Kinh nghiệm của các nước trên thế giới đối với công tác quản lý nhà nước về an toàn thông tin mạng internet
Cuộc cách mạng công nghiệp lần thứ tư diễn ra trên không gian mạng đã đặt ra yêu cầu mới hết sức cấp thiết trong nhiệm vụ bảo vệ an ninh quốc gia, bảo đảm trật tự an toàn xã hội. Thời gian qua, Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam đã thông qua nhiều quy định liên quan đến công tác bảo đảm an toàn thông tin, như: Luật An toàn thông tin mạng năm 2015, Luật An ninh mạng năm 2018.
Xuất phát từ nhu cầu đặt ra trong công tác quản lý nhà nước (QLNN) về an toàn thông tin và các Luật có liên quan, Việt Nam cần tham khảo, tiếp thu có chọn lọc kinh nghiệm của các nước có hệ thống pháp luật về an toàn thông tin mạng (ATTTM) phát triển để vận dụng linh hoạt, phù hợp vào điều kiện thực tiễn của Việt Nam.
Kinh nghiệm của Mỹ
Mỹ là một quốc gia đi đầu trong việc nghiên cứu và ứng dụng những tiện ích của internet trong đời sống kinh tế – xã hội. Mỹ cũng là quốc gia có mức độ an toàn thông tin internet bậc nhất thế giới. Để bảo đảm ATTTM internet, Chính phủ Mỹ đã thực hiện việc QLNN về ATTTM internet thông qua một số nội dung như: quy định cụ thể về việc chia sẻ thông tin mạng; thành lập các lực lượng chuyên trách về ATTTM internet, tình báo mạng, chiến tranh mạng, phòng, chống khủng bố mạng và tội phạm mạng…
Để thực hiện công tác QLNN về ATTTM internet, Chính phủ Mỹ đã ban hành 3 đạo luật an ninh mạng chính là: Đạo Luật về Quyền riêng tư trong lĩnh vực Y tế (HIPPA) năm 1996, Đạo Luật Gramm-Leach-Bliley trong lĩnh vực Tài chính năm 1999 và Đạo Luật An ninh nội địa năm 20021.
Theo đó, căn cứ vào chức năng, nhiệm vụ cụ thể, một số tổ chức, cơ quan được phép ban hành các văn bản quy phạm pháp luật để triển khai thực hiện, cụ thể: Tòa án Tối cao Mỹ đã thông qua sửa đổi Điều 41 Bộ luật Hình sự, cho phép Cục Điều tra Liên bang (FBI) được quyền truy cập vào máy tính của bất kỳ ai, ở bất kỳ đâu và vào bất kỳ lúc nào nhằm ngăn chặn các hành vi vi phạm ATTTM internet; Bộ Quốc phòng Mỹ ban hành kế hoạch hướng dẫn thực hiện quy tắc an ninh mạng cho toàn khu vực quân sự; Văn phòng Kiểm soát tiền tệ (OOC) của Bộ Ngân khố Mỹ soạn thảo “Hướng dẫn ATTTM internet dành cho hệ thống thanh toán và nhắn tin liên ngân hàng”…
Mỹ bảo đảm sự phù hợp của tiêu chuẩn an ninh mạng trong nước với thế giới, đồng thời bảo đảm các tiêu chuẩn an ninh mạng có thể được xây dựng, bổ sung phù hợp với sự phát triển của công nghệ thông tin, an ninh mạng.
Mỹ cũng quy định phải xây dựng các kế hoạch ứng phó với sự cố mạng bất ngờ, Bộ An ninh Nội địa phải xem xét lại hoạt động của Đội Ứng phó Khẩn cấp Mạng máy tính Hoa Kỳ (US-CERT) và Đội Ứng phó Khẩn cấp Mạng máy tính của Hệ thống Điều khiển Công nghiệp Mỹ (ICS-CERT), bảo đảm các đội này đủ khả năng cung cấp các hỗ trợ kỹ thuật cho các thực thể ngoài liên bang và đáp ứng các nhu cầu có thể gia tăng về hỗ trợ kỹ thuật2.
Kinh nghiệm của Vương quốc Anh
Vương quốc Anh là một trong những quốc gia hàng đầu thế giới về ứng dụng công nghệ thông tin trong các hoạt động kinh tế – xã hội và trong QLNN. Anh cũng được xem là địa chỉ học hỏi kinh nghiệm hàng đầu về quản lý ATTTM internet của các quốc gia trên thế giới với nhiều sáng kiến và mô hình quản trị hiệu quả.
Nước này đã thành lập nhiều trung tâm hỗ trợ và bảo vệ ATTTM hoạt động có hiệu quả và có tính khả thi cao như: Trung tâm Bảo vệ hạ tầng quốc gia (CPNI); hay Sáng kiến Phần mềm đáng tin cậy (TSI)… Sáng kiến này có sứ mệnh giúp thúc đẩy những phần mềm đáng tin cậy trong các cộng đồng cung, cầu và giáo dục theo một quy trình vòng đời toàn diện dựa trên rủi ro.
Dưới sự bảo trợ của Văn phòng Nội các và Bộ Nội vụ của Anh, hệ thống trực tuyến SID4GOV (trước đây là một cơ sở dữ liệu thông tin chung về các nhà cung cấp của ngành y tế), đã được điều chỉnh để trở thành một nền tảng trực tuyến cho các nhà mua sắm thuộc khu vực công của Anh, cho phép họ tiếp cận với thông tin về nhà cung cấp thông qua một hệ thống trực tuyến duy nhất, nhằm giúp thúc đẩy sự bền vững và việc báo cáo ATTTM internet. Nền tảng này cho phép các nhà cung cấp đưa thông tin của mình vào và người mua được tiếp cận với tập hợp thông tin mới nhất của các nhà cung cấp quan trọng.
Bên cạnh đó, Chính phủ Anh cũng có chính sách để khuyến khích nhân tài tham gia vào hoạt động bảo đảm ATTTM. Chẳng hạn: ban hành một số miễn trừ đặc biệt để mở rộng cơ hội tuyển dụng cho các chuyên gia máy tính giỏi; Nữ hoàng Anh cho phép loại bỏ một số yêu cầu dành cho nam về đầu tóc gọn gàng; tân binh trong lực lượng dự bị không gian mạng được miễn kiểm tra thể lực…
Kinh nghiệm của Trung Quốc
Trung Quốc là quốc gia có tốc độ phát triển internet nhanh nhất thế giới với số lượng người sử dụng mạng internet mà không một quốc gia nào trên thế giới có thể so sánh được. Do vậy, để quản lý có hiệu quả về ATTTM internet, Trung Quốc quy định: “Nhà nước thiết lập hệ thống bảo vệ an ninh thông tin và mạng quốc gia, nâng cao năng lực bảo vệ an ninh thông tin và mạng; tăng cường nghiên cứu, phát triển và sử dụng các công nghệ thông tin và mạng, sử dụng các kỹ thuật bảo mật lõi và hạ tầng quan trọng cho hệ thống mạng và thông tin tại các lĩnh vực, dữ liệu quan trọng; tăng cường quản lý mạng, phòng ngừa, ngăn chặn, xử lý các hoạt động tội phạm trên mạng, chẳng hạn như: tấn công, xâm nhập mạng, đạo tặc mạng và tuyên truyền, phát tán thông tin độc hại, trái pháp luật, giữ gìn an ninh, chủ quyền và các lợi ích phát triển trên không gian mạng”3.
Trung Quốc đặt vấn đề an ninh mạng dưới sự điều phối, chỉ đạo, điều hành trực tiếp, toàn diện của các cơ quan tối cao quốc gia. Đứng đầu các cơ quan này thường là những lãnh đạo cấp cao của đất nước, như: Thủ tướng, Chủ tịch nước… Để bảo đảm ATTTM, Trung Quốc ban hành nhiều văn bản về quản lý internet, trong đó có: Pháp lệnh Bảo vệ an ninh của các hệ thống thông tin (tháng 02/1994); Chỉ thị số 292 (tháng 9/2000) quy định về giới hạn đối với các nhà cung cấp nội dung trên internet; Chính sách quản lý mạng trực tuyến (tháng 12/2012)…
Đối với tổ chức, cá nhân, Luật An ninh mạng năm 2016 của Trung Quốc quy định bất kỳ tổ chức, cá nhân nào khi đăng tải các thông tin điện tử, cung cấp phần mềm ứng dụng cũng không được phép cài đặt chương trình độc hại hay có chứa các nội dung bị cấm đăng, phát tán theo quy định của pháp luật. Trung Quốc buộc các nhà cung cấp dịch vụ internet phải lưu trữ lịch sử duyệt web của người dùng và cho phép cơ quan điều tra truy cập, tấn công vào máy tính, thiết bị mạng của cá nhân để theo dõi nghi phạm, thu thập dữ liệu.
Kinh nghiệm của Nhật Bản
Nhật Bản công bố Chiến lược bảo vệ ATTTM internet mới nhất của nước này vào tháng 9/2015, nhấn mạnh việc tăng cường năng lực về ATTTM internet của các tổ chức thông qua một số biện pháp, bao gồm tăng cường nhận thức về tầm quan trọng của phương pháp “Bảo mật từ thiết kế” (Security by Design) và tăng cường an ninh mạng trong toàn bộ chuỗi cung ứng liên tổ chức.
Trong lĩnh vực quản lý rủi ro, Chính phủ Nhật Bản sẽ cung cấp sự hỗ trợ cho các tổ chức năng lực quản lý và các cơ chế liên quan đến an ninh mạng, đồng thời sẽ làm việc để phát triển một khuôn khổ nhằm đánh giá khách quan hoạt động của các doanh nghiệp bằng những phương pháp như chứng nhận của bên thứ ba.
Nhật Bản thành lập “Ban chiến lược ATTTM internet” trực thuộc Chính phủ, đứng đầu là Thủ tướng, chịu trách nhiệm xây dựng học thuyết an ninh mạng và ATTTM internet quốc gia, chỉ đạo, hướng dẫn các cơ quan, ban, ngành trong việc bảo đảm an ninh thông tin quốc gia.
Kể từ năm 2017, Nhật Bản cung cấp một khoản hỗ trợ ưu đãi cho các nhân viên, yêu cầu các cơ quan chính phủ đề ra kế hoạch bồi dưỡng, đề cử lãnh đạo “giám sát ATTTM internet và thông tin hóa” để quản lý công tác đào tạo. Các nhân viên ưu tú nhất sẽ được chuyển đến Trung tâm An ninh mạng Nội các (NISC) và các doanh nghiệp tư nhân, chịu trách nhiệm giám sát các hoạt động tấn công mạng nhằm vào Chính phủ.
Những kinh nghiệm trong quản lý nhà nước về an toàn thông tin mạng internet của các nước đối với Việt Nam
Thứ nhất, cần tăng cường xây dựng thể chế QLNN về ATTTM internet. Trong đó, quy định cụ thể về chia sẻ thông tin mạng, quản lý và bảo đảm ATTTM, như: ban hành kế hoạch hướng dẫn thực hiện quy tắc an ninh mạng cho toàn khu vực quân sự; xây dựng, hoàn thiện các tiêu chuẩn/quy chuẩn về ATTTM internet, bảo đảm hoạt động thiết lập, vận hành, kinh doanh mạng internet hoặc thông qua mạng internet cung cấp các dịch vụ phải tuân theo pháp luật, luật hành chính và các yêu cầu bắt buộc của tiêu chuẩn quốc gia; xây dựng các tiêu chuẩn chung về các biện pháp ATTTM internet cho các cơ quan hành chính quốc gia và các tổ chức liên quan…
Thứ hai, cần có các cơ quan tối cao quốc gia để quản lý và chịu trách nhiệm về ATTTM và đứng đầu các cơ quan này là những lãnh đạo cấp cao của đất nước. Chẳng hạn như: có thể thành lập Tổ giám sát internet và công nghệ thông tin; Ban chiến lược an ninh mạng trực thuộc Chính phủ; hoặc Hội đồng an ninh… nhằm giúp Chính phủ xây dựng học thuyết an ninh mạng quốc gia và chỉ đạo, hướng dẫn các cơ quan, ban, ngành trong việc bảo đảm an ninh thông tin quốc gia.
Đồng thời, Chính phủ quy định cơ quan phụ trách bảo đảm ATTTM internet đối với hệ thống thông tin quan trọng về an ninh quốc gia và tổ chức thực hiện bảo đảm ATTTM internet đối với từng ngành, từng lĩnh vực. Cần quy định trách nhiệm của cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia.
Thứ ba, hỗ trợ, gia tăng quyền hạn cho các cơ quan chuyên trách bảo đảm ATTTM internet và bắt buộc sử dụng thông tin thật khi sử dụng dịch vụ trên không gian mạng, nghiêm cấm lan truyền tin tức giả trên mạng xã hội. Hiện nay, hầu hết các quốc gia quy định buộc các nhà cung cấp dịch vụ internet phải lưu trữ lịch sử duyệt web của người dùng trong một khoảng thời gian nhất định và cho phép cơ quan điều tra truy cập, tấn công vào máy tính, thiết bị mạng của cá nhân để theo dõi nghi phạm, thu thập dữ liệu. Các sản phẩm, dịch vụ mạng có chức năng thu thập thông tin người dùng phải thể hiện, thông báo rõ để người dùng biết và phải được sự đồng ý của người dùng.
Thứ tư, rà soát và tiến hành thẩm tra lý lịch đối với người phụ trách và các cá nhân chủ chốt trong lĩnh vực ATTTM; định kỳ tổ chức các lớp tập huấn, bồi dưỡng về kiến thức, kỹ thuật và đánh giá kỹ năng ATTTM internet cho các nhân viên trong ngành an ninh mạng; lập phương án khôi phục kho dữ liệu và hệ thống quan trọng phòng khi có sự cố hoặc thảm họa xảy ra; lập phương án, giải pháp phản ứng nhanh với sự cố ATTTM internet và định kỳ tiến hành diễn tập; ký các cam kết bảo mật an ninh với nhà cung cấp theo quy định.
Cấp quốc gia thiết lập cơ chế, biện pháp, chính sách đặc biệt để mở rộng cơ hội tuyển dụng chuyên gia máy tính giỏi, Chính phủ cung cấp một khoản hỗ trợ ưu đãi cho các nhân viên, yêu cầu các cơ quan chính phủ đề ra kế hoạch bồi dưỡng, đề cử lãnh đạo “giám sát ATTTM internet và thông tin hóa” để quản lý công tác đào tạo. Các nhân viên ưu tú nhất sẽ được chuyển đến các trung tâm An ninh mạng và các doanh nghiệp tư nhân, chịu trách nhiệm giám sát các hoạt động tấn công mạng nhằm vào Chính phủ (kinh nghiệm của Anh, Nhật Bản).
Thứ năm, cần nâng cao tiềm lực bảo đảm ATTTM internet quốc gia, bảo đảm khả năng giải quyết, xử lý những vấn đề mang tính chiến lược, đột phá. Hầu hết các quốc gia đều phân công lực lượng an ninh chịu trách nhiệm bảo đảm an ninh hệ thống mạng thông tin trọng yếu quốc gia, trực tiếp tiến hành công tác QLNN, điều tra, xử lý các vụ tấn công mạng vào hệ thống này; lực lượng quân đội chịu trách nhiệm xử lý sự cố mạng và bảo vệ an toàn hệ thống thông tin quân sự (như kinh nghiệm của Mỹ, Anh, Nhật Bản…).
Luật An ninh mạng của Việt Nam được Quốc hội thông qua ngày 12/6/2018 và chính thức có hiệu lực từ ngày 01/01/2019. Để đưa một Luật mới ban hành, áp dụng hiệu quả vào thực tế thì các nhà quản lý cần tiến hành công tác nghiên cứu, tham khảo, học tập, rút ra bài học kinh nghiệm của các nước tiên tiến trên thế giới. Từ đó, vận dụng linh hoạt cho thực tiễn đất nước mình. Có như vậy, Luật mới thực sự đi vào cuộc sống./.