PV: Theo Luật sư, dự thảo Luật An ninh mạng (sửa đổi) có những điểm mới đáng chú ý nào?
Luật sư Nguyễn Danh Huế: Dự thảo Luật gồm 09 chương với 58 điều được xây dựng trên cơ sở hợp nhất chính sách đã được quy định trong Luật An toàn thông tin mạng năm 2015 (sửa đổi, bổ sung năm 2018) và Luật An ninh mạng năm 2018; đồng thời bổ sung một số quy định về những vấn đề cấp bách đang phát sinh, tác động lớn đến đời sống xã hội do sự phát triển vượt bậc của khoa học và công nghệ trong thời đại mới. Cụ thể là:
1. Bổ sung chế định về “an ninh dữ liệu”: Bổ sung quy định về bảo đảm an ninh dữ liệu: Lần đầu tiên, dự thảo bổ sung quy định riêng về bảo đảm an ninh dữ liệu, coi dữ liệu là “tài sản quốc gia”, là “hạt nhân” của chuyển đổi số – không chỉ dữ liệu cá nhân mà cả dữ liệu tổ chức, dữ liệu hệ thống, dữ liệu trong quá trình truyền tải.
2. Bổ sung nghĩa vụ định danh và cung cấp địa chỉ IP: Dự thảo yêu cầu doanh nghiệp cung cấp dịch vụ trên mạng (ISP, nền tảng…) phải định danh, quản lý, lưu trữ và cung cấp thông tin địa chỉ IP của người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng, bằng cơ chế kỹ thuật nhanh (API, kết nối trực tiếp), tập trung, không còn kiểu “gửi công văn – chờ trả lời”Bổ sung quy định về kinh phí bảo vệ an ninh mạng của cơ quan, tổ chức, doanh nghiệp nhà nước, tổ chức chính trị phải bảo đảm tối thiểu 10% trong tổng kinh phí triển khai đề án, dự án, chương trình, kế hoạch đầu tư, ứng dụng, phát triển CNTT.
3. Khuyến khích sử dụng sản phẩm, dịch vụ an ninh mạng của Việt Nam: Bổ sung quy định về việc khuyến khích các cơ quan, tổ chức thuộc hệ thống chính trị, doanh nghiệp nhà nước sử dụng sản phẩm, dịch vụ công nghiệp an ninh của Việt Nam bảo đảm tiêu chuẩn, quy chuẩn chất lượng để nâng cao năng lực tự chủ về an ninh mạng.
4. Chứng chỉ an ninh mạng đối với người đứng đầu hệ thống thông tin quan trọng: Người đứng đầu/phụ trách hệ thống thông tin quan trọng về an ninh quốc gia phải tham gia sát hạch và được cấp chứng chỉ an ninh mạng – nhằm khắc phục tình trạng thiếu nhân lực được đào tạo bài bản, xử lý sự cố chậm, lúng túng.
Ảnh minh họa. Nguồn: Internet.
PV: Những điểm mới này sẽ khắc phục những bất cập nào về an ninh mạng ở Việt Nam hiện nay?
Luật sư Nguyễn Danh Huế:Thứ nhất, khắc phục tình trạng pháp luật phân tán, chồng chéo. Trước đây, an ninh mạng và an toàn thông tin mạng được điều chỉnh bởi hai luật khác nhau, dẫn đến khó áp dụng, trùng lặp và lỗ hổng ở những mảng “giao thoa” (nhất là dữ liệu). Việc hợp nhất thành một Luật An ninh mạng thống nhất giúp rõ hơn về phạm vi, nguyên tắc, trách nhiệm các chủ thể và tránh chồng chéo giữa Bộ Công an – Bộ Thông tin và Truyền thông – Bộ Quốc phòng, bám đúng theo nguyên tắc “một việc – một cơ quan chủ trì” để nâng cao hiệu quả quản lý nhà nước.
Thứ hai, khắc phục những khoảng trống về an ninh dữ liệu: Quy định mới về an ninh dữ liệu đặt yêu cầu bảo vệ dữ liệu ở tầm an ninh quốc gia, không chỉ ở góc độ quyền riêng tư cá nhân và tạo cơ sở để xử lý các hành vi tấn công hạ tầng dữ liệu, đánh cắp cơ sở dữ liệu lớn (cơ sở dữ liệu dân cư, tài chính, y tế, năng lượng…) theo hướng vừa hình sự, vừa an ninh. Đây là điều hết sức có ý nghĩa trong bối cảnh tình hình an ninh trên không gian mạng hết sức phức tạp hiện nay.
Thứ ba, giải quyết những bất cập trong truy vết IP, đấu tranh với tội phạm trên không gian mạng: hiện tại việc tra cứu IP phải “xin – cho” từ nhà mạng nên việc xác minh các vụ việc rất chậm, khó khăn; tỷ lệ tra cứu có thông tin thấp, thời gian phản hồi chậm, phát sinh tiêu cực, nguy cơ lộ lọt thông tin nghiệp vụ. Việc yêu cầu định danh, quản lý tập trung và cung cấp IP qua API giúp lực lượng chức năng truy vết nhanh, chính xác điểm xuất phát tấn công, lừa đảo, phát tán tin giả… và giảm lệ thuộc vào “thiện chí hợp tác” của doanh nghiệp, hạn chế tiêu cực khi cung cấp dữ liệu, làm cho việc xử lý các vụ việc nhanh, kịp thời và hiệu quả cao.
Thứ tư, khắc phục tình trạng “đầu tư CNTT nhưng bỏ quên an ninh mạng”. Nhiều năm qua, cơ quan/đơn vị thiên về mua sắm hạ tầng, ứng dụng nhưng chi cho an ninh mạng rất thấp, chủ yếu “chữa cháy” khi có sự cố. Quy định tối thiểu 10% buộc chủ đầu tư phải đưa an ninh mạng vào ngay từ khâu thiết kế dự án, không phải “gắn thêm” sau khi triển khai và có nguồn lực ổn định để vận hành SOC, backup, diễn tập an ninh, thuê dịch vụ chuyên nghiệp, điều này hạn chế rủi ro về an toàn mạng, tiết kiệm và hạn chế những rủi lo lớn cho các tổ chức, cá nhân.
Thứ năm, khắc phục thiếu hụt nhân lực, trách nhiệm ở cấp lãnh đạo: việc yêu cầu sát hạch, chứng chỉ an ninh mạng giúp tăng trách nhiệm cá nhân của người đứng đầu hệ thống và tạo sức ép để tổ chức đầu tư cho đào tạo dài hạn, chứ không chỉ mua thiết bị.
Thứ sáu, bảo vệ tốt hơn các nhóm yếu thế, chống lạm dụng công nghệ mới (AI, deepfake): dự thảo và ý kiến thẩm tra đề nghị bổ sung hành vi bị cấm liên quan việc dùng AI tạo/lan truyền tin giả, giả mạo khuôn mặt, danh tính nhằm lừa đảo, bôi nhọ; bổ sung đối tượng bảo vệ là người yếu thế bên cạnh trẻ em. Từ đó giải quyết phần nào thực trạng lừa đảo deepfake, “video giả – tiền thật” đang gây bức xúc xã hội hiện nay. Đây là điểm rất mấu chốt và là một khoảng trống pháp lý rất lớn cần hoàn thiện hiện nay.
PV: Theo dự thảo, tổ chức phải dành kinh phí CNTT cho an ninh mạng, hoặc có chứng chỉ an ninh mạng, theo Luật sư những điểm mới này liệu có khả thi và có khắc phục được những hạn chế, tồn tại hiện nay trong quản lý, an toàn an ninh mạng?
Luật sư Nguyễn Danh Huế: Thứ nhất, về quy định tối thiểu 10% kinh phí CNTT cho an ninh mạng Quy định này không phải một điểm hoàn toàn mới mà đã được quán triệt từ Chỉ thị số 14/CT-TTg ngày 07/6/2019 của Thủ tướng Chính phủ về việc tăng cường bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của Việt Nam nên các doanh nghiệp không bị bất ngờ. Ngoài ra, nó tạo chuẩn mực tài chính tối thiểu, buộc chủ đầu tư không thể bỏ qua phần an ninh mạng trong đề án dẫn đến ngăn ngừa được các rủi ro phát sinh.
Tuy nhiên tôi cho rằng khi triển khai cần phải đánh giá thêm tính khả thi của mức 10%, nhất là với địa phương, đơn vị nhỏ, đơn vị sự nghiệp công lập… vì có thể tạo áp lực ngân sách hoặc dẫn đến “chi cho đủ 10% nhưng không hiệu quả”. Nguy cơ “chạy theo con số”: mua nhiều thiết bị, giải pháp đắt tiền cho đủ 10%, nhưng không có người vận hành; không gắn với quản trị rủi ro; hoặc “xé nhỏ dự án” để lách quy định. Vì thế khi triển khai chúng ta nên cần nhắc quy định linh hoạt theo từng nhóm đối tượng (Bộ/Ngành trung ương, tỉnh, đơn vị sự nghiệp, DNNN lớn/nhỏ…) và có lộ trình áp dụng: ví dụ giai đoạn đầu 5–7%, sau đó tăng dần khi thị trường dịch vụ an ninh mạng Việt Nam phát triển. Nếu được thiết kế và hướng dẫn chi tiết như vậy thì quy định này là khả thi và có tác dụng nâng cao hiệu quả an toàn an ninh mạng.
Thứ hai, về yêu cầu có chứng chỉ an ninh mạng đối với người đứng đầu hệ thống thông tin quan trọng. Đây là điểm rất tiến bộ vì sẽ tạo ra tiêu chuẩn nghề nghiệp tối thiểu cho người chịu trách nhiệm hệ thống, tránh tình trạng lãnh đạo “ký nhưng không hiểu” và khuyến khích thị trường đào tạo, sát hạch chuyên nghiệp, có khung năng lực rõ ràng. Tuy nhiên nếu khung chương trình, tổ chức sát hạch, tiêu chuẩn chứng chỉ không rõ ràng, minh bạch thì rất dễ biến thành “phong trào chứng chỉ”, tốn kém nhưng không nâng được năng lực thực. Ngoài ra, hiện nguồn nhân lực an ninh mạng chất lượng cao còn thiếu, nếu áp dụng quá nhanh có thể khiến nhiều đơn vị không đủ người đạt chuẩn.
Để khắc phục tình trạng này, theo tôi cần có thời gian chuyển tiếp, cho phép các đơn vị cử người đi học, đào tạo lại và nên công nhận một số chứng chỉ quốc tế uy tín song song với chứng chỉ do Việt Nam tổ chức sát hạch.
PV: Để đáp ứng yêu cầu của luật an ninh mạng mới, doanh nghiệp cũng như các tổ chức phải làm gì để vừa thích ứng cũng như hội nhập toàn cầu nhưng vẫn đảm bảo an ninh mạng?
Luật sư Nguyễn Danh Huế: Thứ nhất, các doanh nghiệp cũng như các tổ chức cần được nâng cao nhận thức và năng lực trong lĩnh vực này thông qua việc tổ chức các chương trình đào tạo, tập huấn thường xuyên về an toàn an ninh mạng; đồng thời bồi dưỡng kỹ năng cho đội ngũ an ninh mạng để vừa bắt kịp với xu thế toàn cầu, vừa đáp ứng được quy định yêu cầu về năng lực của người đứng đầu, chịu trách nhiệm cho toàn hệ thống an ninh mạng.
Cụ thể: Rà soát hệ thống thông tin: phân loại và xác định hệ thống nào có thể bị xếp vào “hệ thống thông tin quan trọng về an ninh quốc gia” hoặc “quan trọng của ngành”, Rà soát hợp đồng với nhà cung cấp dịch vụ CNTT, bổ sung điều khoản cho phép đáp ứng yêu cầu của cơ quan có thẩm quyền về cung cấp thông tin IP, dữ liệu phục vụ điều tra, đồng thời vẫn bảo vệ bí mật kinh doanh, dữ liệu khách hàng, có cơ chế giám sát chặt chẽ, tránh lạm quyền để bảo đảm môi trường kinh doanh lành mạnh, minh bạch cho các nhà đầu tư.
Thứ hai, cần đầu tư các công nghệ và cơ sở hạ tầng để tạo ra các giải pháp bảo mật toàn diện, đồng thời hỗ trợ rà soát, đánh giá, cập nhật hệ thống để kịp thời phát hiện và khắc phục các lỗ hổng bảo mật. Từ đó nhanh chóng đưa ra các phương án giải quyết phù hợp nhất.
Thứ ba, cần nâng cao ý thức thượng tôn pháp luật trong toàn xã hội, tôn trọng quyền và lợi ích hợp pháp của các tổ chức, cá nhân đồng thời tiếp tục hoàn thiện hệ thống pháp luật để nâng cao hiệu quả quản lý nhà nước đối với an toàn thông tin mạng.
PV
