29/02/2024 lúc 15:21 (GMT+7)
Breaking News

Chính sách và công nghệ bảo đảm an ninh thông tin của một số nước trên thế giới và kinh nghiệm đối với Việt Nam

Cuộc Cách mạng công nghiệp lần thứ tư đang tác động mạnh mẽ đến mọi lĩnh vực của đời sống xã hội, trong đó có vấn đề an ninh thông tin. Hiện nay, các mối đe dọa an ninh thông tin trên không gian mạng ngày càng gia tăng cả về quy mô, tính chất và mức độ nghiêm trọng, đe dọa đến an ninh, chủ quyền quốc gia, trật tự an toàn xã hội.
1. Quan niệm về an ninh thông tin
Trong bối cảnh cuộc Cách mạng công nghiệp lần thứ tư, công nghệ thông tin đã trở thành một bộ phận không thể tách rời trong tất cả các lĩnh vực hoạt động của mỗi quốc gia. Công nghệ thông tin tạo ra động lực đẩy nhanh quá trình phát triển kinh tế - xã hội nhưng cũng làm nảy sinh nhiều mối đe dọa liên quan đến an ninh quốc gia. Hiện nay, cùng với an ninh chính trị, an ninh kinh tế, an ninh văn hóa, an ninh quân sự… an ninh thông tin đã trở thành một bộ phận quan trọng của an ninh quốc gia.

Có nhiều quan niệm khác nhau về thuật ngữ “an ninh thông tin”. Theo Từ điển Oxford, an ninh thông tin (information security) là trạng thái thông tin, nhất là thông tin điện tử, được bảo vệ tránh việc sử dụng không được phép hoặc tránh các hành vi thực hiện để đạt được việc sử dụng không phép này(1). Ở nghĩa hẹp, “an ninh thông tin” là sự bảo vệ thông tin và các thành phần quan trọng cốt lõi của nó, bao gồm các hệ thống và phần cứng dùng để sử dụng, lưu giữ và truyền tải thông tin đó(2).

“An ninh thông tin” cũng được hiểu là bảo vệ thông tin và hệ thống thông tin không bị truy cập trái phép, sử dụng, tiết lộ, gián đoạn, thay đổi hoặc phá hoại nhằm bảo đảm tính nguyên vẹn (nghĩa là chống lại việc sửa đổi hoặc phá hoại thông tin trái phép, bao gồm việc bảo đảm thông tin xác thực và không bị gián đoạn); tính bảo mật (nghĩa là hạn chế quyền tiếp cận và tiết lộ thông tin, bao gồm cả việc bảo vệ thông tin cá nhân và thông tin riêng); tính khả dụng (nghĩa là bảo đảm cho việc có thể truy cập được và sử dụng được thông tin một cách kịp thời và tin cậy)(3).

Ở Việt Nam, thuật ngữ “an ninh thông tin” được hiểu là việc bảo đảm thông tin trên mạng, không gây phương hại đến an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân(4).

An ninh thông tin liên quan đến tất cả các lĩnh vực của đời sống xã hội. Sự phát triển nhanh chóng của công nghệ thông tin càng làm cho vấn đề an ninh thông tin của các quốc gia trở nên phức tạp. Trên thế giới đã từng xảy ra nhiều vụ xâm phạm an ninh thông tin gây ra nhiều hệ lụy không chỉ đối với các quốc gia trực tiếp có liên quan mà còn tác động đến tình hình chính trị thế giới như: Vụ Watergate ngày 17-6-1972; vụ mã độc Stuxnet tấn công nhà máy hạt nhân Iran; vụ Wikileaks (tháng 10-2010) cho công bố hàng loạt các tài liệu mật về hoạt động của quân đội Mỹ trước năm 2010; vụ Edward Snowden tiết lộ chương trình do thám Prims của Cơ quan An ninh quốc gia Mỹ (NSA); vụ Facebook để lộ dữ liệu cá nhân của hơn 87 triệu tài khoản (tháng 3-2018); vụ Công ty Năng lượng Colonial Pipeline của Mỹ phải tạm ngưng toàn bộ hoạt động trên một đường ống dẫn lớn cung cấp khoảng 45% tổng số nhiên liệu tiêu thụ ở Bờ Đông nước Mỹ sau một cuộc tấn công mạng (tháng 5-2021); hay cuộc tấn công làm tê liệt hàng vạn modem vệ tinh Viasat ở Ucraina và châu Âu (tháng 3-2022)…

Hiện nay, khi cuộc Cách mạng công nghiệp lần thứ tư phát triển mạnh mẽ thì vấn đề bảo đảm an ninh thông tin lại càng trở nên quan trọng đối với an ninh của các quốc gia, nhất là các quốc gia có tốc độ phát triển công nghệ thông tin nhanh và hiện đại.

Xác định an ninh thông tin là thành tố quan trọng của an ninh quốc gia, các nước đã xây dựng chính sách nhằm bảo đảm an ninh thông tin. Về cơ bản, chính sách bảo đảm an ninh thông tin là việc thiết lập các chiến lược và trách nhiệm của những cá nhân, tổ chức có liên quan nhằm bảo đảm 3 yêu cầu cơ bản của an ninh thông tin, đó là tính bí mật (confidentiality), tính toàn vẹn (integrity) và tính sẵn sàng (availability). Gần đây, do sự phát triển không ngừng của công nghệ thông tin, một số học giả cho rằng cần bổ sung một số yêu cầu khác đối với an ninh thông tin, đó là tính chính xác (accuracy), tính xác thực (authenticity), tính tiện ích (usability)…

2. Chính sách bảo đảm an ninh thông tin của một số quốc gia

Tại Mỹ

Với sự xuất hiện của các phần mềm trí tuệ nhân tạo (AI) như: ChatGPT, AI TensorFlow,… và để đối phó với các cuộc tấn công cùng lúc nhiều mục tiêu của các tin tặc, Chính phủ Mỹ đã công bố các chiến lược quốc gia và mệnh lệnh hành chính về phòng vệ và bảo đảm an ninh không gian mạng như: Chiến lược An ninh quốc gia (2017); Chiến lược An ninh mạng (2018); Chiến lược Không gian mạng của Bộ Quốc phòng Mỹ (2018); Sắc lệnh Hành pháp về cải thiện an ninh mạng quốc gia (2021)...

Để nâng cấp hệ thống công nghệ thông tin liên bang và khả năng cung cấp dịch vụ dưới mọi điều kiện và bảo đảm thông tin được bảo mật và không bị gián đoạn, Chính phủ Mỹ đã triển khai một số đổi mới về công nghệ nhằm bảo mật an ninh thông tin như:

(1) Đưa kiến trúc Zero Trust của Cơ quan Hệ thống thông tin Quốc phòng Mỹ (DISA) vào ứng dụng rộng rãi: tháng 2-2023, nguyên mẫu Zero Trust “Thunderdome” đã được Bộ Quốc phòng thử nghiệm sau 18 tháng thiết kế và 9 tháng xây dựng. Tháng 3-2023, dựa trên thông tin tình báo về mối đe dọa được phân loại của Chính phủ Mỹ và kiến trúc Zero Trust, Viasat phát triển thành một ứng dụng an ninh mạng - dịch vụ phát hiện xâm nhập - được áp dụng cho hệ thống mạng toàn cầu. Ứng dụng này giả định rằng, mọi người, mọi thiết bị đều là mối đe dọa tiềm ẩn, những kẻ tấn công có quyền truy cập vào mạng và sau đó nó sẽ ngăn chặn không cho thực hiện bất kỳ hành động nguy hiểm nào ảnh hưởng tới hệ thống thông tin của Viasat.

(2) Ứng dụng công nghệ lượng tử: gần đây, công nghệ nghiên cứu và phát triển lượng tử đang dần được áp dụng trong lĩnh vực an ninh thông tin. Công ty QuSecure của Mỹ đã sử dụng hệ thống QuSecure để cung cấp khả năng liên lạc và truyền dữ liệu an toàn cho các tổ chức thương mại và Chính phủ Mỹ sau khi thử nghiệm thành công liên lạc mã hóa lượng tử đầu cuối qua vệ tinh “Starlink” vào tháng 3-2023.

Đánh dấu những bước đầu quan trọng trong việc sử dụng mật mã kháng lượng tử để bảo vệ chống lại các cuộc tấn công giải mã cổ điển và lượng tử, Công ty DARPA đã triển khai Dự án mạng tăng cường lượng tử (QuANET) vào tháng 4-2023 nhằm phát triển một mạng truyền thông cổ điển - lượng tử kết hợp.

Tháng 5-2023, Công ty Quantum Computing đã ra mắt thế hệ máy tính lượng tử mới Model H2, áp dụng thiết kế bẫy ion có hình dạng “đường vòng” mới với 32 qubit được kết nối đầy đủ và một kiến trúc hoàn toàn mới, là máy tính lượng tử có hiệu suất cao nhất thế giới hiện nay. Mới đây nhất, Công ty IBM chia sẻ rằng sẽ công bố công nghệ bảo mật lượng tử đầu cuối nhằm giúp khách hàng chuyển đổi sang kỷ nguyên hậu lượng tử.

(3) Ứng dụng ChatGPT vào các sản phẩm an ninh mạng: tháng 3-2023, Tập đoàn Microsoft đã ra mắt Security Copilot (trợ lý an ninh mạng GPT-4), giúp các chuyên gia an ninh mạng tìm kiếm, xác định các mối đe dọa tiềm ẩn. Các chuyên gia có thể yêu cầu bản tóm tắt về một lỗ hổng cụ thể, thông tin cảnh báo và sự kiện bảo mật từ các công cụ bảo mật khác thông qua việc nhập các tệp, URL hoặc đoạn mã để phân tích; Công ty chip AI, Cerebras, đã công bố 7 mô hình ngôn ngữ lớn mã nguồn mở giống như GPT, được huấn luyện dựa trên siêu máy tính AI Andromeda do công ty tự phát triển; Công ty Salesforce giới thiệu robot trò chuyện Einstein GPT và trong tương lai sẽ tích hợp công nghệ ChatGPT của OpenAI vào robot Einstein. Tháng 4-2023, Google phát hành sản phẩm Cloud Security AI Workbench, được thiết trên nền tảng ngôn ngữ AI chuyên dụng có tên là Sec-PaLM, ứng dụng vào lĩnh vực an ninh thông tin mạng.

Mỹ cũng là quốc gia đứng đầu trong việc thúc đẩy và thực hiện quản trị đa bên về anh ninh thông tin (từ Chính phủ, doanh nghiệp, cơ quan nhà nước, chính quyền địa phương, cơ quan an ninh - quốc phòng…). Trong đó, các bên cùng chia sẻ trách nhiệm, tập trung vào việc khắc phục các lỗ hổng dẫn đến rò rỉ bí mật quốc gia, trộm cắp tài sản trí tuệ, ngăn chặn sự can thiệp của nước ngoài thông qua không gian mạng vào chính trường Mỹ và tình trạng không bảo đảm an ninh mạng của các lĩnh vực kinh tế - xã hội. Đồng thời, Mỹ cũng phối hợp với các nước đồng minh và các đối tác để thực hiện các biện pháp đối phó với các nguy cơ đe dọa an ninh thông tin từ không gian mạng.

Tại Nga

An ninh thông tin gắn bó mật thiết với an ninh quốc gia. Ngay từ khi lãnh đạo, điều hành đất nước, Tổng thống V.Putin đã ban hành Học thuyết An ninh thông tin đầu tiên vào năm 2000. Đến năm 2016, Học thuyết này được sửa đổi, bổ sung, trở thành văn bản mang tính chiến lược về bảo đảm an ninh quốc gia của Nga trong lĩnh vực thông tin. Bên cạnh Học thuyết An ninh thông tin (2016), Nga còn ban hành nhiều đạo luật nhằm bảo đảm an ninh thông tin, như: Luật liên bang về Bảo vệ dữ liệu cá nhân (2006) quy định việc thu thập, sử dụng và lưu trữ dữ liệu cá nhân, là cơ sở để thành lập Cơ quan bảo vệ dữ liệu cá nhân; Luật liên bang về An ninh thông tin (2008) thiết lập các nguyên tắc cơ bản về an ninh thông tin ở Nga, là cơ sở để thành lập Trung tâm An ninh mạng quốc gia; Luật liên bang về Công nghệ thông tin (2014) quy định việc phát triển và sử dụng công nghệ thông tin ở Nga, là cơ sở để thành lập Cơ quan Giám sát truyền thông, công nghệ thông tin và truyền thông đại chúng Liên bang (Roskomnadzor)...

Đặc biệt, tháng 7-2021, Nga ban hành Sắc lệnh về Chiến lược an ninh quốc gia thay thế Chiến lược An ninh quốc gia năm 2015, trong đó chỉ rõ những thách thức, nguy cơ đặt ra đối với vấn đề an ninh thông tin. Để bảo đảm an ninh thông tin, Nga chủ trương xây dựng và sử dụng một mạng internet riêng có tên gọi là RuNet; đưa vào sử dụng Mạng Chính phủ bảo mật (RSNet) dành cho các quan chức Chính phủ Nga. Tháng 12-2019, Chính phủ Nga từng tuyên bố đã thử nghiệm thành công việc ngắt kết nối RuNet với mạng internet toàn cầu.

Bên cạnh đó, Chính phủ Nga còn triển khai một số đổi mới công nghệ nhằm cải thiện bảo mật an ninh thông tin như:

(1) Công nghệ robot tự động: các công ty công nghệ như: Promobot (đã sản xuất robot tự động RobotPromobot), 2B Robotics và Robosoft đang phát triển các loại robot tự động được sử dụng trong nhiều lĩnh vực khác nhau, bao gồm sản xuất, logistics và dịch vụ khách hàng.

(2) Công nghệ trí tuệ nhân tạo (AI): các công ty công nghệ như: Yandex (với hệ thống AI nhận diện khuôn mặt Yandex), Mail.ru và Kaspersky Lab đang phát triển các ứng dụng AI trong nhiều lĩnh vực khác nhau, bao gồm giáo dục, y tế và tài chính.

(3) Công nghệ Internet vạn vật (IoT): Nga đang tích cực phát triển các giải pháp IoT để ứng dụng trong các lĩnh vực như thành phố thông minh, nông nghiệp thông minh và chăm sóc sức khỏe. Chẳng hạn như giải pháp IoT cho thành phố thông minh của Mail.ru cho phép các thành phố quản lý các dịch vụ cơ bản như giao thông, chiếu sáng và an ninh. Giải pháp này hiện đang được sử dụng tại một số thành phố của Nga, bao gồm Mátxcơva và St.Petersburg.

(4) Công nghệ blockchain: Nga đang nghiên cứu và phát triển các ứng dụng blockchain trong các lĩnh vực như tài chính, thương mại điện tử, và quản lý chuỗi cung ứng. Hệ thống blockchain của Kaspersky Lab là một ví dụ. Đây là một hệ thống blockchain được sử dụng để bảo vệ dữ liệu cá nhân, hiện đang được sử dụng bởi một số doanh nghiệp và tổ chức ở Nga.

Tại Ítxraen

Tháng 12-2002, Chính phủ Ítxraen đã công bố thành lập Cơ quan An ninh thông tin quốc gia, cơ quan chuyên trách về không gian mạng đầu tiên trên thế giới. Với mục tiêu vào nhóm 5 quốc gia hàng đầu trong lĩnh vực an ninh mạng, Chính phủ Ítxraen đã thành lập một nhóm đặc biệt để xây dựng “Sáng kiến Không gian mạng quốc gia” vào tháng 11-2010.

Năm 2017, Ítxraen công bố Chiến lược An ninh mạng quốc gia, trong đó xác định, Ítxraen tiếp tục “là nước đi đầu trong đổi mới công nghệ và là một đối tác tích cực trong quá trình định hình không gian mạng toàn cầu”. Với trọng tâm là “bảo đảm an toàn cho không gian mạng” và “đối phó với các mối đe dọa mạng khác nhau, phù hợp với lợi ích quốc gia của đất nước”, Chiến lược đặt ra mục tiêu Ítxraen trở thành quốc gia hàng đầu trong việc khai thác, ứng dụng không gian mạng để thúc đẩy tăng trưởng kinh tế, thịnh vượng xã hội và bảo đảm an ninh quốc gia.

Chiến lược cũng tuyên bố rằng: cùng với việc ban hành Chiến lược An ninh mạng quốc gia, Chính phủ Ítxraen cũng triển khai nhiều biện pháp bảo đảm an ninh thông tin như: Xây dựng học thuyết và triển khai hệ thống bảo đảm  an ninh mạng gồm 3 lớp (“Sức đề kháng” trên không gian mạng (khả năng của tổ chức và các quá trình tiếp tục vận hành trong điều kiện gặp phải các cuộc tấn công mạng bằng cách đáp trả và phòng ngừa phần lớn các cuộc tấn công); khả năng phục hồi mang tính hệ thống trên không gian mạng (khả năng có tính hệ thống trong đối phó với các cuộc tấn công mạng trước, trong và sau các cuộc tấn công, ngăn ngừa các cuộc tấn công mạng lan rộng và giảm thiểu hậu quả đối với quốc gia); và chiến dịch phòng thủ quốc gia đối phó với các cuộc tấn công nghiêm trọng do các đối thủ tiến hành đe dọa nghiêm trọng đến an ninh quốc gia); xây dựng chính sách bảo đảm an ninh thông tin dựa trên hệ thống tham vấn của nhiều bên liên quan gồm Chính phủ, doanh nghiệp, các học giả và các nhóm cộng đồng về các vấn đề như chính sách ngành công nghệ thông tin - truyền thông, nghiên cứu và phát triển (R&D), bảo vệ thông tin cá nhân…; thành lập các lực lượng bảo đảm an ninh thông tin như: Cơ quan An ninh thông tin quốc gia (NISA) để hướng dẫn việc tự bảo vệ và trực tiếp bảo vệ các hệ thống được máy tính hóa trong các lĩnh vực công quan trọng và các tổ chức dân sự tư nhân; Cơ quan Mạng quốc gia (INCD) thực hiện nhiệm vụ bảo vệ không gian mạng và thúc đẩy vai trò lãnh đạo của Ítxraen trên trường quốc tế…

Tại Xinhgapo

Ngay từ năm 2005, Xinhgapo đã ban hành Kế hoạch tổng thể bảo đảm an ninh cho hệ thống thông tin liên lạc. Kế hoạch này bao gồm các biện pháp mang tính liên ngành để bảo đảm môi trường kinh tế số của quốc gia và củng cố khả năng bảo đảm an ninh mạng của khu vực công. Để bảo đảm an toàn thông tin đối với khu vực công, Chính phủ Xinhgapo đã đưa ra các chính sách tập trung vào 3 mũi nhọn bảo mật hệ thống, gồm: (1) Chính sách và luật bảo vệ dữ liệu cá nhân của Chính phủ; (2) Các sáng kiến bảo vệ dữ liệu cá nhân của Chính phủ và tăng cường chế độ bảo mật dữ liệu của Chính phủ được cập nhật thông qua báo cáo hằng năm; (3) Nền tảng báo cáo sự cố dữ liệu của Chính phủ.

Năm 2018, Xinhgapo ban hành Đạo luật khu vực công nhằm tăng cường hơn nữa việc quản trị dữ liệu khu vực công, trong đó quy định cụ thể việc áp dụng các hình phạt hình sự đối với các cán bộ cố ý hoặc thiếu thận trọng tiết lộ dữ liệu mà không được phép; sử dụng sai dữ liệu ảnh hưởng tới lợi ích hoặc gây tổn hại cho người khác...

Bên cạnh đó, Xinhgapo còn xây dựng Chương trình bảo vệ hạ tầng thông tin quan trọng quốc gia với các biện pháp quản trị rủi ro mang tính hệ thống; xây dựng Chương trình ứng phó mạng quốc gia cho phép kịp thời ứng phó với tấn công mạng ngay từ cơ sở với 3 cấp độ ứng phó cụ thể: cấp độ 1 ứng phó với các chiến dịch tấn công mạng đe dọa an ninh quốc gia, cấp độ 2 ứng phó với các cuộc tấn công mạng đối với cả một ngành, cấp độ 3 ứng phó với các cuộc tấn công đơn lẻ nhằm vào một nhà cung cấp dịch vụ; xây dựng công nghiệp an ninh mạng phát triển đáp ứng nhu cầu không chỉ trong nước mà của cả các nước ASEAN.

Trung Quốc

Tại Trung Quốc, việc bảo đảm an ninh thông tin được xác định là yếu tố sống còn trong cuộc chiến bảo vệ thành quả cách mạng và xây dựng chủ nghĩa xã hội đặc sắc Trung Quốc. Trong Nghị quyết của Đảng Cộng sản Trung Quốc về tăng cường xây dựng năng lực lãnh đạo của Đảng (tháng 9-2004), lần đầu tiên vấn đề an ninh thông tin được đưa vào văn kiện Đảng, đồng thời đặt an ninh thông tin ngang với an ninh chính trị, an ninh kinh tế, an ninh văn hóa, an ninh quân sự và là một trong năm bộ phận của an ninh quốc gia.

Để bảo đảm an toàn mạng thông tin viễn thông cốt lõi và hệ thống thông tin quan trọng, tạo môi trường mạng internet an toàn, lành mạnh, bảo đảm lợi ích của nhân dân và duy trì an ninh quốc gia, Trung Quốc đã ban hành nhiều chính sách, luật pháp như: Luật An ninh mạng (2017); Chiến lược An ninh mạng quốc gia (2016); Quy định Bảo vệ cơ sở hạ tầng thông tin quan trọng (2017); Luật Bảo vệ thông tin cá nhân (2021); Luật Bảo mật dữ liệu (2021)…

Bên cạnh đó, Chính phủ Trung Quốc cũng phát triển một số tiêu chuẩn an ninh mạng cho các công nghệ 4.0 như: điện toán đám mây và Internet vạn vật (IoT). Các tiêu chuẩn này giúp bảo đảm rằng các công nghệ 4.0 được phát triển và sử dụng một cách an toàn. Chẳng hạn như: (1) Robot tự động Haier: có thể thực hiện các nhiệm vụ đơn giản trong nhà bếp (nấu ăn, rửa bát, dọn dẹp) và hiện đang được sử dụng trong một số hộ gia đình ở Trung Quốc; (2) Hệ thống AI nhận diện khuôn mặt của Baidu, Alibaba và Tencent: có thể nhận diện khuôn mặt của con người với độ chính xác cao. Hệ thống này hiện đang được sử dụng trong các lĩnh vực an ninh, quản lý đám đông và dịch vụ khách hàng; (3) Giải pháp IoT cho thành phố thông minh của Alibaba: cho phép các thành phố quản lý các dịch vụ cơ bản (giao thông, chiếu sáng, an ninh) và hiện đang được sử dụng tại một số thành phố của Trung Quốc (Bắc Kinh, Thượng Hải); (4) Công nghệ blockchain của Tencent: được sử dụng để bảo vệ dữ liệu cá nhân. Công nghệ này hiện đang được sử dụng bởi một số doanh nghiệp và tổ chức ở Trung Quốc.

Các công nghệ mới đang góp phần thúc đẩy sự phát triển kinh tế và xã hội của Trung Quốc, giúp Trung Quốc nâng cao năng lực cạnh tranh và hội nhập với nền kinh tế toàn cầu. Tuy nhiên, bên cạnh những cơ hội thì Trung Quốc cũng phải đối mặt với một số thách thức trong quá trình phát triển và áp dụng công nghệ 4.0 như: Sự cạnh tranh từ các quốc gia cũng đang đẩy nhanh phát triển khoa học công nghệ (Mỹ, Nhật Bản, Hàn Quốc…); việc tăng cường các biện pháp bảo mật để bảo vệ dữ liệu cá nhân và an ninh mạng của người dân và doanh nghiệp; sự phát triển bất cân bằng giữa các vùng miền và các tầng lớp trong xã hội.

3. Chính sách bảo đảm an ninh thông tin của Việt Nam

Trong bối cảnh hội nhập ngày càng sâu rộng và sự phát triển mạnh mẽ của cuộc Cách mạng công nghiệp lần thứ tư, vấn đề an ninh thông tin đang được đặt ra trong mọi lĩnh vực đời sống xã hội của Việt Nam, trở thành một bộ phận quan trọng của an ninh quốc gia.

Trong những năm qua, Đảng và Nhà nước ta luôn quan tâm lãnh đạo, chỉ đạo công tác bảo đảm an ninh thông tin và đã ban hành nhiều chủ trương, chính sách, pháp luật, như: Quyết định số 63/QĐ-TTg ngày 13-01-2010 của Thủ tướng Chính phủ phê duyệt Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020; Chỉ thị số 28-CT/TW ngày 16-9-2013 của Ban Bí thư về tăng cường công tác bảo đảm an toàn thông tin mạng trong tình hình mới; Nghị quyết số 36-NQ/TW ngày 1-7-2014 của Bộ Chính trị về đẩy mạnh ứng dụng, phát triển công nghệ thông tin đáp ứng yêu cầu phát triển bền vững và hội nhập quốc tế; Chỉ thị số 15/CT-TTg ngày 17-6-2014 của Thủ tướng Chính phủ về tăng cường công tác bảo đảm an ninh và an toàn thông tin mạng trong tình hình mới; Luật An toàn thông tin mạng năm 2015; Luật An ninh mạng năm 2018; Nghị quyết số 29-NQ/TW ngày 25-7-2018 về Chiến lược bảo vệ Tổ quốc trên không gian mạng, Nghị quyết số 30-NQ/TW ngày 25-7-2018 về Chiến lược an ninh mạng quốc gia,…

Đặc biệt, ngày 10-8-2022, Thủ tướng Chính phủ đã ban hành Quyết định số 964/QĐ-TTg phê duyệt Chiến lược An toàn, An ninh mạng quốc gia, chủ động ứng phó với các thách thức từ không gian mạng đến năm 2025, tầm nhìn 2030. Đây là lần đầu tiên kể từ khi Luật An toàn thông tin mạng và Luật An ninh mạng có hiệu lực thi hành, Chiến lược An toàn, An ninh mạng quốc gia được ban hành. Chiến lược An toàn, An ninh mạng quốc gia đã đề ra 13 mục tiêu cụ thể đến năm 2025 và 8 mục tiêu cụ thể đến năm 2030 để hiện thực hóa tầm nhìn trở thành quốc gia tự chủ về an toàn, an ninh mạng để bảo vệ sự phát triển thịnh vượng của Việt Nam trên không gian mạng. Cùng với đó, Chiến lược cũng đưa ra 12 nhóm nhiệm vụ, giải pháp để triển khai thực hiện.

Dưới sự lãnh đạo của Đảng, sự vào cuộc quyết liệt của các bộ, ban, ngành, địa phương, công tác bảo đảm an ninh thông tin đã đạt được những kết quả tích cực: cơ sở vật chất, trang thiết bị kỹ thuật bảo đảm an ninh thông tin được tăng cường; hệ thống tổ chức, bộ máy quản lý nhà nước đối với các loại hình dịch vụ viễn thông, internet, bảo đảm an toàn cơ sở hạ tầng viễn thông được xác lập và từng bước nâng cao hiệu lực, hiệu quả hoạt động; hệ thống văn bản quy phạm pháp luật thể chế hóa chủ trương, quan điểm của Đảng về bảo đảm an ninh thông tin được xây dựng và từng bước hoàn thiện…

Tuy nhiên, tình hình mất an toàn thông tin mạng còn diễn biến phức tạp; công tác quản lý, bảo đảm an toàn thông tin, an ninh mạng còn hạn chế(5). Theo thống kê, từ năm 2010 đến năm 2019 đã có 53.744 lượt cổng thông tin, trang tin điện tử có tên miền “.vn” bị tấn công, trong đó có 2.393 lượt cổng thông tin, trang tin điện tử của các cơ quan Đảng, Nhà nước “.gov.vn”, xuất hiện nhiều cuộc tấn công mang màu sắc chính trị, gây ra những hậu quả nghiêm trọng(6).

Tội phạm và vi phạm pháp luật trong lĩnh vực thông tin diễn biến phức tạp, gây thiệt hại nghiêm trọng về nhiều mặt, xâm hại trực tiếp đến quyền, lợi ích hợp pháp của các cơ quan, tổ chức và cá nhân. Năm 2022 có 180.000 máy tính trong các cơ quan, tổ chức Việt Nam bị nhiễm mã độc APT; 14.500 máy chủ nhiễm ransomware (năm 2021 chỉ có 1.000 máy chủ nhiễm ransomware)(7). Việt Nam nằm trong nhóm các quốc gia bị tấn công mạng nhiều nhất và là quốc gia có tỷ lệ gặp phải mã độc tống tiền cao nhất tại khu vực châu Á - Thái Bình Dương(8).

Có thể thấy, hệ thống thông tin của Việt Nam còn tồn tại nhiều lỗ hổng bảo mật dễ bị tấn công, xâm nhập. Một số cơ quan, tổ chức, cá nhân còn chủ quan, sơ hở trong quản lý thông tin nội bộ, bí mật nhà nước, chưa nhận thức đầy đủ vị trí, tầm quan trọng của công tác bảo đảm an ninh thông tin cũng như tính chất nguy hiểm trong âm mưu, hoạt động của các thế lực thù địch, tội phạm mạng chống phá Đảng và Nhà nước ta trên không gian mạng; tình trạng lộ bí mật nhà nước qua hệ thống thông tin gia tăng đột biến; hiện tượng khai thác, sử dụng trái phép cơ sở dữ liệu, tài nguyên thông tin quốc gia, dữ liệu cá nhân người dùng diễn biến phức tạp; xuất hiện nhiều dịch vụ mới, hiện đại gây khó khăn cho công tác quản lý, kiểm soát của các cơ quan chức năng. Thực tế này đã làm xuất hiện nhiều nguy cơ đe dọa đến an ninh thông tin của Việt Nam.

Tham chiếu các chính sách về bảo đảm an ninh thông tin của Mỹ, Nga, Ítxraen, Trung Quốc, Xinhgapo), có thể rút ra kinh nghiệm trong xây dựng chính sách bảo đảm an ninh thông tin như sau:

Thứ nhất, xây dựng hành lang pháp lý đầy đủ, thống nhất. Xác định mối đe dọa về an ninh thông tin, đặc biệt là an ninh mạng là mối đe dọa hàng đầu đối với an ninh quốc gia. Do đó, cần tạo môi trường pháp lý chặt chẽ, bảo đảm sự an toàn, tin cậy cho nền kinh tế số, việc chia sẻ dữ liệu số, quản lý hoạt động của các doanh nghiệp cung cấp dịch vụ thông tin Tiếp tục xây dựng, hoàn thiện chính sách, pháp luật về bảo đảm an ninh thông tin, các chiến lược an ninh thông tin quốc gia để thống nhất nhận thức về bảo đảm an ninh thông tin.

 Cùng với đó, cần chú trọng xây dựng bộ chỉ báo về nguy cơ đe dọa an ninh thông tin, bộ tiêu chuẩn quốc gia về an ninh thông tin, bộ quy tắc ứng xử trên không gian mạng; luật phòng, chống thông tin giả, thông tin xấu, độc; luật bảo vệ thông tin cá nhân; các quy định về bảo vệ, kiểm tra, sử dụng tài nguyên thông tin quốc gia, dữ liệu cá nhân người dùng. Có cơ chế công khai giám sát, chặn lọc thông tin xuyên tạc, sai sự thật trên không gian mạng; quy định cụ thể và thực hiện nghiêm túc quy định bắt buộc sử dụng thông tin thật khi đăng ký tài khoản trên mạng.

Thứ hai, kiện toàn tổ chức bộ máy, phát triển nguồn nhân lực về an ninh mạng, an ninh thông tin. Cần xây dựng lực lượng an ninh thông tin đủ mạnh, dưới sự chỉ đạo trực tiếp từ cơ quan có thẩm quyền, có trách nhiệm chủ động thực hiện và sẵn sàng ứng phó với các nguy cơ đến từ không gian mạng; xây dựng các cơ chế, chính sách, quy chế phối hợp giữa các cơ quan, tổ chức đang thực hiện nhiệm vụ bảo đảm an ninh mạng, an ninh thông tin, như Bộ Thông tin và Truyền thông, Ban Cơ yếu Chính phủ, Bộ Tư lệnh 86 (Bộ Quốc phòng), Cục An toàn thông tin và An ninh mạng (Bộ Công an); xây dựng cơ chế, chiến lược và kế hoạch đào tạo nguồn nhân lực chất lượng cao về an ninh mạng, an ninh thông tin; xây dựng đội ngũ cán bộ và cơ chế kiểm tra độ an toàn, bảo mật của thiết bị, chương trình nhập khẩu sử dụng trong hệ thống thông tin quan trọng quốc gia.

Thứ ba, cần tiếp thu có chọn lọc kinh nghiệm của các nước trên thế giới, có cơ chế, chính sách cụ thể về kinh phí và nguồn lực đối với các hoạt động phát triển công nghệ bảo mật và hệ thống kiểm tra, giám sát an ninh thông tin. Xây dựng hệ thống cơ sở dữ liệu quốc gia tích hợp, hệ thống tuyên truyền, định hướng thông tin hiện đại, liên thông, an toàn, tạo thuận lợi cho quá trình chuyển đổi số và phát triển kinh tế số. Xây dựng hệ thống thông tin trọng yếu của Đảng, Nhà nước trong lĩnh vực an ninh, quốc phòng.

Thứ tư, đẩy mạnh liên kết công - tư trong phát triển tiềm lực bảo đảm an ninh thông tin. Trong đó, Nhà nước cần lựa chọn các lĩnh vực công nghệ mới, mang tính đột phá, đỡ đầu các doanh nghiệp tư nhân để tạo mũi nhọn; xây dựng chiến lược và thực hiện đồng bộ chính sách ưu tiên, khuyến khích, thu hút, tuyển chọn nhân tài phục vụ công tác bảo đảm an ninh thông tin; thực hiện chính sách xã hội hóa trong đào tạo nguồn nhân lực bảo đảm an ninh thông tin hướng đến phục vụ cho cả khu vực nhà nước và tư nhân. Có cơ chế khuyến khích, hỗ trợ các tổ chức, cá nhân nghiên cứu, phát triển, sử dụng các phần mềm, dịch vụ thông tin riêng của Việt Nam; khởi nghiệp về công nghệ an ninh mạng, về công nghệ thông tin, về cung cấp dịch vụ viễn thông, internet trong nước. Thành lập các quỹ đầu tư cho nghiên cứu, phát triển các giải pháp bảo đảm an ninh thông tin.

Thứ năm, tăng cường, mở rộng hợp tác quốc tế trong bảo đảm an ninh thông tin. Trên cơ sở bám sát chủ trương, chính sách của Đảng và Nhà nước, Việt Nam cần tăng cường hoạt động hợp tác quốc tế, nhất là với các quốc gia phát triển, có nhiều kinh nghiệm trong lĩnh vực này; thực hiện tốt các công ước quốc tế về bảo vệ an ninh thông tin; chủ động, tích cực tham gia xây dựng hệ thống an ninh thông tin quốc tế và các cơ chế bảo đảm an ninh thông tin ở các cấp độ khác nhau (toàn cầu, khu vực, song phương).

_________________

ThS Nguyễn Thạc Ngọc 

Học viện Chính trị quốc gia Hồ Chí Minh 

(1) https://www.oxfordlearnersdictionaries.com/definition/english/information-security?q=information+security.

(2) Nguyễn Quang Chiến: Chính sách, pháp luật về an ninh thông tin của các nước trên thế giới, Nxb Công an Nhân dân, Hà Nội, 2020, tr.218.

(3) Thuật ngữ “an ninh, an toàn thông tin” được giải thích tại Luật “Federal Information Security Management Act of 2002” (H.R. 2458 - 48) và Luật “Federal Information Security Modernization Act of 2014” (Public Law 113-283, 113th Congress).

(4) Chính phủ: Nghị định số 72/2013/NĐ-CP ngày 15-7-2013 về quản lý, cung cấp, sử dụng dịch vụ internet và thông tin trên mạng, khoản 24, Điều 3.

(5) Xem: ĐCSVN: Văn kiện Đại hội đại biểu toàn quốc lần thứ XIII, t.I, Nxb Chính trị quốc gia Sự thật, Hà Nội, 2021, tr.87-88.

(6) Lê Văn Thắng: An ninh thông tin ở Việt Nam trong điều kiện hiện nay - Vấn đề đặt ra và giải pháp, https://moj.gov.vn/.

(7)Bkav: Tổng kết an ninh mạng năm 2022 và dự báo năm 2023, https://www.bkav.com.vn/.

(8) Theo thống kê do Kaspersky Security Network công bố ngày 6-3-2023, số vụ tấn công trực tuyến tại Việt Nam được phát hiện và ngăn chặn trong năm 2022 là 41.989.163 vụ, đứng thứ 49 trên toàn thế giới về số lượng các cuộc tấn công trực tuyến vào năm 2022. Xem: Phan Anh: Việt Nam đứng thứ 49 thế giới về số lượng tấn công trực tuyến, https://vneconomy.vn/, ngày 7-3-2023.

...