừa, phát hiện, đấu tranh và xử lý các hành vi vi phạm pháp luật, ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của các tổ chức cá nhân trên không gian mạng, như soạn thảo, đăng tải thông tin trên không gian mạng có nội dung tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng, làm nhục, vu khống; xâm phạm trật tự quản lý kinh tế; sử dụng không gian mạng để tấn công mạng, khủng bố mạng, gián điệp mạng, chiếm đoạt bí mật nhà nước, bí mật công tác, thông tin cá nhân trên không gian mạng; sử dụng không gian mạng, công nghệ thông tin, phương tiện điện tử để thực hiện các hành vi vi phạm pháp luật về an ninh, trật tự; tấn công mạng Đây là hành lang pháp lý vững chắc để người dân có thể yên tâm kết bạn, trao đổi, buôn bán, kinh doanh hay hoạt động trên không gian mạng. Thứ tư, tập trung quy định về triển khai hoạt động bảo vệ an ninh mạng một cách đồng bộ, thống nhất từ trung ương tới địa phương, trọng tâm là các cơ quan Nhà nước và các tổ chức chính trị, quy định rõ các nội dung triển khai, hoạt động kiểm tra an ninh mạng đối với hệ thống thông tin của các cơ quan, tổ chức này. Kết cấu hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế cũng là một trong những đối tượng được bảo vệ trọng điểm. Với các quy định chặt chẽ cùng sự tham gia đồng bộ của cơ quan nhà nước, doanh nghiệp và tổ chức, cá nhân, việc sử dụng thông tin để vu khống, làm nhục, xâm phạm danh dự, nhân phẩm, uy tín của người khác sẽ bị xử lý nghiêm minh; hành vi xâm phạm an ninh mạng sẽ được phát hiện, cảnh báo kịp thời. Các hoạt động nghiên cứu, phát triển an ninh mạng, phát triển công nghệ, sản phẩm, dịch vụ, ứng dụng nhằm bảo vệ an ninh mạng, nâng cao 8
13. năng lực tự chủ về an ninh mạng và bảo vệ trẻ em trên không gian mạng cũng được quy định chi tiết, là nền tảng pháp lý quan trọng triển khai công tác an ninh mạng hiện tại và tương lai. Thứ năm, tạo cơ sở pháp lý quan trọng thực thi chính sách của Nhà nước về bảo vệ dữ liệu cá nhân, dữ liệu quốc gia trên không gian mạng. Để quản lý chặt chẽ, bảo vệ nghiêm ngặt dữ liệu của nước ta trên không gian mạng, LANM đã quy định các doanh nghiệp trong và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng Internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ Việt Nam. Đây là cơ sở pháp lý quan trọng để nâng cao hiệu quả quản lý nhà nước, đấu tranh phòng, chống tội phạm trước các diễn biến phức tạp của hoạt động cung cấp dịch vụ xuyên biên giới, thương mại điện tử, kinh doanh tiền ảo, tiền điện tử thời gian qua. Thứ sáu, tạo cơ sở pháp lý cho công tác bảo đảm triển khai hoạt động bảo vệ an ninh mạng, xây dựng và hình thành lực lượng chuyên trách bảo vệ an ninh mạng đủ khả năng đáp ứng yêu cầu của tình hình thực tế, ưu tiên đào tạo nguồn nhân lực an ninh mạng chất lượng cao. Chú trọng giáo dục, bồi dưỡng, phổ biến kiến thức về an ninh mạng cho cơ quan, tổ chức, cá nhân với mục tiêu tham gia không gian mạng an toàn, lành mạnh, hạn chế tối đa nguy cơ, tác động tiêu cực, phát huy tối đa hiệu quả. Thứ bảy, quy định rõ trách nhiệm của cơ quan, tổ chức, cá nhân khi tham gia hoạt động trên không gian mạng, tập trung vào việc xác định trách nhiệm của lực lượng chuyên trách bảo vệ an ninh mạng được bố trí tại Bộ Công an, Bộ Quốc phòng.4 Theo chức năng, nhiệm vụ được giao, các bộ, ngành chức năng, ủy ban nhân dân cấp tỉnh có trách nhiệm thực hiện đồng bộ các biện pháp được phân công để hướng tới một không gian mạng ít nguy cơ, hạn chế tối đa các hành vi vi phạm pháp luật trên không gian mạng. 4 Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an Nguyễn Minh Chính, “Hoàn thiện pháp luật về an ninh mạng trong tình hình hiện nay”, Tạp chí Cộng sản, đăng ngày 25/09/2019. 9
14. Về nội dung chung của pháp luật an ninh mạng gồm những phần chính: An ninh mạng về mặt kỹ thuật; Quản lý nội dung thông tin trên mạng; Bảo mật dữ liệu cá nhân; Các biện pháp áp dụng để bảo vệ an ninh mạng; Hợp tác quốc tế và địa phương hóa dữ liệu nhằm phát triển cũng như quản lý tốt hơn tình hình an ninh mạng. Những nội dung này được đưa vào trong pháp luật kết hợp cùng với chiến lược không gian mạng, chính sách thực thi sẽ tạo ra hiệu quả cao trong công tác bảo vệ, bảo đảm an ninh mạng. Bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia là một trong những nội dung đặc biệt quan trọng của LANM. Quy định các biện pháp, hoạt động bảo vệ tương xứng với mức độ quan trọng của hệ thống thông tin này, trong đó nêu ra tiêu chí xác định, lĩnh vực liên quan, quy định các biện pháp như thẩm định an ninh mạng, đánh giá điều kiện, kiểm tra, giám sát an ninh và ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia. Để bảo vệ tối đa quyền và lợi ích hợp pháp của tổ chức, cá nhân, LANM đã dành riêng Chương III quy định đầy đủ các biện pháp phòng ngừa, đấu tranh, xử lý nhằm loại bỏ các nguy cơ đe dọa, phát hiện và xử lý hành vi vi phạm pháp luật, bao gồm: phòng ngừa, xử lý thông tin trên không gian mạng có nội dung tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; phòng, chống gián điệp mạng, bảo vệ thông tin bí mật nhà nước, bí mật công tác, thông tin cá nhân trên không gian mạng; phòng ngừa, xử lý hành vi sử dụng không gian mạng, công nghệ thông tin, phương tiện điện tử để vi phạm pháp luật về an ninh, trật tự; phòng, chống tấn công mạng; phòng, chống khủng bố mạng; phòng, chống chiến tranh mạng; phòng ngừa, xử lý tình huống nguy hiểm về an ninh mạng; đấu tranh bảo vệ an ninh mạng. Đây là hành lang pháp lý vững chắc để người dân có thể yên tâm buôn bán, kinh doanh hay hoạt động trên không gian mạng. Chương IV của LANM tập trung quy định về triển khai hoạt động bảo vệ an ninh mạng một cách đồng bộ, thống nhất từ Trung ương tới địa phương, trọng tâm là các cơ quan nhà nước và tổ chức chính trị, quy định rõ các nội dung triển khai, 10
15. hoạt động kiểm tra an ninh mạng đối với hệ thống thông tin của các cơ quan, tổ chức này. Cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế cũng là một trong những đối tượng được bảo vệ trọng điểm. Với các quy định chặt chẽ, sự tham gia đồng bộ của cơ quan nhà nước, doanh nghiệp và tổ chức, cá nhân, việc sử dụng thông tin để vu khống, làm nhục, xâm phạm danh dự, nhân phẩm, uy tín của người khác sẽ được xử lý nghiêm minh. Các hoạt động nghiên cứu, phát triển an ninh mạng, phát triển công nghệ, sản phẩm, dịch vụ, ứng dụng nhằm bảo vệ an ninh mạng, nâng cao năng lực tự chủ về an ninh mạng và bảo vệ trẻ em trên không gian mạng cũng được quy định chi tiết trong Chương này. Nguồn nhân lực bảo vệ an ninh mạng là một trong những yếu tố quyết định sự thành bại của công tác bảo vệ an ninh mạng. Chương V của LANM đã quy định các nội dung bảo đảm triển khai hoạt động bảo vệ an ninh mạng, xác định lực lượng chuyên trách bảo vệ an ninh mạng, ưu tiên đào tạo nguồn nhân lực an ninh mạng chất lượng cao, chú trọng giáo dục, bồi dưỡng, phổ biến kiến thức về an ninh mạng.5 Luật cũng nghiêm cấm các hành vi tội phạm mạng, khủng bố mạng, gián điệp mạng, xâm phạm bí mật nhà nước, bí mật công tác, thông tin cá nhân trên không gian mạng. (Bao gồm: Chiếm đoạt, mua bán, thu giữ, cố ý làm lộ thông tin thuộc bí mật nhà nước, bí mật công tác; bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư gây ảnh hưởng đến danh dự, uy tín, nhân phẩm, quyền và lợi ích hợp pháp của tổ chức, cá nhân; Đưa lên không gian mạng những thông tin thuộc bí mật cá nhân, bí mật gia đình, đời sống riêng tư trái quy định của pháp luật; ). 2.Nguyên tắc và chính sách về bảo vệ An ninh mạng của Việt Nam Đối với Việt Nam, trong quá trình triển khai thực hiện bảo vệ an ninh mạng cần tuân thủ các nguyên tắc đã định rõ trong LANM: - Tuân thủ Hiến pháp và pháp luật; bảo đảm lợi ích của Nhà nước, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân. - Đặt dưới sự lãnh đạo của Đảng Cộng sản Việt Nam, sự quản lý thống nhất 5 “Hiểu về Luật an ninh mạng”. Tham khảo tại: 113375. Truy cập ngày 06/05/2020 11
16. của Nhà nước; huy động sức mạnh tổng hợp của hệ thống chính trị và toàn dân tộc; phát huy vai trò nòng cốt của lực lượng chuyên trách bảo vệ an ninh mạng. - Kết hợp chặt chẽ giữa nhiệm vụ bảo vệ an ninh mạng, bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia với nhiệm vụ phát triển kinh tế - xã hội, bảo đảm quyền con người, quyền công dân, tạo điều kiện cho cơ quan, tổ chức, cá nhân hoạt động trên không gian mạng. - Chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, làm thất bại mọi hoạt động sử dụng không gian mạng xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; sẵn sàng ngăn chặn các nguy cơ đe dọa an ninh mạng. - Triển khai hoạt động bảo vệ an ninh mạng đối với cơ sở hạ tầng không gian mạng quốc gia; áp dụng các biện pháp bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia. - Hệ thống thông tin quan trọng về an ninh quốc gia được thẩm định, chứng nhận đủ điều kiện về an ninh mạng trước khi đưa vào vận hành, sử dụng; thường xuyên kiểm tra, giám sát về an ninh mạng trong quá trình sử dụng và kịp thời ứng phó, khắc phục sự cố an ninh mạng. - Mọi hành vi vi phạm pháp luật về an ninh mạng phải được xử lý kịp thời, nghiêm minh. LANM nêu ra chính sách của Nhà nước về an ninh mạng với những định hướng phát triển và ưu tiên đối với từng lĩnh vực: Thứ nhất, ưu tiên bảo vệ an ninh mạng trong quốc phòng, an ninh, phát triển kinh tế - xã hội, khoa học, công nghệ và đối ngoại. Rõ ràng, đây phải là vấn đề hàng đầu cần quan tâm, các lĩnh vực được nêu ra đều là những lĩnh vực chủ chốt, quan trọng và có sức ảnh hưởng lớn tới hoạt động của quốc gia. Thứ hai, xây dựng không gian mạng lành mạnh, không gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân. Bảo đảm và duy trì các hoạt động diễn ra bình thường, hợp pháp trên môi trường mạng. 12
17. Thứ ba, ưu tiên nguồn lực xây dựng lực lượng chuyên trách bảo vệ an ninh mạng; nâng cao năng lực cho lực lượng bảo vệ an ninh mạng và tổ chức, cá nhân tham gia bảo vệ an ninh mạng; ưu tiên đầu tư cho nghiên cứu, phát triển khoa học, công nghệ để bảo vệ an ninh mạng. Công tác xây dựng, phát triển môi trường mạng, bảo đảm an ninh mạng yêu cầu đội ngũ có trình độ năng lực và kỹ thuật cao, đồng nghĩa với việc đào tạo chuyên môn, đầu tư tạo điều kiện phát huy tối đa năng lực. Thứ tư, khuyến khích, tạo điều kiện để tổ chức, cá nhân tham gia bảo vệ an ninh mạng, xử lý các nguy cơ đe dọa an ninh mạng; nghiên cứu, phát triển công nghệ, sản phẩm, dịch vụ, ứng dụng nhằm bảo vệ an ninh mạng; phối hợp với cơ quan chức năng trong bảo vệ an ninh mạng. Đây là những chủ thể tham gia và góp phần tạo nên hoạt động trên môi trường mạng, là nơi phát sinh các vấn đề của an ninh mạng vì các cá nhân, tổ chức, doanh nghiệp cũng là mục tiêu mà tin tặc, tội phạm mạng nhắm tới. Thứ năm, tăng cường hợp tác quốc tế về an ninh mạng. Học hỏi kinh nghiệm và những chiến lược an ninh từ các nước, đặc biệt là các nước phát triển với trình độ khoa học công nghệ tiên tiến, góp phần tìm ra những điểm hạn chế trong pháp luật, cơ chế thực thi và nâng cao hiệu quả trong bảo vệ an ninh mạng. II.Các thuật ngữ về An ninh mạng: 1. An ninh mạng “An ninh mạng” là một thuật ngữ xuất hiện chưa lâu, tuy nhiên, những thể hiện của nó trên thực tế đã có trước. Những vụ tấn công mạng xảy ra trước khi có đạo luật điều chỉnh về chúng, thậm chí vụ tấn công mạng đầu tiên xảy ra vào thời điểm chưa có mạng Internet6. Trên thế giới, việc đưa ra các định nghĩa còn dựa trên cách nhìn nhận của mỗi quốc gia về vấn đề này, do hệ thống thông tin, mạng và thiết bị cũng như trình độ khoa học công nghệ mỗi nơi là khác nhau cùng hàng ngàn yếu tố tác động khác mà việc đánh giá, nhìn nhận và xử lý các vấn đề của an ninh mạng cũng từ đó có điểm khác biệt riêng. An ninh mạng cùng những vấn đề của nó là một lĩnh vực đặc thù, luôn luôn thay đổi và phát triển một cách khó lường, vì thế, trên phương diện pháp lý việc nắm bắt, định nghĩa hay dự đoán chúng là rất khó khăn. 6 Vụ việc François và Joseph Blanc đã “hack” một hệ thống truyền tin của chính phủ Pháp nhằm phục vụ cho lợi ích cá nhân 13
18. Đối với thuât ngữ “An ninh mạng”, hiện tại các quốc gia, tổ chức trên thế giới có cách hiểu và cách tiếp cận tương đối khác nhau. Theo nghĩa đen, An ninh mạng hay An ninh không gian mạng (“Cybersecurity”) có thể được hiểu một cách nôm na là “trạng thái không có nguy hiểm hoặc không có đe dọa đối với không gian mạng” hoặc “sự bảo đảm an toàn an ninh trên môi trường mạng”, Rất nhiều quốc gia xây tiếp cận và dựng định nghĩa về an ninh mạng trên cơ sở kỹ thuật, đây là cách tiếp cận phổ biến và thường gặp trong các chính sách và nghiên cứu về an ninh mạng của các nước công nghiệp phương Tây như Liên minh Châu Âu, Mỹ7. Cụ thể: Liên minh Châu Âu (EU) định nghĩa an ninh mạng là “các biện pháp bảo vệ và hành động có sẵn để bảo vệ không gian mạng, cả trong các lĩnh vực dân sự và quân sự, khỏi những mối đe dọa có liên quan hoặc có thể gây tổn hại đến mạng và cơ sở hạ tầng thông tin phụ thuộc của nó”.8 Từ điển trích dẫn trong Phát kiến quốc gia về sự nghiệp và nghiên cứu an ninh mạng của Hoa Kỳ (NICCS) định nghĩa an ninh mạng là “hoạt động hoặc quá trình, khả năng, hay trạng thái mà theo đó thông tin, hệ thống thông tin liên lạc và thông tin chứa trong đó được bảo vệ khỏi và/hoặc bảo vệ chống lại thiệt hại, sự sử dụng trái phép hoặc sửa đổi, khai thác”.9 Theo Liên minh viễn thông quốc tế (ITU), an ninh mạng nghĩa là “tập hợp các công cụ, chính sách, khái niệm về bảo mật, biện pháp bảo vệ an toàn, các hướng dẫn, phương pháp quản lý rủi ro, hành động, đào tạo, phương cách thực hành tốt nhất, các đảm bảo và công nghệ có thể được sử dụng để bảo vệ môi trường mạng và tài sản của tổ chức và của người dùng”.10 7 “Nineteen National Cyber Security Stategies” Tham khảo tại: bdd2eb0f9358_543545380cf2bf1f1f286509.pdf . Truy cập ngày 23/04/2020 8 Nguyên văn: “the safeguards and actions available to protect the cyber domain, both in the civilian and military fields, from those threats that are associated with or that may harm its interdependent networks and information infrastructure”. Tham khảo tại camnangluatanninhmang-nhungdieucanbiet.pdf . Truy cập ngày 23/04/2020 9 Nguyên văn: “The activity or process, ability or capability, or state whereby information and communications systems and the information contained therein are protected from and/or defended against damage, unauthorized use or modification, or exploitation”. Tham khảo tại cert.gov/glossary#C. 10 Nguyên văn: “Cybersecurity is the collection of tools, policies, security concepts, security safeguards, guidelines, risk management approaches, actions, training, best practices, assurance and technologies that 14
19. Ngôn ngữ sử dụng để định nghĩa an ninh mạng trong các tài liệu nói trên không hoàn toàn đồng nhất. Tuy nhiên, dễ dàng nhận thấy, các định nghĩa trên đều tiếp cận an ninh mạng thiên về mặt kỹ thuật. Theo cách tiếp cận này, an ninh mạng được hiểu là khả năng hoặc tình trạng mà không gian mạng và việc sử dụng không gian mạng của các tổ chức, cá nhân được bảo vệ chống lại các cuộc tấn công hoặc các hành động không được phép của các bên thứ ba nhằm phá hủy hoặc gây hại cho không gian mạng và các thành phần của chúng. Khác một chút so với cách tiếp cận trên, cách tiếp cận mang tính kỹ thuật và yếu tố chính trị - pháp lý (Trung Quốc, Việt Nam và Liên Bang Nga) mang đến một cái nhìn với nội hàm rộng hơn: Luật An ninh mạng của Trung Quốc, có hiệu lực từ ngày 01/07/2016, tại Điều 76.2 quy định: “An ninh mạng đề cập đến các biện pháp cần thiết để ngăn chặn các cuộc tấn công mạng, xâm nhập, can thiệp, phá hủy và việc sử dụng bất hợp pháp, cũng như các tai nạn bất ngờ nhằm duy trì mạng ở trạng thái hoạt động ổn định và đáng tin cậy, cũng như đảm bảo tính hoàn chỉnh, bảo mật và khả dụng của dữ liệu mạng”. LANM của Việt Nam, có hiệu lực từ ngày 01/01/2019 quy định: “An ninh mạng là sự bảo đảm hoạt động trên không gian mạng không gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân”. Liên Bang Nga sử dụng đồng thời thuật ngữ “An ninh thông tin” (information security) và “An ninh mạng” (cyber security) một cách không phân biệt và có thể thay thế cho nhau để cùng chỉ an ninh mạng. Các tài liệu chính thức của Liên Bang Nga khẳng định rằng an ninh mạng không thể tách rời an ninh thông tin. Cụ thể, theo tài liệu Học thuyết về an ninh thông tin của Liên bang Nga (Doctrine of Information Security of the Russian Federation) được phê duyệt theo Nghị định của Chủ tịch Liên bang Nga số 646 ngày 05/12/2016, “An ninh thông tin của Liên Bang Nga là trạng thái bảo vệ cá nhân, xã hội và Nhà nước chống lại các can be used to protect the cyber environment and organization and user's assets”. Tham khảo tại Truy cập ngày 26/05/2020 15
20. mối đe dọa thông tin nội bộ và bên ngoài, cho phép bảo đảm tự do và quyền con người và quyền công dân hiến định, chất lượng và tiêu chuẩn sống hợp lý cho công dân, chủ quyền, toàn vẹn lãnh thổ và phát triển kinh tế xã hội bền vững của Liên bang Nga, cũng như quốc phòng và an ninh của Nhà nước”.11 Đối với các quy định theo cách tiếp cận thứ nhất thiên về kỹ thuật, nhấn mạnh đến những rủi ro, đe dọa về mặt kỹ thuật, cụ thể là tấn công mạng hoặc các hành động bất hợp pháp của các bên thứ ba đối với sự an toàn của không gian mạng và các yếu tố cấu thành không gian mạng, mà ít quan tâm đến nội dung của các dữ liệu, thông tin trên không gian mạng hay đối tượng bị tác động là an ninh quốc gia. Trong khi đó, theo cách tiếp cận thứ hai có yếu tố chính trị - pháp lý, an ninh mạng bao hàm việc chống lại hành vi vi phạm hoặc mối đe dọa đối với an ninh quốc gia, ổn định chính trị, xã hội cũng như xâm phạm quyền và lợi ích của cá nhân, cơ quan, tổ chức và Nhà nước được thực hiện trên hoặc sử dụng không gian mạng, bên cạnh những rủi ro hoặc đe dọa về mặt kỹ thuật đối với không gian mạng. Một số nước khác định nghĩa về an ninh mạng như một trạng thái mong muốn, trong đó các miền trên không gian mạng được bảo vệ khỏi sự nguy hiểm hoặc các mối đe dọa và rủi ro khi xảy ra đạt đến mức thấp nhất có thể chấp nhận được; là trạng thái mà các thành phần hệ thống có thể chống lại các sự kiện đến từ không gian gây tổn hại đến tính sẵn có, tính toàn vẹn hoặc tính bí mật của dữ liệu được lưu trữ, xử lý, truyền đi cũng như các dịch vụ liên quan được cung cấp.12 Quan niệm về an ninh mạng định hướng quá trình hoạch định chính sách và pháp luật về an ninh mạng của các quốc gia, do đó, cách nhìn nhận từ những góc độ khác nhau dẫn tới chiến lược thực thi bảo vệ an ninh mạng trên thực tế cũng khác nhau. Không những thế, nó còn ảnh hưởng tới nhiều đối tượng khác trong xã hội khi mà không chỉ những cơ quan chấp hành, áp dụng, thực thi pháp luật của Nhà 11 nhungdieucanbiet.pdf . Truy cập ngày 29/04/2020 12 “Chiến lược An ninh không gian mạng quôc gia- Xu hướng toàn cầu trên không gian mạng”. Tham khảo tại: Truy cập ngày 04/05/2020 16
21. Nước mà còn có cả những cá nhân, doanh nghiệp và tổ chức cũng nằm trong phạm vi điều chỉnh của pháp luật an ninh mạng. An ninh mạng cũng có thể xác định thông qua các biện pháp thực hiện để đạt được trạng thái này. 2.Thông tin Theo từ điển trực tuyến Oxford, thông tin có nghĩa là “Sự thật hoặc chi tiết về người hoặc sự vật”13. Từ điển trực tuyến Cambridge định nghĩa thông tin là “Tin tức, sự thật hoặc kiến thức”14. Theo định nghĩa của Viện Từ điển học và Bách Khoa Thư Việt Nam, thông tin là “một khái niệm cơ bản của khoa học hiện đại, khái quát về các điều hiểu biết, tri thức thu được qua nghiên cứu, khảo sát hoặc trao đổi giữa các đối tượng với nhau. Một thuộc tính cơ bản của thông tin là đối lập với tính bất định, ngẫu nhiên và hỗn loạn”.15 Thông tin là bất kỳ thực thể hoặc hình thức cung cấp câu trả lời cho một câu hỏi hoặc giải quyết sự không chắc chắn. Nó liên quan đến dữ liệu và kiến thức, vì dữ liệu đại diện cho các giá trị được gán cho các tham số và kiến thức biểu thị sự hiểu biết về những điều thực tế hay khái niệm trừu tượng.16 Có thể hiểu rằng thông tin là một sự thật, kiến thức chứa đựng hoặc truyền tải ý nghĩa nhất định về hiểu biết của con người hoặc liên quan đến vạn vật xung quanh. Hai yếu tố quan trọng hình thành nên thông tin đó là ý nghĩa và sự chứa đựng, một thông tin mang kiến thức làm nó có ý nghĩa và phải được truyền đi với phương thức cụ thể để hiểu được. Ví dụ: con người thời cổ khắc họa cuộc sống của họ lên hang đá, từ những kỹ thuật săn bắt hái lượm hay cách tạo ra lửa, Đó là thông tin, chúng giúp cho con người thời sau biết về cuộc sống thời trước diễn ra như thế nào để thấy được từng thời kỳ phát triển của con người 13 Nguyên văn: “Facts or details about somebody/something”. Tham khảo tại: Truy cập ngày 29/04/2020. 14 Nguyên văn: “News, facts, or knowledge”. Tham khảo tại: Truy cập ngày 29/04/2020. 15 Tham khảo tại: ng%20 tin&ChuyenNganh=0&DiaLy=0&ItemID=389 . Truy cập ngày 29/04/2020 16 Tham khảo tại : . Truy cập ngày 29/04/2020 17
22. Không phải tất cả mọi thông tin trên thế giới đều được công khai, thậm chí nhiều thông tin còn được bảo vệ một cách rất nghiêm ngặt, như bí mật của các quốc gia. Hình thức chứa đựng của thông tin cũng rất đa dạng theo từng thời kỳ, từ lá cây, phiến đá, da thú, ván gỗ, tới giấy hay dữ liệu số. Trong thời đại công nghệ số hiện nay thì một trong những cách bảo vệ thông tin đó là “mã hóa” chúng, đưa thông tin vào một môi trường đặc biệt, khiến chúng trở thành dữ liệu. “Dữ liệu” (Data) là khái niệm khá tương đồng nhưng không đồng nhất với “thông tin” , là các dữ kiện không có cấu trúc và không có ý nghĩa rõ ràng nếu không được tổ chức và xử lý. Dữ liệu chỉ có thể trở thành “thông tin” khi nó được diễn giải trong một ngữ cảnh và mang ý nghĩa nhất định. Một thông tin có thể được thể hiện bằng những dữ liệu khác nhau, cho nên, nếu so về lượng, dữ liệu thường nhiều hơn thông tin. Tóm lại, thông tin chính là dữ liệu mang một số ý nghĩa nhất định. Do sự đa dụng, tiện lợi và tính chất hiện đại, linh hoạt của dữ liệu nên chúng dần được sử dụng để lưu trữ khối tri thức khổng lồ của nhân loại. Nếu như trong cuộc sống đời thực, những vụ trộm cướp thường nhắm đến tài sản, vật chất thì trong môi trường mạng, thứ có giá trị chính là dữ liệu, thông tin và đó cũng chính là một trong những thứ mà tấn công mạng nhắm đến. Một vụ tấn công mạng bình thường với mục tiêu phá hoại, đánh sập hệ thống hoàn toàn có thể khắc phục được, nhưng nếu là mất cắp dữ liệu, thông tin thì hệ quả là khôn lường và cực kỳ khó kiểm soát. Đó mới chính là giá trị và ý nghĩa của thông tin, chúng có thể chứa đựng bí mật về công thức ẩm thực nổi tiếng hay bất cứ lợi thế cạnh tranh nào, thậm chí là bí mật chính trị của một quốc gia, Do vậy, bảo mật thông tin, bảo vệ chúng khỏi những mối nguy trong môi trường mạng là điều cần thiết mà mỗi cá nhân, tổ chức hay Nhà nước đều phải thực hiện. 3. Không gian mạng Với sự phát triển của công nghệ thì hiện nay thì một trong những vấn đề an ninh phi truyền thống mà các nước phải đối mặt đó là tội phạm công nghệ cao, đặc biệt là tội phạm mạng và những hành vi phi pháp diễn ra trên không gian mạng. Sự ra đời của một phần lãnh thổ với những đặc thù, tính chất khác 18
23. biệt đòi hỏi có sự nhận diện về cả mặt hình thức thể hiện lẫn bản chất của chúng để từ đó đề ra chiến lược bảo đảm an ninh hiệu quả. Đây là một mặt trận mới, thách thức mới cần đối mặt. “Không gian mạng” là từ tiếng Việt được dịch từ thuật ngữ “Cyberspace” trong tiếng Anh. Khái niệm về không gian mạng trở nên phổ biến hơn vào những năm 1990 khi thế giới bắt đầu chứng kiến sự bùng nổ của mạng Internet cũng như sự phát triển vượt bậc của các công nghệ bán dẫn, kĩ thuật số, hệ thống điện toán, thông tin liên lạc và đây cũng chính là thành tựu quan trọng nhất trong Cách mạng công nghiệp lần 3. Không gian mạng là một không gian ảo, nơi các máy tính trao đổi dữ liệu, thông tin, nó cũng dùng để chỉ một mạng lưới toàn cầu của các cơ sở hạ tầng công nghệ thông tin phụ thuộc lẫn nhau, mạng viễn thông và các hệ thống máy tính. Theo một khía cạnh khác thì không gian mạng được xem như một trải nghiệm xã hội, mà ở đó các cá nhân có thể tương tác, trao đổi ý kiến, chia sẻ thông tin, cung cấp hỗ trợ xã hội, đạo đức kinh doanh, hành động trực tiếp, tạo ra phương tiện truyền thông nghệ thuật, chơi trò chơi, tham gia vào các cuộc thảo luận chính trị, và như vậy, sử dụng mạng lưới mang tính toàn cầu này để mang mọi người tới gần nhau cũng như dễ dàng tiếp cận tri thức hơn. LANM của Việt Nam quy định tại Khoản 3, Điều 2 như sau: “Không gian mạng là mạng lưới kết nối của cơ sở hạ tầng công nghệ thông tin, bao gồm mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu; là nơi con người thực hiện các hành vi xã hội không bị giới hạn bởi không gian và thời gian.” Theo Danh mục các Thuật ngữ An toàn Thông tin chính của Viện NIST, không gian mạng được định nghĩa là “một miền toàn cầu trong môi trường thông tin, bao gồm mạng lưới các hệ thống thông tin phụ thuộc lẫn nhau, gồm có: mạng Internet, mạng viễn thông, hệ thống máy tính và bộ xử lý và bộ điều khiển nhúng”17. 17 Nguyên văn: “A global domain within the information environment consisting of the interdependent network of information systems infrastructures including the Internet, telecommunications networks, computer systems, and embedded processors and controllers.” . Tham khảo tại: Truy cập ngày 04/05/2020 19
24. Từ các định nghĩa trên, có thể hiểu, về mặt bản chất, không gian mạng là một môi trường trong đó các liên kết và tương tác thông qua mạng viễn thông hoặc mạng máy tính kết nối với nhau được diễn ra và hầu như mọi cá nhân hoặc tổ chức bằng cách này hay cách khác đều được kết nối vào môi trường đó. Theo học giả Jeff Kosseff của Mỹ, các thành phần chính cấu thành nên không gian mạng bao gồm: dữ liệu (Data); các hệ thống (Systems) trên đó dữ liệu được lưu trữ; và mạng (Networks) là môi trường nơi mà các dữ liệu được truyền tải. Đây cũng chính là những yếu tố quan trọng là mục tiêu nhắm tới của tin tặc, tội phạm mạng. Rõ ràng, dựa trên những cơ sở này để xây dựng chiến lược ứng phó là hoàn toàn hợp lý bởi đây chính là gốc rễ của các vấn đề xảy ra trong môi trường mạng. Khái niệm “không gian mạng” được hiểu gần sát với một khái niệm có lẽ là thông dụng hơn, đó là “mạng Internet”. Lịch sử phát triển của các khái niệm liên quan đến không gian mạng gắn liền với cuộc Cách mạng công nghiêp lần 3 cùng với sự bùng nổ của Internet nên việc sử dụng hai thuật ngữ này đôi khi không tách biệt, và người ta thường biết đến mạng Internet nhiều hơn là không gian mạng. Tuy nhiên các chuyên gia khẳng định các khái niệm về không gian mạng không thể lẫn lộn với Internet và không gian mạng được xem như là một phép ẩn dụ khi nói về Internet. Internet là một hệ thống thông tin toàn cầu có thể được truy nhập công cộng gồm các mạng máy tính được liên kết với nhau sử dụng kiểu truyền thông tin theo dạng chuyển mạch gói dữ liệu dựa trên một giao thức liên mạng đã được chuẩn hóa. Đó là một mạng lưới bao gồm các mạng riêng, công cộng phục vụ học thuật, kinh doanh và chính phủ có phạm vi địa phương đến toàn cầu, được liên kết bởi một loạt các công nghệ mạng điện tử, không dây và mạng quang. Internet mang theo một loạt các tài nguyên và dịch vụ thông tin. Theo một số quan điểm khái niệm “không gian mạng” và “Internet” như đã nêu trên thì có thể nhận thấy một điều rằng mạng Internet là một hợp phần của không gian mạng, tức nghĩa, xem xét ở góc độ kỹ thuật thì khái niệm “không gian mạng” rộng hơn khái niệm mạng “Internet”. 20
25. 4.Tội phạm mạng Mạng internet toàn cầu đang trở thành một “mảnh đất màu mỡ” cho đủ loại tội phạm sinh sôi nảy nở với tác hại khôn lường. Theo số liệu báo cáo của Tổ chức Cảnh sát Hình sự quốc tế, tội phạm sử dụng công nghệ cao, cụ thể là tội phạm mạng đứng thứ 2 trong các loại tội phạm nguy hiểm nhất hiện nay, tức là chỉ sau tội phạm khủng bố. Qua thống kê cho thấy phần lớn các loại tội phạm truyền thống đã chuyển sang môi trường mạng hoặc có sử dụng các thiết bị công nghệ cao để hoạt động và thực hiện các hành vi phạm tội. Tội phạm mạng hay tội phạm không gian ảo (Cyber criminal) là bất kỳ hành động phi pháp nào liên quan đến một máy tính hoặc một mạng máy tính. Các máy tính có thể được dùng như phương tiện để thực hiện các hoạt động phạm pháp hoặc cũng có thể là mục tiêu của hành vi phạm tội. Tội phạm mạng có liên quan mật thiết với hình thức tội phạm công nghệ cao, đó là những hành vi phạm pháp có chủ đích đối với một cá nhân, một nhóm người hay một tổ chức nào đó, gây ảnh hưởng xấu đến danh tiếng của nạn nhân hoặc gây hại về mặt vật chất hoặc tinh thần cho nạn nhân một cách trực tiếp hoặc gián tiếp bằng những công nghệ hiện đại, phần lớn liên quan đến mạng viễn thông như Internet (việc này cũng bao gồm các nhóm chat, email, mạng xã hội, ) và điện thoại (các công nghệ Bluetooth, 3G, SMS, MMS, ). Tội phạm mạng nói chung đã và đang phát triển mạnh, báo cáo của Microsoft cũng cho thấy tội phạm mạng ngày càng trở nên tinh vi hơn khi thực hiện việc mô hình hóa hoạt động của chúng dưới dạng các quy trình nghiệp vụ phổ biến để lừa người sử dụng nhằm đánh cắp và gian lận các thông tin quan trọng, phá hủy hệ thống thông tin. LANM của Việt Nam định nghĩa tội phạm mạng là hành vi sử dụng không gian mạng, công nghệ thông tin hoặc phương tiện điện tử để thực hiện tội phạm được quy định tại Bộ luật Hình sự. Pháp luật hình sự Việt Nam không đưa ra khái niệm tội phạm mạng nhưng lại có cách quy định điều chỉnh thông qua lĩnh vực hoạt động và từng loại hành vi trái pháp luật của chúng. Tội phạm mạng thực hiện hành vi trái pháp luật thông qua rất nhiều hoạt động như đánh cắp, 21
26. tống tiền thông tin, phá hủy dữ liệu, với các hình thức như phát tán mã độc, truy cập trái phép, Bộ luật hình sự gián tiếp định nghĩa tội phạm mạng bằng cách quy định sự thể hiện của chúng: Ví dụ: Trong BLHS, ở Chương XXI, Mục 2 về Tội phạm trong lĩnh vực công nghệ thông tin, mạng viễn thông: Điều 287 BLHS quy định Tội cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử là người nào tự ý xóa, làm tổn hại hoặc thay đổi phần mềm, dữ liệu điện tử hoặc ngăn chặn trái phép việc truyền tải dữ liệu của mạng máy tính, mạng viễn thông, phương tiện điện tử hoặc có hành vi khác cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử. Điều 289 BLHS quy định Tội xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử là người nào cố ý vượt qua cảnh báo, mã truy cập, tường lửa, sử dụng quyền quản trị của người khác hoặc bằng phương thức khác xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác chiếm quyền điều khiển; can thiệp vào chức năng hoạt động của phương tiện điện tử; lấy cắp, thay đổi, hủy hoại, làm giả dữ liệu hoặc sử dụng trái phép các dịch vụ. Tuy có thể chưa bao quát được toàn bộ các hành vi nhưng nó cũng đã tác động đến phần lớn các dạng hành vi mà tội phạm mạng thường thực hiện, tùy theo từng mức độ và tính chất mà có phương án xử lý phù hợp. Qua đó góp phần phòng chống tội phạm công nghệ cao, tội phạm mạng và bảo vệ an ninh mạng nói chung. 5. Khủng bố mạng Khủng bố mạng là việc sử dụng không gian mạng, công nghệ thông tin hoặc phương tiện điện tử để thực hiện hành vi khủng bố, tài trợ khủng bố. Hiểu một các nôm na thì đó là những đối tượng và phẩn tử khủng bố thực hiện hành vi qua không gian mạng để đạt được mục đích. Khủng bố là hoạt động phá hoại, đe dọa bằng lời nói, hình ảnh hoặc video do 22
27. cá nhân hoặc tổ chức thực hiện làm thiệt mạng, đặc biệt là thường dân, hoặc gây tổn thất cho xã hội và cộng đồng để tác động vào tâm lý đối phương gây hoang mang khiếp sợ, nhằm mục đích chính trị hoặc tôn giáo (các cuộc tấn công nhằm vào các mục tiêu quân sự khi đang diễn ra xung đột vũ trang dù có gây thiệt mạng cho dân thường vẫn không được coi là khủng bố). Định nghĩa chung của chủ nghĩa khủng bố chỉ đề cập đến những hành vi bạo lực được dự định để tạo ra sự sợ hãi tạo ra nhằm mục tiêu tôn giáo, chính trị hay ý thức hệ; và cố tình nhắm vào các mục tiêu hoặc không quan tâm đến sự an toàn của những người không có khả năng tự vệ. Một đặc tính thống nhất của khủng bố là việc sử dụng bừa bãi bạo lực đối với những người không có khả năng chống cự với mục đích là sự nổi tiếng cho một nhóm, một phong trào, một cá nhân hoặc gây áp lực lên đối thủ chính trị buộc họ phải chấp nhận một giải pháp chính trị có lợi cho mình. Khủng bố mạng là một phần của chủ nghĩa khủng bố được mở rộng và hoạt động trên lĩnh vực công nghệ thông tin và không gian mạng. Cũng có bản chất của chủ nghĩa khủng bố nên khủng bố mạng nhắm tới sự hoang mang, nỗi khiếp sợ trong nội bộ hoặc trong cộng đồng. Khủng bố mạng với sự phá hoại một cách công khai, trên phạm vi rộng, trực tiếp ảnh hưởng đến cuộc sống và sự ổn định xã hội. Khi hệ thống thông tin hoặc dữ liệu của Nhà Nước bị tấn công sẽ tác động tới các hoạt động bình thường của đất nước có thể gây xôn xao dư luận và mất trật tự an ninh xã hội, chưa kể những tin đồn xuyên tạc với mục tiêu gây bất ổn chính trị, chiêu trò diễn biến hòa bình với hình thức khác nhau trên mạng Internet, là những thứ mà khủng bố mạng nhắm đến. 6. Gián điệp mạng Theo LANM, gián điệp mạng là hành vi cố ý vượt qua cảnh báo, mã truy cập, mật mã, tường lửa, sử dụng quyền quản trị của người khác hoặc bằng phương thức khác để chiếm đoạt, thu thập trái phép thông tin, tài nguyên thông tin trên mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu, phương tiện điện tử của cơ quan, tổ chức, cá nhân. 23
28. Theo định nghĩa này thì có thể thấy rõ tiêu chí để phân biệt gián điệp mạng với khủng bố mạng hay tội phạm mạng, đó là mục tiêu và cách thức thực hiện của chúng. Nếu như khủng bố mạng tấn công công khai làm hoang mang, hoảng sợ nhằm mục đích chính trị thì gián điệp mạng lại tấn công ngầm với mục đích là tài nguyên thông tin hoặc theo dõi hoạt động một cách trái phép. Hành vi xâm nhập trái phép hệ thống mạng để thu thập thông tin được làm rõ và xử lý theo Điều 289 BLHS về Tội xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác như đã phân tích ở phần trước. Thông thường, gián điệp mạng sẽ sử dụng những mã độc, phần mềm gián điệp để thực hiện hành vi. Phần mềm gián điệp (Spyware) được biết đến như là những phần mềm được cài đặt bí mật hoặc lén lút vào một hệ thống thông tin để thu thập thông tin về cá nhân hoặc các tổ chức mà họ không hề biết đến sự tồn tại đó; là một loại mã độc.18 Với tính chất môi trường không gian mạng thì gián điệp mạng có rất nhiều lợi thế, cực kỳ khó nắm bắt và định danh. Chúng không bị hạn chế bởi những giới hạn không gian và thời gian thông thường nên có thể đột nhập vào nhiều mục tiêu một lúc, trong một thời gian dài, ít rủi ro thực tế, không cần qua các bước trung gian Gián điệp mạng cũng rất khó bị bại lộ thân phận, cho dù hoạt động gián điệp có bị phát hiện, việc lần ra địa chỉ tốn rất nhiều thời gian. III. Điểm hạn chế trong pháp luật về an ninh mạng của Việt Nam 1. Sự trùng lặp pháp luật LANM tới năm 2019 mới có hiệu lực thi hành nhưng trước đó, manh nha về nó đã xuất hiện trong hệ thống pháp luật và nằm rải rác ở những văn bản khác nhau, phần nào đó đã có tác động tới tình hình an ninh mạng nói chung. Kể cả sau khi LANM có hiệu lực thi hành thì những căn cứ đó vẫn có tác dụng bổ sung cho việc thực thi, áp dụng, giải thích trong một số trường hợp thuộc lĩnh vực thuộc chuyên ngành. Tuy nhiên, điều này đôi lúc cũng gây ra một hiện tượng không hiếm gặp của pháp luật Việt Nam đó là sự chồng chéo, quy định trùng lặp hoặc quy định khác nhau về một vấn 18 Nguyên văn: “Spyware – Software that is secretly or surreptitiously installed into an information system to gather information on individuals or organizations without their knowledge; a type of malicious code.” . Tham khảo tại: Truy cập ngày 07/05/2020 24
29. đề, Để làm rõ hơn về sự trùng lặp pháp luật này, chúng ta cần có cơ sở so sánh, từ đó nhìn ra những điểm giống, khác nhau giữa các quy định và xem có thể tăng khả năng bảo vệ an ninh mạng của Việt Nam hay không và có ảnh hưởng tiêu cực nào đối với không chỉ cá nhân mà còn tất cả các doanh nghiệp đang kinh doanh dịch vụ trên không gian mạng và hệ thống thông tin quốc gia nói chung không. Điểm qua nội dung của một số quy định và văn bản pháp luật có liên quan đến lĩnh vực an ninh mạng: Thứ nhất, Hiến pháp 2013 với những nguyên tắc bảo vệ quyền tự do ngôn luận, quyền bí mật về thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin khác, quyền bất khả xâm phạm về đời sống riêng tư và bí mật cá nhân. Quyền tự do ngôn luận bao gồm cả với những phát biểu, bình luận trên mạng xã hội, quyền bất khả xâm phạm về bí mật cá nhân bao gồm những dữ liệu trên máy tính hay những cuộc hội thoại cá nhân trên không gian mạng. Đây là những quyền tự do cơ bản mà hầu hết các nước tiến bộ trên thế giới đều công nhận, thể hiện sự văn minh và tôn trọng đối với con người, chúng dần được mở rộng ra theo sự phát triển của xã hội mà cụ thể là với những hoạt động trên không gian mạng. Thứ hai, những bộ luật quan trọng như Bộ Luật Hình sự với quy định các tội xâm phạm trong lĩnh vực công nghệ thông tin, mạng viễn thông; Bộ Luật Dân sự 2015 cũng có quy định bảo vệ đời sống riêng tư, bí mật cá nhân (Điều 38). Đối với những Luật chuyên ngành: LATTTM 2015 quy định bảo đảm an toàn thông tin mạng, bảo vệ hệ thống thông tin tránh đột nhập trái phép hay phá hoại dữ liệu; Luật Công nghệ thông tin nghiêm cấm hành vi trộm cắp, lưu trữ và sử dụng thông tin của cá nhân và tổ chức một cách phi pháp (Điều 72); Luật Viễn thông 2009 quy định bảo đảm an toàn cơ sở hạ tầng viễn thông và an ninh thông tin, bí mật thông tin với tài nguyên viễn thông Bên cạnh đó, những nghị định, thông tư hướng dẫn, bổ sung và giải thích cũng không hề ít: Nghị định 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ (Hướng dẫn Luật an toàn thông tin mạng) xác định bảo mật và an toàn dữ liệu, hệ thống và trách nhiệm bảo đảm an toàn thông tin theo từng cấp độ, áp dụng với các chủ thể có liên quan đến hoạt động xây dựng, quản lý hệ 25
30. thống thông tin như cơ quan, tổ chức, cá nhân; Thông tư 24/2015/TT-BTTTT quy định về quản lý và sử dụng tài nguyên Internet cũng có phần về giải quyết tranh chấp giữa các chủ thể tham gia hoạt động trên mạng Internet; Thông tư 31/2017/TT- BTTTT quy định về hoạt động giám sát an toàn hệ thống thông tin với nhiều phương thức khác nhau và nghĩa vụ của các chủ thể liên quan. Các quy định này hiện được thể hiện chung chung và không rõ ràng theo LANM, có khả năng tạo điều kiện cho các cơ quan nhà nước giải thích và áp dụng một cách tùy tiện, đồng thời gây khó khăn cho các doanh nghiệp cung cấp dịch vụ trên không gian mạng và tăng nguy cơ xâm phạm các quyền cơ bản của công dân liên quan đến tự do ngôn luận và bảo mật thông tin cá nhân. Sự trùng lặp giữa các quy định của LANM và các quy định của pháp luật hiện hành được phân tích như sau: LATTTM và LANM có nhiều quy định trùng lặp: Có hai cách giải thích về “hệ thống thông tin quan trọng quốc gia”, dẫn đến tồn tại hai hệ thống phân loại, đánh giá và thẩm định về các hệ thống thông tin quan trọng đối với quốc gia. Điều 10 LANM: Hệ thống thông tin quan trọng về an ninh quốc gia là hệ thống thông tin khi bị sự cố, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt, tấn công hoặc phá hoại sẽ xâm phạm nghiêm trọng an ninh mạng. Điều 3 LATTTM: Hệ thống thông tin quan trọng quốc gia là hệ thống thông tin mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia. LATTTM quy định về đánh giá tiêu chuẩn về an toàn thông tin mạng, doanh nghiệp kinh doanh lĩnh vực an toàn thông tin, phải được sự thẩm định, cấp phép của Bộ Thông tin và Truyền thông. Bản thân trong Luật này cũng quy định các đơn vị chức năng thuộc Bộ Thông tin và Truyền thông, Bộ Quốc phòng có trách nhiệm tham gia chứng nhận, thẩm định các điều kiện. Phía LANM cũng có quy định tương tự nhưng lại thêm sự phối hợp kiểm tra thẩm định của Bộ Công an. Như vậy sẽ gây ra khó khăn cho doanh nghiệp, tốn kém thời gian và kinh phí do không biết cấp nào mới là cấp cuối cùng ra quyết định, cấp nọ đè lên cấp kia với thủ tục phức tạp. 26
31. Khoản 3 Điều 8 LANM nghiêm cấm hành vi phát tán các chương trình tin học gây hại cho hoạt động của hệ thống mạng, trong khi đó, hành vi này đã được quy định tại khoản 4 Điều 7 LATTTM19 và bị xử lý hình sự theo Điều 286 BLHS (Tội phát tán chương trình tin học gây hại cho hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử). Khái niệm Gián điệp mạng theo LANM là hành vi cố ý vượt qua cảnh báo, mã truy cập, mật mã, tường lửa, sử dụng quyền quản trị của người khác hoặc bằng phương thức khác để chiếm đoạt, thu thập trái phép thông tin, tài nguyên thông tin trên mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu, phương tiện điện tử của cơ quan, tổ chức, cá nhân. Hành vi này có sự trùng lặp với các hành vi bị nghiêm cấm tại Điều 7 LATTTM, cụ thể: “Điều 7. Các hành vi bị nghiêm cấm 3. Tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng của biện pháp bảo vệ an toàn thông tin mạng của hệ thống thông tin; tấn công, chiếm quyền điều khiển, phá hoại hệ thống thông tin. 5. Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân. 6. Xâm nhập trái pháp luật bí mật mật mã và thông tin đã mã hóa hợp pháp của cơ quan, tổ chức, cá nhân; tiết lộ thông tin về sản phẩm mật mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mật mã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự không rõ nguồn gốc.” Điều 15 LANM quy định về hoạt động ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia thì cũng đã được quy định tại Điều 13, 14 LATTTM về ứng cứu sự cố an toàn thông tin mạng và ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia. Đó là còn chưa kể đến một quyết định quy định chi tiết về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia của Thủ tướng Chính phủ.20 19 Khoản 4 Điều 7 về các hành vi bị nghiêm cấm, Luật An toàn thông tin mạng: “Phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo”. 20 Thủ tướng Chính phủ, Quyết định số 05/2017/QĐ-TTg về Ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia 27
32. Còn rất nhiều điểm “tuy giống mà khác” của hai văn bản luật này, cùng một vấn đề nhưng lại có hai hướng giải thích khác nhau, gây ra sự không thống nhất, chồng chéo trong quy định và khó khăn trong áp dụng. Bảo vệ hệ thống kỹ thuật là vấn đề cốt lõi trong bảo vệ an ninh mạng tuy nhiên chúng lại được quy định một cách không chặt chẽ, từ hành vi phá hoại hệ thống kỹ thuật trên không gian mạng, hệ thống thông tin quan trọng về an ninh quốc gia hay hoạt động thẩm định an ninh mạng, đánh giá điều kiện an ninh mạng tới hoạt động ứng phó, khắc phục sự cố an ninh mạng, đều có những lỗ hổng do sự trùng lặp pháp luật như đã phân tích ở trên. Qua rà soát hệ thống pháp luật của một số quốc gia trên thế giới như Anh, Mỹ, Nhật, Úc cho thấy, các quốc gia này không phân tách “cyber security” thành “an ninh mạng” và “an toàn thông tin mạng” như ở nước ta, mà thống nhất giao một đầu mối thực hiện chức năng quản lý nhà nước, căn cứ vào chức năng, nhiệm vụ của các bộ, ngành để có sự phân công phù hợp. Hai vấn đề trên đã dẫn tới công tác bảo vệ an ninh mạng chưa được triển khai trên tất cả các lĩnh vực, đối tượng mà không gian mạng bao phủ và hiện đang có ảnh hưởng sâu sắc. 2. Hạn chế trong cách quy định và sự thiếu hụt văn bản hướng dẫn 2.1. Quản lý nội dung trên không gian mạng Quản lý nội dung thông tin trên không gian mạng là nội dung rất quan trọng đối với pháp luật an ninh mạng. Quy định về nội dung thông tin bị nghiêm cấm trên mạng tại LANM không mới và cũng đã được quy định rải rác tại nhiều văn bản khác nhau như Luật Công nghệ thông tin, Luật tiếp cận thông tin, Luật Viễn thông và Nghị định số 72/2013/NĐ-CP về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng. Bên cạnh đó, đa phần các hành vi này cũng được quy định là tội phạm theo BLHS. Vừa hoạt động quản lý thông tin trên không gian mạng, kiểm soát các luồng thông tin và vừa giữ cho dữ liệu cá nhân không bị xâm phạm, không ảnh hưởng đến quyền riêng tư, bí mật thông tin của các chủ thể là nhiệm vụ rất khó khăn để có thể thực hiện đồng thời hiệu quả. Thời gian đầu khi LANM mới có hiệu lực, hoặc thậm chí ngay khi nó còn nằm trên dự thảo, đã có không ít ý kiến trái chiều đưa ra để chỉ trích LANM thu hẹp, cản trở quyền tự do dân chủ của người dân khiến cho quyền lợi của họ bị hạn chế, đặc biệt là quyền tự do ngôn luận. 28
33. Có lẽ nguyên nhân phần lớn là do quy định chưa rõ ràng, lại không có văn bản hướng dẫn nên chuyện hiểu sai lệch, cố ý hiểu sai lệch quy định là điều hoàn toàn có thể xảy ra. Ví dụ như hành vi “phá hoại thuần phong, mỹ tục của dân tộc, đạo đức xã hội, sức khỏe cộng đồng "21, nhiều ý kiến cho rằng họ không rõ thông tin nào được quy là phá hủy thuần phong, mỹ tục của dân tộc, đạo đức xã hội để mà không vi phạm và giới hạn rất mong manh, mà thực chất, xem xét một cách nghiêm túc thì cũng khó có thể đánh giá xem hành vi, sự thể hiện cụ thể nào sẽ vi phạm, liệu hành vi nói bậy chửi thề trên mạng, khoe ảnh ăn mặc sexy có là vi phạm? Hiện nay còn có tình trạng đăng tải video clip công an giao thông xử lý vi phạm xảy tranh cãi với người vi phạm, đôi khi có xô xát, người vi phạm hô hào người xung quanh ủng hộ mình, gây áp lực thậm chí khi lực lượng công an không thể xử lý và phải để cho người vi phạm đi thì họ quay lại mỉa mai, nói xấu lực lượng công an. Những clip này nhận được nhiều bình luận ủng hộ, thậm chí còn làm theo, không cần biết đến căn cứ pháp luật mà cứ gặp công an là lớn tiếng “cãi tay đôi”, hết hỏi tên, nơi công tác, lịch trình làm việc rồi không chấp hành, Không những gây mất trật tự xã hội mà còn ảnh hưởng rất lớn đến đời sống riêng tư của họ. Vậy những clip như thế có bị coi là “đăng thông tin chống người thi hành công vụ, cản trở hoạt động của cơ quan, tổ chức gây mất ổn định về an ninh, trật tự.” hay “Xúc phạm nghiêm trọng danh dự, uy tín, nhân phẩm của người khác”.22 Theo Khoản 1 Điều 26 LANM, trang thông tin điện tử, cổng thông tin điện tử hoặc chuyên trang trên mạng xã hội của cơ quan, tổ chức, cá nhân không được cung cấp, đăng tải, truyền đưa thông tin có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều 16 của LANM và thông tin khác có nội dung xâm phạm an ninh quốc gia. Thông tin được liệt kê tại từ Khoản 1 đến Khoản 5 Điều 16 LANM có nội hàm rộng và khó xác định23. Ngoài ra, LANM chưa có quy định giải thích về nội dung 21 Điều 8 Luật An ninh mạng 22 Điều 16 Luật An ninh mạng 23 Khoản 5 Điều 16 Luật An ninh mạng : “Thông tin trên không gian mạng có nội dung bịa đặt, sai sự thật gây hoang mang trong Nhân dân, gây thiệt hại cho hoạt động kinh tế - xã hội, gây khó khăn cho hoạt động của cơ quan nhà nước hoặc người thi hành công vụ, xâm phạm quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân khác.” 29
34. xâm phạm an ninh quốc gia. LANM chưa quy định cơ chế đánh giá và xác định thông tin thuộc các trường hợp trên một cách rõ ràng. Như vậy, các cơ quan hành pháp có thể giải thích nội dung thông tin được xem là thuộc trường hợp quy định từ Khoản 1 đến Khoản 5 Điều 16 LANM hoặc được xem là xâm phạm an ninh quốc gia theo quan điểm của mình. Điều này dẫn đến nguy cơ các thông tin phản biện đa chiều liên quan đến hoạt động quản lý nhà nước có thể bị xem là vi phạm và bị xóa bỏ, ngăn chặn theo ý kiến của cơ quan thực thi pháp luật mà không có sự kiểm tra, đánh giá của một cơ quan độc lập với hoạt động quản lý nhà nước đó, chẳng hạn như tòa án. Để tuân thủ quy định về quản lý nội dung thông tin thì tổ chức, cá nhân vận hành các trang thông tin điện tử, cổng thông tin điện tử hoặc các trang mạng xã hội phải kiểm tra, đánh giá các thông tin được đăng tải để xác định các thông tin đó có thuộc các trường hợp vi phạm pháp luật như được nêu tại Điều 16 hoặc có nội dung xâm phạm an ninh quốc gia hay không. Quy định này khó có thể được thực hiện trên thực tế, đặc biệt là đối với thông tin trên các mạng xã hội, khi các thông tin này do một số lượng lớn người dùng đăng tải. Việc đặt ra nghĩa vụ kiểm soát nội dung thông tin cho các nhà cung cấp dịch vụ mạng xã hội cũng không thật sự hợp lý, bởi việc đánh giá tính xác thực và hệ quả của các thông tin có dấu hiệu được quy định tại Điều 16 là không dễ dàng và có thể tốn nhiều thời gian, trong khi khối lượng thông tin được trao đổi qua mạng xã hội là một khối lượng khổng lồ. Quy định này có thể dẫn đến tình trạng các nhà cung cấp dịch vụ trên mạng áp dụng các biện pháp hạn chế việc đăng tải các thông tin có chủ đề liên quan đến các nội dung quy định tại Điều 16 và các nội dung được cho là xâm phạm an ninh quốc gia khi chưa có đủ cơ sở và điều kiện để kiểm tra và đánh giá nội dung thông tin nhằm tuân thủ triệt để và chặt chẽ nghĩa vụ theo khoản 1 Điều 26 LANM. Điều này làm ảnh hưởng đến hoạt động lưu chuyển thông tin tự do trong xã hội và hạn chế việc tiếp cận thông tin của người sử dụng mạng. Có thể công nhận rằng, việc đưa thông tin sai lệch có hậu quả khôn lường. Tuy nhiên, việc hạn chế đăng tải thông tin không phải là một biện pháp hữu hiệu mà ngược lại còn có tác động tiêu cực, đặc biệt là trong bối cảnh 30
35. phản biện xã hội cần được tự do hóa để thu thập ý kiến quần chúng và phát huy sức mạnh của cộng đồng.24 2.2 Địa phương hóa dữ liệu Riêng đối với doanh nghiệp trong lĩnh vực Internet, hiện đang sốt ruột chờ xem chi tiết của các văn bản hướng dẫn thi hành Luật An ninh mạng của Việt Nam, vì luật sẽ không chỉ buộc các công ty như Google hay Facebook phải gỡ bỏ những nội dung chỉ trích chính phủ, mà còn phải lưu trữ các dữ liệu ở Việt Nam. Hơn nữa, các công ty này sẽ phải lập văn phòng đại diện ở Việt Nam25, tuy nó cần thiết để đảm bảo chủ quyền và an ninh quốc gia cả ngoài thực lẫn không gian mạng nhưng đây là một điều bất cập và không khả thi cho lắm do khả năng nảy sinh vấn đề pháp lý và làm tăng chi phí cho các doanh nghiệp. Với quy định về lưu trữ dữ liệu tại Việt Nam của doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng Internet cũng gặp nhiều vấn đề về chính sách nội bộ của họ. Chẳng hạn như Facebook, họ có khoảng 11 trung tâm lưu trữ dữ liệu, trong đó có đến 6 trung tâm là nằm ở Mỹ, 2 nằm ở Singapore, Hồng Kông, một số trung tâm khác nằm ở châu Âu, được sử dụng cho toàn bộ các quốc gia và hoạt động rất là tốt. Google có nhiều hơn, với tổng cộng 15 trung tâm dữ liệu, trong đó có 8 đặt tại Mỹ, một ở Nam Mỹ, 4 tại châu Âu và hai ở châu Á là Đài Loan và Singapore. Tức nghĩa họ không cần thiết và không thể đặt máy chủ lưu dữ liệu ở mọi quốc gia trên thế giới. Mặt khác, khi các nhà cung cấp dịch vụ phải lưu trữ thông tin tại một địa điểm tại Việt Nam, nguy cơ rò rỉ thông tin lớn hơn do hành vi tấn công mạng và đánh cắp thông tin có thể được thực hiện một cách dễ dàng hơn, quyền riêng tư của người dùng sẽ bị đe dọa. Chi phí sử dụng dịch vụ mạng của người dùng có thể tăng thêm do các nhà cung cấp dịch vụ mạng phải tốn chi phí nhiều hơn để đáp ứng các yêu cầu của LANM. Đây có thể là rào cản đối với việc người dùng Việt Nam tiếp cận dịch vụ trên không gian mạng và thông tin ngang hàng và bình đẳng với người dùng ở các nước khác trên thế giới. 24 Tham khảo tại: nhungdieucanbiet.pdf. Truy cập ngày 16/05/2020 25 Điều 26 Luật An ninh mạng 31
36. Dữ liệu và thông tin người dùng tại Việt Nam thì nếu được lưu trữ ở Việt Nam có thể dựa trên yếu tố chủ quyền lãnh thổ. Các thông tin về người Việt Nam, hoạt động trên lãnh thổ Việt Nam được khi phát sinh các hoạt động và giao dịch và thậm chí tranh chấp thì do tài phán của Việt Nam giải quyết. Khi đó nếu không có căn cứ và cơ sở dữ liệu sẽ rất khó để cơ quan chức năng giải quyết theo đơn thư yêu cầu của cá nhân hoặc tổ chức, cũng tạo điều kiện thuận lợi hơn cho công tác quản lý Nhà nước, đặc biệt là việc điều tra, xác minh nguồn gốc, phương thức của các hoạt động trái pháp luật, tội phạm trên không gian mạng. Facebook, Google đang thu thập rất nhiều dữ liệu người dùng nhưng Việt Nam lại chưa có cơ sở pháp lý và biện pháp để đảm bảo việc lưu trữ và khai thác dữ liệu đúng mục đích nên thông tin người dùng có thể bị sử dụng vào những mục đích khác nhau thậm chí là có thể dữ liệu của chúng ta bị lạm dụng, xâm phạm mà ta không biết. Vấn đề địa phương hóa dữ liệu cần có sự phối hợp của cả doanh nghiệp lẫn cơ quan quản lý nhà nước trong phối hợp thực hiện để đạt được hiệu quả cao. Tới nay thì nhiều doanh nghiệp trong nước đã cho Facebook, Google (Youtube) đặt máy chủ tại Việt Nam.26 Các doanh nghiệp cung cấp mạng Internet của Việt Nam thường tạo điều kiện tối đa cho Google, Facebook đặt máy chủ ở trong nước. Thậm chí, có đơn vị còn không thu phí đặt chỗ máy chủ của các công ty này. Lý do là việc đặt máy chủ tại Việt Nam sẽ làm giảm băng thông đi quốc tế của các nhà cung cấp mạng này, từ đó tiết kiệm chi phí của họ với các đối tác quốc tế. 2.3. Bảo mật dữ liệu cá nhân Về hoạt động bảo mật dữ liệu cá nhân thì chưa bàn đến khía cạnh quy định pháp luật, thực tế thì dữ liệu cá nhân của Việt Nam rất dễ bị đánh cắp. Hầu hết mọi người dùng điện thoại, email, hay các tài khoản cá nhân trên mạng xã hội đều trải nghiệm việc bị quấy rối, hoặc ít nhất là nhận những thông tin không mong muốn từ một bên thứ ba nào đó. Không nói đến việc các thông tin cá nhân bị rò rỉ bằng cách nào, nhưng việc bị xâm phạm quyền riêng tư và bảo mật cá nhân lâu nay rõ ràng là rất phổ biến. Tất cả những ai sử dụng các thuê bao di động đều từng nhận được các 26 Theo Ông Trương Minh Tuấn, Bộ trưởng Bộ Thông tin và Truyền thông 32
37. cuộc điện thoại từ các công ty bảo hiểm; công ty bất động sản; các trung tâm chăm sóc và dịch vụ làm đẹp chào mời sử dụng dịch vụ, có nhiều hành khách đi máy bay bị lộ thông tin về chuyến bay về số điện thoại và lịch trình di chuyển, Đây là những thông tin cá nhân thông thường nên hậu quả của việc rò rỉ cũng không lớn, nhưng những dữ liệu cá nhân khác, được cho là rất quan trọng, như: dữ liệu tài chính; hồ sơ sức khỏe; hồ sơ kinh doanh, nếu bị rò rỉ thì hậu quả sẽ lớn hơn rất nhiều. Câu hỏi đặt ra là làm thế nào để hạn chế tình trạng này. Pháp luật An ninh mạng vẫn chưa đưa ra được câu trả lời hoặc do cách quy định của Luật An ninh mạng không nhắm đúng vào trọng tâm của vấn đề. LANM được quy định theo hướng tăng quyền cho Bộ Công an trong việc kiểm tra, xử lý và thực hiện các biện pháp cần thiết để bảo đảm an ninh mạng cũng như phối hợp cùng các cơ quan chức năng có liên quan. Cách quy định này sẽ bảo đảm việc quản lý, kiếm soát tình hình chung của an ninh mạng nhưng vấn đề bảo mật dữ liệu cá nhân lại là một chuyện khác. Dữ liệu cá nhân cũng được coi như một dạng thông tin riêng tư, được pháp luật bảo vệ, với tính chất đó thì theo nghĩa hẹp, chỉ cần thêm dù chỉ một bên nữa biết một phần thông tin này thì nó đã không còn riêng tư nữa, chưa kể tới sự cho phép của người chủ của thông tin. Thông thường, đối với những thông tin được lưu giữ trên môi trường mạng thì chỉ có người chủ của thông tin và doanh nghiệp cung cấp dịch vụ mạng để lưu trữ thông tin đó biết. Với chính sách bảo mật thông tin khách hàng nghiêm ngặt của những doanh nghiệp như Google, Apple thì việc rò rỉ thông tin hay cung cấp thông tin cho một bên thứ 3 là cực kỳ tối kỵ. Pháp luật an ninh mạng cần có thêm quy định về trách nhiệm cho các doanh nghiệp cung cấp dịch vụ trên không gian mạng, hợp tác hỗ trợ họ trong việc bảo đảm dữ liệu cá nhân cho công dân, tuân thủ pháp luật mà không phá vỡ quy định, chính sách nội bộ của doanh nghiệp, đặc biệt là doanh nghiệp nước ngoài. LANM có quy định trách nhiệm của doanh nghiệp phải cung cấp thông tin người dùng cho Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng nhưng lại không có một quy trình cụ thể về loại thông tin cung cấp, cách thức cung cấp hay việc báo cho người dùng về việc 33
38. thông tin của họ đang được cung cấp và cam kết bảo mật liên quan phát sinh. Vô hình chung, chúng ta có thể nhận định đây là một hình thức rò rỉ thông tin cá nhân. Đã từng có những vụ việc lớn xảy ra minh chứng cho việc trách nhiệm bảo mật thông tin cá nhân thuộc phần nhiều về doanh nghiệp cung cấp dịch vụ mạng. Đầu năm 2020, Apple từ chối cho phép chính phủ Mỹ truy cập vào iPhone của một người đàn ông 21 tuổi - nghi phạm giết chết ba thủy thủ trong vụ xả súng tại căn cứ hải quân Penacola ở Florida của nước này. Apple đã công khai chống lại các đề xuất chính phủ Mỹ trong những tình huống tương tự xảy ra trước đó. Năm 2016, công ty phản đối lệnh của tòa án nhằm giúp FBI mở khóa iPhone của một trong hai kẻ đã xả súng ở San Bernardino, California, khiến 14 người thiệt mạng. Cam kết bảo vệ quyền riêng tư người dùng của Apple đã được công ty này gìn giữ và là lợi thế lớn so với các đối thủ trên thị trường. CEO Tim Cook của Apple cũng liên tục khẳng định quyền riêng tư là quyền cơ bản của con người, nó cần được bảo vệ tối đa. Apple cũng cho rằng hiện nay các cơ quan thực thi pháp luật đã có quyền truy cập vào nhiều dữ liệu hơn bao giờ hết, với yêu cầu về thông tin thì hãng đã đáp ứng kịp thời với tất cả thông tin có thể cung cấp nên họ từ chối bẻ khóa iPhone bằng backdoor và khẳng định bảo vệ dữ liệu của người dùng của họ bằng mã hóa là rất quan trọng. Dữ liệu cá nhân được doanh nghiệp cung cấp dịch vụ mạng bảo đảm lưu trữ cho người dùng, được sự đồng ý của họ thông qua những điều khoản bảo mật khi sử dụng dịch vụ. Trong trường hợp cần cung cấp thông tin cho bên thứ ba thì cần phải xem xét vì mục đích gì, cung cấp những loại thông tin ở mức độ nào, có ảnh hưởng đến quyền riêng tư không? Nếu không quy định rõ ràng thì không những thông tin bị rò rỉ mà doanh nghiệp cũng mất uy tín đối với khách hàng. Trong trường hợp cung cấp thông tin cho Cơ quan nhà nước thì nên có quy trình và quy định trách nhiệm bảo mật thông tin của cơ quan đó sau khi tiếp nhận. LANM cũng chưa có quy định hạn chế đối với quyền của cơ quan nhà nước thực thi pháp luật để chỉ được cung cấp những thông tin thật sự cần thiết phục vụ cho hoạt động xử lý thông tin trên không gian mạng có nội dung vi phạm pháp luật. Điều này dẫn đến lo ngại 34
39. về nguy cơ rò rỉ thông tin từ hoạt động của cơ quan nhà nước, ảnh hưởng đến quyền riêng tư của người có thông tin được cung cấp và thông báo, trong khi chưa có kết luận về hành vi vi phạm. 35
40. TIỂU KẾT CHƯƠNG 1 Ở phần đầu tiên, tác giả chủ yếu đi sâu vào phân tích, bình luận pháp luật về an ninh mạng của Việt Nam mà chủ yếu là LANM. Chỉ ra những điểm chính trong nội dung của LANM, tạo cái nhìn bao quát chung về hệ thống pháp luật an ninh mạng. Ngoài ra, tác giả làm rõ một số khái niệm, thuật ngữ trong lĩnh vực này để người đọc hiểu và có cái nhìn đa chiều dưới nhiều góc độ. Tiếp thu và đánh giá vấn đề cùng các quan điểm khác nhau giúp mở rộng cách tiếp cận đối với vấn đề an ninh mạng. Trên cơ sở phân tích lý luận đó, tác giả chỉ ra mặt hạn chế tồn tại trong pháp luật về an ninh mạng của Việt Nam làm cơ sở đề ra hướng giải quyết, kiến nghị hoàn thiện ở phần sau. 36
41. CHƯƠNG 2: THỰC TRẠNG AN NINH MẠNG TRÊN THẾ GIỚI VÀ Ở VIỆT NAM I. Tình hình An ninh mạng trên thế giới: 1. Tổng quan về tình hình an ninh mạng trên thế giới Với xu hướng công nghệ hóa trên toàn cầu, khi mọi hoạt động đều được số hóa, không gian mạng ngày càng trở nên quan trọng và được mở rộng mỗi ngày. Các chủ thể tham gia trên mạng thực hiện hành vi đa dạng và khó kiểm soát, tình hình an ninh mạng nhìn chung đang diễn biến phức tạp trên toàn thế giới, đặc biệt là ở các nước phát triển, có nền tảng khoa học công nghệ tiên tiến. Trên phạm vi toàn cầu, tội phạm mạng gây thiệt hại lên tới khoảng 600 tỷ USD mỗi năm, tương đương 0,8% GDP toàn cầu. Trong đó, khu vực Đông Á thiệt hại ước tính từ 120 - 200 tỷ USD, tương đương 0,53 - 0,89% GDP khu vực. Mức thiệt hại 642 triệu USD tương đương 0,26% GDP của Việt Nam, tuy chưa phải cao so với khu vực và thế giới, nhưng cũng là mức đáng báo động. Thực tế cho thấy, phần lớn các cuộc tấn công trên mạng được thực hiện thông qua việc sử dụng một hoặc nhiều công cụ phần mềm do người tấn công tự xây dựng hoặc có được từ các nguồn khác nhau nhằm mục đích tấn công gây tổn thất hay chiếm dụng bất hợp pháp tài nguyên. Các vụ tấn công trên mạng ngày càng gia tăng cả về quy mô và tính chất nguy hiểm, đặt ra những thách thức mới, yêu cầu phối hợp các biện pháp kỹ thuật, pháp lý, xã hội để ứng phó và xử lý kịp thời. Các nước trên thế giới cũng liên tục phát hiện các vụ tấn công, xâm nhập vào hệ thống máy tính của các cơ quan chính phủ, tổ chức chính tri, các ngành công nghiệp, kinh tế mũi nhọn, các hãng hàng không lớn, cơ quan truyền thông, tổ chức y tế, giáo dục nhằm phá hoại, đánh cắp dữ liệu, thu thập thông tin tình bảo liên quan đến chính sách về kinh tế, chính trị, an ninh, quốc phòng và đối ngoại. Nổi lên là các vụ tấn công vào hệ thống thư điện tử của Bộ Ngoại giao, hệ thống máy tính của Nhà Trắng, Cơ quan quản lý nhân sự Chính phủ Mỹ Nhiều nhóm tin tặc tấn công bằng mã độc để đánh cắp dữ liệu, thu thập thông tin tình báo quan trọng về chính 37
42. trị, kinh tế, quân sự. Đối tượng chính là các cơ quan chính phủ, các tổ chức kinh tế, các cơ quan báo chí của hầu hết các nước trên thế giới đặc biệt là khu vục Châu Á và Đông Nam Á như Malaysia, Thái Lan, Ấn Độ, Hàn Quốc, Nhật Bản Hầu hết pháp luật, chính sách các quốc gia trên thế giới đều chia sẻ quan điểm rằng đối tượng mà an ninh mạng hướng đến để chống lại là các cuộc tấn công, phá hoại, hay đột nhập không được phép hoặc hành động bất hợp pháp của các bên thứ ba nhằm phá hủy hoặc gây hại cho không gian mạng (gọi chung là “tấn công mạng”) gây ra bởi các tin tặc, tức những cá nhân, tổ chức không được ủy quyền hay cấp phép nhưng cố gắng tiếp cận hoặc có được sự tiếp cận, truy cập trái phép hoặc tấn công vào hệ thống dữ liệu và thông tin của cá nhân, tổ chức hoặc quốc gia khác trên không gian mạng nhằm nhiều mục đích khác nhau. LANM Việt Nam định nghĩa tấn công mạng là hành vi sử dụng không gian mạng, công nghệ thông tin hoặc phương tiện điện tử để phá hoại, gây gián đoạn hoạt động của mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu, phương tiện điện tử. Các nước công nghiệp phát triển phương Tây mà Hoa Kỳ là một đại diện tiêu biểu có cách tiếp cận về tấn công mạng dựa trên mục tiêu tấn công mạng của chúng. Từ điển Quân đội và các thuật ngữ liên quan của Bộ Quốc phòng Hoa Kỳ 27 định nghĩa tấn công mạng là “hành vi thù địch sử dụng máy tính hoặc các mạng hoặc hệ thống liên quan và có ý định phá hoại và/hoặc phá hủy hệ thống, tài sản hoặc chức năng mạng quan trọng của đối thủ. Các hiệu ứng dự định của tấn công mạng không nhất thiết bị giới hạn ở các hệ thống máy tính được nhắm mục tiêu hoặc dữ liệu - ví dụ, các cuộc tấn công trên các hệ thống máy tính nhằm làm suy giảm hoặc phá hủy cơ sở hạ tầng của khả năng thực thi và kiểm soát. Tấn công mạng có thể sử dụng các phương tiện truyền tải trung gian bao gồm thiết bị ngoại vi, thiết bị phát điện tử, mã nhúng hoặc nhà khai thác con người. Việc kích hoạt hoặc ảnh hưởng của cuộc tấn công không gian mạng có thể được phân tách rộng rãi theo thời gian và 27 Tham khảo tại: joint%20Terminology%20for%20Cyberspace%20Operations.pdf . Truy cập ngày 17/05/2020 38
43. địa lý từ quá trình truyền tải”28. Một số học giả trong lĩnh vực pháp luật về an ninh mạng của Hoa Kỳ cho rằng tấn công mạng nên được hiểu là “bất kỳ hành động nào được thực hiện để làm ảnh hưởng đến các chức năng của của mạng máy tính vì lý do chính trị hoặc lý do an ninh quốc gia”. Có thể thấy, tuy có nhiều định nghĩa về tấn công mạng nhưng điểm mấu chốt của cách tiếp cận này là “tấn công mạng” được giới hạn ở những hành vi có chủ ý và nhắm đến mục đích gây hại hoặc phá hủy các hệ thống máy tính và mạng vì lý do chính trị hoặc an ninh quốc gia. Nói cách khác, hướng tiếp cận này giới hạn phạm vi của tấn công mạng dựa vào mục tiêu của cuộc tấn công. Theo cách tiếp cận thứ nhất này, tấn công mạng có thể được thực hiện bằng nhiều phương thức (ví dụ: tấn công, đánh bom, cắt phá, gây nhiễu loạn v.v ) nhưng để được xem là tấn công mạng, hành vi đó phải nhằm mục tiêu gây hại hoặc phá hủy chức năng của không gian mạng vì lý do chính trị hoặc an ninh quốc gia. Đây là đặc điểm quan trọng giúp phân biệt cách tiếp cận khái niệm tấn công mạng của Hoa Kỳ và cách tiếp cận của Tổ Chức Hợp Tác Thượng Hải sẽ được phân tích dưới đây. Cách tiếp cận của Tổ Chức Hợp Tác Thượng Hải (The Shanghai Cooperation Organization) – một tổ chức an ninh chung liên chính phủ được thành lập năm 2001 bởi lãnh đạo các quốc gia Trung Quốc, Nga, Kazakhstan, Kyrgyzstan, Tajikistan và Uzbekistan và bao gồm các quan sát viên là Iran, Ấn Độ và Pakistan. Theo đó, tổ chức này bày tỏ quan ngại về các mối đe dọa hiện hữu bởi việc sử dụng các công nghệ và phương tiện thông tin và truyền thông mới và cho các mục đích chống lại việc đảm bảo an ninh và sự ổn định quốc tế trên bình diện dân sự và quân sự29. Tổ chức này dùng thuật ngữ “chiến tranh thông tin” tương đương và thay thế cho thuật ngữ “cyberwarfare” (tấn công mạng). Theo đó, “Chiến tranh thông tin là cuộc tẩy 28 Nguyên văn: “A hostile act using computer or related networks or systems, and intended to disrupt and/or destroy an adversary's critical cyber systems, assets, or functions. The intended effects of cyber attack are not necessarily limited to the targeted computer systems or data themselves-for instance, attacks on computer systems which are intended to degrade or destroy infrastructure of C2 capability. A cyber attack may use intermediate delivery vehicles including peripheral devices, electronic transmitters, embedded code, or human operators. The activation or effect of a cyber attack may be widely separated temporally and geographically from the delivery”. 29 Thỏa thuận giữa Chính Phủ của các thành viên của tổ chức hợp tác Thượng Hải hợp tác trong lĩnh vực an toàn thông tin quốc tế, Phiên họp toàn thể lần thứ 61 (ngày 2 tháng 12 năm 2008) (Sau đây gọi là “Thỏa Thuận Hợp Tác Thượng Hải”). 39
44. não tâm lý đại chúng để làm mất ổn định xã hội và nhà nước, cũng như buộc nhà nước phải đưa ra quyết định vì lợi ích của một đảng đối lập”30. Hơn nữa, nó xác định sự phổ biến các thông tin gây hại cho “các hệ thống chính trị xã hội và, kinh tế xã hội cũng như bình diện đạo đức và văn hóa của các quốc gia khác” như là một trong những mối đe dọa chính đến an ninh thông tin”. Các quy định này cho thấy rằng Tổ chức Hợp tác Thượng Hải có quan điểm tương đối rộng về tấn công mạng theo hướng bao gồm cả việc sử dụng công nghệ không gian mạng (cyber- technology) để phá hủy sự ổn định chính trị. Một số nhà bình luận quan ngại rằng định nghĩa này thể hiện nỗ lực hợp pháp hóa việc kiểm duyệt các phát ngôn chính trị trên mạng Internet31. Với bối cảnh Internet đang ngày càng được sử dụng như diễn đàn trao đổi ý kiến và quan điểm chính trị, các quy định như trên có nguy cơ đe dọa đến nhân quyền, đặc biệt là quyền tự do ngôn luận của người dân. Tóm lại, cách tiếp cận thứ hai này dựa trên khía cạnh phương tiện của hành vi tấn công mạng hơn là khía cạnh mục đích như cách tiếp cận thứ nhất. Theo đó, bất kể mục tiêu của hành vi có nhắm đến gây hại hoặc phá hủy chức năng của mạng máy tính và hệ thống mạng hay không, chỉ cần hành vi đó được thực hiện bằng phương tiện là không gian mạng chống lại việc đảm bảo an ninh và sự ổn định quốc tế trên bình diện dân sự và quân sự thì hành vi đó có thể bị coi là tấn công mạng. So với cách tiếp cận thứ hai, cách tiếp cận thứ nhất không ảnh hưởng đến tự do ngôn luận trên Internet. Theo cách tiếp cận thứ hai, bất kỳ hành động nào sử dụng phương tiện là không gian mạng làm ảnh hưởng đến quyền và lợi ích hợp pháp của tổ chức, cá nhân và nhà nước hoặc sự ổn định chính trị, xã hội (ví dụ, các phản biện hoặc phát ngôn chính trị chống lại đảng cầm quyền thông qua môi trường không gian mạng mà không nhằm mục tiêu gây hại hoặc phá hủy chức năng của mạng máy tính vì lý do chính trị hoặc an ninh quốc gia) đều có thể bị coi là tấn công mạng.32 30 Thỏa Thuận Hợp Tác Thượng Hải, Phụ lục I, tại tiểu mục 209. 31 “Seeing The Internet As An 'Information Weapon'”, Tham khảo tại: Truy cập ngày 17/05/2020 32 Tham khảo tại: nhungdieucanbiet.pdf. Truy cập ngày 17/05/2020 40
45. Báo cáo Chỉ số an ninh mạng toàn cầu năm 2017 của Liên minh Viễn thông quốc tế (ITU) 37 thuộc Liên Hợp Quốc cho biết hiện tại chỉ có một nửa số quốc gia trên thế giới có chiến lược an ninh mạng hoặc đang trong quá trình đề ra chiến lược liên quan tới vấn đề này. Cụ thể, khoảng 38% quốc gia trên thế giới đã công bố chiến lược an ninh mạng. Trong đó, chỉ 11% quốc gia có chiến lược độc lập, chuyên dụng về an ninh mạng. Ngoài ra, 12% quốc gia đang phát triển chiến lược. Báo cáo của này cũng cho biết chỉ trong vòng 6 năm trở lại đây, đã có 23 quốc gia trên thế giới ban hành trên 40 văn bản luật, dưới luật về an ninh mạng.33 2. Các cuộc tấn công mạng và tác động của chúng Tháng 4/2011, Sony PlayStation Network (PSN) đã bị các tin tặc tổ chức cuộc tấn công mạng rầm rộ. Dịch vụ chơi game Multiplay, mua trò chơi trực tuyến và các nội dung khác của Sony bị rò rĩ.34 Trong đó, có đến thông tin cá nhân của 77 triệu người chơi toàn cầu. Thậm chí, các thông tin ngân hàng của các tài khoản này còn bị các Hacker xâm phạm. Ngay sau khi phát hiện vụ việc, PSN cũng như Sony Online Entertainment và Qrocity đã phải ngưng tất cả dịch vụ trong khoảng 1 tháng. Để xoa dịu người dùng, Sony đã phải chi 15 triệu đô la tiền bồi thường cho những người bị ảnh hưởng. Tuy nhiên, Sony đã quá xem thường các tin tặc ở thời điểm đó. Thậm chí khi các Hacker đã công bố lỗ hổng cơ sở dữ liệu của Sony nhưng họ đã bỏ ngoài tai lời cảnh báo này. Dữ liệu hoàn toàn không được mã hóa và dễ dàng bị tấn công. Vì lẽ đó, tháng 11/2014 một công ty con của Sony là Sony Pictures Entertaiment bị tấn công bởi một Virus mang tên “Guardians of Peace” và lần này thiệt hại còn lớn hơn trước khi có đến 100 terabyte (1TB bằng khoảng 1000 GB) bao gồm các dữ liệu quan trọng bị đánh cắp35. Cuộc tấn công Internet bởi các tin tặc lần này đã lấy đi nhiều kịch bản phim, email và dữ liệu cá nhân của 47.000 nhân 33 “Global Cybersecurity Index (GCI) 2017”. Tham khảo tại: STR-GCI.01-2017-PDF-E.pdf. Truy cập ngày 21/05/2020 34 "PlayStation Network Restoration Begins". PlayStation Network / PSN News. Tham khảo tại: Truy cập ngày 17/05/2020 35 “Who are the Guardians of Peace? A new hacker group is on the loose” .Tham khảo tại: Truy cập ngày 17/05/2020 41
46. viên. Nhiều nhân viên bị buộc phải nghỉ việc vì thiệt hại lần này. Ngoài ra, Sony còn phải hủy phát song một vài bộ phim và trả tiền bồi thường lên đến 8 triệu đô la cho nội bộ nhân viên bị lộ thông tin. Trước đó, Sony đã tiến hành kiểm tra hệ thống bảo mật của công ty mình cho thấy rằng họ sẽ không thể chịu nổi bất kì đợt tấn công internet mang tính vĩ mô nào bởi sự khổng lồ của cơ sở dữ liệu. Việc chậm trễ nâng cấp đã khiến Sony phải trả giá rất đắt. Năm 2013, chỉ một vụ xâm nhập tài khoản Twitter của bộ phận truyền thông Nhà Trắng và đăng tin giả về vụ nổ tại Nhà Trắng cũng đã khiến chỉ số S&P 500 (1 chỉ số chứng khoán dựa trên vốn hóa thị trường của 500 công ty giao dịch công khai trên thị trường chứng khoán Mỹ) giảm 0,9%, làm thị trường thiệt hại 130 tỷ USD. Năm 2015, trang web hẹn hò trực tuyến Tinder đã bị tấn công Internet nhằm mục đích đánh cắp toàn bộ thông tin của người dùng tại đây. Những thông tin quan trọng như tên thật, ngày tháng năm sinh, mã bưu chính, địa chỉ IP và cả sở thích tình dục của 4 triệu tài khoản đã bị công khai trên một diễn đàn truy cập trên trình duyệt Tor. Đợt tấn công internet lần này, các Hacker thật ra chỉ muốn cảnh báo về lỗ hổng bảo mật của nền tảng hẹn hò Tinder nên may mắn đã không có vụ việc lạm dụng hay đánh cắp tống tiền nào xảy ra. Nhưng Tinder đã vẫn chưa tỉnh ngộ, năm 2016 họ đã phải chịu tổn thất nặng nề hơn và lần này hậu quả để lại gấp 100 lần. 400 triệu tài khoản đã bị đánh cắp thông tin nhạy cảm, 20 năm dữ liệu của ứng dụng hẹn hò khổng lồ chính thức bị công khai trên mạng. Các nhà nghiên cứu bảo mật nói rằng hình ảnh thu được từ các cuộc tấn công mạng có thể được sử dụng cho nhiều dự án độc ác như tạo ra các video giả mạo sâu sắc hoặc làm thành hình ảnh của nhiều nhà lãnh đạo chính trị trong các chiến dịch bầu cử của họ. Thông thường những bức ảnh như vậy xuất hiện trên web tối nơi mọi người có thể mua chúng và tạo ra một sản phẩm rồi dùng vào mục đích riêng mà không cần ý kiến của người dùng36. Những Hacker đã sử dụng phương thức Local File Inclusion (một kỹ thuật 36 Nguyên văn: “Security researchers say that images gained from cyber attacks could be used for many malevolent projects such as the creation of deep fake videos or to tarnish the image of many political leaders during their election campaigns. Often such pictures land up on the dark web where anyone can purchase them and train a product with machine learning algorithms without the consent of users.” Tham khảo tại: 42
47. đưa một tệp cục bộ chuyển thẳng về kho tài nguyên trực tuyến của tin tặc). Rất nhiều người dùng đã lên tiếng phản đối vì họ bị lộ thông tin cực kì nhạy cảm kể cả khi họ đã hủy tài khoản từ nhiều năm trước. Cuộc khủng hoảng của Tinder đã vượt xa cuộc tấn công internet cũng trên một nền tảng hẹn hò trực tuyến khác là Ashley Madison (đã bị lộ 30 triệu thông tin người dùng trên 40 quốc gia). Thiệt hại cũng nằm ở những khoản phạt mà Tinder phải gánh chịu, theo Luật bảo mật dữ liệu châu Âu, bất kỳ ứng dụng hẹn hò nào bị phát hiện rò rỉ thông tin người dùng của mình cho tin tặc hoặc công ty quảng cáo sẽ bị phạt rất nặng.37 Tháng 5/2017, mã độc WannaCry đã lây nhiễm hơn 300 nghìn máy tính tại hơn 90 nước trên thế giới, trong đó có Việt Nam. Nạn nhân của mã độc này sẽ bị khóa các dữ liệu trong máy tính và phải thanh toán tiền chuộc từ 300 đến 600 Euro bằng bitcoin để khôi phục. Khi các vụ tấn công mã độc tống tiền WannaCry chưa kết thúc, vào cuối tháng 6/2017, mã độc mới Petya xuất hiện được nhận định còn nguy hiểm hơn WannaCry do mã hóa toàn bộ ổ cứng và có khả năng lây lan rộng trong mạng nội bộ. Petya đã làm tê liệt hàng loạt ngân hàng, sân bay, máy ATM và một số doanh nghiệp lớn tại châu Âu. Các cuộc tấn công mạng đang dần nguy hiểm hơn do được các tổ chức, quốc gia tài trợ nhằm nhắm đến những tập đoàn kinh tế lớn của đất nước, cơ quan chính phủ, cơ quan quân đội, an ninh. Bảo vệ quyền, lợi ích và an ninh quốc gia trên không gian mạng và ứng phó với những nguy cơ mới từ không gian mạng đã trở thành vấn đề toàn cầu, được xác định là một nội dung cốt lõi, sống còn trong quá trình bảo vệ và phát triển ở nhiều quốc gia trên thế giới. Tất cả mọi con số đều chỉ chung về một viễn cảnh tương lai của thế giới mạng – các cuộc tấn công mạng đã, đang và sẽ tăng với vận tốc chóng mặt cả về số lượng, độ tinh vi cũng như sự phong phú trong hình thức tấn công. Chỉ trong thập kỷ vừa qua, các nguy cơ tới từ không gian mạng nổi lên như những mối đe dọa khi thế giới đang ngày càng được số hóa. . Truy cập ngày 17/05/2020 37 Tham khảo tại: for-catfishing/ . Truy cập ngày 17/05/2020 43
48. Các cuộc tấn công mạng có chi phí thấp nhưng gây ra thiệt hại lớn một cách khó lường, càng nguy hiểm hơn khi chúng không bị hạn chế bởi các ranh giới thông thường. Với tính chất và sự phát triển chóng mặt của chúng nên các nguy cơ tới từ không gian mạng ngày càng khó đối phó và ngăn chặn. II. Tình hình An ninh mạng ở Việt Nam 1. Tổng quan về tình hình an ninh mạng của Việt Nam Hiện nay, Việt Nam có trên 45 triệu người sử dụng Internet, đứng thứ 4 thế giới về thời gian sử dụng internet với hơn 30 triệu người sử dụng Facebook; 55% dân số đang sử dụng điện thoại di động. Hàng năm, Việt Nam phải chịu hàng nghìn cuộc tấn công mạng và đứng thứ 20 trên thế giới về xếp hạng các quốc gia bị tấn công mạng nhiều nhất. Việt Nam đang phải đối mặt với vấn đề an ninh mạng ngày càng nghiêm trọng, đặc biệt là trong những năm gần đây. Theo Bộ trưởng Bộ Công an Tô Lâm trong buổi trình dự thảo Luật Bảo vệ bí mật nhà nước trước Quốc hội, từ năm 2001 đến nay, Việt Nam đã xảy ra hơn 840 vụ lộ, mất bí mật nhà nước, chủ yếu qua thông tin, liên lạc, báo chí, xuất bản, quan hệ quốc tế Đây là con số đáng báo động đối với hệ thống thông tin của quốc gia và cũng đặt ra vấn đề bảo vệ thông tin bí mật Nhà Nước bởi an ninh quốc gia ảnh hưởng tới mọi mặt của đời sống xã hội. Thực tế trong nước và thế giới cho thấy, một tin đồn thất thiệt về tình trạng tài chính, nhân sự cấp cao, giám đốc ngân hàng bỏ trốn hay bị bắt đều trực tiếp hoặc gián tiếp gây tác động xấu tới sự ổn định của các tổ chức tài chính tín dụng có liên quan và có thể gây hiệu ứng lan tỏa tới toàn bộ nền kinh tế. Hệ quả càng lớn khi thông tin mập mờ, suy luận thiếu căn cứ, nguồn tin không rõ ràng và khó xác minh cụ thể, còn bản thân đơn vị, cơ quan chức năng chậm phản ứng xử lý chính thức, không minh bạch thông tin, chủ động công bố thông tin cần thiết. Năm 2012, theo nghiên cứu của Hiệp hội an toàn thông tin Việt Nam (VNISA) phát hiện 3697 lỗi trong 100 website.gov.vn, trong đó 489 lỗi thuộc diện nghiêm trọng, 396 lỗi ở mức cao, còn lại 2812 lỗi ở mức trung bình/yếu. 80% website được khảo sát không có biện pháp bảo mật tối thiểu. Theo một thống kê của 44
49. hãng bảo mật Kaspersky, Việt Nam đứng hàng đầu trên thế giới về tỷ lệ lây nhiễm mã độc qua thiết bị lưu trữ ngoài (USB, thẻ nhớ, ổ cứng di động với tỷ lệ 70,83% máy tính bị lây nhiễm; 39,95% người dùng phải đối mặt với mã độc bắt nguồn từ không gian mạng. Chỉ riêng 2015, Việt Nam có hơn 10.000 trang web/cổng thông tin điện tử có tên miền .vn bị tấn công, chiếm quyền điều khiển, thay đổi giao diện, cài mã độc (tăng 68% so với năm 2014), trong đó có 224 trang thuộc quản lý của các cơ quan nhà nước (giảm 11% so với năm 2014). Thời gian tin tặc tấn công vào hệ thống thông tin điện tử của Việt Nam nhiều nhất là tháng 6-2015 với số lượng các trang tin bị tấn công lên đến hơn 1.700 trang, trong đó có 56 trang tên miền .gov.vn. Có 24 bộ/ngành, 48 tỉnh/thành phố, 13 trường đại học, cao đẳng bị tin tặc tấn công. 38 Vào năm 2016, tin tặc đã tấn công và làm tê liệt nhiều giờ liền tại Trung tâm điều khiển của Hãng hàng không tại sân bay Tân Sơn Nhất và Nội Bài, làm thiệt hại lớn về kinh tế và gây bức xúc trong dư luận. Vào khoảng 16h ngày 29/7/2016, tại sân bay Nội Bài, Tân Sơn Nhất, nhiều hành khách đang làm thủ tục hốt hoảng khi thấy các màn hình thông tin chuyến bay của hãng hàng không Vietnam Airlines bất ngờ thay đổi. Sau khi chiếm quyền điều khiển website của Vietnam Airlines, nhóm tin tặc đưa những nội dung thông tin xuyên tạc liên quan đến vấn đề biển Đông, xúc phạm Việt Nam, Philippines tại sân bay Tân Sơn Nhất và Nội Bài, đồng thời nêu rõ: “Đây là lời cảnh cáo từ nhóm hacker Trung Quốc 1937CN”. Đồng thời website của Vietnam Airlines cũng bị hack với 411.000 dữ liệu của hành khách đi máy bay đã bị hacker thu thập và phát tán. Cuộc tấn công website và hệ thống thông tin sân bay này được đánh giá là lớn nhất từ trước đến nay vào hệ thống thông tin hàng không của Việt Nam, trong đó có 1 hacker nổi tiếng Việt Nam được cho là có liên quan đến các vụ tấn công này. Đến 17h45 cùng ngày, sự cố đã được khắc phục.39 Theo thống kê của Bkav, năm 2019, thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam đã lên tới 20.892 tỷ đồng (902 triệu USD), vượt xa con số 38 Tham khảo tại: Nguy-co-tu- chinh-thiet-bi ke-ke ben-nguoi.html. Truy cập ngày 17/05/2020 39 Tham khảo tại: Truy cập ngày 17/05/2020 45