BÁO CÁO CHUYÊN ĐỀNghiên cứu, rà soát chính sách pháp luật hiện hành của Việt Nam về vấn đề an toàn thông tin

Chỉ thị số 28-CT/TW ngày16/9/2013 của Ban Bí thư về tăng cường công tác bảo đảm an toàn thông tin mạng trong đó có xác định nhiệm vụ: “Xây dựng và ban hành Luật an toàn thông tin và các

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

TỔ THƯỜNG TRỰC XÂY DỰNG LUẬT AN TOÀN THÔNG TIN

BÁO CÁO CHUYÊN ĐỀ

Nghiên cứu, rà soát chính sách pháp luật hiện hành

của Việt Nam về vấn đề an toàn thông tin

và các thực tiễn mất an toàn thông tin tại Việt Nam

do thiếu cơ sở pháp lý

Hà Nội, tháng 3 năm 2014

MỤC LỤC

I LỜI MỞ ĐẦU 4

II ĐẶT VẤN ĐỀ 5III NỘI DUNG NGHIÊN CỨU 73.1 Rà soát hệ thống văn bản pháp luật hiện hành tại Việt Nam về antoàn thông tin 73.1.1 Chủ trương, đường lối, chính sách của Đảng và Nhà nước về antoàn thông tin 73.1.2 Nội dung cam kết trong các điều ước quốc tế 83.1.3 Văn bản mức luật và dưới luật về an toàn thông tin 93.1.4 Những bất cập trong hệ thống văn bản pháp luật hiện hành về antoàn thông tin 113.2 Phân tích thực tiễn mất an toàn thông tin tại Việt Nam do thiếu cơ sởpháp lý 133.2.1 Do sự thiếu đồng bộ và bao quát trong các văn bản pháp luật liênquan đến an toàn thông tin trong các lĩnh vực kinh tế, xã hội, an ninh,quốc phòng 133.2.2 Do chế tài chưa đủ mạnh đối với hành vi gây mất an toàn thông tin

173.2.3 Do chưa quy định rõ quyền hạn, trách nhiệm pháp lý của các cánhân, tổ chức, doanh nghiệp, nhà nước trong việc áp dụng, thực thi cácbiện pháp, chương trình đảm bảo an toàn thông tin 203.2.4 Do chưa có quy định về đảm bảo an toàn thông tin đối với các cơ

sở hạ tầng thông tin trọng yếu của quốc gia, các tài nguyên và cơ sở dữliệu dùng chung 213.2.5 Chưa có định hướng, chính sách và cơ chế hỗ trợ phát triển rõ ràngđối với doanh nghiệp và thị trường an toàn thông tin trong nước 233.2.6 Quy định về đầu tư vào an toàn thông tin và kinh doanh trong lĩnhvực an toàn thông tin chưa rõ ràng 24

IV KẾT LUẬN VÀ KIẾN NGHỊ 25Phụ lục 1: Rà soát hệ thống văn pháp pháp luật tại Việt Nam trong lĩnh vựcATTT 27

I LỜI MỞ ĐẦU

Sự ra đời và phát triển của mạng Internet đã và đang đóng góp rất nhiều giá trịcho sự phát triển kinh tế, xã hội nhưng cũng có nhiều ảnh hưởng tiêu cực từ những mặttrái của Internet Xuất hiện nhiều hành vi lợi dụng mạng Internet để truyền đưa, lưutrữ, phát tán thông tin sai trái, độc hại, xuyên tạc chống phá đường lối, chủ trương,chính sách của Đảng, Nhà nước, đe dọa an ninh quốc gia Các cá nhân, tổ chức luônphải đối mặt với nhiều loại hình tấn công trên mạng làm gián đoạn và phá rối hoạtđộng của các hệ thống thông tin, phần mềm gián điệp, tấn công hệ thống ngân hàng vàmạng bán hàng trực tuyến, tin nhắn lừa đảo… Tình hình tấn công mạng đã diễn ra trênphạm vi toàn cầu với mức độ ngày càng mãnh liệt, tập trung vào các cơ sở quốcphòng, an ninh, tài chính, ngân hàng và các lĩnh vực quan trọng khác

Trong khi đó, hiện nay, chưa có một văn bản luật thống nhất bao trùm để điềuchỉnh toàn diện hoạt động an toàn thông tin mạng Công tác đảm bảo an toàn thông tinđược quy định ở từng phạm vi hẹp theo lĩnh vực chuyên ngành như Luật Công nghệthông tin, Luật Viễn thông, Luật Giao dịch điện tử, Luật Cơ yếu, Luật Công nghệ cao,Luật Chuyển giao công nghệ và các quy định đó còn mang tính chung chung, chưa

đề cập cụ thể về các hành vi và đối tượng chịu sự điều chỉnh Để giải quyết thực trạngnêu trên, Nghị quyết Hội nghị lần thứ 4 BCH TW khóa XI số 13-NQ/TW ngày16/01/2012 đã xác định việc chú trọng phát triển 10 lĩnh vực hạ tầng và bảo đảm antoàn, an ninh thông tin cho các hệ thống hạ tầng là nhiệm vụ hết sức quan trọng và cấpthiết nhằm tháo gỡ “điểm nghẽn” của quá trình phát triển Chỉ thị số 28-CT/TW ngày16/9/2013 của Ban Bí thư về tăng cường công tác bảo đảm an toàn thông tin mạng trong đó

có xác định nhiệm vụ: “Xây dựng và ban hành Luật an toàn thông tin và các văn bản hướng dẫn theo hướng quy định về trách nhiệm bảo đảm an toàn thông tin đối với tổ chức,

cá nhân; các biện pháp bảo đảm an toàn thông tin; các chế tài xử lý vi phạm an toàn thông tin”;

Từ những căn cứ nêu trên và đứng trước các yêu cầu khách quan của công tácxây dựng pháp luật, thi hành pháp luật về an toàn thông tin và các yêu cầu khách quancủa thực tiễn đời sống kinh tế - xã hội Việt Nam đã cho thấy việc xây dựng và banhành dự thảo Luật An toàn thông tin là cần thiết

xã hội của thế giới hiện đại An toàn thông tin ngày càng trở thành một vấn đề nóng vì

có ảnh hưởng lớn đến sự phát triển của CNTT&TT và có tác động không nhỏ đến mọilĩnh vực Đảm bảo an toàn thông tin là nhằm tạo môi trường thuận lợi cho ứng dụng vàphát triển CNTT&TT bền vững phục vụ sự nghiệp công nghiệp hóa, hiện đại hóa; bảo

vệ thành quả do CNTT&TT mang lại cho cộng đồng; tăng cường hiệu quả ứng dụngCNTT&TT; giảm thiểu thiệt hại do sự cố mất an toàn thông tin gây ra; tạo môi trườngmạng an toàn cho cơ quan, tổ chức, doanh nghiệp và người dân

Việt Nam đang trong thời kỳ đẩy mạnh công nghiệp hóa - hiện đại hóa với mụctiêu đề ra tại Chiến lược Phát triển kinh tế xã hội giai đoạn 2011 - 2020 đã được Đạihội Đại biểu toàn quốc lần thứ XI của Đảng Cộng Sản Việt Nam thông qua vào tháng01/2011 là “Phấn đấu đến năm 2020 nước ta cơ bản trở thành nước công nghiệp theohướng hiện đại” nhờ “Phát triển mạnh mẽ lực lượng sản xuất với trình độ khoa học,công nghệ ngày càng cao” Trong suốt quá trình phát triển từ Đại hội Đảng VIII đếnnay, công nghệ thông tin (CNTT) luôn khẳng định vai trò là động lực đẩy nhanh tốc độcông nghiệp hóa - hiện đại hóa, là công cụ hữu hiệu tạo ra những chuyển biến tích cựctrong tất cả các lĩnh vực, các ngành, góp phần quan trọng vào phát triển kinh tế - xãhội, an ninh quốc phòng Thực tế đã chứng minh, CNTT không chỉ đơn thuần là thúcđẩy sử dụng, ứng dụng các công cụ công nghệ (thiết bị phần cứng, phần mềm) để đơngiản hóa hoạt động nghiệp vụ mà còn là đảm bảo việc vận hành của hệ thống thông tinđược liên tục và thông suốt, từ đó nâng cao hiệu suất, hiệu quả hoạt động Rất nhiều

chuyên gia quốc tế và trong nước đã nhận định “Sự sẵn sàng, tính toàn vẹn, tính xác thực và tính bảo mật của dữ liệu trong không gian mạng là vấn đề sống còn của thập

kỷ XXI”.

Tuy nhiên, công nghệ thông tin và truyền thông (CNTT&TT) hàng năm luônphải đối mặt với nhiều loại hình tấn công trên mạng ngày càng thường xuyên hơn nhưlàm biến dạng trang tin, lừa đảo trên mạng, tấn công từ chối dịch vụ, phát tán mã độchại và virút máy tính, thư rác, đánh cắp thông tin, phá hoại dữ liệu, làm gián đoạn vàphá rối hoạt động của các hệ thống thông tin, phần mềm gián điệp, tấn công hệ thốngngân hàng và mạng bán hàng trực tuyến, nhắn tin lừa đảo, đe dọa, tống tiền,…

Quá trình công nghiệp hóa, hiện đại hóa cùng với sự gia tăng phát triểnCNTT&TT càng làm tăng nguy cơ, hiểm họa mất an toàn thông tin Mạng thông tin

càng phát triển mở rộng, số người sử dụng mạng càng nhiều, tốc độ truy nhập càng caothì nguy cơ mất an toàn thông tin và mức độ thiệt hại do các tấn công càng lớn Dothông tin được truyền lan tỏa nhanh chóng như hiện nay, bất cứ thông tin sai lệch nàocũng sẽ gây ra các hậu quả nặng nề đối với xã hội và nhà nước Ngày càng xuất hiện

xu hướng tin tặc chuyên nghiệp hoạt động có tổ chức, với nhiều hình thức và phươngtiện tinh vi hơn, diễn biến phức tạp hơn Ngoài những tấn công đánh cắp thông tin, pháhoại, gây rối, ngày càng có thêm nhiều tấn công mang tính vụ lợi Các sự cố an toànthông tin đã tăng lên nhanh chóng trong thời gian qua, kéo theo những thiệt hại về vậtchất, tiền bạc và những thiệt hại vô hình khác, gây ra ảnh hưởng đến hoạt động của các

cơ quan nhà nước, thiệt hại cho doanh nghiệp và người dân, bức xúc cho xã hội

Các sự cố mất an toàn thông tin ngăn cản sự phát triển của CNTT&TT, làm mấtlòng tin của đối tác đầu tư nước ngoài, ảnh hưởng không nhỏ đến giao dịch qua mạng,gây thất thoát trong và ngoài nước Nguy cơ, hiểm họa mất an toàn thông tin đã trởthành thách thức lớn đối với mỗi quốc gia, trong đó có Việt Nam trong quá trình pháttriển bền vững An toàn thông tin là lĩnh vực khá mới và ngày càng phức tạp đối vớiViệt Nam, đòi hỏi cần tiếp tục có sự quan tâm chỉ đạo của Đảng và Nhà nước tronglĩnh vực an toàn thông tin Nhiệm vụ quản lý nhà nước và nhiệm vụ nâng cao ý thứccộng đồng trong lĩnh vực này ngày càng trở nên cấp thiết

Trong những năm gần đây, Chính phủ đã chỉ đạo các bộ, ngành và địa phương

tổ chức thực hiện nhiều chương trình, dự án tăng cường đảm bảo an toàn thông tin.Việc đầu tư trang bị các hệ thống thiết bị bảo vệ, đưa ra các chính sách, tăng cường cácbiện pháp quản lý, các chương trình nâng cao nhận thức đã góp phần quan trọng nângcao khả năng đảm bảo an toàn thông tin

Tuy nhiên, công tác quản lý về an toàn thông tin vẫn còn những thách thức vàbất cập, chủ yếu đến từ việc thiếu căn cứ pháp lý và các công cụ quản lý hữu hiệu.Công tác điều phối ứng cứu, hỗ trợ vẫn còn gặp nhiều khó khăn do thiếu cơ sở pháp lý.Công tác quản lý đảm bảo an toàn thông tin còn chưa thống nhất từ Trung ương đếnđịa phương, còn thiếu cơ chế phối hợp và tính đồng bộ Trong khi đó, ở khía cạnh tàichính, đầu tư cho an toàn thông tin còn chưa đủ mức cần thiết Nhận thức cộng đồng

về an toàn thông tin còn nhiều hạn chế Các biện pháp chế tài còn thiếu, một số biệnpháp đã có nhưng chưa cụ thể An toàn thông tin là lĩnh vực mới, có tính xuyên suốtmọi lĩnh vực đời sống xã hội, đòi hỏi có sự điều chỉnh mới của pháp luật Những hạnchế trên ảnh hưởng nhiều đến công tác quản lý an toàn thông tin, đặc biệt với sự tiếntriển phức tạp của tình hình an toàn thông tin hiện nay

Những hạn chế trong công tác quản lý nhà nước đối với an toàn thông tin là mộttrong những nguyên nhân chính khiến công tác đảm bảo an toàn thông tin gặp nhiềukhó khăn và thách thức, đặc biệt trong bối cảnh công nghệ ngày càng phát triển và các

loại tội phạm công nghệ cao ngày gia tăng với phương thức và thủ đoạn ngày càng tinh

vi Chuyên đề này tập trung nghiên cứu, rà soát chính sách pháp luật hiện hành củaViệt Nam về vấn đề an toàn thông tin và phân tích thực tiễn mất an toàn thông tin tạiViệt Nam trên khía cạnh thiếu cơ sở pháp lý

III.1 Rà soát hệ thống văn bản pháp luật hiện hành tại Việt Nam về

an toàn thông tin.

III.1.1 Chủ trương, đường lối, chính sách của Đảng và Nhà nước về an toàn thông tin

Đảng và Nhà nước ta đã rất coi trọng công tác đảm bảo an toàn thông tin từnhiều năm qua, đặc biệt trong quá trình phát triển và ứng dụng công nghệ thông tin.Chỉ thị 58-CT/TW ngày 17 tháng 10 năm 2000 của Ban Chấp hành Trung Ương ĐảngCộng sản Việt Nam về đẩy mạnh ứng dụng và phát triển công nghệ thông tin phục vụ

sự nghiệp công nghiệp hóa, hiện đại hóa đã nhấn mạnh mục tiêu cần “có các biện phápchủ động và các quy định cụ thể về an toàn và an ninh thông tin” nhằm tạo môi trườngthuận lợi cho ứng dụng và phát triển công nghệ thông tin “Phát triển, quản lý viễnthông và Internet đồng thời phải có biện pháp toàn diện, đồng bộ để ngăn chặn nhữnghành vi lợi dụng gây ảnh hưởng đến an ninh quốc gia và việc giữ gìn bản sắc văn hóadân tộc”

Nghị quyết số 08-NQ/TW ngày 05 tháng 02 năm 2007 của Ban Chấp hànhTrung ương Đảng Cộng sản Việt Nam tại Hội nghị Trung ương khóa X về một số chủtrương, chính sách lớn để phát triển kinh tế cũng đã nêu: “…có đối sách đảm bảo anninh chính trị, an ninh tư tưởng, an ninh thông tin, an ninh kinh tế - xã hội Đẩy mạnhphòng chống tội phạm có tổ chức, các hành vi tham nhũng, buôn lậu, gian lận thươngmại… Xây dựng cơ chế xử lý các vấn đề xuyên biên giới và an ninh phi truyền thống”

Nghị quyết của Đại hội đại biểu toàn quốc lần thứ XI Đảng Cộng sản Việt Namcũng đã nhấn mạnh nguy cơ tiếp tục gia tăng “các yếu tố đe dọa an ninh phi truyềnthống, tội phạm công nghệ cao trong các lĩnh vực tài chính - tiền tệ, điện tử - viễnthông, sinh học, môi trường…” và đặt ra những nhiệm vụ chủ yếu về đảm bảo pháttriển bền vững, tăng cường tiềm lực ngăn chặn, đối phó

Nghị quyết Hội nghị lần thứ 4 BCH TW khóa XI số 13-NQ/TW ngày16/01/2012 đã xác định việc chú trọng phát triển 10 lĩnh vực hạ tầng và bảo đảm antoàn, an ninh thông tin cho các hệ thống hạ tầng là nhiệm vụ hết sức quan trọng và cấpthiết nhằm tháo gỡ “điểm nghẽn” của quá trình phát triển

Chỉ thị số 28-CT/TW ngày 16/9/2013 của Ban Bí thư về tăng cường công tác bảo

đảm an toàn thông tin mạng trong đó có xác định nhiệm vụ: “Xây dựng và ban hành Luật

an toàn thông tin và các văn bản hướng dẫn theo hướng quy định về trách nhiệm bảo đảm

an toàn thông tin đối với tổ chức, cá nhân; các biện pháp bảo đảm an toàn thông tin; các chế tài xử lý vi phạm an toàn thông tin”;

Ngày 13/01/2010, Thủ tướng Chính phủ đã phê duyệt Quy hoạch phát triển antoàn thông tin số quốc gia đến năm 2020 Mục tiêu tổng quát của quy hoạch cho đếnnăm 2020 được xác định bao gồm việc đảm bảo an toàn mạng và hạ tầng thông tin;đảm bảo an toàn cho dữ liệu và ứng dụng công nghệ thông tin; phát triển nguồn nhânlực và nâng cao nhận thức về an toàn thông tin; hoàn thiện môi trường pháp lý về antoàn thông tin

Quy hoạch cũng đề ra các mục tiêu phát triển cụ thể đến năm 2015 về việc đảmbảo an toàn thông tin cho cơ sở hạ tầng thông tin quốc gia, đảm bảo an toàn dữ liệu vàứng dụng công nghệ thông tin cho các cơ quan nhà nước ở Trung ương, địa phương vàtoàn xã hội, đảm bảo an toàn cho giao dịch điện tử, phát triển nhân lực và nâng caonhận thức của xã hội về an toàn thông tin, hoàn thiện các cơ sở pháp lý và hệ thốngtiêu chuẩn quốc gia, khuyến khích nghiên cứu phát triển, khuyến khích và hỗ trợ xâydựng các sản phẩm nội địa về an toàn thông tin

Sự quan tâm chỉ đạo của Chính phủ về an toàn thông tin còn thể hiện qua cáccam kết về tăng cường an toàn thông tin trong khu vực ASEM tại Hội nghị cấp caoASEM 5; Chủ trương thành lập Cục An toàn thông tin; Chủ trương đầu tư cho các dự

án an toàn thông tin; Các cam kết quốc tế về đảm bảo an toàn thông tin

III.1.2 Nội dung cam kết trong các điều ước quốc tế

Kể từ khi mở cửa hội nhập, tham gia vào nhiều tổ chức quốc tế quan trọng, ViệtNam đã rất tích cực tham gia xây dựng và đóng góp ý kiến, sáng kiến xây dựng cácNghị quyết của các hội nghị quốc tế, trong đó có các nội dung về đảm bảo an toànthông tin Các văn kiện điển hình gồm:

- Các Nghị quyết của Đại hội đồng Liên hợp quốc và các Nghị quyết của Hộiđồng Bảo an LHQ

- Nghị quyết Hội nghị cấp cao 10 của các nước APEC ở Lốt Ca-bốt, Mê-hi-cônăm 2002 thông qua tuyên bố chung về an toàn thông tin, trong đó có nêu các vấn đề

về xây dựng luật và các văn bản pháp luật, công ước quốc tế về an toàn thông tin

- Nghị quyết Hội nghị Cấp cao ASEM 5 (2004 tại Hà Nội) thông qua 9 sángkiến hợp tác, trong đó có sáng kiến 6 là về tăng cường an toàn mạng trong khu vựcASEM

- Nghị quyết Hội nghị thượng đỉnh về Xã hội thông tin (WSIS) 2005 tạiTunisia

- Các cam kết trong Liên minh Viễn thông Quốc tế (ITU), Tổ chức Viễn thôngChâu Á - Thái Bình Dương (APT)

- Nghị quyết các Hội nghị quan chức cấp cao viễn thông (TELSOM) và Hộinghị Bộ trưởng Viễn thông (TELMIN) của ASEAN tổ chức hàng năm đều có cáckhuyến nghị cho các nước về lĩnh vực an toàn thông tin

III.1.3 Văn bản mức luật và dưới luật về an toàn thông tin

Ở mức luật, điển hình có:

Luật Giao dịch điện tử (51/2005/QH11 ngày 29/11/2005) Quy định về giao dịchđiện tử trong hoạt động của các cơ quan nhà nước; trong lĩnh vực dân sự, kinh doanh,thương mại và các lĩnh vực khác do pháp luật quy định Đây là luật đầu tiên được quốchội ban hành có nhấn mạnh đến khái niệm bảo đảm an ninh, an toàn và bảo mật thôngtin Luật đưa ra các quy định chung nhất về trách nhiệm phải bảo vệ dữ liệu, bảo mậtthông tin của các tổ chức/cá nhân và xử phạt đối với những hành vi sử dụng, cung cấp,tiết lộ thông tin bí mật nhà nước, thông tin cá nhân Tuy nhiên phạm vi điều chỉnh giớihạn ở các giao dịch điện tử, hình thức xử phạt cũng chưa rõ ràng

Luật Viễn thông (số 41/2009/QH12 ngày 04/12/2009) quy định về hoạt độngviễn thông, bao gồm đầu tư, kinh doanh viễn thông; viễn thông công ích; quản lý viễnthông; xây dựng công trình viễn thông; quyền và nghĩa vụ của tổ chức, cá nhân thamgia hoạt động viễn thông Quy định trách nhiệm chung của mọi tổ chức/cá nhân trongviệc đảm bảo an toàn cơ sở hạ tầng viễn thông và an ninh thông tin và đảm bảo bí mậtthông tin nhà nước, thông tin riêng, hợp pháp của các tổ chức, cá nhân Phạm vi điềuchỉnh của Luật này là cơ sở hạ tầng viễn thông, thông tin được lưu, gửi, truyền trênmạng viễn thông

Luật công nghệ thông tin (67/2006/QH11 ngày 29/06/2006) quy định về hoạtđộng ứng dụng và phát triển công nghệ thông tin, các biện pháp bảo đảm ứng dụng vàphát triển công nghệ thông tin, quyền và nghĩa vụ của cơ quan, tổ chức, cá nhân thamgia hoạt động ứng dụng và phát triển công nghệ thông tin Một lần nữa, Quốc hộikhẳng định quản lý an toàn, an ninh thông tin là một trong những nội dung quản lý nhànước về công nghệ thông tin và Bộ Thông tin và Truyền thông là đơn vị chủ trì thựchiện quản lý nhà nước về Công nghệ thông tin Luật đưa ra một số điều quy định tráchnhiệm bảo vệ cơ sở hạ tầng thông tin, bảo đảm thông tin riêng, hợp pháp khi lưu trữ,trao đổi, truyền đưa trên môi trường mạng Quy định cụ thể một số hành vi bị cấm dogây hại đến thiết bị số của người khác, những hành vi xâm phạm thông tin riêng, hợppháp của các tổ chức, cá nhân

Luật cơ yếu (05/2011/QH13) quy định về hoạt động cơ yếu; nhiệm vụ, quyềnhạn, nguyên tắc tổ chức và hoạt động của lực lượng cơ yếu; chế độ, chính sách đối với

người làm việc trong tổ chức cơ yếu; quyền, nghĩa vụ, trách nhiệm của cơ quan, tổchức, cá nhân liên quan đến hoạt động cơ yếu Đưa ra một số quy định, chính sách mãhóa chung áp dụng đối với thông tin bí mật nhà nước được lưu trữ, truyền trên cácphương tiện điện tử, tin học, mạng viễn thông…

Nhìn chung, các văn bản pháp luật trong lĩnh vực an toàn thông tin tới naythường được xây dựng tập trung vào nhiệm vụ quản lý của từng lĩnh vực đơn lẻ, chỉ đềcập đến một số quy định về an toàn thông tin ở từng phạm vi hẹp, chưa đầy đủ, chưahoàn thiện Tuy các văn bản luật nêu trên có nêu một số quy định về công tác đảm bảo

an toàn thông tin, song chưa đề cập đến đầy đủ và bao quát các lĩnh vực trong an toànthông tin

Ở mức Nghị định và Thông tư điển hình có:

- Nghị định 64/2007/NĐ-CP quy định đảm bảo an toàn thông tin cho ứng dụngcông nghệ thông tin trong hoạt động của các cơ quan nhà nước với các Điều 41, 42,

43

- Nghị định 63/2007/NĐ-CP về quy định xử phạt vi phạm hành chính trong lĩnhvực công nghệ thông tin

- Nghị định 97/2008/NĐ-CP về quản lý, cung cấp, sử dụng dịch vụ Internet vàthông tin điện tử nêu ra các điều khoản về an toàn thông tin tại Điều 4, Điều 7, Điều 8,Điều 9, Điều 10

- Nghị định 90/2008/NĐ-CP và Nghị định 77/2012/NĐ-CP sửa đổi, bổ sungmột số điều của Nghị định 90/2008/NĐ-CP quy định các nội dung cụ thể về chống thưrác, bao gồm cả thư điện tử rác và tin nhắn rác

Nghị định 73/2007/NĐ-CP ngày 08/5/2007 quy định về hoạt động nghiên cứu,sản xuất, kinh doanh và sử dụng mật mã để bảo vệ thông tin không thuộc phạm vi bímật nhà nước

Nghị định 72/2013/NĐ-CP ngày 15/7/2013 quy định về Quản lý, cung cấp, sửdụng dịch vụ Internet và thông tin trên mạng

- Thông tư 06/2008/TTLT-BTTTT-BCA về đảm đảm an toàn cơ sở hạ tầng và

an ninh thông internet trong hoạt động bưu chính, viễn thông và công nghệ thông tin.Thông tư 27/2011/TT-BTTTT quy định về điều phối các hoạt động ứng cứu sự cốmạng Internet Việt Nam

- Quyết định số 1755/QĐ-TTg ngày 22/9/2010 của Thủ tướng Chính phủ phêduyệt đề án “Đưa Việt Nam sớm trở thành nước mạnh về công nghệ thông tin vàtruyền thông”, trong đó đã nêu các yêu cầu đảm bảo an toàn thông tin trong các nhiệm

vụ 3, nhiệm vụ 5, nhiệm vụ 6 đồng thời cũng đưa ra nhóm giải pháp 1 và nhóm giảipháp 3 cho đảm bảo an toàn thông tin.

III.1.4 Những bất cập trong hệ thống văn bản pháp luật hiện hành về an toàn thông tin

Với nhiệm vụ được giao, hàng năm Bộ Thông tin và Truyền thông đều có báocáo tổng kết về kết quả quản lý, điều hành của Bộ, trong đó có kết quả thực hiện cácvăn bản quy phạm pháp luật và công tác quản lý về an toàn thông tin Việc thực hiệncác văn bản quy phạm pháp luật, bộ đều phối hợp với các Bộ, ngành, địa phương tổchức tổng kết việc thực hiện các văn bản quy phạm pháp luật, trên cơ sở đó trìnhChính phủ cho phép sửa đổi, bổ sung các văn bản quy phạm pháp luật hiện hành hoặcxây dựng văn bản quy phạm pháp luật mới Kết quả công tác quản lý, điều hành của

Bộ, kết quả rà soát các văn bản pháp luật hiện hành có liên quan và từ thực tiễn đòi hỏicủa quá trình phát triển kinh tế - xã hội đã cho thấy các văn bản pháp luật hiện hành cóliên quan đến công tác đảm bảo an toàn thông tin còn có những vấn đề bất cập nhấtđịnh

Thứ nhất, thiếu một văn bản luật thống nhất điều chỉnh toàn diện công tác đảmbảo an toàn thông tin Mặc dù Luật giao dịch điện tử, Luật viễn thông, Luật công nghệthông tin, Luật cơ yếu… đã được xây dựng và có ban hành một số quy định về an toànthông tin, song phạm vi điều chỉnh về khía cạnh đảm bảo an toàn thông tin còn tươngđối hẹp, ví dụ như: các giao dịch điện tử (luật giao dịch điện tử), cơ sở hạ tầng viễnthông và thông tin lưu trữ, truyền tải trên mạng viễn thông (luật viễn thông), thông tin

bí mật quốc gia (luật cơ yếu)… Trong bối cảnh các nguy cơ thách thức không gianmang ngày càng gia tăng với mức độ đe dọa ngày càng nghiêm trọng và sự phát triểncủa xu hướng hội tụ viễn thông – internet - phát thanh truyền hình, rất nhiều vấn đề đặt

ra về việc làm thế nào bảo đảm được tính toàn vẹn, tính an toàn của thông tin trongkhông gian mạng, hành lang pháp lý nào để thúc đẩy lưu trữ, trao đổi thông tin dướidạng số hóa (chính phủ điện tử, thương mại điện tử, kinh tế tri thức…), tính bảo mật

và riêng tư của thông tin, quyền sở hữu trí tuệ, an toàn, an ninh cơ sở hạ tầng trọng yếuquốc gia và thông tin bí mật quốc gia khi lưu trữ, truyền dưới dạng điện tử Chính vìvậy, phạm vi điều chỉnh của luật về an toàn thông tin cần phải rộng hơn nữa (khôngchỉ bó hẹp trong phạm vi các giao dịch điện tử, hạ tầng, thông tin viễn thông) và sâuhơn nữa (không chỉ quy định chung về trách nhiệm bảo vệ cơ sở hạ tầng thông tin, bảođảm thông tin riêng, hợp pháp khi lưu trữ, trao đổi, truyền đưa trên môi trường mạngnhư quy định của Luật công nghệ thông tin mà còn xem xét đến các quy định cụ thểhơn về cơ chế điều phối, theo dõi giám sát tấn công mạng, quy trình quản lý, các vấn

đề về tài chính, đầu tư cho an toàn thông tin, xử phạt đối với các hành vi vi phạm…).Nếu chỉ đơn thuần điều chỉnh, cập nhật, nâng cấp các quy định về đảm bảo an toàn

thông tin trong các văn bản đã được ban hành thì rất khó có thể giải quyết được mộtcách toàn diện những bức xúc, khó khăn trong hiện tại, tương lai về các vấn đề mất antoàn thông tin và chưa tạo ra được những chuyển biến về chất, cũng như không triểnkhai được những giải pháp đồng bộ, có hệ thống về đảm bảo an toàn thông tin Thêmvào đó, nếu bổ sung thêm nhiều nội dung, nhiều chi tiết liên quan đến an toàn thông tintrong những văn bản trên nhằm đáp ứng những yêu cầu đặt ra thì rõ ràng là bản chất,nội dung, tên của những dự luật này bị thay đổi.

Thứ hai, các văn bản pháp luật đã có đề cập đến vấn đề đảm bảo an toàn thôngtin song các quy định còn rải rác, chưa đầy đủ, chưa bao quát được lĩnh vực an toànthông tin, có thể gây chồng chéo trong lĩnh vực quản lý điều hành trong lĩnh vực antoàn thông tin, gây khó khăn nhất định khi áp dụng Ví dụ, quy định về đảm bảo antoàn, bí mật thông tin nằm rải rác ở các văn bản pháp luật ở các phạm vi và mức độkhác nhau Tương tự như vậy là các quy định về bảo đảm cơ sở hạ tầng thông tin.Trong khi đó hệ thống văn bản vẫn còn những khoảng trống chưa được điều chỉnh;Đặc biệt, trong trường hợp cùng một lúc xảy ra nhiều sự cố thì vẫn thiếu những quyđịnh quy định phối hợp thực thi tổng thể

Thứ ba, quy định trong các lĩnh vực cụ thể của an toàn thông tin còn chungchung, nhiều điểm chưa rõ ràng, khó tra cứu và vận dụng khi thực thi Các quy địnhpháp luật về các lĩnh vực trong quy trình phòng ngừa, khôi phục sự cố và điều phối cáchoạt động ứng cứu, huy động người, phương tiện cho công tác điều phối ứng cứu, mặc

dù đã được xây dựng, song đều nằm rải rác ở rất nhiều văn bản, khiến cho việc tra cứu,vận dụng rất khó khăn

Các quy định về khen thưởng, xử phạt về chế tài xử phạt đối với trường hợpkhông thực hiện các mệnh lệnh, hướng dẫn của cơ quan có thẩm quyền khi xảy ra sự

cố đã được ban hành nhưng phạm vi áp dụng còn giới hạn và quy định còn chungchung, khiến cho ý thức của người dân trong việc tuân thủ các biện pháp phòng chốngcác nguy cơ gây mất an toàn thông tin là chưa cao Hiện chính phủ đã ban hành một sốNghị định về xử phạt vi phạm hành chính trong bảo đảm an toàn thông tin như Nghịđịnh số 28/2009/NĐ-CP Quy định xử phạt vi phạm hành chính trong quản lý, cungcấp, sử dụng dịch vụ Internet và thông tin điện tử trên Internet; Nghị định số 63/2007/NĐ-CP Quy định xử phạt vi phạm hành chính trong lĩnh vực Công nghệ thôngtin,Nghị định số 83/2011/NĐ-CP Quy định xử phạt vi phạm hành chính trong lĩnh vựcViễn thông Các văn bản này đã tạo thuận lợi hơn cho việc triển khai các biện phápđảm bảo an toàn thông tin, do cơ quan thực hiện có chế tài để các cá nhân, tổ chứcphải tham gia và tuân thủ tích cực Song, các văn bản về xử phạt vi phạm hành chínhnày vẫn theo cách tiếp cận nhỏ lẻ, áp dụng với từng loại riêng biệt và cũng mới chỉ

giới hạn ở một số loại như can thiệp vào hệ thống, phát tán mã độc, nên mức độ tácđộng còn hẹp

Thứ tư, do sự phát triển nhanh của công nghệ và sự tăng trưởng đáng kể trongviệc sử dụng ứng dụng điện thoại thông minh và các thiết bị điện tử đang tạo ngàycàng gia tăng các lỗ hổng gây mất an toàn thông tin tuy các văn bản pháp luật đã chophép ngăn chặn và xử lý một số các hành vi gây mất an toàn thông tin, song việc ngănchặn, xử lý còn gặp nhiều khó khăn Do đó cần xây dựng những giải pháp bảo vệmạng và hệ thống thông tin khỏi những nguy cơ bị tấn công, đồng thời có thể đáp ứngnhu cầu ngày càng cao của xã hội Đồng thời quy định các chế tài xử lý đối với cácloại tội phạm công nghệ cao

Nhìn chung, các văn bản pháp luật trên phần lớn không chuyên biệt về an toànthông tin Nội dung về an toàn thông tin chưa nhiều và còn nằm rải rác; chưa có tính

hệ thống; chưa bao quát được các lĩnh vực an toàn thông tin; chưa đáp ứng được tìnhhình phát triển kinh tế - xã hội và công tác đảm bảo an toàn thông tin trong thực tiễnhiện nay Với các văn bản pháp luật hiện hành, vẫn chưa đủ cơ sở pháp lý để xây dựngtiếp các chế tài xử lý đủ mức độ răn đe; chưa xác định rõ ràng, cụ thể trách nhiệm củatừng đối tượng liên quan trong hoạt động đảm bảo an toàn thông tin

Như vậy có thể thấy, mặc dù các văn bản pháp lý đã tạo một hành lang pháp lý

cơ sở cho việc thực thi quản lý nhà nước về lĩnh vực an toàn thông tin; song như vậy làchưa đầy đủ và chưa có tính hệ thống hóa, chưa toàn diện vẫn phải cần tiếp tục xâydựng để hoàn thiện Thiết nghĩ, an toàn thông tin có vị trí và tầm quan trọng đối vớiđời sống - xã hội nói chung và đặc biệt đới với các cơ sở hạ tầng thông tin và hệ thốngthông tin trọng yếu quốc gia Do đó, việc xây dựng Luật An toàn thông tin là cấp thiết

để hoàn thiện và tạo hành lang pháp lý toàn diện quy định các vấn đề trong lĩnh vực antoàn thông tin

III.2 Phân tích thực tiễn mất an toàn thông tin tại Việt Nam do thiếu cơ sở pháp lý

III.2.1 Do sự thiếu đồng bộ và bao quát trong các văn bản pháp luật liên quan đến an toàn thông tin trong các lĩnh vực kinh tế, xã hội, an ninh, quốc phòng

Các văn bản pháp luật tới nay thường được xây dựng tập trung vào nhiệm vụquản lý của từng lĩnh vực đơn lẻ, chỉ đề cập đến một số quy định về an toàn thông tin

ở từng phạm vi hẹp, chưa đầy đủ, chưa hoàn thiện

Luật Giao dịch điện tử tạo ra khung pháp lý, công nhận hoạt động giao dịchđiện tử được thể hiện qua thông điệp dữ liệu, công nhận giá trị pháp lý của chữ ký điện

tử, tạo chỗ dựa pháp lý cho các bên giao dịch có sự tin cậy để ứng dụng giao dịch điện

tử Luật cũng đề cập đến các vấn đề liên quan đến an ninh, an toàn giao dịch và cả vấn

đề bảo vệ thông tin cá nhân trong quá trình giao dịch, song các quy định chỉ nhằm vào

an ninh, an toàn trong giao dịch điện tử Tuy nhiên, an toàn thông tin là một khái niệmrộng bao hàm an toàn mạng và hạ tầng thông tin, an toàn máy tính, dữ liệu và ứngdụng công nghệ thông tin Luật Giao dịch điện tử chưa đề cập đến những vấn đề này

Luật Viễn thông có Điều 5 và Điều 6 quy định một số nội dung về an toànthông tin Điều 5 quy định về bảo đảm an toàn cơ sở hạ tầng viễn thông và an ninhthông tin: Bảo đảm an toàn cơ sở hạ tầng viễn thông và an ninh thông tin là tráchnhiệm của mọi tổ chức, cá nhân Điều 6 quy định về bảo đảm bí mật thông tin: Tổchức, cá nhân tham gia hoạt động viễn thông có trách nhiệm bảo vệ bí mật nhà nướctheo quy định của pháp luật về bảo vệ bí mật nhà nước Luật Viễn thông chưa đề cậpđầy đủ đến các lĩnh vực trong an toàn thông tin

Luật Công nghệ thông tin đã nêu ba nhóm hành vi phạm pháp liên quan đến antoàn, an ninh thông tin trên mạng, bao gồm các nhóm hành vi nêu trong Điều 12:Nhóm hành vi vi phạm pháp luật có tính chất chống lại con người; Về nhóm hành vixâm phạm tài sản của tổ chức, cá nhân; nhóm hành vi vi phạm pháp luật có tính chấtchống lại Chính phủ Các nội dung liên quan đến an toàn thông tin có: Trách nhiệmcủa tổ chức, cá nhân tham gia hoạt động ứng dụng và phát triển công nghệ thông tin(Điều 9); Quản lý và sử dụng thông tin số (Điều 15); Truyền đưa thông tin số (Điều16); Lưu trữ tạm thời thông tin số (Điều 17); Theo dõi, giám sát nội dung thông tin số(Điều 20); Thu thập, xử lý và sử dụng thông tin cá nhân trên môi trường mạng(điều21); Lưu trữ, cung cấp thông tin cá nhân trên môi trường mạng (Điều 22); Thiết lậptrang thông tin điện tử (Điều 23)

Tuy các văn bản luật nêu trên có nêu một số quy định về công tác đảm bảo antoàn thông tin, song chưa đề cập đến đầy đủ và bao quát các lĩnh vực trong an toànthông tin Do sự phát triển nhanh chóng của công nghệ thông tin, có nhiều vấn đề phátsinh từ thực tiễn trong an toàn thông tin ở Việt nam còn chưa có cơ sở pháp lý điềuchỉnh Đây là một trong những nguyên nhân khiến tổ chức, cá nhân chưa thực sự tintưởng tham gia hoạt động đảm bảo an toàn thông tin Các cơ quan nhà nước chưa tạo

ra được hành lang pháp lý đồng bộ để triển khai các hoạt động tăng cường các biệnpháp đảm bảo an toàn thông tin, thu thập thông tin cảnh báo, điều phối công tác xử lýứng cứu…Các doanh nghiệp không mạnh dạn đầu tư phát triển các sản phẩm an toànthông tin và các ứng dụng thương mại qua mạng Người dùng còn e ngại trong việcchia sẻ thông tin qua mạng do lo sợ bị “lừa” hoặc bị “lợi dụng” trên môi trường mạng.Đảm bảo an toàn thông tin trong cơ quan nhà nước vẫn chưa được thật sự chú trọngđến như mong muốn Kết quả rõ ràng nhất thể hiện qua các cuộc tấn công vào cáctrang web của cơ quan nhà nước vẫn gia tăng

Các quy định còn rải rác ở các văn bản pháp luật ở các phạm vi và mức độ khácnhau, chưa đầy đủ, chưa bao quát được lĩnh vực an toàn thông tin, có thể gây chồngchéo trong lĩnh vực quản lý điều hành trong lĩnh vực an toàn thông tin, gây khó khănnhất định khi áp dụng Trong khi đó vẫn còn những khoảng trống chưa được điềuchỉnh, khi xảy ra sự cố thì vẫn thiếu các quy định phối hợp thực thi tổng thể Số lượngvirút máy tính, phần mềm độc hại, tin nhắn lừa đảo… vẫn tiếp tục gia tăng song vẫnchưa đủ các quy định pháp luật hỗ trợ công tác quản lý điều hành

Hình 1 – Biểu đồ thống kê sự cố Phising, Deface, Malware năm 2012 (Nguồn: VNCERT)

Theo số liệu thống kê của VNCERT, chỉ riêng các tấn công lừa đảo qua mạngđiển hình được Trung tâm xử lý tính từ 01/01/2011 đến 30/12/2011 đã là 757 vụ, gấp 3lần so với cả năm 2010 Tính đến cuối tháng 12/2012, số lượng các vụ tấn công lừađảo trên mạng là 2179 vụ, gấp 3 lần so với năm 2011 Lượng mã độc tăng với tốc độnhanh ở mức 45% trong vòng 3 năm qua (2010 - 2012) Hình thức tấn công từ chốidịch vụ tăng mạnh, ở mức 8% năm 2010 và lên đến 16% năm 2012 Trong khi đó,công tác quản lý về an toàn thông tin vẫn còn những thách thức và bất cập Trên 40%

cơ quan, tổ chức còn chưa quan tâm đến an toàn thông tin Gần 40% cơ quan, tổ chứckhông báo cáo sự cố cho cơ quan quản lý do chưa nhận thức được tầm quan trọng hoặckhông nhận biết được tấn công Gần 40% cơ quan tổ chức không có cán bộ chuyêntrách hoặc chỉ có cán bộ bán chuyên trách về an toàn thông tin

Hình 2 - Tỷ lệ đơn vị có cán bộ chuyên trách về ATTT so với cán bộ bán chuyên trách và không chuyên năm 2012 (Nguồn: VNCERT) – Tỷ lệ này không tăng trong 3 năm trở lại đây

Khảo sát của VNISA năm 2012 trên 100 website ngẫu nhiên thuộc khối nhànước thì có đến 80% không có các biện pháp bảo vệ tối thiểu chống lại dò quét IPS.Khảo sát trên 300 doanh nghiệp của VNISA cho thấy có tới 73% doanh nghiệp hiệnkhông có chính sách an toàn thông tin, 45% doanh nghiệp không có quy trình xử lý sự

cố về an toàn thông tin, 23% không biết hệ thống mình có bị tấn công hay không Bêncạnh đó, công tác điều phối ứng cứu, hỗ trợ vẫn còn thiếu cơ sở pháp lý ở mức cao.Công tác quản lý đảm bảo an toàn thông tin còn chưa thống nhất từ trung ương đến địaphương, còn thiếu cơ chế phối hợp và tính đồng bộ Đầu tư cho an toàn thông tin cònchưa đủ mức cần thiết Nhận thức cộng đồng về an toàn thông tin còn nhiều hạn chế.Các biện pháp chế tài còn thiếu nhiều

Hình 3 – Dự kiến tỷ lệ đầu tư cho CTTT tại các đơn vị GĐ 2011- 2015 (Nguồn: VNCERT – Tổng hợp từ kế hoạch CNTT và kế hoạch đầu tư cho Ứng dụng CNTT giai đoạn

2011 – 2015 của UBND các tỉnh, thành phố)

Ngoài ra, do thiếu văn bản pháp luật toàn diện và bao quát cho lĩnh vực an toànthông tin nên việc thực hiện các cam kết quốc tế sẽ gặp nhiều khó khăn Nghị quyếtHội nghị cấp cao 10 của các nước APEC ở Lốt Ca-bốt, Mê-hi-cô năm 2002 thông quatuyên bố chung về an toàn thông tin, trong đó có nêu các vấn đề về xây dựng luật vàcác văn bản pháp luật, công ước quốc tế về an toàn thông tin Các Nghị quyết của ĐạiHội đồng Liên hợp quốc, các Nghị quyết của Hội đồng Bảo an LHQ, Nghị quyết Hội

nghị Cấp cao ASEM 5 (2004 tại Hà Nội), các cam kết trong Liên minh Viễn thôngQuốc tế (ITU) đều thể hiện các nội dung cam kết quốc tế về tăng cường an toàn thôngtin trong khu vực và quốc tế Thiếu một văn bản luật điều chỉnh toàn diện, đầy đủ về

an toàn thông tin sẽ gây khó khăn cho quá trình hội nhập kinh tế quốc tế, cản trở đầu

tư nước ngoài vào Việt Nam và gia công phần mềm cho nước ngoài, cản trở các giaodịch thương mại trên mạng…

III.2.2 Do chế tài chưa đủ mạnh đối với hành vi gây mất an toàn thông tin

An toàn thông tin đang trở thành một lĩnh vực mới phát triển rất nhanh, trởthành một trong những vấn đề nghiêm trọng nhất trong mối quan hệ pháp luật – xã hội– con người mà các cơ quan, tổ chức, doanh nghiệp, cá nhân đều phải đối mặt

Những vấn đề nổi cộm về an toàn thông tin phát sinh do công nghệ thông tin vàtruyền thông đang ngày càng được ứng dụng rộng rãi trong mọi lĩnh vực chính trị-kinhtế-xã hội-văn hóa-lịch sử-đời sống…đặc biệt trong các cơ sở hạ tầng thông tin trọngyếu như: hoạt động của các cơ quan Chính phủ, Y tế, Dầu khí, Hệ thống cung cấpnước, Năng lượng điện, Viễn thông, Tài chính Ngân hàng, Thương mại và Giao thôngvận tải Hầu hết các hoạt động của các cơ quan, tổ chức, doanh nghiệp, cá nhân hàngngày đang ngày càng phụ thuộc vào công nghệ thông tin và truyền thông, vào kiến trúc

hạ tầng thông tin kết nối các hệ thống thông tin Điều đó mang lại những lợi ích to lớncho cá nhân, cơ quan, tổ chức, doanh nghiệp; giảm thiểu chi phí và tăng năng suất laođộng; mang lại những hiệu quả kinh tế thiết thực

Tuy nhiên, môi trường kết nối mạng toàn cầu làm phát sinh thêm nhiều nguy cơtiềm ẩn mới có thể gây ra nhiều hiểm họa lớn cho các cơ quan, tổ chức, doanh nghiệp,

và từng cá nhân trong xã hội Theo thống kê của Công ty An ninh mạng BKAV, trongtháng 3-2013 đã có 2.120 dòngvi-rút máy tính mới xuất hiện tại Việt Nam Các vi-rútnày đã lây nhiễm hơn 3,7 triệu lượt máy tính Cũng trong tháng 3, đã có 315 websitecủa các cơ quan, doanh nghiệp tạiViệt Nam bị tin tặc xâm nhập, trong đó có 10 trườnghợp gây ra bởi tin tặc trong nước, 305 trườnghợp do tin tặc nước ngoài Cũng theoBKAV, ước tính theo một cách đơn giản nhất, mức thiệt hại do vi-rút gây ra vàokhoảng 559 tỷ đồng mỗi tháng, tương ứng với 6.700 tỷ đồng mỗi năm Con số thiệt hạinày được tính dựa trên mức thu nhập của người sử dụng máy tính và thời gianmà côngviệc của họ bị gián đoạn do các trục trặc gây ra bởi vi-rút máy tính Kết quả củanghiêncứu cho thấy, mỗi người sử dụng máy tính tại Việt Nam đã bị thiệt hại trungbình 1.342.000 đồng trong một năm

Công nghệ phát triển rất nhanh đòi hỏi hệ thống luật pháp phải đi trước mộtbước nhằm xác định rõ khung các hành vi, tạo nền tảng cơ sở để tiếp tục xây dựng cácchế tài xử lý vi phạm hành chính đầy đủ và cụ thể, đủ sức răn đe và định hướng hành

vi của xã hội hướng tới đảm bảo an toàn thông tin, lên án, tẩy chay các hành vi xâmphạm an toàn thông tin.

Nhiều loại hình tấn công trên mạng ngày càng thường xuyên hơn như làm biếndạng trang tin, lừa đảo trên mạng, tấn công từ chối dịch vụ, phát tán mã độc hại vàvirút máy tính, thư rác, đánh cắp thông tin, phá hoại dữ liệu, làm gián đoạn và phá rốihoạt động của các hệ thống thông tin, phần mềm gián điệp, tấn công hệ thống ngânhàng và mạng bán hàng trực tuyến, nhắn tin lừa đảo, đe dọa, tống tiền, biến máy tínhcủa cá nhân, tổ chức thành nạn nhân, thành bàn đạp để tấn công các đối tượng khác,thành mạng máy tính ma để tấn công trên diện rộng…

Hình 4 – Lỗi bảo mật ở cổng thông tin điện tử của Việt Nam năm 2010 (Nguồn: VNCERT)

Các vụ tấn công điển hình là thay đổi trang chủ của báo điện tử Vietnamnettháng 11/2010, đột nhập và thay đổi trang chủ của Bộ Giáo dục và đào tạo tháng11/2006, thay đổi nội dung và mã truy cập của 38 hồ sơ trong trang chủ của Sở Kếhoạch đầu tư TP Hồ Chí Minh tháng 7/2006, tấn công chiếm đoạt tên miền làm tê liệtkhoảng 10.000 trang chủ thuộc Công ty PAViệt Nam tháng 7/2008, tấn công chiếmđoạt thẻ tín dụng và chuyển tiền trái phép qua mạng Internet, tấn công trang chủ củaNgân hàng Techcombank tháng 7/ 2008, tấn công phá sập Cổng thông tin điện tử củatỉnh Nam Định tháng 7/2008, tấn công vào website bộ Nông nghiệp đầu năm 2011…Khi điều tra truy tìm được thủ phạm thì chưa đủ cơ sở pháp lý để xử phạt, mức xử phạtcòn chưa tương xứng, chưa đủ sức răn đe Khi có sự cố mất an toàn thông tin do nhàcung cấp dịch vụ mạng, khách hàng không biết căn cứ vào đâu để khiếu nại Khi nhàcung cấp dịch vụ gặp oan ức vì sự cố trên mạng cũng không biết kêu ai

Nhiều dịch vụ và ứng dụng mạng mới ngày càng gia tăng theo sự phát triên củacông nghệ thông tin và truyền thông, điển hình là các dịch vụ trên nền tảng điện toánđám mây, tính toán lưới, lưu trữ dữ liệu trên mạng, các dịch vụ trên nền mạng 3G,mạng thế hệ mới…kéo theo nhiều hành vi vi phạm an toàn thông tin mới tinh vi hơn,phức tạp hơn, có sự liên quan đến nhiều thành phần, đối tượng hơn, với phạm vi vàquy mô lớn hơn Hệ thống giám sát vi-rút của BKAV phát hiện hàng loạt thư điện tửđính kèm file văn bản có chứa phần mềm gián điệp được gửi tới các cơ quan, doanhnghiệp trong cả nước Các file văn bản từ trước đến nay vẫn được cho là an toàn nênhầu hết người nhận đã mở file đính kèm và bị nhiễm vi-rút dạng spyware khai thác lỗhổng của phần mềmMicrosoft Office (bao gồm cả Word, Excel và PowerPoint) Saukhi xâm nhập, vi-rút này âm thầm kiểmsoát toàn bộ máy tính của nạn nhân, mở cổnghậu (backdoor), cho phép tin tặc điều khiển máy tính nạn nhân từ xa Từ đó, tin tặc sẽtải các vi-rút khác về máy tính để ghi lại thao tác bàn phím, chụp màn hình, lấy cắp tàiliệu, tài khoản ngân hàng

Các quy định trong các văn bản pháp luật hiện có chưa đủ để điều chỉnh nhữnghành vi, nguy cơ xâm phạm an toàn thông tin mới phát sinh trên thực tế Ngày càngxuất hiện xu hướng tin tặc chuyên nghiệp hoạt động có tổ chức, với nhiều hình thức vàphương tiện tinh vi hơn, diễn biến phức tạp hơn Ngoài những tấn công đánh cắp thôngtin, phá hoại, gây rối, ngày càng có thêm nhiều tấn công mang tính vụ lợi Các sự cố

an toàn thông tin đã tăng lên nhanh chóng trong thời gian qua, kéo theo những thiệt hại

về vật chất, tiền bạc và những thiệt hại vô hình khác, gây ra ảnh hưởng đến hoạt độngcủa các cơ quan nhà nước, thiệt hại cho doanh nghiệp và người dân, bức xúc cho xãhội Số trang web Việt Nam bị tấn công vẫn tiếp tục tăng rất nhanh với 300 websitetrong năm 2011 lên đến gần 2500 website trong năm 2012 (Theo ghi nhận củaMicrosoft)

Thực tế nêu trên đã đưa ra một nhu cầu rất rõ ràng: Cần phải phân định rõ cáchành vi cần sự điều chỉnh và tuân thủ của pháp luật về an toàn thông tin, đáp ứng sựphát triển nhanh chóng của công nghệ thông tin và truyền thông, đáp ứng xu thế hội tụcông nghệ và xu thế hội nhập kinh tế quốc tế Xác định rõ các hành vi vi phạm an toànthông tin, các nguy cơ rò rỉ, kẽ hở có thể dẫn đến vi phạm an toàn thông tin cấu thànhtội phạm máy tính Tạo nền tảng cơ sở để tiếp tục xây dựng các chế tài xử lý vi phạmhành chính đầy đủ và cụ thể, đủ sức răn đe và định hướng hành vi của xã hội hướng tớiđảm bảo an toàn thông tin, lên án, tẩy chay các hành vi xâm phạm an toàn thông tin

III.2.3 Do chưa quy định rõ quyền hạn, trách nhiệm pháp lý của các cá nhân, tổ chức, doanh nghiệp, nhà nước trong việc áp dụng, thực thi các biện pháp, chương trình đảm bảo an toàn thông tin

Phần lớn các văn bản pháp luật hiện hành thường chỉ nêu quyền hạn và tráchnhiệm pháp lý của các cá nhân, tổ chức, doanh nghiệp, nhà nước về đảm bảo an toànthông tin trong một số lĩnh vực chuyên biệt Luật Công nghệ thông tin nêu quyền hạn

và trách nhiệm của các cá nhân, tổ chức trong: tham gia hoạt động ứng dụng và pháttriển công nghệ thông tin; quản lý và sử dụng thông tin số; truyền đưa thông tin số; lưutrữ tạm thời thông tin số; theo dõi, giám sát nội dung thông tin số; thu thập, xử lý và sửdụng thông tin cá nhân; lưu trữ, cung cấp thông tin cá nhân Đây là luật có nhiều điềukhoản liên quan đến an toàn thông tin nhất

Tuy nhiên, Luật Công nghệ thông tin và các luật khác còn chưa quy định rõtrách nhiệm và quyền lợi của các cá nhân, tổ chức, doanh nghiệp tham gia vào cungcấp các dịch vụ đảm bảo an toàn thông tin thiếu cơ sở pháp lý về trách nhiệm chủ quản

hệ thống Các văn bản pháp luật hiện hành cũng chưa nêu trách nhiệm và quyền hạnđối với việc đảm bảo an toàn hệ thống thiết bị, an toàn mạng, an toàn cơ sở dữ liệu…

Chính vì những bất cập đó, kể từ 2008 tới nay, mỗi năm vẫn có khoảng từ 35%đến 45% cơ quan, doanh nghiệp trên toàn quốc bị tấn công Tính đến tháng 11/2011,vẫn còn tới trên 40% trang chủ và cổng thông tin điện tử của các cơ quan, doanhnghiệp luôn tồn tại các lỗ hổng bảo mật nghiêm trọng có thể bị tin tặc lợi dụng tấncông Việc một số trang báo điện tử, trang chủ bị đánh sập, thay đổi nội dung là mộtbài học về sự mất cảnh giác, xem nhẹ công tác đảm bảo an toàn thông tin cho các hệthống trang tin ở Việt Nam hiện nay

Bên cạnh đó, quyền và lợi ích hợp pháp của các cá nhân, tổ chức, doanh nghiệptham gia vào cung cấp các dịch vụ đảm bảo an toàn thông tin chưa được đảm bảo nênkhông khuyến khích được nguồn lực đầu tư của xã hội cho phát triển an toàn thông tin,không thúc đẩy được các hoạt động công ích về an toàn thông tin

Các dự án đầu tư trang bị hệ thống thông tin, phát triển mạng chưa quan tâmđúng mức đến các biện pháp đảm bảo an toàn thông tin do thiếu quy định pháp lý và

do tư tưởng tiết kiệm chi phí nhỏ đầu tư cho an toàn thông tin, dẫn đến những thiệt hạilớn khi mất toàn bộ dữ liệu hoặc ngưng trệ hoạt động hệ thống Khi đó rất khó xử lý

do thiếu phân định rõ ràng về trách nhiệm và quyền hạn

Kinh nghiệm các nước cho thấy, cần phải phân định rõ quyền hạn, trách nhiệmpháp lý của các cá nhân, tổ chức, doanh nghiệp, nhà nước trong việc áp dụng, thực thicác biện pháp, chương trình đảm bảo an toàn thông tin; phân định rõ trách nhiệm củachủ quản hệ thống thông tin Đảm bảo quyền lợi hợp pháp của các đối tượng trong

III.2.4 Do chưa có quy định về đảm bảo an toàn thông tin đối với các cơ sở hạ tầng thông tin quan trọng của quốc gia, các tài nguyên và cơ

sở dữ liệu dùng chung

Hiện nay chưa có văn bản pháp luật nào đưa ra các quy định cụ thể nào về bảo

vệ các hệ thống thông tin quan trọng quốc gia, các hệ thống thông tin quan trọng củacác bộ ngành, địa phương, các hệ thống thông tin thuộc bí mật nhà nước Trong cácvăn bản pháp luật hiện hành, một số khái niệm còn được định nghĩa chưa nhất quán,chưa bao quát, thậm chí chỉ áp dụng được trong một số lĩnh vực hạn chế, ví dụ cáckhái niệm về cơ sở hạ tầng thông tin, cơ sở hạ tầng công nghệ thông tin, hệ thốngthông tin, hệ thống thông tin quan trọng (hay trọng yếu) quốc gia; hay khái niệm vềmôi trường mạng, không gian mạng, môi trường số,

Thực tế cho thấy, nhiều hệ thống thông tin đang dần trở thành hệ thống thôngtin quan trọng (trọng yếu) quốc gia và là một phần quan trọng trong đời sống xã hội.Tại nhiều nước, cơ sở hạ tầng thông tin trọng yếu gồm các hệ thống thông tin phục vụcho các cơ quan Chính phủ, các lĩnh vực Y tế, Dầu khí, Cung cấp nước, Năng lượngđiện, Viễn thông, Tài chính Ngân hàng, Thương mại và Giao thông vận tải

Mặt khác, việc bảo vệ thông tin chưa thực sự bao quát và rõ nét, ngoại trừ bảo

vệ thông tin cá nhân đã được nêu từng nội dung cụ thể trong một số văn bản pháp luậtnhư:

Bộ Luật dân sự năm 2005 đã đưa ra một số quy định nguyên tắc tại Điều 31 Quyền của cá nhân đối với hình ảnh và Điều 38 - Quyền bí mật đời tư

Luật giao dịch điện tử năm 2005 quy định chung về bảo mật thông tin tronggiao dịch điện tử tại Điều 46 Trong các văn bản hướng dẫn thi hành Luật giao dịchđiện tử, chỉ có Thông tư số 09/2008/TT-BCT ngày 21/7/2008 của Bộ Công Thươnghướng dẫn về cung cấp thông tin và giao kết hợp đồng trên website thương mại điện tửđưa ra một số quy định thêm về bảo vệ thông tin cá nhân của khách hàng tại Điều 21

- Luật công nghệ thông tin năm 2006 đã có những quy định rõ ràng, cụ thể hơn

về trách nhiệm bảo vệ thông tin cá nhân tại các Điều 21,22 và 72

- Luật viễn thông năm 2009 có Điều 6 và 16 quy định về bảo vệ thông tin riêngcủa tổ chức, cá nhân tham gia hoạt động viễn thông

- Luật bảo vệ người tiêu dùng năm 2010 cũng đã dành Điều 6 để quy định vềbảo vệ thông tin của người tiêu dùng

- Luật sửa đổi, bổ sung một số điều của Bộ Luật Hình sự năm 2009 sửa đổiĐiều 226 quy định hình phạt từ 10 triệu đồng đến 100 triệu đồng, cải tạo không giamgiữ đến ba năm hoặc bị phạt tù từ sáu tháng đến ba năm cho hành vi: “Mua bán, traođổi, tặng cho, sửa chữa, thay đổi hoặc công khai hóa những thông tin riêng hợp pháp

của cơ quan, tổ chức, cá nhân khác trên mạng máy tính, mạng viễn thông, mangInternet mà không được phép của chủ sở hữu thông tin đó” gây hậu quả nghiêm trọng.

- Nghị định số 63/2007/NĐ-CP ngày 10/4/2007 của Chính phủ có Điều 6 quyđịnh mức xử lý vi phạm hành chính từ 200.000 đồng đến 5.000.000 đồng cho các hành

vi vi phạm quy định về thông tin cá nhân

- Thông tư số 25/2010/TT-BTTTT ngày 15/11/2010 quy định về việc thu thập,

sử dụng, chia sẻ, bảo đảm an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện

tử hoặc cổng thông tin điện tử của cơ quan nhà nước

Ở khía cạnh khác, trong thời gian gần đây, các vấn đề liên quan đến bảo vệ cơ

sở hạ tầng thông tin chung và cơ sở hạ tầng thông tin trọng yếu nói riêng luôn đượccác cấp lãnh đạo các cơ quan nhà nước cũng như doanh nghiệp quan tâm Bởi sự pháttriển mạnh về viễn thông - công nghệ thông tin song song với việc phải có nhữngphương án ngăn chặn các cuộc tấn công vào hạ tầng viễn thông – công nghệ thông tin.Tuy nhiên, đi cùng với sự phát triển mạnh mẽ này của Internet là nguy cơ ngày càngtăng của các cuộc tấn công mạng, đặc biệt là nhắm vào các cơ quan nhà nước

Hình 5 – Những nguy cơ mất an toàn thông tin nhắm vào các cơ quan nhà nước

Việc một quốc gia có nền công nghệ khá tiên tiến như Iran đã bị sâu Stuxnetxâm nhập vào hạ tầng thông tin của một cơ sở an ninh trọng yếu suốt một thời gian dàicho thấy ở một quốc gia như Việt Nam, việc mạng máy tính của các cơ quan nhà nước,

kể cả các cơ quan trọng yếu, bị tin tặc nước ngoài xâm nhập là một khả năng khôngphải khó hình dung Trong bối cảnh đó, việc bảo vệ cơ sở hạ tầng thông tin trọng yếutrở thành một vấn đề hết sức quan trọng ở nước ta

Đầu năm 2011, hàng trăm website của Việt Nam đã bị các hacker nước ngoàitấn công chiếm quyền điều khiển, thay đổi giao diện, trong đó có các website của bộNông nghiệp, Bộ Ngoại giao Tháng 10/2011, hơn 150 website bị tấn công một ngày

do nhóm hacker Thổ Nhĩ Kỳ thực hiện đối với một số máy chủ tại TP.Hồ Chí Minh

của các công ty cung cấp dịch vụ hosting, domain khá phổ biến Tháng 11 năm 2011.

Bộ TT&TT vừa thông báo về loại “siêu mã độc” có tên "Gauss", được coi là "siêu vũkhí mạng" có khả năng nhằm chiếm quyền điều khiển hệ thống, đánh cắp nhiều thôngtin, đặc biệt là thông tin ngân hàng Tháng 02/2012, website của trung tâm an ninhmạng BKAV bị hacker tấn công Nhóm hacker Anonymous đã liên tục tấn công và chỉ

ra nhiều lỗi bảo mật của website này

Nguyên nhân chủ yếu là sự yếu kém trong quản trị website và không thườngxuyên phát hiện và khắc phục các lỗ hổng an toàn thông tin, ít quan tâm đến các cảnhbáo an ninh của cơ quan, tổ chức có chức năng đảm bảo an toàn an ninh thông tin quốcgia cũng như sự thiếu hợp tác giữa các đơn vị có chức năng chuyên môn Nhất là đốivới các cơ quan nhà nước, tình trạng “cha chung không ai khóc” trong việc phản ứngđối với các sự cố liên quan đến CSDL và hạ tầng mạng dùng chung đang là một thựctrạng cần điều chỉnh

Hình 6 – Chỉ số tỷ lệ áp dụng giải pháp ATTT năm 2010 (Nguồn: VNCERT)

Do vậy, cần thiết phải xác lập rõ các quy định về bảo vệ các hệ thống thông tinquan trọng quốc gia, các hệ thống thông tin quan trọng của các bộ ngành, địa phương,các hệ thống thông tin thuộc bí mật nhà nước, bảo vệ thông tin cá nhân và tổ chức trênmôi trường mạng, bảo vệ môi trường mạng an toàn cho xã hội Đưa ra các quy địnhbắt buộc đối với các đối tượng tham gia chia sẻ hạ tầng thông tin Quản lý chặt hơnviệc đảm bảo an toàn thông tin trong sử dụng chung cơ sở hạ tầng thông tin, dùngchung cơ sở dữ liệu và tài nguyên mạng Quy định về phối hợp trong đảm bảo an toànthông tin

III.2.5 Chưa có định hướng, chính sách và cơ chế hỗ trợ phát triển rõ ràng đối với doanh nghiệp và thị trường an toàn thông tin trong nước.

Các văn bản pháp luật hiện hành đều chưa đề cập nhiều đến các dịch vụ, sảnphẩm an toàn thông tin Điều đó khiến cho doanh nghiệp, thị trường an toàn thông tincòn gặp nhiều lúng túng

Pháp luật chưa có những quy định ràng buộc cụ thể về các dịch vụ, sản phẩm antoàn thông tin nên chưa thúc đẩy được nghiên cứu, phát triển các sản phẩm nội địa Antoàn thông tin và lĩnh vực đặc thù và nhạy cảm, liên quan nhiều đến xã hội, vấn đềpháp lý, đạo đức và con người Khó có thể tin cậy khi các hệ thống bảo vệ chỉ dựa vàocông nghệ bên ngoài Quy định cụ thể của văn bản pháp luật sẽ góp phần thúc đẩynăng lực, sức mạnh nội địa trong việc cung cấp các sản phẩm, dịch vụ an toàn thôngtin

Mặt khác, một số sản phẩm có yêu cầu đặc thù về bảo đảm an toàn thông tincần được điều chỉnh bởi quy định của pháp luật về sản xuất, kinh doanh, nhập khẩu.Hiện nay chưa có văn bản pháp luật nào đề cập cụ thể đến vấn đề này

Một số loại hình kinh doanh dịch vụ an toàn thông tin nhạy cảm cần được nhànước quản lý dưới hình thức kinh doanh có điều kiện như: Dịch vụ bảo mật thông tin

An toàn thông tin là trách nhiệm của toàn xã hội, cần khuyến khích phát triểntheo hướng xã hội hóa Điều chỉnh các quy định pháp luật sẽ giúp định hướng pháttriển cho doanh nghiệp và thị trường an toàn thông tin