Luật An ninh mạng ở các nước châu Âu và Mỹ

Phần 1: Luật an ninh mạng ở Mỹ
An ninh mạng là một trong những mối bận tâm lớn nhất của nhân loại kể từ ngày Internet ra đời và phổ biến, khiến chính phủ các quốc gia trên thế giới phải đau đầu tìm ra giải pháp cho vấn đề này.

Luật An ninh mạng ở Hoa Kỳ (Ảnh: Cbronline)

Vụ mã độc tống tiền Wannacry vào tháng 5 năm 2017 không phải là trường hợp tấn công mạng đầu tiên được ghi nhận trong lịch sử, sự trỗi dậy của Internet và những công nghệ mới đã dẫn tới sự hình thành một loại hình tội phạm mới – tội phạm mạng – điều mà chúng ta không hề mong đợi chỉ trong vòng một thập kỷ trước. “Nhờ” vào vấn đề cấp bách này, không chỉ một mà nhiều bộ luật an ninh mạng đã ra đời trên khắp các quốc gia để bảo vệ công dân và các doanh nghiệp trước những mối nguy bằng tất cả khả năng mà họ có.

An ninh mạng là gì?

Theo từ điển trích dẫn trong Phát kiến quốc gia về sự nghiệp và nghiên cứu an ninh mạng (NICCS), An ninh mạng được định nghĩa là “hoạt động hoặc quá trình, khả năng, hay trạng thái mà theo đó thông tin, hệ thống thông tin liên lạc và thông tin chứa trong đó được bảo vệ khỏi và/hoặc bảo vệ chống lại thiệt hại, sự sử dụng trái phép hoặc sửa đổi, khai thác”.

Luật An ninh mạng ở các nước châu Âu và Mỹ - ảnh 1
An ninh mạng – vấn đề cả thế giới quan tâm. (Ảnh: welivesecurity)

Điều đó có nghĩa là An ninh mạng bao gồm các giải pháp được thiết kế để bảo vệ người dùng máy tính và các công ty vận hành trên Internet. Trong thực tế, An ninh mạng là một phần trong khái niệm rộng hơn được gọi là An ninh thông tin – mục tiêu mà nó hướng đến là bảo vệ thông tin kỹ thuật số khỏi các hệ thống được kết nối với nhau.

Dưới đây là một số khái niệm khác có mối liên hệ mật thiết với vấn đề an ninh mạng:

Tội phạm mạng: bao gồm tất cả các hành vi phạm tội được thực hiện thông qua Internet

Hiểm họa mạng: Khả năng gây tổn hại đến các tổ chức và người dùng thông qua Internet.

Không gian mang: Thực tế mô phỏng  áp dụng trong máy tính và mạng kỹ thuật số tồn tại trên toàn cầu, đây là một khái niệm rộng hơn nhiều so với Internet.

Nói ngắn gọn, An ninh mạng ra đời nhằm bảo vệ chúng ta chống lại các cuộc tấn công hoặc các hành động bất hợp pháp của các bên thứ ba trên mạng Internet.

Hành vi, đối tượng nào bị quy kết là tội phạm mạng?

Hành vi phạm pháp có thể là bất cứ thứ gì từ lừa đảo online, đưa virus máy tính vào hệ thống máy tính của một công ty nào đó, ăn cắp thông tin tài khoản và mật khẩu người dùng trên một nền tảng nhất định, tuyên truyền những điều dối trá về một người nào đó hoặc thậm chí mạo danh hay đánh cắp danh tính.

Luật An ninh mạng ở các nước châu Âu và Mỹ - ảnh 2
Tội phạm mạng – Hình thức tội phạm mới ra đời trong kỷ nguyên công nghệ. (Ảnh: Krazytech)

Danh sách các hành vi bị coi là phạm pháp được trích trong Bộ Pháp điển Hoa Kỳ bao gồm trộm cắp danh tính, hack, xâm nhập vào các hệ thống máy tính, khiêu dâm trẻ em, vi phạm sở hữu trí tuệ. Ngoài ra, luật ở các tiểu bang của Mỹ có thể áp đặt thêm tội và một số tội chồng chéo khác.

Luật pháp của Liên minh châu Âu EU có định nghĩa hạn chế hơn về những hành vi cấu thành tội phạm mạng bao gồm: truy cập bất hợp pháp, can thiệp hệ thống bất hợp pháp, can thiệp dữ liệu bất hợp pháp, ngăn chặn bất hợp pháp

Do đó, an ninh mạng bao gồm nhiều đối tượng liên quan đến pháp luật hình sự và dân sự và việc bảo vệ danh dự hoặc tính riêng tư như thế giới thực. Điều cần được quan tâm ở đây là chiều trực tuyến,nơi mà những hành động bất hợp pháp được tạo ra và những tác động xảy ra trong thế giới kỹ thuật số.

Hoa Kỳ & Luật pháp an ninh mạng

An ninh mạng được cấu thành từ một tập hợp nhiều luật lệ, lý do là bởi không có một luật lệ duy nhất nào có thể quản lý tất cả mọi thứ. Hãy cùng VietTimes tìm hiểu sơ lược về một số bộ luật an ninh mạng tồn tại ở cường quốc Hoa Kỳ và Liên minh châu Âu EU.

Luật của chính quyền Liên bang

Có rất ít các luật an ninh mạng liên bang, và các luật hiện thời tập trung vào các ngành cụ thể. Có 3 đạo luật an ninh mạng chính đó là Đạo Luật về Quyền riêng tư trong lĩnh vực Y tế (HIPPA) năm 1996, Đạo Luật Gramm-Leach-Bliley trong lĩnh vực Tài chính năm 1999 và Đạo Luật An ninh nội địa năm 2002, trong đó  bao gồm đạo luật Quản trị An ninh Thông tin Liên bang (FISMA).

Ba đạo luật này yêu cầu các tổ chức Y tế, thể chế tài chính và các cơ quan liên bang phải bảo vệ các hệ thống và thông tin của họ. Ví dụ, FISMA, đạo luật áp dụng cho mọi cơ quan của chính quyền Liên bang “yêu cầu sự phát triển và áp dụng các chính sách bắt buộc, các nguyên tắc, các tiêu chuẩn và các hướng dẫn về an ninh thông tin”. Tuy nhiên, những luật này lại không giải quyết được vấn đề của các ngành khác liên quan tới máy tính chẳng hạn như ngành cung cấp dịch vụ Internet (ISPs) và ngành phần mềm. Hơn thế nữa, những đạo luật này không chỉ rõ những biện pháp an ninh mạng nào phải được áp dụng và yêu cầu chỉ một mức độ an ninh hợp lý.Ngôn ngữ mơ hồ của những đạo luật này khiến người ta hiểu theo nhiều cách khác nhau. Bruce Scheier, nhà sáng lập của Công ty An ninh mạng Counterpane cho rằng các công ty sẽ không đầu tư đủ vào vấn đề an ninh mạng trừ khi chính quyền bắt họ phải làm vậy. Ông ấy cũng nói rằng các vụ tấn công mạng thành công vào hệ thống mạng của chính quyền vẫn xảy ra bất chấp những nỗ lực của họ.

Có ý kiến cho rằng Đạo luật Quản lý chất lượng dữ liệu đã cung cấp cho Cục Quản lý Ngân sách và Hành chính Hoa Kỳ thẩm quyển theo luật định để áp dụng luật bảo vệ cơ sở hạ tầng chủ chốt thông qua quá trình ban hành Đạo Luật về thủ tục hành chính. Ý tưởng này đã không được xem xét đầy đủ và sẽ yêu cầu phân tích pháp lý bổ sung trước khi việc ban hành luật có thể bắt đầu.

Luật của chính quyền tiểu bang

Chính quyền các bang đã cố gắng để cải thiện an ninh mạng bằng cách tăng tầm nhìn chung của các doanh nghiệp về vấn đề an ninh mạng yếu kém. Vào năm 2003, California đã thông qua Đạo luật Khai báo lỗ hổng An ninh mạng yêu cầu bất kỳ công ty nào giữ thông tin cá nhân của công dân California và có lỗ hổng an ninh mạng phải báo cáo chi tiết vụ việc này. Thông tin cá nhân này bao gồm tên, số an sinh xã hội, số giấy phép lái xe, số thẻ tín dụng hoặc thông tin tài chính. Một số tiểu bang khác đã làm theo California và thông qua đạo luật này. Các Đạo luật khai báo lỗ hổng an ninh này trừng phạt các công ty vì thất bại trong việc bảo vệ an ninh mạng của họ đồng thời cho họ tự do lựa chọn cách đảm bảo mật hệ thống của họ. Ngoài ra, quy định này sẽ tạo ra một động lực cho các công ty tự nguyện đầu tư vào an ninh mạng để tránh khả năng mất danh tiếng và thiệt hại kinh tế có thể đến từ một cuộc tấn công mạng.

Năm 2004 Cơ Quan Lập Pháp California thông qua Dự luật California 1950 cũng áp dụng cho các doanh nghiệp sở hữu hoặc giữ thông tin cá nhân cho cư dân California. Dự luật này yêu cầu các doanh nghiệp duy trì một mức độ hợp lý về an ninh và những biện pháp bảo mật cần thiết này cũng mở rộng tới các đối tác kinh doanh. Đây là một sự cải tiến trên các tiêu chuẩn liên bang vì nó mở rộng số lượng doanh nghiệp cần thiết để duy trì một tiêu chuẩn chấp nhận được về an ninh mạng. Tuy nhiên, giống như pháp luật liên bang, nó đòi hỏi một mức độ an ninh mạng hợp lý và khiến người ta hiểu theo nhiều cách khác nhau cho đến khi án lệ được thiết lập.

Các Dự luật đề xuất

Quốc hội Mỹ đã đề xuất rất nhiều dự luật mở rộng luật an ninh mạng. Đạo luật An ninh và Khai báo dữ liệu tiêu dùng sửa đổi Đạo luật Gramm-Leach-Bliley để yêu cầu khai báo lỗ hổng bảo mật của các thể chế tài chính. Các nghị sĩ cũng đã đề xuất “mở rộng Gramm-Leach-Bliley cho tất cả các ngành công nghiệp động chạm tới thông tin tài chính của người tiêu dùng, bao gồm bất kỳ công ty nào chấp nhận thanh toán bằng thẻ tín dụng”. Quốc hội đã đề xuất các đạo luật an ninh mạng tương tự như Đạo luật California Thông báo về lỗ hổng bảo mật cho các công ty giữ thông tin cá nhân của người dùng. Đạo luật Bảo vệ và bảo mật thông tin yêu cầu các nhà môi giới dữ liệu phải “đảm bảo độ chính xác dữ liệu và bảo mật, xác thực và theo dõi người dùng, phát hiện và ngăn chặn hoạt động trái phép, và giảm thiểu tác hại đến các cá nhân”.

Ngoài việc đòi hỏi các công ty cải thiện an ninh mạng, Quốc hội cũng đang xem xét dự luật về các cuộc tấn công mạng bất hợp pháp. Đạo luật bảo vệ an toàn bản thân khỏi xâm phạm mạng (Đạo luật SPY) là một dự luật thuộc loại này. Dự luật này tập trung vào các vấn đề như lừa đảo và phần mềm gián điệp đã được thông qua vào ngày 23 tháng 5 năm 2005 tại Hạ viện Hoa Kỳ, nhưng đã bác bỏ tại Thượng viện. Dự luật này “coi việc sử dụng trái phép một máy tính để giành quyền kiểm soát nó, sửa đổi thiết lập của nó, thu thập hoặc xúi giục các chủ sở hữu tiết lộ những thông tin cá nhân, cài đặt phần mềm không mong muốn, và làm xáo trộn an ninh, chống phần mềm gián điệp, hoặc phần mềm chống virus là bất hợp pháp”.

Luật An ninh mạng ở các nước châu Âu và Mỹ - ảnh 3
Cựu Tổng thống Mỹ Obama đã đề xuất nhiều dự luật về An ninh mạng. (Ảnh: Geopol Intelligence)

Vào ngày 12 tháng 5 năm 2011, Cựu tổng thống Mỹ Obama đã đề xuất một Gói cải cách lập pháp an ninh mạng để cải thiện độ an toàn cho công dân Mỹ, chính quyền liên bang, và cơ sở hạ tầng chủ chốt. Một năm tranh luận công khai và các phiên điều trần Quốc hội Mỹ sau đó đã dẫn đến việc Hạ viện Mỹ thông qua một dự luật chia sẻ thông tin và Thượng viện Mỹ phát triển một dự luật thỏa hiệp để tìm kiếm sự cân bằng giữa an ninh quốc gia, bảo mật và lợi ích kinh doanh.

Vào tháng 7 năm 2012, Đạo luật An ninh Mạng đã được đề xuất bởi Thượng nghị sĩ Joseph Lieberman và Susan Collins. Dự luật này sẽ có yêu cầu việc tự nguyện tạo ra “tiêu chuẩn thực hành tốt nhất” để bảo vệ cơ sở hạ tầng chủ chốt khỏi các cuộc tấn công mạng, trong đó các doanh nghiệp sẽ được khuyến khích áp dụng thông qua những động lực như bảo vệ trách nhiệm pháp lý. Dự luật đã được đưa vào một cuộc bỏ phiếu tại Thượng viện nhưng lại không được thông qua. Tổng thống Obama đã lên tiếng ủng hộ cho Đạo luật này trong một bài viết được đăng trên Nhật báo phố Wall và nó cũng nhận được sự ủng hộ từ các quan chức trong quân đội và an ninh quốc gia trong đó có John O. Brennan, trưởng cố vấn chống khủng bố của Nhà Trắng.

Theo tờ The Washington Post, các chuyên gia cho rằng sự thất bại trong việc thông qua đạo luật này có thể khiến Hoa Kỳ “dễ bị tổn thương bởi những vụ hack tràn lan hoặc các vụ tấn công mạng nghiêm trọng”. Đạo luật này bị phản đối bởi các thượng nghị sĩ đảng Cộng hòa bao gồm John McCainwho, người mà lo ngại rằng việc thông qua các đạo luật là không có hiệu quả và có thể là một gánh nặng cho các doanh nghiệp. Sau cuộc bỏ phiếu Thượng viện, Thượng nghị sĩ đảng Cộng hòa Kay Bailey Hutchison nói rằng việc phản đối dự luật này không phải là một vấn đề đảng phái, mà vấn đề ở đây là Đạo luật này đã có cách tiếp cận không đúng với an ninh mạng. Cuộc bầu cử Thượng viện có 6 phiếu chống của Đảng Dân chủ, trong khi đó có 5 phiếu ủng hộ phía Đảng Cộng hòa. Những người chỉ trích dự luật bao gồm Phòng Thương mại Hoa Kỳ, nhóm ủng hộ bao gồm Liên minh tự do dân sự Mỹ và  hội luật sư công cộng chuyên bảo vệ quyền tự do công dân cho người dùng máy tính (EFF), chuyên gia an ninh mạng Jody Westby và The Heritage Foundation, cả hai đều cho rằng mặc dù chính phủ không cần thiết có những động thái tác động lên an ninh mạng, dự luật năm 2012 đã có những thiếu sót trong cách tiếp cận và thể hiện “sự xâm phạm quá mức của quyền lực liên bang”.

Luật An ninh mạng ở các nước châu Âu và Mỹ - ảnh 4
An ninh mạng –  Mối bận tâm toàn cầu. (Ảnh: RockDove Solutions)

Vào tháng 2 năm 2013, Cựu Tổng thống Obama đề xuất Sắc lệnh Cải thiện Cơ sở hạ tầng an ninh mạng chủ chốt. Nó đại diện cho phiên bản mới nhất của chính sách, nhưng không được coi là luật vì chưa được giải quyết bởi Quốc hội. Sắc lệnh tìm cách cải thiện quan hệ đối tác công-tư hiện thời bằng cách tăng cường kịp thời luồng thông tin giữa Bộ An ninh nội địa Hoa Kỳ (DHS) và các công ty cơ sở hạ tầng chủ chốt. Nó chỉ đạo các cơ quan liên bang chia sẻ các cảnh báo về mối đe dọa tình báo mạng tới bất kỳ doanh nghiệp tư nhân nào bị coi là mục tiêu tấn công. Nó cũng giao nhiệm vụ cho DHS trong việc cải tiến qui trình để đẩy nhanh quá trình giải phóng mặt bằng an ninh cho khu vực công và tư nhân thích hợp để cho phép chính quyền liên bang chia sẻ thông tin này ở cấp độ nhạy cảm và cấp độ tối mật. Nó chỉ đạo việc phát triển của một bộ khung để giảm thiểu rủi ro trên mạng, kết hợp với phương pháp tốt nhất trong ngành hiện thời và tiêu chuẩn tự nguyện. Cuối cùng, nó giao nhiệm vụ cho các cơ quan liên bang liên quan đến việc kết hợp bảo vệ sự riêng tư và tự do dân sự phù hợp với các nguyên tắc bình đẳng thủ tục thông tin.

Vào tháng 1 năm 2015, Cựu Tổng thống Obama đã công bố một Dự luật An ninh mạng mới. Đề xuất này đã được thực hiện trong một nỗ lực để chuẩn bị cho Mỹ trước sự bành trướng của tội phạm mạng. Trong dự luật này, Tổng thống Obama nêu ra ba nỗ lực chính để hướng tới một không gian mạng an toàn hơn đối với Mỹ. Nỗ lực chính đầu tiên nhấn mạnh tầm quan trọng của việc cấp phép chia sẻ thông tin an ninh mạng. Bằng cách này, đề xuất của Tổng thống Obama khuyến khích chia sẻ thông tin giữa chính phủ và khu vực tư nhân. Điều này sẽ cho phép chính phủ biết những hiểm họa mạng chính mà các công ty tư nhân đang phải đối mặt và sau đó sẽ cho phép chính phủ cung cấp bảo vệ trách nhiệm pháp lý đối với những công ty đã chia sẻ thông tin của họ. Hơn thế nữa, điều này sẽ cung cấp cho chính phủ ý tưởng tốt hơn về những gì nước Mỹ cần để bảo vệ chính mình.

Một nỗ lực chính khác đã được nhấn mạnh trong đề xuất này là để hiện đại hóa các cơ quan hành pháp để “trang bị” tốt hơn cho việc đối phó với tội phạm mạng bằng cách cung cấp những công cụ mà họ cần. Nó cũng sẽ cập nhật phân loại tội phạm không gian mạng và các hậu quả. Một trong những cách để điều này sẽ trở thành hiện thực là quy kết việc bán thông tin tài chính ra nước ngoài là phạm pháp. Một mục tiêu khác của nỗ lực này là việc khởi tố tội phạm mạng. Và nỗ lực lớn cuối cùng của Dự thảo luật này là yêu cầu các doanh nghiệp báo cáo việc xâm phạm dữ liệu người dùng  nếu thông tin cá nhân của họ phải chịu hi sinh. Bằng cách yêu cầu các công ty phải làm như vậy, người dùng sẽ nhận thức được thời điểm mà dữ liệu cá nhân của họ đang trong tình trạng nguy cấp bị trôm cắp.

Luật An ninh mạng ở các nước châu Âu và Mỹ - ảnh 5
Quốc hội Mỹ đã đề xuất rất nhiều dự luật mở rộng luật an ninh mạng. (Ảnh: Georgetown Law)

Vào tháng 2 năm 2016, Tổng thống Obama đã phát triển Kế hoạch hành động an ninh quốc gia về An ninh Mạng (CNAP). Kế hoạch này đã được thực hiện để tạo ra những hành động và chiến lược lâu dài trong một nỗ lực để bảo vệ nước Mỹ chống lại các hiểm họa mạng. Trọng tâm của kế hoạch này là để thông báo cho công chúng về mối đe dọa ngày càng tăng của tội phạm mạng, cải thiện bảo vệ an ninh mạng, bảo vệ thông tin cá nhân của người Mỹ, và để thông báo cho người Mỹ về cách kiểm soát an ninh kỹ thuật số.

Một trong những điểm nổi bật của chương trình này bao gồm việc tạo ra một “Ủy ban về Tăng cường An ninh Mạng Quốc gia”. Mục đích của việc này là để tạo ra một Ủy ban bao gồm một nhóm đa dạng các nhà tư tưởng với các quan điểm có thể góp phần vào việc đưa ra khuyến nghị về cách tạo ra một an ninh mạng mạnh mẽ hơn cho khu vực công và tư nhân. Điểm nổi bật thứ hai của kế hoạch này là để thay đổi mảng IT của Chính phủ được an toàn hơn. Điểm nổi bật thứ ba của kế hoạch này là để cho người Mỹ hiểu biết về cách họ có thể bảo mật các tài khoản trực tuyến và tránh hành vi trộm cắp thông tin cá nhân của mình thông qua xác thực đa yếu tố. Và cuối cùng, Điểm nổi bật thứ tư của kế hoạch này là để tăng 35% số tiền đầu tư vào an ninh mạng trong năm 2017 so với năm 2016.

Phần 2: Luật an ninh mạng ở Liên minh Châu Âu

Tiếp tục series về luật an ninh mạng ở các nước châu Âu và Mỹ, trong phần 2 này chúng ta sẽ điểm qua một số bộ luật được ban hành để giải quyết vấn đề này của Liên minh châu Âu EU.

Luật An ninh mạng của Liên minh châu Âu EU (Ảnh: Global Risk Insights)

Luật An ninh mạng của Liên minh châu Âu EU (Ảnh: Global Risk Insights)

Những tiêu chuẩn về an ninh mạng đã nhận được sự quan tâm đặc biệt trong kỷ nguyên kinh doanh được lèo lái bởi con thuyền công nghệ. Để tối đa hóa lợi nhuận của họ, các công ty tận dụng công nghệ bằng cách vận hành phần lớn hoạt động của mình thông qua internet. Vì có một số lượng lớn các rủi ro đòi hỏi các hoạt động liên mạng, điều quan trọng ở đây là các hoạt động đó phải được bảo vệ thông qua các luật lệ toàn diện và bao quát. Các luật lệ an ninh mạng hiện thời, mỗi luật lại chịu trách nhiệm cho các khía cạnh khác nhau của hoạt động kinh doanh và thường khác biệt tùy theo khu vực hoặc quốc gia nơi một doanh nghiệp hoạt động. Căn cứ vào sự khác biệt về mặt xã hội trong từng quốc gia, cơ sở hạ tầng và các giá trị, một tiêu chuẩn an ninh mạng với tính bao quát không là tối ưu cho mục đích giảm thiểu rủi ro. Trong khi tiêu chuẩn của Mỹ cung cấp một cơ sở cho việc vận hành, EU đã tạo ra một quy định phù hợp hơn cho các doanh nghiệp hoạt động đặc biệt trong Liên minh châu Âu. Bên cạnh đó, do Brexit, điều quan trọng cần phải xem xét ở đây là làm thế nào để Vương Quốc Anh chọn để tuân thủ các luật lệ như vậy.

Ba thành tố cấu tạo nên luật an ninh mạng trong EU bao gồm ENISA, Chỉ thị về An ninh mạng và An ninh thông tin (NIS) Tiêu chuẩn bảo vệ dữ liệu chung của EU (EU GDPR).

ENISA

ENISA, Cơ quan về an ninh mạng và an ninh thông tin của Liên minh châu Âu EU, là cơ quan quản lý mà ban đầu được thành lập bởi các Quy định (EC) số 460/2004 của Nghị viện Châu Âu và của Hội đồng Liên minh châu Âu vào ngày 10 Tháng 3 năm 2004 với mục đích nâng cao an ninh mạng và an ninh thông tin, chỉ thị về an ninh mạng và an ninh thông tin(NIS), sự nhận thức cho tất cả các hoạt động liên mạng bên trong EU. ENISA hiện thời hoạt động dưới Quy định (EU) số 526/2013 để thay thế các quy định ban đầu vào năm 2013. ENISA làm việc tích cực với tất cả các nước thành viên của Liên minh châu Âu để cung cấp một loạt các dịch vụ. Trọng tâm của các hoạt động của họ tập trung vào ba yếu tố chính sau:

– Khuyến nghị các nước thành viên về quá trình hành động đối với vi phạm an ninh mạng

– Xây dựng chính sách và hỗ trợ vấn đề thực hiện cho tất cả các thành viên EU

– Hỗ trợ trực tiếp – ENISA trực tiếp làm việc với các đội nhóm hoạt động bên trong EU

ENISA được tạo nên từ một Ban quản lý dựa vào sự hỗ trợ của Giám đốc Điều hành và một nhóm các bên liên quan thường trực. Tuy nhiên, phần lớn các hoạt động lại được điều hành bởi người đứng đầu các bộ phận khác nhau.

ENISA – Cơ quan về an ninh mạng và an ninh thông tin của Liên minh châu Âu EU (Ảnh: Electronics Weekly)

ENISA đã phát hành các ấn phẩm khác nhau bao quát tất cả các vấn đề quan trọng liên quan đến an ninh mạng. Sáng kiến trong quá khứ và hiện tại của ENISA bao gồm: Chiến lược đám mây EU, các tiêu chuẩn mở trong Công nghệ Truyền thông Thông tin, Chiến lược An ninh mạng của EU và một  nhóm điều phối An ninh mạng. ENISA cũng bắt tay hợp tác với các tổ chức tiêu chuẩn quốc tế hiện thời như ISO và ITU.

Chỉ thị về An ninh mạng và An ninh thông tin (NIS)

Vào ngày 6 tháng 7 năm 2016, Nghị viện châu Âu đưa Chỉ thị về an ninh của mạng và hệ thống thông tin (chỉ thị NIS) thành chính sách.

Chỉ thị này có hiệu lực vào tháng 8 năm 2016 và tất cả các quốc gia thành viên của Liên minh châu Âu được cho 21 tháng để tích hợp các luật lệ của chỉ thị này vào luật quốc gia riêng của họ. Mục đích của Chỉ thị NIS này là tạo ra một mức độ an ninh mạng tổng thể cao hơn trong EU. Chỉ thị này có ảnh hưởng đáng kể đến các nhà cung cấp dịch vụ kỹ thuật số, các công nghệ xử lý tín hiệu số (DSP) và các nhà khai thác dịch vụ thiết yếu (OES). Các nhà khai thác dịch vụ thiết yếu bao gồm bất kỳ tổ chức nào mà hoạt động của họ sẽ bị ảnh hưởng rất nhiều trong trường hợp có lỗ hổng an ninh mạng, miễn là họ tham gia vào các hoạt động xã hội hoặc kinh tế quan trọng. Cả DSP và OES hiện đang chịu trách nhiệm trong việc báo cáo các sự cố an ninh cho các đội phản ứng nhanh sự cố an ninh máy tính (CSIRTs) trong một phạm vi nhất định. Trong khi DSP không phải chịu những quy định ngặt nghèo như các nhà khai thác dịch vụ thiết yếu, DSP không được thiết lập trong EU nhưng vẫn hoạt động trong EU vẫn phải đối mặt với các quy định. Ngay cả khi DSP và OES thuê ngoài việc duy trì các hệ thống thông tin của họ cho bên thứ ba, Chỉ thị NIS vẫn bắt họ phải chịu trách nhiệm cho bất kỳ sự cố an ninh nào.

Luật An ninh mạng ở các nước châu Âu và Mỹ - ảnh 2
Vào ngày 6 tháng 7 năm 2016, Nghị viện châu Âu đưa Chỉ thị về an ninh của mạng và hệ thống thông tin (chỉ thị NIS) thành chính sách. (Ảnh: Reveelium)

Các quốc gia thành viên của EU được yêu cầu phải tạo ra một chiến lược chỉ thị NIS bao gồm các đội CSIRTs nói trên bên cạnh các cơ quan có thẩm quyền quốc gia (NCAs) và các cơ quan điều phối (SPOCs). Những nguồn lực này được trao trách nhiệm xử lý vi phạm an ninh mạng để giảm thiểu tác động của nó. Bên cạnh đó, tất cả các quốc gia thành viên của EU được khuyến khích chia sẻ thông tin an ninh mạng.

Những yêu cầu bảo mật của Chỉ thị NIS bao gồm các biện pháp kỹ thuật quản lý rủi ro của hành vi vi phạm an ninh mạng bằng cách phòng ngừa. Bên cạnh đó, cả DSP và OES phải cung cấp thông tin cho phép đánh giá chuyên sâu hệ thống thông tin và chính sách bảo mật của họ. Như đã đề cập ở trên, tất cả các sự cố quan trọng phải được thông báo cho các đội CSIRTs. Độ nghiêm trọng của sự cố an ninh mạng  được xác định bởi số lượng người sử dụng sẽ bị ảnh hưởng bởi cuộc tấn công mạng cũng như khoảng thời gian xảy ra các sự cố và phạm vi địa lý của vụ việc.

Tiêu chuẩn bảo vệ dữ liệu chung của EU (EU GDPR)

Quy định chung về bảo vệ dữ liệu của EU, GDPR, ra đời vào ngay 14 tháng 4 năm 2016, tuy nhiên ngày thực thi là 25 tháng 5 năm 2018. Các quy định chung này nhằm mang lại một tiêu chuẩn duy nhất để bảo vệ dữ liệu giữa tất cả các nước thành viên trong EU. Sự thay đổi mà các quy định này sẽ mang lại bao gồm việc xác định lại biên giới địa lý. Quy định không chỉ áp dụng cho các tổ chức hoạt động trong EU mà còn áp dụng cho các tổ chức xử lý dữ liệu của bất kỳ cư dân nào của EU. Bất kể nơi nào dữ liệu được xử lý, nếu dữ liệu của một công dân EU đang được xử lý, các tổ chức hiện tại phải tuân theo quy định này. Tiền phạt cũng trở nên nặng hơn và tổng cộng có thể lên tới 20 triệu euro hay 4% doanh thu hàng năm. Ngoài ra, tương tự như những quy định trước đây, tất cả các hành vi vi phạm dữ liệu ảnh hưởng tới các quyền và sự tự do của những cá nhân cư trú tại EU phải được công bố trong vòng 72 giờ. Ban Bảo vệ dữ liệu của EU (EDP) phải chịu trách nhiệm về tất cả các giám sát theo quy định của GDPR.

Luật An ninh mạng ở các nước châu Âu và Mỹ - ảnh 3
Quy định chung về bảo vệ dữ liệu của EU, GDPR, ra đời vào ngay 14 tháng 4 năm 2016, tuy nhiên ngày thực thi là 25 tháng 5 năm 2018  (Ảnh: Msi Global Talent Solutions)

Sự đồng thuận đóng một vai trò quan trọng trong các quy định của GDPR. Các công ty nắm giữ dữ liệu liên quan đến công dân EU hiện thời cũng phải cung cấp cho các công dân quyền được từ chối chia sẻ dữ liệu dễ dàng như việc người dân đồng ý chia sẻ chúng. Ngoài ra, người dân cũng có thể hạn chế việc xử lý các dữ liệu được lưu trữ về họ; họ có thể chọn lựa để cho phép các công ty lưu trữ dữ liệu của họ nhưng không xử lý nó, do đó, điều này tạo ra một sự khác biệt rõ ràng. Khác với các quy định trước đây, GDPR cũng hạn chế việc chuyển giao dữ liệu của một công dân ra bên ngoài EU hoặc cho một bên thứ ba mà không có sự đồng ý trước của công dân đó.

Quy định dự thảo ePrivacy dự kiến sẽ được áp dụng từ ngày 25 tháng 5 năm 2018.

Những vấn đề liên quan tới Brexit

Theo dòng những sự kiện chính trị gần đây , trong đó có việc Vương quốc Anh đã quyết định rút khỏi EU, các quy định hiện thời áp dụng đối với Vương quốc Anh chỉ bao gồm ENISA và Chỉ thị NIS.

Tuy nhiên, hiện vẫn còn một số suy đoán cho rằng GDPR vẫn được áp dụng đối với Vương quốc Anh do thời gian mà các quy định GDPR được thiết lập. Bất kể ngày thực thi của GDPR là thời gian nào đi chăng nữa, bởi GDPR được ký kết và có hiệu lực trong khi Anh vẫn là một phần của Liên minh châu Âu EU, Vương Quốc Anh vẫn phải tuân thủ những quy định này. Thêm vào đó, không phải là một phần của GDPR cùng đồng nghĩa với việc bỏ lỡ Anh đã bỏ lỡ những nguồn tài nguyên giá trị.

Tính cấp thiết của một nền tảng an ninh mạng toàn cầu

 

Luật An ninh mạng ở các nước châu Âu và Mỹ - ảnh 4
Sự hợp tác toàn cầu về an ninh mạng là điều cần thiết trong thời điểm này (Ảnh: MeriTalk)

Chẳng phải kể từ lúc cuộc tấn công mạng lớn nhất trong lịch sử – WannaCry diễn ra vào tháng 5 năm 2017, các quy định về an ninh mạng toàn cầu mới cần được cải thiện một cách toàn diện. Thực tế, chúng ta đã được chứng kiến nhiều sự hợp tác toàn cầu giữa các cơ quan thực thi pháp luật hơn bao giờ hết, tuy nhiên “lỗ đen” pháp lý, ở nhiều nơi trên thế giới, vẫn đang hoành hành.

Trong bối cảnh này, cả luật pháp và sự hợp tác giữa châu Âu và Mỹ – một phần vô cùng quan trọng trong vấn đề bảo vệ An ninh mạng và phòng chống tội phạm công nghệ, có thể đóng vai trò như một tấm gương sáng để các khu vực khác trên thế giới học hỏi theo. Quy định về an ninh mạng chủ yếu vẫn được coi là một vấn đề của hành động đơn lẻ nhà nước – mặc dù nhiều sáng kiến được thúc đẩy bởi các tổ chức quốc tế như Diễn đàn Kinh tế Thế giới(WEF), Liên đoàn và Hiệp hội quản lý rủi ro châu Âu (FERMA), Tổ chức Hợp tác và Phát triển Kinh tế (OECD) hay Diễn đàn quản lý Internet (IGF).

Rất nhiều sáng kiến này là không được hệ thống hóa để soạn thảo thành luật, không có tính ràng buộc và chỉ là các khuyến nghị đơn giản. Tuy nhiên, việc quản lý an ninh mạng toàn cầu đang thay đổi và các mục tiêu tiềm năng của tội phạm công nghệ bắt buộc phải giám sát quá trình phát triển của các cuộc tấn công mạng để chuẩn bị tinh thần. Vụ tấn công tiếp theo sẽ sớm diễn ra và những người bị ảnh hưởng cần phải sẵn sàng cho những sự kiện chấn động này.

Tùng Lâm (Viettimes.vn)

Tin cùng chuyên mục: