Nhu cầu được an toàn là một trong những nhu cầu hết sức cơ bản của con người. Cùng với tiến trình phát triển, qua thời gian, xã hội đã xây dựng nên nhiều hệ thống thiết chế khác nhau để bảo đảm an toàn, chẳng hạn như an toàn giao thông, an toàn lao động hay an toàn thực phẩm. An toàn thông tin cũng tương tự như vậy.

Trước kia, thông tin tồn tại chủ yếu dưới dạng bản giấy. Khi máy vi tính ra đời, thông tin có thể tồn tại dưới dạng điện tử, được lưu trữ trong phương tiện mang tin (máy vi tính, đĩa CD). Nếu thông tin tồn tại dưới dạng bản giấy hoặc lưu trữ trong phương tiện mang tin rời rạc, không kết nối mạng thì việc bảo đảm an toàn thông tin chính là bảo vệ vật lý cho phương tiện mang tin. Việc bảo vệ cho phương tiện mang tin về cơ bản là giống với việc bảo vệ các tài sản hữu hình khác, không có gì đặc thù.

Nhưng khi mạng trở nên phổ biến, thông tin lại được truyền đưa qua mạng, chia sẻ qua các hệ thống thông tin khác nhau như website, blog hay mạng xã hội. Khác với các môi trường truyền thống, môi trường mạng không có biên giới, ranh giới xác định. Việc bảo vệ tài sản thông tin và hệ thống thông tin trên mạng có nhiều điểm khác biệt đặc thù so với bảo vệ tài sản hữu hình thông thường. Về nguyên tắc, người sử dụng từ một điểm kết nối mạng có thể truy cập tới bất cứ điểm kết nối mạng nào khác ở bất cứ đâu trên thế giới chỉ trong thời gian rất ngắn, với chi phí ngày càng thấp. Việc theo dõi, dò quét tìm điểm yếu của hệ thống có thể tiến hành từ khoảng cách rất xa, không phụ thuộc vào vị trí địa lý. Do vậy, nguy cơ tiềm ẩn mất an toàn thông tin trên mạng hiện hữu trong từng giây.

Công tác bảo đảm an toàn thông tin trên mạng vì thế đã và đang đặt ra những vấn đề, thách thức rất mới, mang tính “phi truyền thống”, đòi hỏi tất cả mọi người, trong đó đặc biệt các nhà lập pháp, phải quan tâm.

Một số vấn đề “nóng” trong dự thảo Luật

Nội hàm khái niệm an toàn thông tin

Nghị định số 72/2013/NĐ-CP ngày 14/7/2013 của Chính phủ đã đưa ra định nghĩa: An toàn thông tin là sự bảo vệ thông tin và hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin. Cách giải thích khái niệm này là hoàn toàn tương đồng với cách giải thích khái niệm trong văn bản luật mà Hoa Kỳ đã ban hành (Luật FISMA năm 2002). Dự thảo Luật an toàn thông tin tiếp tục sử dụng khái niệm “an toàn thông tin” với nội hàm như vậy.

Có thể nói một cách ước lệ, dự thảo Luật an toàn thông tin trên mạng cũng tương tự như Luật giao thông đường bộ hay Luật an toàn thực phẩm. Dự thảo Luật an toàn thông tin tập trung vào các vấn đề kỹ thuật nhằm bảo đảm quá trình truyền tải thông tin được nguyên vẹn, không bị sửa đổi, tiết lộ, gián đoạn. Dự thảo Luật không điều chỉnh các vấn đề về nội dung thông tin. Các vấn đề về nội dung thông tin hiện đã và đang được điều chỉnh bởi các văn bản pháp luật khác, chẳng hạn Luật Báo chí. Điều này cũng giống như trong an toàn giao thông, chỉ tập trung vào các vấn đề kỹ thuật như phương tiện tham gia giao thông phải có phanh, đi buổi tối phải bật đèn, có tiêu chuẩn khí thải phù hợp, không được chạy xe quá tải, quá khổ v.v… 

Bảo vệ thông tin và hệ thống thông tin

Thông tin trên mạng đã trở thành tài sản của mỗi cá nhân, tổ chức và thậm chí cả quốc gia. Có nhiều cá nhân, tổ chức mà tài sản của họ trên mạng còn lớn hơn nhiều các tài sản hữu hình khác. Các doanh nghiệp sẽ không thể tồn tại và phát triển nếu các thông tin hoặc hệ thống thông tin này bị đánh cắp hay bị phá hoại. Các cơ quan nhà nước thì không thể phục vụ người dân nhanh chóng và thuận tiện nếu các website của họ không hoạt động bình thường. Cải cách hành chính, chính phủ điện tử, thương mại điện tử và một loạt chương trình lớn của quốc gia sẽ không thể thực hiện được nếu an toàn thông tin không được bảo đảm. Một cá nhân cũng sẽ bị thiệt hại nếu các thông tin cá nhân bị đánh cắp, bị làm sai lệch.

Thời gian vừa qua, nhiều website của các doanh nghiệp và cơ quan nhà nước, bị tấn công, phá hoại, gây thiệt hại nhiều tỷ đồng. Đơn cử, ngày 13/10/2014, Trung tâm dữ liệu của VCCorp, một doanh nghiệp cung cấp dịch vụ trực tuyến lớn ở Việt Nam gặp sự cố. Sự cố này ảnh hưởng tới hàng trăm trang thông tin điện tử của Việt Nam, trong đó có một số hệ thống thương mại điện tử, một số tờ báo điện tử lớn có hàng triệu người đang sử dụng dịch vụ. Tin tặc không loại trừ một quốc gia, một tổ chức hay cá nhân nào, ngay cả nước Mỹ, một trong những nước phát triển nhất trên thế giới về CNTT, cũng gặp không ít rắc rối với chúng. Trong bối cảnh đó, mỗi cá nhân, tổ chức có “tài sản mềm” cần tự có trách nhiệm, cần nhận thức đầy đủ hơn và có biện pháp bảo vệ phù hợp với loại tài sản này.

Trước hết, để bảo vệ, cần tiến hành phân loại, xác định cấp độ theo mức độ quan trọng của thông tin và hệ thống thông tin. Sau đó, cũng giống như trong cuộc sống, để bảo vệ tài sản hữu hình có giá trị, người ta sử dụng phổ biến các loại khóa. Đối với “tài sản mềm” là thông tin, các loại “khóa mềm” chính là sản phẩm mật mã thương mại, phần mềm bảo vệ hoặc chữ ký số. Người sử dụng thường không thể tự làm ra khóa cho tài sản của mình, mà thường là phải mua khóa của các doanh nghiệp sản xuất khóa có uy tín, được nhà nước cho phép.

Bên cạnh đó, nếu chúng ta không thể đủ sức tự chống lại tin tặc xâm phạm trái phép, thì chúng ta có thuê dịch vụ. Các doanh nghiệp cung cấp dịch vụ bảo đảm an toàn thông tin sẽ “am hiểu” rất sâu về hệ thống thông tin của khách hàng. Cũng giống như các doanh nghiệp kiểm toán sẽ “am hiểu” về cơ cấu thu chi tài chính của doanh nghiệp mà họ thực hiện kiểm toán. Rõ ràng rằng, để bảo đảm quyền lợi cũng như trách nhiệm của các bên, đây phải là một loại hình kinh doanh có điều kiện!

Ngoài ra, trong nhiều trường hợp, “tài sản mềm” của cá nhân, tổ chức này lại đang được lưu giữ trong hệ thống của cá nhân, tổ chức khác. Chẳng hạn, các bài viết trên báo điện tử Dân Trí đang được lưu trữ trong trung tâm dữ liệu của công ty VCCorp; hàng triệu thông tin cá nhân của người sử dụng đang được lưu trữ tại các doanh nghiệp viễn thông. Khi một tổ chức lưu giữ “tài sản mềm” của một hay nhiều tổ chức, cá nhân khác, tổ chức này phải có một số trách nhiệm pháp lý tối thiểu trong việc áp dụng các biện pháp bảo đảm an toàn cho “tài sản mềm” đó.

Ba nhóm vấn đề nêu trên là những vấn đề mà hành lang pháp lý hiện hành đang còn thiếu. Nội dung dự thảo Luật an toàn thông tin hướng tới điều chỉnh những vấn đề như vậy.

Đầu tư cho an toàn thông tin chưa tương xứng

Tiếc rằng, hiện nay, vẫn còn nhiều tổ chức, cá nhân chỉ nhận ra hậu quả khi đã bị tin tặc tấn công. Sau khi bị thiệt hại lớn, người ta lại mất rất nhiều thời gian, công sức và tiền bạc để khôi phục dữ liệu cho hệ thống của mình hoạt động trở lại. Thậm chí trong một số trường hợp là không thể khôi phục được! Nếu như người ta đầu tư một phần cho việc phòng cháy, thì sẽ tốn kém rất ít so với chi phí để chữa cháy và khôi phục tài sản bị cháy. Công tác bảo đảm an toàn thông tin của mỗi cá nhân, tổ chức, suy rộng ra là của cả quốc gia phải là một chi phí thường xuyên, chiếm tỷ lệ nhất định trong nguồn tài chính của cá nhân, tổ chức và của cả quốc gia đó. Nên chăng, dự thảo Luật cần có quy định cụ thể về việc này?

An toàn thông tin góp phần bảo đảm quốc phòng, an ninh

Mất an toàn thông tin sẽ dẫn tới thiết bị cũng như hệ thống thông tin có thể bị khống chế để thực hiện các cuộc tấn công mạng quy mô lớn nhằm vào mục tiêu quan trọng, hoặc đánh cắp các thông tin bí mật, nhạy cảm, hoặc bị lợi dụng để phát tán thông tin độc hại. Vì vậy, việc bảo đảm an toàn thông tin chính là cơ sở để thực hiện bảo đảm an ninh thông tin, góp phần bảo đảm quốc phòng, an ninh đất nước.

Việc ban hành Luật an toàn thông tin chắc chắc sẽ không thể nào loại bỏ hoàn toàn sự cố mất an toàn thông tin, cũng giống như Luật giao thông đường bộ sẽ không thể nào loại bỏ hoàn toàn sự cố mất an toàn giao thông, Luật an toàn thực phẩm không loại bỏ hoàn toàn sự cố ngộ độc. Nhưng việc ban hành Luật chắc chắn sẽ tạo cơ sở tốt hơn cho hoạt động bảo đảm an toàn thông tin, làm rõ quyền và trách nhiệm của mọi tổ chức, cá nhân tham gia vào môi trường mạng.

Theo Vietnamnet