Trong năm 2020, Trung tâm Giám sát an toàn không gian mạng quốc gia đã ghi nhận tổng cộng 5.168 cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam, gây thiệt hại cho người dùng i
Trang 1NGHIÊN CỬU- TRAO ĐÓI
TẤN CÔNC MẠNG DƯỚI GÓC ĐỘ PHÁP LUẬT ọuôc TẾ VÀ PHÁP LUẬT VIỆT NAM
NGUYỄN VĂN CÔNG *
* Bộ Tư lệnh 86, Bộ Quốc phòng
E-mail: nguyencongpc86@gmail.com
Tóm tắt: Hiện nay, không gian mạng đã trở thành “không gian chiến lược mới ”, vùng “lãnh thô đặc biệt ”, gan kết chặt chẽ với các môi trường tự nhiên (đất liền, biến đảo, trên không, không gian vũ trụ) để các quốc gia khai thác, phát triển kinh tế-xã hội, xác lập, bảo vệ chủ quyền, lợi ích quốc gia, dân tộc Tuy nhiên, không gian mạng đã và đang đặt ra nhiều nguy cơ và thách thức mới đối với quốc phòng, an ninh của mỗi quốc gia trong việc phòng ngừa, ngăn chặn, ứng phó, khắc phục hậu quả của các cuộc tẩn công mạng nhằm vào hệ thong thông tin kinh tể, tài chính, quắc phòng, an ninh quốc gia Bài viết làm rõ bản chất của tẩn công mạng, thực trạng và hậu quả của tấn công mạng, thách thức đặt
ra đối với các quốc gia trên thể giới trong đó có Việt Nam trong việc kiểm soát tẩn công mạng bằng pháp luật, từ đó đưa ra giải pháp hoàn thiện pháp luật Việt Nam về kiếm soát tấn công mạng.
Từ khoá: Tấn công mạng; pháp luật quốc tế; pháp luật Việt Nam
Nhận bài: 27/9/2021 Hoàn thành biên tập: 30/6/2022 Duyệt đăng: 30/6/2022
CYBER ATTACK FROM THEPERSPECTIVES OF INTERNATIONAL AND VIETNAMESE LAW
Abstract: Currently, cyberspace has become a "new strategic environment", a "special domain", closely linked with the natural environment (land, sea, air, and space) for countries to exploit, develop their societies and economies, enhance and protect their national sovereignty and interests However, cyberspace has been posing many new risks and challenges to the national defense and security of any country which has to prevent and overcome the consequences of cyber attacks aiming at economic and financial information, national defense and security systems The article clarifies the nature of cyberattacks, the current situation and consequences of cyberattacks, and challenges posed to countries around the world, including Vietnam, in controlling cyber attacks by law, thereby providing solutions to improve Vietnam's regulations on controlling cyber attacks.
Keywords: Cyber attack; international law; Vietnamese law
Received: Sept 27th, 2021; Editing completed: June 3(fh, 2022; Acceptedfor publication: June 3(fh, 2022
ỉ Khái niệm tấn công mạng
Hơn một thập kỉ qua, các nhà khoa học đã
nghiên cứu về các hậu quả tiềm ẩn của các
cuộc tấn công mạng Kịch bản rất đa dạng, từ
một virus có thể thu thập được các thông tin
lưu trữ về tài chính hoặc làm tê liệt thị trường
chứng khoán, một mệnh lệnh giả khiến cho lò
phản ứng hạt nhân ngừng hoạt động hoặc làm
cho một con đập tự mở, đến sự cố mất tín
hiệu của hệ thống điều khiển không lưu dẫn đến rơi máy bay Những kịch bản này dự báo những thiệt hại nghiêm trọng và sâu rộng về kinh tế hoặc thương vong Mặc dù cho đến nay chưa có kịch bản nào xảy ra nhưng nhiều hành vi có liên quan đến tấn công mạng xảy
ra thường xuyên Tuy vậy, chưa có định nghĩa nào xác định rằng các hành vi này là tấn công mạng hoặc là chiến tranh mạng Việc thiếu một định nghĩa chung nhất đã gây khó khăn cho các nhà phân tích đến từ các nước khác nhau trong việc đưa ra các đề
Trang 2NGHIÊN cứu- TRAO ĐÓI
xuất chính xác về phối hợp và các chính phủ
cũng khó có thể tham gia các hoạt động phối
hợp Vì thế, việc đưa ra định nghĩa về tấn
công mạng là bước quan trọng đầu tiên nhằm
đối phó với những nguy cơ ngày càng gia
tăng từ các cuộc tấn công mạng
Vào tháng 5/2017, một cuộc tấn công
mạng quy mô lớn sừ dụng mã độc tống tiền
(WannaCry) đã lây nhiễm cho hơn 300.000
máy tính trên 150 quốc gia Sức công phá của
WannaCry được đánh giá là “chưa từng có
tiền lệ”, đã “đánh gục” toàn bộ hệ thống y tế
của Anh, khiến hàng nghìn bệnh nhân phải đặt
lại lịch khám Trên bình diện quốc tế, WannaCiy
khiến nhiều doanh nghiệp toàn cầu điêu đứng
vi mạng Internet của họ bị gián đoạn1
1 Trần Khánh, Mã độc WannaCry mà Mỹ tố Triều
Tiên gieo rắc đảng sợ đến đâu? https://vov.vn/the-
gioi/quan-sat/ma-doc-wannacry-ma-my-to-trieu-
tien-reo-rac-dang-so-den-dau-709304.vov; truy cập
10/8/2021.
2 Thiện Nhân, Mỹ lên lịch tấn công mạng, trừng phạt
bổ sung Nga', https://cand.com.vn/The-gioi-24h/My-
len-lich- tan-cong-mang-trung-phat-bo-sung-Nga-
i599050/s://cand com.vn/The-gioi-24h/My, truy cập
13/8/2021.
3 Nguyễn Như Tuấn, Ban Cơ yếu Chính phủ, Nguy
cơ leo thang chiến tranh mạng từ vụ tấn công vào
công ti an ninh mạng Solarwinds; http://m.antoan
thongtin.vn/ hacker- malware/nguy-co-leo-thang-
chien-tranh-mang-tu-vu-tan-cong-vao-cong-ty-an-
ninh-mang-solarwinds-106895, truy cập 12/8/2021.
4 Anh Vũ, Tin tặc ồ ạt tẩn công hàng loạt các quốc gia, https://www.qdnd.vn/quoc-te/doi-song/tin-tac- o-at-tan-cong-hang-loat-quoc-gia-665108, truy cập 10/8/2021.
5 Tin tặc đã tấn công, chiếm quyền điều khiển, hiển thị hình ảnh biểu tượng của nhóm tin tặc 1937CN, phá huỷ nhiều hệ thống máy chủ và máy chủ ảo của Vietnam Airlines, thông tin của hơn 410.000 khách hàng thường xuyên của Tổng công ti Hàng không Việt Nam bị đăng tải lên mạng Internet; các hãng hàng không phải làm thủ tục thủ công, thậm chí dùng loa cầm tay, bảng trắng để phục vụ hành khách; làm trễ gần 100 chuyến bay, gây thiệt hại về
uy tín của Tổng công ti Hàng không Việt Nam, website của hãng hàng không Việt Nam, http://antoan thongtin.gov vn/hacker-malware/nhin-lai-vu-tan- cong-vao-tong-cong-ty-hang-khong-viet-nam-va- nhung-bai-hoc-de-lai-106846, truy cập 10/8/2021.
6 Thủy Diệu, Thiệt hại virus gây cho người dùng Việt
Năm 2020, chiến dịch tấn công mạng quy
mô lớn của hơn 1.000 hacker chuyên nghiệp1 2)
nhằm vào chuồi cung ứng của công ti an
ninh mạng SolarWinds trong lãnh thổ Mỹ
khiến ít nhất 9 cơ quan liên bang và hơn 100
công ti tư nhân bị thiệt hại, trong số đó có Bộ
Ngoại giao, Kho bạc, Bộ Nội vụ - Thương mại
và Năng lượng, NASA và Cục Hàng không
Liên bang và cả cơ quan vũ khí hạt nhân của
Mỹ bị thiệt hại3
Tại Đức, theo tờ DW, huyện Anhalt- Bitterfeld thuộc bang Sachsen-Anhalt ngày 10/7/2021 đã trở thành khu vực đầu tiên ở nước này ban bố tình trạng thảm hoạ về không gian mạng và tìm cách xây dựng lại hệ thống cơ sở hạ tầng công nghệ thông tin để khôi phục các hoạt động phục vụ nhân dân Lí
do là cách đó vài ngày, các máy chủ của huyện Anhalt-Bitterfeld bị tin tặc tấn công, khiến toàn bộ hệ thống quản lí hành chính ở huyện này bị phong toả, mọi dịch vụ xã hội cho cư dân địa phương bị đình trệ trong vòng hai tuần4 Còn tại Việt Nam, ngày 29/7/2016, tin tặc
có nguồn gốc từ nước ngoài đã thực hiện cuộc tấn công mạng vào hệ thống thông tin của Tổng Công ti Hàng không Việt Nam, gây ảnh hưởng xấu về mặt chính trị cũng như thiệt hại nhất cho ngành hàng không từ trước đến nay5 Trong năm 2020, Trung tâm Giám sát an toàn không gian mạng quốc gia đã ghi nhận tổng cộng 5.168 cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam, gây thiệt hại cho người dùng internet tại Việt Nam trên một tỉ USD (ước tính 23,9 nghìn tỉ đồng)6
Trang 3NGHIÊN cửư - TRA o ĐÓI
Tất cả các ví dụ trên đều minh chứng cho
việc ngày càng có nhiều cuộc tấn công mạng và
sự đa dạng của chúng về cả hình thức lẫn quy
mô, khiến cho quá trình tìm ra phương pháp
tiếp cận pháp lí, đi đến một định nghĩa thống
nhất để giải quyết chúng càng khó khăn hơn
Từ điển Oxford đưa ra khái niệm: “Tấn
công mạng là nỗ lực của tin tặc nhằm gây
thiệt hại hoặc huỷ diệt mạng máy tính ”7.
năm 2020 vượt mốc 1 ti USD, https ://vneconomy
vn/thiet-hai-virus-gay-cho-nguoi-dung-viet-nam-
2020-vuot-moc-l-ty-usd.htm, truy cập 12/8/2021.
7 https://www.oxfordleamersdictionaries.com/defini
tion/english/cyberattack?q=Cyberattack, truy cập
12/8/2021.
8 Tài liệu Hướng dẫn Tallinn về Luật quốc tế áp dụng
đối với chiến tranh mạng năm 2013, Quy tắc 30
(Tallinn Manual on the International Law Applicable
to Cyber Warfare - 2013, Rule 30), http://csef.ru/
media/articles/3990/3990.pdf, truy cập 12/8/2021.
9 NATO AAP-06 Edition 2014.
10 Robot mạng là các ứng dụng phần mềm chạy các tác vụ tự động hoá trên mạng.
Tài liệu Hướng dẫn Tallinn về Luật quốc
tế áp dụng đối với chiến ưanh mạng năm 2013,
Quy tắc 30 xác định: “Một cuộc tấn công
mạng là một chiến dịch mạng, dù là tấn công
hay phòng thủ, đều có lí do cho rằng sẽ gây
thương vong hoặc chết người hoặc gây thiệt
hại hoặc phả huỷ các mục tiêu ”8.
NATO cho rằng: “Tẩn công mạng là
hành động nhằm gây gián đoạn, từ chối
hoặc huỷ diệt máy tính và/hoặc mạng máy
tính, thông tin lưu trữ trên máy tính và/hoặc
mạng máy tính ”9.
Ở Việt Nam, lần đầu tiên tấn công mạng
được tiếp cận dưới góc độ khoa học pháp lí,
Luật An ninh mạng Việt Nam năm 2018
(khoản 8 Điều 2) xác định: “Tấn công mạng
là hành vi sử dụng không gian mạng, công
nghệ thông tin hoặc phương tiện điện tử để
phả hoại, gãy gián đoạn hoạt động của mạng
viễn thông, mạng Internet, mạng máy tính, hệ
thống thông tin, hệ thống xử lí và điều khiển
thông tin, cơ sở dừ liệu, phương tiện điện tử”.
Từ những quan điểm trên thấy rằng, để đưa ra khái niệm hoàn chỉnh, thống nhất về tấn công mạng là rất khó Dù vậy, dưới khí a cạnh xem xét tấn công mạng là một trong những mỗi đe doạ đến chủ quyền quốc gia, dân tộc, đặt trong tổng thể mối đe doạ an ninh toàn cầu, cần xem xét hành vi tấn công mạng gắn với chủ thể thực hiện hành vi diễn ra trên không gian mạng nhưng vẫn có thể đạt được mục đích như ở ngoài đời thực Hành vi đó phải xâm phạm đến quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân Với cách đặt vấn đề và tiếp cận trên, có thể hiểu: “Tấn công mạng là hành vi của tổ chức, cá nhân sử dụng không gian mạng, công nghệ thông tin hoặc phương tiện điện tử, phá hoại, gây gián đoạn hoạt động của mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lí và điều khiển thông tin, cơ sở dữ liệu, phương tiện điện tử nhằm xâm phạm đến quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân”
Từ khái niệm trên cho thấy:
Thứ nhất, chủ thể tấn công mạng là tổ chức hoặc cá nhân, tức phải là những con người cụ thể, giỏi và am hiểu sâu sắc về công nghệ thông tin Chủ thể của tấn công mạng không thể là người máy hoặc các robot mạng10, bởi suy cho cùng, việc tạo ra các robot mạng hoặc người máy nhằm phát động một cuộc tấn công mạng đều xuất phát từ ý chí của con người Chủ thể của tấn công mạng có thể là tổ chức, cá nhân trong nước hoặc nước ngoài, có thể là tổ chức thuộc
Trang 4NGHIÊN cửư - TRAO ĐÓI
chính phủ hoặc có sự hậu thuẫn của chính
phủ nước ngoài Trên thực tế, các quốc gia
có thể công khai hoặc không công khai
nhưng đều thành lập các cơ quan tình báo,
tác chiến về không gian mạng Các nguồn
thông tin công khai cho thấy: Mỹ có Cơ
quan An ninh quốc gia (NSA) với hàng loạt
chương trình do thám quy mô toàn cầu như:
PRISM, XKEYSCORE, QUANTUM và
Bộ Tư lệnh đặc trách An ninh mạng thuộc
Bộ Quốc phòng Mỹ với nhiệm vụ bảo vệ các
cơ sở thông tin của Bộ Quốc phòng và tiến
hành các chiến dịch tấn công không gian mạng
với mục đích quân sự; còn tại Trung Quốc,theo
hãng bảo mật Crowdstrike các tổ chức, cơ
quan tinh báo mạng (như 61389, 61486 thuộc
Tổng cục 3) hay Trung tâm Nghiên cứu tình
báo chiến lược không gian mạng thuộc PLA
Nhiều công cụ gián điệp mạng, tấn công
mạng phát hiện gần đây được xây dựng rất
phức tạp, tinh vi, cho thấy nó có thể là sản
phẩm của một quốc gia với mức chi phí rất
lớn, điển hình trong số này là hệ thống vũ khí
mạng Stuxnet, Flame11 Ngoài ra, các tổ chức,
cá nhân hoạt động ngầm (các nhóm tin tặc) có
thể được hậu thuẫn, kiểm soát bởi nhà nước
Việc phân loại và xác định rõ chủ thể tấn
công mạng có ý nghĩa quan trọng trong việc
xác định cơ quan chủ trì và cơ quan phối hợp
trong phòng, chống tấn công mạng
11 Trần Đại Quang, Không gian mạng - Tương lai và
hành động, Sách chuyên khảo, Nxb Công an nhân
dân, Ha Nội, 2017, tr 91 - 92.
Thứ hai, đối tượng tác động của tấn công
mạng là mạng viền thông, mạng Internet,
mạng máy tính, hệ thống thông tin, hệ thống
xử lí và điều khiển thông tin, cơ sở dữ liệu,
phương tiện điện tử của cơ quan, tổ chức, cá
nhân Tấn công mạng phá hoại, gây gián
đoạn hoạt động của các hệ thống nói trên, đây là đặc điểm quan trọng để phân biệt giữa tấn công mạng và gián điệp mạng Bởi gián điệp mạng cũng sử dụng phương pháp tấn công vào mạng máy tính của đối phương nhưng tấn công một cách bí mật (không làm gián đoạn hoặc phá huỷ hệ thống thông tin
để không bị phát hiện) nhằm lấy cắp hoặc làm sai lệch thông tin số
Thứ ba, hành vi tấn công mạng là hành vi
sử dụng không gian mạng một cách cố ý, có tính chủ đích để xâm phạm quốc phòng, an ninh quốc gia, quyền và lợi ích của cơ quan,
tổ chức, cá nhân được quy định tại Điều 19 Luật An ninh mạng năm 2018'2 Dựa theo tính chất, đặc điểm của đối tượng bị tấn công, hành vi tấn công mạng có thể phân thành 03 nhóm chính: Một là, nhóm đối tượng bị tấn
công là các hệ thống thông tin mang tính dân
sự; hai là, nhóm đối tượng bị tấn công là các
hệ thống thông tin quân sự; ba là, nhóm đối
tượng bị tấn công là các hệ thống thông tin cơ yếu Dựa trên chủ thể tấn công và mục đích cuộc tấn công, hành vi tấn công mạng có thể phân thành 02 nhóm chính: Một là, nhóm hành vi do tổ chức, cá nhân trong nước hoặc
cá nhân nước ngoài thực hiện với mục đích xâm phạm an ninh quốc gia, trật tự, an toàn
xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức cá nhân; hai là, nhóm hành vi
do tổ chức nước ngoài hoặc được nước ngoài hậu thuẫn thực hiện với mục đích xâm phạm quốc phòng, chủ quyền quốc gia trên không gian mạng Việc phân loại nhóm hành vi tấn công mạng có ý nghĩa quan trọng trong việc xác định cơ quan chủ trì, cơ quan phối hợp trong đấu tranh, ngăn chặn tấn công mạng
12 Xem thêm các hành vi cụ thể được quy định tại Điều 19 Luật An ninh mạng năm 2018.
Trang 5NGHIÊN CỨU- TRAO ĐÓI
hiện tấn công mạng là không gian mạng13,
công nghệ thông tin14 hoặc phương tiện điện
tử15 Chủ thể tấn công mạng sử dụng không
gian mạng và các công cụ mạng (máy tính,
USB, các ứng dụng công nghệ và hệ thống
thông tin, xử lí thông tin trên mạng internet,
mạng viễn thông, sóng điện từ ) vừa là môi
trường hoạt động, vừa làm mục tiêu tấn công
đối phương Điều này cho thấy nếu không có
môi trường mạng, môi trường kết nối, không
có các công cụ là máy tính, mã độc, phần
mềm công nghệ (đặc biệt là phần mềm gián
điệp) thì chủ thể sẽ không thể thực hiện được
hành vi tấn công mạng Các công cụ như
máy tính và các ứng dụng, phần mềm công
nghệ là phương tiện đặc trưng để thực hiện
hành vi tấn công xâm nhập, gây gián đoạn,
chiếm quyền điều khiển, phá hoại hoạt động
của hệ thống mạng và các hệ thống thông tin
của các cơ quan nhà nước, chính phủ, doanh
nghiệp Đây là đặc điểm quan trọng để
phân biệt giữa tấn công mạng và các hình
thức tấn công khác cũng nhằm phá huỷ cơ sở
hạ tầng không gian mạng của đối phương,
như tấn công vũ trang, tấn công cơ học phá
huỷ hệ thống máy tính, trung tâm dữ liệu hay
cắt đứt đường truyền dừ liệu mạng máy tính,
mạng viễn thông Hầu hết các máy tính
được sử dụng để tấn công mạng đều không
rõ nguồn gốc, có tên miền ẩn danh khó truy
xuất, máy chủ được ẩn danh và đặt ở nước
thứ ba; mọi liên lạc của chúng đều được mã
hoá, ẩn danh và sau khi thực hiện hành vi
13 Xem thêm giải thích từ ngữ về không gian mạng tại
khoản 3 Điều 2 Luật An ninh mạng năm 2018.
14 Xem thêm giải thích từ ngữ về công nghệ thông tin tại
khoản 1 Điều 4 Luật Công nghệ thông tin năm 2006.
15 Xem thêm giải thích từ ngừ về phưong tiện điện tử tại
khoản 10 Điều 4 Luật Giao dịch điện tử năm 2005.
thường tìm cách xoá dấu vết hoặc cố ý tạo ra các dấu vết để đổ lỗi cho các đối tượng khác
mà xa hơn là đổ lồi cho quốc gia khác nếu trong trường hợp cuộc tấn công bị phát hiện và truy vấn Vì vậy, để phòng, chống tấn công mạng, các nước cần giải mã được vấn đề này
2 Quy định của pháp luật quốc tế về kiểm soát tấn công mạng
Hiện nay, thế giới chưa có quy định chung để kiểm soát trực tiếp một cuộc tấn công mạng mà mới đưa ra khung pháp lí cơ bản để kiểm soát các phương tiện có thể được sử dụng trong tấn công mạng hoặc là tâm điểm của tấn công mạng Đáng chú ý nhất là những quy định của luật quốc tế về kiêm soát liên lạc viễn thông, hàng không và luật biển Các khung pháp lí này hầu như đều được hình thành trước khi các cuộc tấn công mạng nổi lên, vì thế không kiểm soát hay ngăn cấm được nhanh chóng các cuộc tấn công mạng Thay vào đó, các khung pháp
lí “dựa trên phương tiện này” có thê được sử dụng để giải quyết một cuộc tấn công mạng chỉ khi cuộc tấn công sử dụng các phương tiện mà các quy phạm pháp luật quốc tế này điều chỉnh Vì vậy, các cơ chế pháp lí quốc
tế gián tiếp kiếm soát tấn công mạng sẽ cung cấp một số đạo luật có thể áp dụng cho một lượng nhỏ các cuộc tấn công mạng gây hại Trường hợp quốc gia này tấn công mạng gây thiệt hại nghiêm trọng cho một quốc gia khác tới mức tương đương với một cuộc tấn công vũ trang thì có thể vận dụng quy định tại khoản 4 Điều 2 Hiến chương Liên hợp quốc về cấm sử dụng vũ lực và đe doạ sử dụng vũ lực trong quan hệ quốc tế
2.1 Pháp luật thông tin liên lạc viền thông quốc tế
Các cuộc tấn công mạng có liên quan
Trang 6NGHIÊN cứu- TRAO ĐÓI
đến thông tin liên lạc viễn thông phải chịu sự
kiểm soát của luật viễn thông Pháp luật
thông tin liên lạc viễn thông hiện đại được
giám sát bởi Liên hiệp Viễn thông quốc tế,
cơ quan hàng đầu của Liên hợp quốc về thiết
lập các tiêu chuẩn công nghệ thông tin và
liên lạc viễn thông Liên hiệp Viễn thông
quốc tế tuyên bố mục tiêu là “giữ vừng hoà
bình và sự phát triển kinh tế, xã hội của tẩt
cả các quốc gia bằng các phương tiện
dịch vụ viễn thông hiệu quả ” Liên hiệp
kiểm soát việc sử dụng công nghệ vô tuyến
và viễn thông để phân phối cho các nước
thành viên một cách phù hợp và công bằng,
ví dụ như thông qua phát triển các phương
pháp giao quyền sử dụng các phổ vô tuyến
Các quy định viễn thông có thể được sử
dụng để giải quyết các cuộc tấn công có sừ
dụng phổ điện từ hoặc mạng viễn thông quốc
tế Chẳng hạn như các trạm phát sóng từ một
quốc gia có thể không can thiệp vào việc
phát sóng của các quốc gia khác trên tần số
được cấp phép của họ Các nước thành viên
có thể cắt mạng viễn thông tư nhân khi có
dấu hiệu nguy hiểm cho an ninh quốc gia
hoặc trái luật, nguy hiểm đến trật tự xã hội
hoặc khuôn phép xã hội, hoặc tạm ngừng
dịch vụ viễn thông quốc tế nói chung hoặc
chỉ riêng các mối quan hệ nhất định và/hoặc
một số loại hình thư tín, thông tin đi, thông
tin đến hoặc thông tin quá cảnh, miễn là họ
phải thông báo ngay cho mồi nước thành
viên thông qua Tổng thư kí16 Các nước
thành viên cũng phải kiểm soát “sự can thiệp
gây hại” gây nguy hiểm cho chức năng hoạt
động của hàng hải vô tuyến hoặc của các
dịch vụ an toàn khác hoặc làm xuống cấp,
16 Charles H Kennedy & M.Veronica Pastor, Giới
thiệu Luật Viễn thông quốc tế, 1996, tr 35.
17 https://thuvienphapluat.vn/van-ban/Giao-thong- Van-tai/Cong-uoc-hang-khong-dan-dung-quoc-te-
68715 aspx, truy cập 12/8/2021.
18 https://thuvienphapluat.vn/van-ban/Giao-thong- Van-tai/Cong-uoc-ngan-chan-cac-hanh-vi-bat-hop- phap-chong-lai-an-toan-hang-khong-dan-dung-19 71-49923.aspx, truy cập 12/8/2021.
cản trở hoặc liên tục làm gián đoạn dịch vụ liên lạc vô tuyến Các nước thành viên cũng theo đuổi các biện pháp nhằm giữ bí mật thư tín quốc tế, trừ khi việc giữ bí mật sẽ đi ngược với luật trong nước hoặc các công ước quốc tế
Các chiến dịch tấn công mạng nhằm vào hoặc can thiệp vào hoạt động hàng không phi quân sự có thể bị kiểm soát bởi 3 quy định hàng không chính: Công ước Chicago năm 1944 về hàng không dân dụng quốc tế17, Công ước Montreal năm 1971 về ngăn chặn các hành vi bất họp pháp chống lại sự
an toàn của hàng không dân dụng18 và Nghị định thư năm 1988 bổ sung cho Công ước Chẳng hạn, việc xâm nhập vào hệ thống thông tin làm gián đoạn điều khiển không lưu, thay đổi danh sách hành khách hoặc đưa thêm tên vào danh sách cấm bay của một nước đều là những dẫn chứng cho việc tấn công mạng vi phạm luật hàng không
Công ước Chicago năm 1944 thành lập
ra một cơ quan chuyên trách của Liên hợp quốc, có nhiệm vụ điều phối và kiểm soát hoạt động không lưu quốc tế Công ước này cũng ban hành một bộ quy tắc về không gian bay, máy bay, không lưu, việc đăng kí và an toàn bay Điều 12 Công ước quy định tất cả các quốc gia phải thể hiện “sự quan tâm đủng mức đến an toàn không lưu của các máy bay dân sự.” Các chiến dịch tấn công
mạng nhằm vào các chuyến bay dân sự nếu xuất phát từ một chính phủ nhằm chống lại
Trang 7NGHIÊN cứư- TRAO DOI
một quốc gia khác có thể vấp phải sự bảo vệ
của Công ước này đối với các chuyến bay
dân sự trước sự can thiệp của quốc gia tấn
công Tuy nhiên, Công ước lại cho phép
quốc gia thành viên bỏ qua nghĩa vụ trong
chiến tranh hoặc trong tình trạng khẩn cấp,
với điều kiện quốc gia đó phải thông báo sự
việc cho Đại hội đồng của Tổ chức Hàng
không dân dụng quốc tế
Công ước Montreal chỉ ra hành động vi
phạm pháp luật có thể đe doạ đến an toàn
hàng không dân sự Theo đó, Điều 1 quy
định một cá nhân bị coi là phạm tội nếu
người đó cố ý hoặc cố gắng thực hiện hàng
loạt hành động bất hợp pháp làm cho máy
bay không thể bay được, hoặc có thể đe doạ
nghiêm trọng tới an toàn của máy bay khi
đang bay, bao gồm "phá huỷ hoặc gây hư
hỏng các thiết bị không lưu, hoặc can thiệp
vào hoạt động của máy bay hoặc cung cấp
những thông tin giả, đe doạ đến an toàn của
dường như không hạn chế chiến dịch tấn
công mạng nào, trừ khi nó làm cho máy bay
không bay được (bằng cách can thiệp vào hệ
điều hành của máy bay) hoặc đe doạ đến an
toàn của máy bay khi đang bay (can thiệp
vào thông tin liên lạc điều khiển không lưu
hoặc các yếu tố khác của không lưu)
Nghị định thư năm 1988 mở rộng khung
pháp lí từ máy bay dân sự đang bay sang "các
hành động bạo lực gây nguy hiểm hoặc có
thể gây nguy hiểm cho người ở sân bay hoặc
đe doạ đến hoạt động an toàn của sân bay ”.
Nghị định thư này cấm bất cứ cuộc tấn
công nào đe doạ hoặc có thể đe doạ đến an
toàn ở sân bay, như can thiệp vào danh sách
cấm bay, bản kê khai hàng hoá của hành
khách, hoặc hệ thống máy tính ở sân bay
Công ước quốc tế về Luật Biển năm
1982, tại các điều 19, 109 và 113 mới chỉ tiếp cận các chiến dịch tấn công mạng trên biển Điều 19 cho phép tàu thuyền có quyền
đi qua không gây hại trong vùng lãnh hải của quốc gia khác với điều kiện không "gây tổn hại đến hoà bình, trật tự hoặc an ninh của quốc gia ven biển ” và được công nhận rộng
rãi như là một luật quốc tế
Tương tự, Điều 109 quy định tất cả các quốc gia cần hợp tác với nhau để ngăn cản việc phát sóng trái phép từ ngoài khơi Luật Biên định nghĩa “phát sóng trái phép” là việc
"phát tín hiệu âm thanh vô tuyến hoặc truyền hình từ tàu hoặc một cơ sở trên biển, nhằm cho công chủng nhận được các tín hiệu phát sóng đó, và điều này trái với các quy định quốc tế, nhưng loại trừ việc phát các tín hiệu cấp cứu ” Việc cấm có thể mở rộng đến một cuộc tấn công làm hư hại mạng máy tính điều khiển hoạt động phát sóng trên tàu Tương tự như vậy, Điều 113 yêu cầu các quốc gia đặt
ra “các luật và quy định cần thiết” để trừng phạt các hành động phá hoại cáp ngầm, gồm
có hành động tấn công mạng Vì thế, với việc cấm các hành động phá hoại chức năng của các hệ thống liên lạc trên biển, các điều khoản quy định này cho phép việc bảo vệ hợp pháp trước các cuộc tấn công mạng xuất hiện trên biển hoặc xuất phát từ ngoài khơi
Khoản 4 Điều 2 Hiến Chương Liên họp quốc quy định: "Các quốc gia thành viên
Liên hợp quốc không được đe doạ bằng vũ lực hoặc sử dụng vũ lực trong quan hệ quốc
tế nhằm chổng lại sự bất khả xâm phạm về lãnh thô hay nền độc lập chỉnh trị của bất kì quốc gia nà ” Theo quy định nêu trên thì
Trang 8NGHIÊN CỨU- TRAO ĐÔI
việc một chủ thể dùng các loại sức mạnh
nhằm khống chế, đe doạ tấn công, tấn công
hoặc cưỡng bức trái pháp luật quốc tế đối
với một chủ thể khác trong quan hệ quốc tế
là hành vi vi phạm pháp luật quốc tế Hiến
chưcmg Liên hợp quốc không chỉ cấm việc
sử dụng lực lượng vũ trang mà còn cấm cả
sự cưỡng bức phi vũ trang nhưng khoản 4
Điều 2 Hiến chương nhấn mạnh trước tiên
đến việc cấm sử dụng lực lượng vũ trang
Như vậy, có thể thấy rằng trong trường hợp
một quốc gia thành viên sử dụng lực lượng
vũ trang hoặc một tổ chức có sự hậu thuần
của nhà nước để tấn công mạng một quốc
gia khác gây thiệt hại tương đương với một
cuộc tấn công vũ trang thì hành vi đó bị
nghiêm cấm theo pháp luật quốc tế Hướng
dẫn Tallinn có đưa ra một số tiêu chí để đánh
giá khi nào hành vi tấn công mạng đạt tới
mức độ sử dụng vũ lực tương đương với một
cuộc tấn công vũ trang, bao gồm: Tính
nghiêm trọng, khẩn cấp, trực tiếp, mức độ
xâm phạm, khả năng đánh giá tác động, tính
chất quân sự, quốc gia liên quan và tính hợp
pháp giả định19 Năm 2015, nhóm các chuyên
gia chính phủ (Group of Governmental
Experts - GGE) được thành lập bởi Liên hợp
quốc đã khuyến nghị rằng, trong quá trình sử
dụng công nghệ thông tin và truyền thông,
quốc gia phải tuân thủ các nguyên tắc của
pháp luật quốc tế, trong đó có tôn trọng chủ
quyền quốc gia, giải quyết hoà bình các
tranh chấp, không sử dụng vũ lực và không
can thiệp vào công việc nội bộ của nhau20
19 Tallinn Manual on International Law Applicable to
Cyber Warfare, tr 48, http://csef.ru/media/ articles/
3990Z3990.pdf, truy cập 12/8/2021.
20 UN Doc A/70/174 (22/08/2021), đoạn 26, https://came
gieendowment.org/fĩles/UNGGE_2015 pdf, truy
cập 12/8/2021.
Như vậy, quy định của pháp luật quốc tế
về kiểm soát viễn thông, hàng không và biển hoặc vận dụng nguyên tắc cơ bản của Luật quốc tế đều mang đến công cụ pháp lí hữu hiệu cho việc giải quyết các hành động tấn công mạng trong một số bối cảnh cụ thế Tuy nhiên, các quy định này không cung cấp được một cơ chế hoàn chỉnh cho việc giải quyết tất cả các hình thức tấn công mạng
3 Quy định của pháp luật Việt Nam
về kiểm soát tấn công mạng và một số hạn chế, bất cập
3.1 Chủ thể có trách nhiệm kiểm soát tấn công mạng
Trách nhiệm phòng ngừa, ngăn chặn hành vi tấn công mạng trước hết thuộc về chủ quản hệ thống thông tin đối với các hệ thống thông tin thuộc phạm vi quản lí Chủ quản hệ thống thông tin là người trực tiếp quản lí, điều hành, khai thác, sử dụng, hưởng lợi từ hệ thống thông tin của mình, nên trách nhiệm trước hết thuộc về chủ quản hệ thống thông tin trong việc áp dụng các biện pháp kĩ thuật như xây dựng hệ thống giám sát, tường lửa, cài đặt mật khẩu, phần mềm chống virus máy tính đe bảo vệ hệ thống thông tin do mình quản lí trước nguy cơ bị tấn công mạng; đồng thời có trách nhiệm phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an trong việc áp dụng biện pháp xác định nguồn gốc tấn công mạng, thu thập chứng cứ và cung cấp kịp thời, đầy đủ các tài liệu có liên quan đến tấn công mạng để phục vụ quá trình điều tra, truy vết nguồn tấn công
Theo quy định tại khoản 4 Điều 19 Luật
An ninh mạng năm 2018, trách nhiệm chính trong công tác phòng, chống tấn công mạng thuộc về lực lượng chuyên trách bảo vệ an
Trang 9NGHIÊN CỬU- TRAO ĐÓI
ninh mạng, trong đó: Lực lượng chuyên
trách bảo vệ an ninh mạng thuộc Bộ Công an
có trách nhiệm chủ trì thực hiện công tác
phòng ngừa, phát hiện, xử lí hành vi tấn
công mạng và có liên quan đến tấn công
mạng xâm phạm hoặc đe doạ xâm phạm chủ
quyền, lợi ích, an ninh quốc gia, gây tổn hại
nghiêm trọng trật tự, an toàn xã hội trên
phạm vi cả nước, trừ hệ thống thông tin quân
sự và hệ thống thông tin thuộc Ban Cơ yếu
Chính phủ quản lí Lực lượng chuyên trách
bảo vệ an ninh mạng thuộc Bộ Quốc phòng
chủ trì chịu trách nhiệm phòng ngừa, phát
hiện, xử lí hành vi tấn công mạng đối với hệ
thống thông tin quân sự Ban Cơ yếu Chính
phủ chủ trì chịu trách nhiệm phòng ngừa,
phát hiện, xử lí hành vi tấn công mạng đối
với hệ thống thông tin cơ yếu
3.2 Các hành vi tấn công mạng, hành vỉ
có liên quan đến tấn công mạng và trách
nhiệm pháp lí
Khoản 1 Điều 19 Luật An ninh mạng liệt
kê các hành vi tấn công mạng và có liên
quan đến tấn công mạng, bao gồm:
Một là, phát tán chương trình tin học gây
hại cho mạng viễn thông, mạng Internet,
mạng máy tính, hệ thống thông tin, hệ thống
xử lí và điều khiển thông tin, cơ sở dữ liệu,
phương tiện điện tử Đây là hành vi viết ra
hoặc lấy các chương trình (phần mềm) có
chứa mã độc (virus) máy tính có sẵn để lan
truyền phát tán hoặc gắn các chương trình
virus này với một chương trình hấp dẫn khác
(ví dụ như các chương trình trò chơi hoặc
video, clip )
Hai là, gây cản trở, rối loạn, làm tê liệt,
gián đoạn, ngưng trệ hoạt động, ngăn chặn
trái phép việc truyền đưa dữ liệu trên không
gian mạng, hệ thống thông tin, hệ thống xử lí
và điều khiển thông tin, phương tiện điện tử Đây là hành vi truy cập vào máy tính, hệ thống thông tin để tự ý xoá, làm tổn hại hoặc thay đổi phần mềm, dữ liệu điện tử hoặc sử dụng các thiết bị phá sóng hoặc tấn công từ chối dịch vụ,21
21 Tấn công từ chối dịch vụ (Distributed Denial of Service, DDoS) nhằm ngăn cản người dùng tiếp cận và sử dụng những dữ liệu của máy tính DDoS được thực hiện để làm tiêu tốn tài nguyên tính toán như băng thông, dung lượng ổ cứng hoặc làm chậm thời gian xử lí, phá huỷ các thông tin, cấu hình hoặc các thành phần vật lí của mạng máy tính, làm tắc nghẽn thông tin liên lạc giữa người dùng và máy chủ, dẫn đến việc thông tin liên lạc không được thông suốt.
22 Xem thêm giải thích từ ngữ về gián điệp mạng tại khoản 10 Điều 2 Luật An ninh mạng năm 2018.
Ba là, xâm nhập, làm tổn hại, chiếm đoạt
dữ liệu được lưu trữ, truyền đưa trên không gian mạng, hệ thống thông tin; xâm nhập, tạo ra hoặc khai thác điểm yếu, lỗ hổng bảo mật và dịch vụ hệ thống để chiếm đoạt thông tin, thu lợi bất chính Hành vi này mang bản chất của hành vi gián điệp mạng22 vì đều là hành vi tấn công với mục đích làm tổn hại cơ
sở dữ liệu, chiếm đoạt thông tin, thu lợi bất chính, xâm phạm đến quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; không làm gián đoạn hay phá hoại cơ sở hạ tầng không gian mạng (giống như tấn công mạng)
Bon là, sản xuất, mua bán, trao đổi, tặng
cho công cụ, thiết bị, phần mềm có tính năng tấn công mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống
xừ lí và điều khiển thông tin, cơ sở dữ liệu, phương tiện điện tử để sử dụng vào mục đích trái pháp luật
Năm là, hành vi khác gây ảnh hưởng đến hoạt động bình thường trên không gian mạng
và các hệ thống thông tin
Trang 10NGHIÊN cứư- TRAO ĐÓI
Có thể thấy Luật An mạng năm 2018
ngoài việc đưa ra khái niệm đã liệt kê khá
đầy đủ, chi tiết các hành vi tấn công mạng và
hành vi liên quan đến tấn công mạng Hành
vi tấn công mạng là hành vi nguy hiểm cho
xã hội nên bị nghiêm cấm theo quy định tại
khoản 2 Điều 8 Luật An ninh mạng Chủ thể
thực hiện hành vi tấn công mạng có thể bị
truy cứu trách nhiệm hình sự theo Bộ luật
Hình sự năm 2015, sửa đổi, bổ sung năm
2017, cụ thể: Điều 285 (Tội sản xuất, mua
bán, trao đổi hoặc tặng cho công cụ, thiết bị,
phần mềm để sử dụng vào mục đích trái pháp
luật), Điều 286 (Tội phát tán chương trình tin
học gây hại cho hoạt động của mạng máy
tính, mạng viễn thông, phương tiện điện tử),
Điều 287 (Tội cản trở hoặc gây rối loạn hoạt
động của mạng máy tính, mạng viễn thông,
phương tiện điện tử), Điều 289 (Tội xâm
nhập trái phép vào mạng máy tính, mạng viễn
thông hoặc phương tiện điện tử của người
khác), Điều 290 (Tội sử dụng mạng máy tính,
mạng viễn thông, phương tiện điện tử thực
hiện hành vi chiếm đoạt tài sản), Điều 294
(Tội cố ý gây nhiễu có hại) Trường hợp
chưa đến mức truy cứu trách nhiệm hình sự
thì có thể bị xử phạt vi phạm hành chính
theo quy định tại Nghị định số 15/2020/NĐ-
CP ngày 03/02/2020 của Chính phủ quy định
xử phạt vi phạm hành chính trong lĩnh vực
bưu chính, viễn thông, tần số vô tuyến điện,
công nghệ thông tin và giao dịch điện tử
3.3 Một số hạn chế của pháp luật Việt Nam
về tấn công mạng
Hệ thống pháp luật Việt Nam cơ bản đã
quy định tương đối đầy đủ các dấu hiệu nhận
biết một cuộc tấn công mạng, cơ chế kiểm
soát và những hình phạt có thể được áp dụng
để kiểm soát tấn công mạng Tuy nhiên, quy
định của pháp luật mới chỉ tập trung vào vấn
đề an ninh, an toàn và kiểm soát chủ thể thực hiện hành vi tấn công mạng ở trong nước, chưa quy định chặt chẽ việc kiểm soát tấn công mạng có yếu tố nước ngoài và kiếm soát những cuộc tấn công mạng quy mô lớn
có thể chuyển từ trạng thái an ninh, an toàn sang trạng thái quốc phòng, từ trạng thái tấn công mạng sang chiến tranh thông tin, chiến tranh không gian mạng, trong đó có thể kể đến một số điểm hạn chế như sau:
niệm về “tấn công mạng” trong Luật An ninh mạng năm 2018 với “xâm phạm an toàn thông tin mạng”23, “xung đột thông tin”24 trong Luật An toàn thông tin mạng năm 2015
Cả ba tình huống trên đều có đặc điểm chung
là sử dụng không gian mạng, công nghệ thông tin để xâm nhập trái phép vào hệ thống thông tin, gây gián đoạn, phá hoại hệ thống thông tin của đối phương Cụ thể, đổi với tình huống về “tấn công mạng”, cơ quan chủ trì và chịu trách nhiệm chính trong ngăn chặn, khắc phục tấn công mạng là lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an (trừ hệ thống thông tin quân sự và hệ thống thông tin cơ yếu) Đối với tình huống về
“xung độtthông tin trên mạng”, cơ quan chủ
trì và chịu trách nhiệm chính trong ngăn chặn xung đột thông tin trên mạng với mục đích phòng, chống chiến tranh thông tin, chiến tranh không gian mạng; ngăn chặn các lực lượng quân sự nước ngoài sử dụng biện pháp
23 “Xâm phạm an toàn thông tin mạng” là hành vi truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, phá hoại trái phép thông tin, hệ thống thông tin (khoản
6 Điều 3 Luật An toàn thông tin mạng năm 2015).
24 “Xung đột thông tin” là việc hai hoặc nhiều tổ chức trong nước và nước ngoài sử dụng biện pháp công nghệ, kĩ thuật thông tin gây tổn hại đến thông tin,
hệ thống thông tin trên mạng (khoản 14 Điều 3 Luật An toàn thông tin mạng năm 2015).
TẠP CHÍ LUẬT HỌCSỐ 6/2022