Để đảm bảo ATTT cho tổ chức, doanh nghiệp, rất cần những chế tài cụ thể hơn dành riêng cho lĩnh vực tội phạm công nghệ cao. Phóng viên Tạp chí TGVT - Sêri B đã có cuộc trao đổi với ông Đỗ Ngọc Duy Trác, trưởng phòng nghiệp vụ, trung tâm Ứng Cứu Khẩn Cấp Máy Tính Việt Nam (VNCERT) về vấn đề này.
Thưa ông, thời gian qua hàng loạt website của DN đã bị hacker tấn công bằng nhiều hình thức khác nhau, ông đánh giá như thế nào về hiện tượng này?
Gần đây, không chỉ website của DN mà cả hệ thống thông tin của DN, thậm chí của nhà cung cấp dịch vụ Internet đã bị hacker tấn công. Có trường hợp tấn công thông qua máy chủ hosting, có trường hợp tin tặc tấn công trực diện vào website của DN và cũng có trường hợp tin tặc tấn công và chiếm quyền điều khiển hệ thống thông tin của nhà cung cấp dịch vụ làm ảnh hưởng đến hàng ngàn khách hàng tại Việt Nam. Như vậy có thể thấy nguy cơ website và hệ thống thông tin của DN bị tấn công bằng các hình thức khác nhau là luôn hiện hữu và có thể xảy ra bất cứ lúc nào.
Theo các tài liệu được công bố, phần lớn các vụ hack hiện nay được thực hiện do lỗi từ máy chủ của nhà cung cấp dịch vụ lưu trữ web (web hosting). Vậy trung tâm Ứng Cứu Khẩn Cấp Máy Tính Việt Nam (VNCERT) đã có cảnh báo gì cho các DN để ngăn chặn thảm họa mất an toàn thông tin (ATTT) từ các lỗ hổng này?
Trước hết phải nhấn mạnh, để giữ an toàn cho một website cần trách nhiệm của nhiều phía chứ không chỉ là trách nhiệm của nhà cung cấp dịch vụ web hosting. Tuy nhiên, nếu là nhà cung cấp dịch vụ web hosting chuyên nghiệp và phục vụ cho nhiều khách hàng, các đơn vị này cần chủ động nâng cao mức độ an toàn của hệ thống cung cấp dịch vụ để không làm gia tăng nguy cơ cho các khách hàng đang sử dụng dịch vụ. Là cơ quan điều phối cấp quốc gia về an toàn thông tin, VNCERT đã và sẽ tiếp tục cảnh báo, khuyến nghị và tư vấn các nhà cung cấp dịch vụ web hosting tăng cường thực hiện các biện pháp an toàn thông tin nhằm gia tăng mức độ an toàn cho hệ thống cung cấp dịch vụ của mình.
Nếu như vậy, sẽ không có gì ràng buộc trách nhiệm của các nhà cung cấp dịch vụ web hosting và khi sự cố xảy ra, DN vẫn là người phải âm thầm gánh chịu hậu quả. Ông có nghĩ như vậy?
Theo cá nhân tôi, bồi thường theo quy định của hợp đồng dịch vụ là cơ sở để ràng buộc trách nhiệm giữa nhà cung cấp dịch vụ web hosting và khách hàng. Quy luật thị trường sẽ chi phối và tác động đến các nhà cung cấp dịch vụ web hosting một cách tự nhiên, bên cạnh giá thành và chất lượng dịch vụ, các nhà cung cấp dịch vụ này sẽ phải nâng cao chất lượng ATTT như một biện pháp để cạnh tranh.
Vấn đề xử lý các loại tội phạm về an ninh mạng từ trước đến nay luôn gặp khó khăn vì thiếu chế tài, luật pháp chưa đủ mạnh để răn đe những người thích "chơi trội", muốn thể hiện mình. Theo ông, trong thời gian tới cần phải có thêm những quy định gì để bảo vệ cho các doanh nghiệp?
Trong trường hợp bị hacker tấn công, việc đầu tiên các DN nên làm là thông báo ngay sự cố với VNCERT để nhận được các tư vấn sơ bộ cần thiết theo 1 trong 3 kênh sau: Hotline (04)6404423; email IR@vncert.vn hoặc thông qua website của VNCERT tại địa chỉ http://www.vncert.gov.vn. Sau khi nắm rõ thông tin về sự cố, tùy theo bản chất, quy mô và mức độ gây thiệt hại, VNCERT sẽ có các mức độ hỗ trợ khác nhau dành cho DN như: tư vấn để DN tự khắc phục sự cố, hỗ trợ từ xa, hỗ trợ trực tiếp và điều phối ứng cứu sự cố trong trường hợp sự cố gây ảnh hưởng nghiêm trọng đến không gian mạng của Việt Nam. |
Vấn đề thiếu chế tài, luật pháp chưa đủ nghiêm để xử lý tội phạm công nghệ cao đã được nhắc đến nhiều lần và đã đặt ra cho các cơ quan quản lý một nhu cầu cấp bách phải hoàn thiện hệ thống luật pháp có liên quan đến tội phạm công nghệ cao. Thời gian vừa qua đã có nhiều nỗ lực từ phía các cơ quan quản lý nhà nước nhằm bổ sung cho các thiếu sót này như: Nghị định 63/2007/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực CNTT, nghị định 90/2008/NĐ-CP về chống thư rác... Hiện nay các bộ ngành có liên quan đang phối hợp để sửa đổi, bổ sung các nội dung có liên quan đến tội phạm mạng trong bộ luật Hình Sự.
Theo kinh nghiệm của các nước trên thế giới thì nên có một luật "thẳng" riêng ("direct law" – là loại luật mà trong đó đề cập đến tất cả hành vi chi tiết và mức độ xử lý tương ứng ngay từ thời điểm ban hành, không có nghị định hay thông tư hướng dẫn) liên quan đến việc xử lý tội phạm mạng nói riêng và tội phạm công nghệ cao nói chung.
Thu Nga (thực hiện)