Thưa Thiếu tướng, vừa qua, một bản tin của VTV1, Truyền hình Việt Nam thông báo rằng trong thời gian rất ngắn, riêng trong tháng và 3 năm 2018 đã có hơn 1.500 cuộc tấn công mạng đối với Việt Nam. Những vấn đề nêu trên có thể thấy là một thực trạng hết sức đáng lo ngại về an ninh mạng đã và đang diễn ra. Nhưng việc xử lý của chúng ta cũng rất bị động, lúng túng và hiệu quả không cao. Vậy, tại sao việc xử lý của chúng ta chưa hiệu quả? Phải chăng chưa có hành lang pháp lý cụ thể, rõ ràng?
Thiếu tướng Nguyễn Minh Đức: Tôi xin điểm qua về tình hình tấn công mạng vừa qua đối với Việt Nam để lý giải một phần nhận định trên. Theo báo cáo của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam trong năm 2017, các hệ thống thông tin tại Việt Nam đã phải hứng chịu khoảng 15.000 cuộc tấn công mạng, gồm khoảng 3.000 cuộc tấn công lừa đảo, 6.500 cuộc tấn công cài phần mềm độc hại và 4.500 cuộc tấn công thay đổi giao diện.
Trong đó, số cuộc tấn công vào hệ thống thông tin của các cơ quan nhà nước có tên miền “.gov.vn” cũng lên tới hàng trăm. Năm 2017, thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam đã lên tới 12.300 tỷ đồng (540 triệu USD), vượt xa mốc 10.400 tỷ đồng của năm 2016 và đã đạt kỷ lục trong nhiều năm trở lại đây.
Trong 5 tháng đầu năm 2018 đã ghi nhận 4.035 sự cố tấn công mạng vào Việt Nam, riêng tháng 2 và 3 có tới hơn 1.500 vụ tấn công mạng; bên cạnh đó với khoảng 637.400 máy tính bị kiểm soát nằm trong mạng máy tính bị nhiễm mã độc (mạng máy tính ma - botnet), Việt Nam xếp ở vị trí thứ 4 trong Top 10 quốc gia bị kiểm soát bởi mạng máy tính ma.
Lỗ hổng mất an toàn ngày càng gia tăng, khoảng hơn 300%/năm khiến nguy cơ an toàn thông tin mạng đang gia tăng nhanh chóng khi bước vào cách mạng công nghiệp 4.0.
Trước các cuộc tấn công mạng như vậy đối với Việt Nam, lực lượng An ninh mạng chuyên trách của Bộ Công an, Bộ Quốc phòng và của các cơ quan chức năng khác của Việt Nam đã tập trung mọi giải pháp về kỹ thuật cũng như con người để phòng, chống tấn công mạng, nhưng khó đạt hiệu quả cao nhất.
Theo các chuyên gia an ninh mạng, sự bảo vệ hiện nay không đủ để đối phó với tấn công mạng hiện đại vì các biện pháp triển khai khác nhau thường độc lập với nhau; thiếu hành lang pháp lý rõ ràng tạo trách nhiệm liên kết các biệp pháp triển khai của các cơ quan chức năng Việt Nam với nhau, đặc biệt là với các nước. Hầu hết các nước có hệ thống phòng chống tấn công mạng hiệu quả ngoài giải pháp kỹ thuật, con người còn có hành lang pháp lý cụ thể.
Điều đó nói lên rằng, chỉ có thể phòng chống tấn công mạng hiệu quả, ngoài biện pháp kỹ thuật, con người thì phải có hệ thống pháp luật cụ thể, rõ ràng đủ điều kiện triển khai các biện pháp pháp lý và hợp tác quốc tế.
Một số ý kiến lo ngại bị kiểm tra, giám sát khi nhập khẩu, sử dụng hệ thống thông tin. Là Cơ quan thẩm định dự án Luật, Thiếu tướng cho biết, Cơ quan Công an có quyền kiểm tra, giám sát tất cả các hệ thống thông tin hay chỉ đánh giá, kiểm tra một số hệ thống đặc biệt quan trọng. Những hệ thống đặc biệt quan trọng được xác định là những hệ thống gì, thưa Thiếu tướng?
Thiếu tướng Nguyễn Minh Đức: Thực tế, trước những cuộc tấn công mạng có chủ đích ngày càng hiện đại, tinh vi, chỉ một sai sót của cơ quan, tổ chức, doanh nghiệp, người dùng là có thể chịu hậu quả rất nặng nề, cho nên đa số họ chủ động đề xuất lực lượng chuyên trách bảo vệ an ninh mạng giúp đỡ kiểm tra từ đầu, cũng như thường xuyên các thiết bị, hệ thống mạng của họ, để họ yên tâm sản xuất, kinh doanh.
Một bộ phận lo ngại bị kiểm tra, giám sát là do chưa hiểu rõ tầm quan trọng cũng như sự trợ giúp đắc lực từ phía cơ quan chuyên trách bảo vệ an ninh mạng, hoặc có không ít trường hợp có thể họ làm ăn mờ ám, thiếu minh bạch nên mới lo ngại sợ bị kiểm tra.
Các quy định trong chương 2 của Dự thảo Luật An ninh mạng quy định cơ quan chuyên trách bảo vệ An ninh mạng của Bộ Công an phải có trách nhiệm bảo vệ an ninh quốc gia và trật tự an toàn xã hội trên không gian mạng; việc kiểm tra, giám sát các thông tin là trách nhiệm của tất cả các chủ quản mạng; lực lượng chuyên trách An ninh mạng của Bộ Công an chỉ đánh giá, kiểm tra một số hệ thống đặc biệt quan trọng về an ninh, trật tự chứ không phải là tất cả.
Những hệ thống thông tin quan trọng về An ninh quốc gia là hệ thống thông tin khi bị sự cố, tấn công, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt hoặc phá hủy sẽ gây phương hại đến chủ quyền, lợi ích, An ninh quốc gia và gây tổn hại nghiêm trọng tới trật tự an toàn xã hội.
Điều 26 quy định về cơ quan, tổ chức nước ngoài cung cấp dịch vụ trên không gian mạng phải lưu trữ tại Việt Nam đối với thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam và các dữ liệu quan trọng liên quan đến An ninh quốc gia; đặt trụ sở hoặc văn phòng đại diện tại Việt Nam; có ý kiến cho rằng chúng ta vi phạm các hiệp định chúng ta đã ký kết, quan điểm của ông về vấn đề này như thế nào?
Thiếu tướng Nguyễn Minh Đức: Tôi cho rằng, việc quy định “Lưu trữ tại Việt Nam đối với thông tin cá nhân của người sử dụng tại Việt Nam và các dữ liệu quan trọng liên quan đến An ninh quốc gia; đặt trụ sở hoặc văn phòng đại diện tại Việt Nam” là khả thi, phù hợp với pháp luật trong nước, thông lệ quốc tế, không trái với các điều ước mà chúng ta tham gia, cũng không cản trở hoạt động của doanh nghiệp. Tôi nhất trí và ủng hộ quy định này.
Thứ nhất, về lưu trữ dữ liệu quan trọng quốc gia trong nước, theo thống kê, hiện đã có 18 quốc gia trên thế giới quy định phải lưu trữ dữ liệu ở trong nước, như Mỹ, Canada, Liên bang Nga, Pháp, Đức, Trung Quốc, Úc, Indonesia, Hi Lạp, Bulgaria, Đan Mạch, Phần Lan, Thụy Điển, Thổ Nhĩ Kỳ, Venezuela, Colombia, Argentina, Brazil. Như vậy là thông lệ quốc tế đã có, chúng ta không phải là quốc gia đầu tiên áp dụng quy định này.
Thứ hai, qua rà soát các văn bản cam kết gia nhập WTO như Hiệp định chung về thuế quan và thương mại (GATT 1994), Hiệp định chung về thương mại dịch vụ (GATS), Hiệp định về các khía cạnh liên quan đến thương mại của quyền sở hữu trí tuệ (TRIPS); đồng thời, rà soát Hiệp định Đối tác toàn diện và tiến bộ xuyên Thái Bình Dương (CPTPP), tôi thấy các văn kiện này đều có quy định về ngoại lệ an ninh, cho phép tôn trọng và bảo vệ an ninh quốc gia ở mức cao nhất.
Ví dụ khách quan nhất là 18 nước nêu trên đều đã tham gia WTO, họ quy định được nghĩa là không vi phạm cam kết của WTO thì họ mới làm. Như vậy, có thể khẳng định, ta không vi phạm các cam kết quốc tế.
Thứ ba, về văn phòng đại diện, theo quy định của pháp luật nước ta về thương mại, các tổ chức xúc tiến thương mại nước ngoài phải lập văn phòng đại diện tại Việt Nam theo Luật Thương mại năm 2005, Luật Quản lý Ngoại thương năm 2017 và các văn bản hướng dẫn thi hành, trực tiếp là Nghị định 28/2018/NĐ-CP của Chính phủ quy định chi tiết Luật Quản lý ngoại thương về một số biện pháp phát triển ngoại thương.
Hiện Google đã đặt khoảng 70 văn phòng đại diện, Facebook khoảng 80 văn phòng đại diện tại các quốc gia trên thế giới.
Thứ tư, quy định nêu trên là có trọng tâm, trọng điểm. Về dữ liệu, quy định này không yêu cầu lưu trữ toàn bộ dữ liệu có liên quan tới Việt Nam trên không gian mạng, không yêu cầu lưu trữ dữ liệu nền tảng (platform), mà chỉ yêu cầu lưu trữ đối với một số loại dữ liệu cụ thể, liên quan tới bí mật cá nhân trong trường hợp cần thiết và các dữ liệu liên quan tới An ninh quốc gia, vì đây là tài sản của công dân, tài sản của quốc gia cần được quản lý, bảo vệ.
Về đối tượng áp dụng, quy định không áp dụng đối với toàn bộ các cơ quan, tổ chức hoạt động trên không gian mạng Việt Nam, chỉ áp dụng đối với một số cơ quan, tổ chức cung cấp dịch vụ mà bị sử dụng, lợi dụng hoặc có ảnh hưởng tới An ninh quốc gia. Về quản lý, việc quản lý dữ liệu được thực hiện thông qua các trung tâm dữ liệu tại Việt Nam và bằng các công cụ quản lý.
Khi các cơ quan, tổ chức nước ngoài cung cấp dịch vụ trên không gian mạng và sở hữu hệ thống thông tin tại Việt Nam lưu trữ dữ liệu, cơ quan chức năng Việt Nam sẽ phối hợp với các cơ quan, tổ chức cung cấp dịch vụ trên không gian mạng xây dựng các công cụ phục vụ việc quản lý, giám sát việc sử dụng các loại dữ liệu này. Chính phủ sẽ quy định cụ thể nội dung này.
Thứ năm, trong thực tiễn, việc không quản lý được dữ liệu người dùng và dữ liệu quan trọng quốc gia đã và đang ảnh hưởng tới lợi ích, An ninh quốc gia. Về An ninh quốc gia và phòng, chống tội phạm, hiện nay, các thế lực thù địch, phản động và tội phạm đang gia tăng việc sử dụng không gian mạng để xâm phạm An ninh quốc gia, trật tự an toàn xã hội, trong khi cơ quan chức năng gặp rất nhiều khó khăn trong điều tra, xác minh, truy tìm, xử lý các trường hợp vi phạm này vì toàn bộ dữ liệu đều được đặt ở nước ngoài.
Về lợi ích quốc gia, dữ liệu người dùng là tài sản có giá trị khai thác vô hạn, là nguyên liệu đầu vào của nhiều hoạt động kinh tế mang lại giá trị lợi nhuận cao, trong khi các cơ quan, tổ chức nước ngoài kiếm được hàng nghìn tỷ đồng mỗi năm từ dữ liệu người dùng Việt Nam thì nước ta đang bị thất thu thuế. Việc quy định về lưu trữ dữ liệu và đặt văn phòng đại diện sẽ góp phần tháo gỡ khó khăn trên.
Được biết, trong khi cơ quan chức năng soạn thảo dự án Luật, các công ty như: Google, Facebook, Amazon… đã đề nghị được làm việc với ban soạn thảo, tổ biên tập, đồng ý phối hợp với các cơ quan chức năng. Theo ông, vì sao họ lại làm điều này?
Thiếu tướng Nguyễn Minh Đức: Các công ty như Google, Facebook, Amazon, Apple họ là những công ty chuyên cung cấp dịch vụ trực tuyến trên không gian mạng, bản chất họ là những nhà kinh doanh dịch vụ, có thu lợi nhuận và đóng thuế, có thể gây ảnh hưởng lớn tới khả năng định hướng dư luận và đưa những thông tin thất thiệt phổ biến rộng rãi trên các mạng xã hội và Internet đều có thể đem lại mối đe dọa cho các nền dân chủ và tầng lớp trẻ.
Với những lý do nêu trên, pháp luật nhiều nước siết chặt hoạt động của Google, Facebook, Amazon... các công ty này sẽ có nguy cơ thất thu lớn, nên họ đã ứng xử rất nhanh, bằng việc sẵn sàng thỏa hiệp với chính quyền các nước để lựa chọn giải pháp an toàn, hợp pháp không bị phạt hoặc cấm.
Chính vì vậy, khi Việt Nam xây dựng Luật An ninh mạng, các công ty này đã tìm cách tiếp cận với chúng ta nhằm đàm phán và chấp nhận các điều khoản quy định trong dự thảo Luật, để họ vẫn có thể hoạt động trên thị trường Việt Nam một cách an toàn theo pháp luật Việt Nam và vẫn thu được lợi nhuận chính đáng cũng như nộp thuế theo pháp luật Việt Nam, mà không bị ngăn cấm.
Các thế lực thù địch luôn tìm mọi cách chống phá Nhà nước ta, nên tìm mọi cách để xuyên tạc sự thật, bằng mọi thủ đoạn tác động tới một bộ phận thiếu hiểu biết về không gian mạng, về thương mại điện tử, nên cho rằng việc ban hành Luật An ninh mạng sẽ “gây khó” hay “thêm gánh nặng hành chính” cho doanh nghiệp, từ đó đã hiểu sai về chủ trương, mục đích của việc ban hành Luật An ninh mạng.
Về vấn đề bảo mật thông tin cá nhân, trong dự thảo quy định cơ quan chức năng phải cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ An ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản. Nhiều người lo ngại sẽ bị lộ lọt thông tin cá nhân. Điều này có thể xảy ra không thưa ông? Theo Thiếu tướng, trên thực tế đã bao giờ xảy ra lộ lọt hay cán bộ lợi dụng để phục vụ mục đích ngoài công vụ không?
Thiếu tướng Nguyễn Minh Đức: Tôi có thể khẳng định rằng sẽ không bao giờ xảy ra việc lộ lọt thông tin người dùng. Thực tế từ khi thành lập đến nay, các lực lượng chuyên trách của Bộ Công an luôn thực hiện nhiệm vụ quản lý Nhà nước về an ninh, trật tự, bao gồm từ quản lý cư trú, căn cước lai lịch công dân; giao thông; kinh doanh ngành nghề có điều kiện về an ninh, trật tự; xuất nhập cảnh;... chưa bao giờ có sự lộ lọt thông tin.
Việc bảo đảm bí mật tuyệt đối thông tin cá nhân của công dân vừa là trách nhiệm mà còn là nghĩa vụ pháp lý; nếu để lọt, lộ sẽ bị xử lý nghiêm minh theo quy định của pháp luật, tùy theo tính chất, mức độ, hậu quả.
Xin trân trọng cảm ơn Thiếu tướng!
(theo CAND)