16-6-2018
QH Việt Nam vừa thông qua dự luật An Ninh Mạng (ANM) và sẽ có hiệu lực 6 tháng nữa vào ngày 1-1-2019.
Một số tổ chức quốc tế và đại diện ngoại giao đã lên tiếng bày tỏ sự quan ngại cũng như thất vọng về bước đi thụt lùi này.
Văn phòng Nhân quyền Liên Hiệp Quốc chuyên trách Đông Nam Á mới đây tuyên bố họ “quan ngại” về việc quốc hội Việt Nam hôm 12/6 thông qua Luật ANM gây tranh cãi.
Tuyên bố của Bộ Ngoại giao Hoa Kỳ nói: “Chúng tôi thất vọng về việc thông qua Luật ANM mới của Việt Nam, trong đó càng thu hẹp tự do biểu đạt trên không gian mạng và áp đặt những hạn chế gây phiền toái đối với các doanh nghiệp Hoa Kỳ và các doanh nghiệp nước ngoài khác.
Tuyên bố viết tiếp: “Chúng tôi thúc giục Việt Nam đảm bảo rằng luật pháp của Việt Nam tạo ra một môi trường kỹ thuật số cởi mở và mang tính cạnh tranh, nhất quán với các nghĩa vụ thương mại quốc tế của Việt Nam.”
Trước ngày bỏ phiếu thông qua Dự luật ANM, tòa Đại sứ Hoa Kỳ tại Hà Nội cảnh bảo, Dự thảo luật ANM của Việt Nam có thể dẫn đến những trở ngại nghiêm trọng đối với tương lai của ANM và đổi mới sáng tạo kỹ thuật số của Việt Nam, và có thể không nhất quán với các cam kết thương mại quốc tế của Việt Nam.
Báo chí phương Tây đưa tin kha khá và còn so sánh với Luật ANM của Trung Quốc có nhiều điểm giống nhau.
Dịch ra tiếng Anh là Cybersecurity Law có vẻ không sát với Cybersecurity hiểu theo nghĩa phổ quát vì ANM VN tập trung nhiều hơn vào đạo đức người dùng mạng XH hơn là xử lý khủng hoảng chiến tranh mạng nếu xảy ra.
Cybersecurity – ANM được thế giới hiểu như thế nào?
Cybersecurity – ANM là cách thức (thực hành) bảo vệ hệ thống, mạng, chương trình ứng dụng IT khỏi bị tấn công số. Các cuộc tấn công này nhằm chiếm đoạt, thay đổi hay phá hoại các thông tin nhạy cảm, ăn cắp hay lừa đảo tiền, hoặc phá hoại công việc làm ăn bình thường.
Ngày nay ANM có nhiều thách thức do thiết bị IT nhiều hơn nguồn nhân lực, hacker “thông minh” hơn trong phá hoại, toàn cầu hóa, số hóa cũng có nhiều lỗ hổng.
Một chiến lược ANM hoàn hảo phải có nhiều tầng lớp bảo vệ máy tính, mạng, chương trình, dữ liệu khỏi bị xâm nhập hay phá hoại trái phép.
Ví dụ, kho dữ liệu thông tin về khách hàng của Mobile Phone bao gồm tên tuổi, ngày và nơi sinh, địa chỉ, tài khoản ngân hàng, số CMT/hộ chiếu, ảnh… phải được bảo vệ tối mật. Nếu kẻ gian truy cập vào và thay đổi thông tin (phá hoại) hay lấy số TK ngân hàng và tìm cách tiếp cận người chủ qua phone, chat box, thậm chí biết được máy tính hay thiết bị cầm tay của người đó, thì tai họa sẽ đến một ngày nào đó.
Nếu là cơ sở dữ liệu quốc gia, danh sách kho tàng vũ khí, hệ thống tin tức quân sự tối mật… thì tầm phá hoại nghiêm trọng hơn nhiều.
Bất kỳ tổ chức, cá nhân nào cũng phải lưu ý đến ANM, công nghệ và tiến trình xử lý phải chặt chẽ để không bị tấn công. Phải hiểu rõ nguy cơ tấn công không chỉ có tên lửa, máy bay hay xe tăng mà phần mềm vài nghìn lệnh có thể làm một quốc gia không thể hoạt động. Yếu tố con người, qui trình xử lý, công nghệ và hiểu rõ sự đe dọa là chìa khóa cũng như vũ khí chống lại chiến tranh mạng.
Con người – People
Người dùng phải hiểu và tuân thủ những qui tắc cơ bản nhất về ANM như mật khẩu mạnh, cẩn thận khi mở file đính kèm, sao lưu dữ liệu.
Qui trình xử lý – Process
Mọi tổ chức cần có kế hoạch xử lý các cuộc tấn công mạng, hướng dẫn cụ thể thế nào là cuộc tấn công ảo, phát hiện và tự bảo vệ, kể cả các bước phải làm gì khi bị tấn công. Chiến tranh xảy ra thường chỉ có quân đội sẵn sàng nhiều hơn nhưng thời đại số thì cuộc tấn công là tổng lực.
Công nghệ – Technology
Công nghệ là tối quan trọng để tránh các cuộc tấn công mạng, giống như trang bị vũ khí bảo vệ tổ quốc. Có 3 điểm yết hầu: (1) máy tính, thiết bị cầm tay, thiết bị modem, router; (2) mạng máy tính và; (3) hiện nay là đám mây. Thiết bị thường dùng là tưởng lửa, chống virus, giải pháp email an toàn.
Tại sao ANM lại quan trọng?
Hiện nay trong thế giới mạng kết nối khắp toàn cầu với công nghệ hiện đại chống chiến tranh trên mạng, mỗi tấn công từ nhỏ như ăn cắp mật khẩu đến ăn cắp kho dữ liệu đều nguy hại. Giữ cho môi trường mạng an toàn cũng quan trọng như giữ cho lãnh thổ quốc gia không bị tấn công hay chiếm đoạt.
Các kiểu đe dọa tấn công mạng thông dụng
- Phần mềm con tin – Ransomware: Đó là phần mềm ăn cắp nhằm chiếm đoạt tiền trên mạng. Kiểu này thường là chặn người dùng không cho vào hệ thống cho tới khi phải trả một khoản tiền lớn như kiểu chuộc con tin. Trả tiền xong rồi chưa chắc đã được an toàn mà dễ bị moi tiếp. Hệ thống ngân hàng BB với 10 triệu khách hàng với 10 tỷ đô bị chiếm đoạt quyền admin, bọn hacker đòi khoản tiền 10 triệu đô la chuyển vào TK bí mật, rồi mới mở trở lại.
- Phần mềm phá hoại – Malware: Đó là kiểu được viết gửi vào máy tính và xóa, thay đổi dữ liệu trên máy đó. Ảnh hưởng nhỏ là 1 máy nhưng nếu vào hệ thống dữ liệu với hàng trăm ngàn server nối với nhau thì sức phá hoạt có thể vượt tầm toàn cầu.
- Phần mềm dụ khị lừa dối – Social engineering: Đó là cách bọn xấu đóng vai an ninh, cảnh sát, nhân viên ngân hàng gửi email, gọi điện, tin nhắn đến nhằm lấy thông tin nhậy cảm. Thông thường là các đường link, phần mềm, hay các file đính kèm chứa mã độc. Người dùng nhấn vào đó sẽ bị mắc mưu. Chẳng hạn chúng gửi email, bạn vừa được trúng thưởng 50000USD, xin nhấn vào đường link để biết thêm thông tin. Hoặc đây là video CHHV vừa phát biểu với Trump về nhân quyền VN, ai tò mò sẽ dính vì phần mềm đó sẽ cài mã độc vào máy, theo dõi mọi động thái người dùng máy tính/thiết bị đó.
- Phần mềm ăn cắp – Phishing: Cũng giống như trên nhưng kiểu Phishing nhắm tới thông tin về thẻ tín dụng, cách login vào hệ thống.
- Và còn nhiều kiểu phần mềm độc khác
Ưu tiên quốc gia ở đâu?
Quốc gia tôn trọng nhân quyền, bảo vệ đời tư và thông tin cá nhân, thì luật ANM tập trung nguồn lực (nhân lực IT, thiết bị) để ngăn chặn các cuộc phá hoại nguy hiểm như làm tê liệt hệ thống ngân hàng, tài chính, quốc phòng, an ninh ở tầm quốc gia, tới ăn cắp mật khẩu, làm lộ danh tính ở tầm cá nhân.
Ví dụ, gửi email ăn cắp mật khẩu là phạm luật. Bắt người dùng cung cấp thông tin cá nhân mà không có lệnh của tòa án cũng là phạm luật.
Họ tập trung vào đào tạo hướng dẫn người dùng thông minh, hiểu để tránh, phát triển IT tinh nhuệ hơn là theo dõi dân kiểu Trung Quốc hay Nga chẳng mang lại sự sáng tạo nào cho đất nước.
Không hiểu rõ luật về ANM phổ quát mà tự ý đề ra các luật lệ riêng, dễ bị “khớp” khi bơi ra biển lớn. Ở VN không phạm luật nhưng sang EU hay Mỹ dễ bị đưa ra tòa và tốn kém hàng tỷ đô la như chơi.
Chuyện “kéo đám mây điện toán về VN” có thể bàn cho vui ở quán bia hơi vỉa hè hơn là được QH thông qua với tỷ số gần như áp đảo 86,86% tại nghị trường.