Wednesday, June 13, 2018

Xin chuyển đến quí bạn FB bức thư của một kỹ sư an ninh mạng. Dương Ngọc Thái


Kính thưa Quốc Hội,
Tôi là Dương Ngọc Thái, kỹ sư an ninh mạng đang làm việc ở Mỹ. Tôi năm nay 34 tuổi, bắt đầu học và làm an ninh mạng từ năm 18 tuổi. Năm 20 tuổi tôi đã là trưởng phòng an ninh mạng của một Ngân hàng ở Việt Nam. Năm 2011, tôi rời Việt Nam sang Silicon Valley làm việc. Tôi là một chuyên gia nghiên cứu về an ninh phần mềm. Các phát hiện của tôi có ảnh hưởng sâu rộng đến sự an toàn của Internet, được trích dẫn trong nhiều bài báo khoa học, được đưa vào giảng dạy ở các đại học danh tiếng và đăng tải trên các tờ báo lớn trên thế giới.
Tôi giới thiệu dài dòng như vầy với hi vọng Quốc Hội hiểu rằng tôi là một kỹ sư an ninh mạng có kinh nghiệm thực tế và được thế giới biết đến.
Để soạn thảo và thông qua một bộ luật đòi hỏi nhiều kiến thức chuyên môn như Luật An Ninh Mạng, Chính phủ và Quốc hội cần phải dựa vào sự tư vấn và lắng nghe ý kiến của các chuyên gia. Tuy vậy cho đến ngày 31/5/2018, mục “Ý kiến chuyên gia” trên trang Dự Thảo Online của Quốc hội không có ý kiến nào. Cá nhân tôi chỉ biết về dự thảo khi báo chí đưa tin. Với trách nhiệm xã hội của một chuyên gia, tôi viết thư này để chia sẻ với Quốc hội và những ai quan tâm góc nhìn của một người đã dành nhiều thời gian suy nghĩ về an ninh mạng. Ba vấn đề tôi đặt ra và phân tích với Quốc hội (1) liệu dự thảo có đưa ra được các giải pháp chính sách thực sự để giải quyết vấn đề an ninh mạng? (2) tác động dự thảo đến doanh nghiệp, đến phát triển kinh tế như thế nào; và (3) khuyến nghị của tôi cho luật an ninh mạng và chính sách an ninh mạng Việt Nam.
Đây là ý kiến của cá nhân tôi, không thể hiện quan điểm hay ý kiến của nơi tôi làm việc hay bất kỳ ai khác.
Chống nói xấu Đảng không đảm bảo được an ninh mạng
Tôi đã học và làm việc chung với nhiều giáo sư và chuyên gia hàng đầu thế giới, nhưng tôi chưa bao giờ nghe ai giải thích về an ninh mạng như đại biểu Nguyễn Thanh Hồng – Uỷ viên thường trực Uỷ ban Quốc phòng và An ninh của Quốc hội đã nói trên tờ VnExpress: “An ninh mạng nếu giải thích dễ hiểu nhất là không truyền bá, cổ súy, khai thác những nội dung chống phá Đảng, Nhà nước và làm sao để mỗi công dân có ý thức trong việc phòng chống tội phạm, bảo vệ bản thân và gia đình”. Hiểu an ninh mạng như vậy là sai bản chất và có thể dẫn đến nguy cơ vừa mất an ninh quốc gia vừa kìm hãm sự phát triển của đất nước.
Đúng là Việt Nam đã và đang liên tục bị tấn công trên không gian mạng. Năm 2014, giữa lúc người Việt trong nước và hải ngoại đang sôi sục vì Trung Quốc kéo giàn khoan HD-981 vào Biển Đông, các chuyên gia đã phát hiện hệ thống máy tính của Bộ Tài Nguyên Môi Trường Việt Nam bị xâm nhập. Tại sao lại là Bộ Tài Nguyên Môi Trường? Vì đây là cơ quan nhà nước sở hữu nhiều thông tin quan trọng về bản đồ, sơ đồ, hải trình, báo cáo… của các chuyến thăm dò dầu khí, khai thác ngư sản cũng như các hoạt động tuần tra bảo vệ của Việt Nam trên Biển Đông. Ngoài Bộ Tài Nguyên Môi Trường, Tập Đoàn Dầu Khí, Thông Tấn Xã và Tập Đoàn Bưu Chính Viễn Thông Việt Nam cũng bị xâm nhập. Có nhiều bằng chứng để tin rằng những đối tượng đứng đằng sau các vụ tấn công này đến từ Trung Quốc.
Gần đây hơn, nhiều sự cố an ninh mạng cũng liên tục xảy ra:
Tháng 5/2016, ngân hàng Tiên Phong Bank bị hacker xâm nhập, đánh cắp 1,1 triệu đôla Mỹ (đại diện Tiên Phong Bank nói rằng họ phát hiện và chặn được tấn công đúng lúc).
Tháng 7/2016, mạng máy tính sân bay Tân Sơn Nhất, sân bay Nội Bài và Vietnam Airlines bị hacker Trung Quốc phá hoại.

Tháng 5/2017, ngay trong lúc ngài Thủ tướng Nguyễn Xuân Phúc đang sang thăm Mỹ, hệ thống máy chủ email của Bộ Ngoại Giao lại bị hacker “lạ” xâm nhập.
Từ nhiều năm nay, các công ty công nghệ Việt Nam đã nằm trong tầm ngấm của những nhóm hacker “lạ”. Tháng 4/2018, kẻ tấn công đã tung lên mạng thông tin cá nhân bao gồm tên, ngày sinh, chứng minh nhân dân, số điện thoại, email và mật khẩu của gần 75 triệu tài khoản người dùng của VNG, công ty game và Internet lớn nhất Việt Nam.
Có lẽ không cần nói thêm, Quốc hội cũng hiểu rằng “chống truyền bá, cổ súy, khai thác những nội dung chống phá Đảng, Nhà nước” không thể bảo vệ Việt Nam khỏi những vụ tấn công như trên.
Đảm bảo an ninh mạng không có nghĩa là phải hi sinh phát triển kinh tế và tự do của người dân
Trong lúc hệ thống mạng máy tính Việt Nam liên tục bị tấn công, chính phủ mất bí mật, doanh nghiệp bị mất tiền, người dân mất thông tin cá nhân, sẽ là một sai lầm chiến lược nếu Quốc hội thông qua dự thảo Luật An Ninh Mạng. Dự thảo này không có nhiều sáng kiến cụ thể có thể giúp Việt Nam kiện toàn an ninh mạng mà còn có khả năng cản trở đà phát triển kinh tế, kìm hãm sự tự do sáng tạo và xâm hại riêng tư của người dân.
Một vệ sĩ giỏi là người biết lùi lại phía sau, âm thầm quan sát, đảm bảo an toàn cho yếu nhân mà không gây cản trở công việc của họ. Một chuyên gia lành nghề là người hiểu mục tiêu kinh doanh của công ty, từ đó sáng tạo các giải pháp có sự cân bằng giữa an ninh, chi phí và tiện dụng để sản phẩm làm ra đáp ứng nhu cầu khách hàng, giúp công ty kinh doanh thuận lợi, với những rủi ro chấp nhận được. Tôi hay nói với đồng nghiệp công việc của chúng ta không phải là chỉ là đảm bảo an ninh, mà là đảm bảo an ninh để công ty vẫn có thể sáng tạo và phát triển. Trách nhiệm của chúng ta là phục vụ các nhóm làm sản phẩm, giúp họ đảm bảo an toàn thông tin mà vẫn có thể tự do sáng tạo, vẫn tiết kiệm được thời gian, công sức, chứ không thể bắt họ phục tùng. Nếu chính sách an ninh kìm hãm sự tự do sáng tạo, làm chậm tốc độ phát triển, thì chính sách đó chưa đạt yêu cầu. Kỹ sư an ninh mạng làm việc có tâm phải luôn trăn trở tìm cách để chính sách an ninh không những không gây cản trở, mà còn đem đến lợi thế cạnh tranh.
Tương tự như vậy, ở tầm quốc gia, một chiến lược an ninh mạng đúng đắn không thể bỏ qua phát triển kinh tế. Việt Nam cần đảm bảo an ninh mạng, nhưng an ninh mạng chỉ là phương tiện, không phải đích đến, để đạt đến các mục tiêu quan trọng nhất của đất nước là phát triển kinh tế, khai phóng con người, bảo vệ môi trường sống và nâng cao chất lượng cuộc sống. Muốn vậy, lực lượng chuyên trách an ninh mạng quốc gia cần đóng vai trò người hỗ trợ chứ không phải người kiểm soát. Nhưng tôi e rằng trao quyền cho cơ quan quản lý trực tiếp can thiệp vào cách doanh nghiệp điều hành và quản lý hệ thống thông tin của họ (như điều 26 và 24 dự luật) dễ dẫn đến lạm quyền, tạo điều kiện cho tham nhũng. Việc yêu cầu báo cáo, đánh giá – đi kèm với phê duyệt, chấp thuận – sẽ làm tăng chi phí; giảm sự sáng tạo; làm mất lợi thế cạnh tranh của doanh nghiệp (vì thời gian là ‘vàng’ trong kinh tế số và thị trường công nghệ vốn cạnh tranh khốc liệt).
Bài toán mà Quốc hội cần phải đặt ra cho dự thảo Luật An Ninh Mạng là: làm thế nào để không bị tấn công mạng, nhưng vẫn giữ tốc độ phát triển kinh tế cao, đảm bảo tự do cho người dân, tăng khả năng cạnh tranh và uy tín của Việt Nam trên thế giới? Đặt đúng câu hỏi là đã giải quyết được một nửa vấn đề. Trong phần tiếp theo tôi đề xuất một số ý kiến về chính sách để giải quyết nửa còn lại.
Giải pháp nào cho an ninh mạng quốc gia?
Đối với Luật An Ninh Mạng nói riêng, chính sách và chiến lược an ninh mạng quốc gia nói chung, tôi đề xuất ba điểm.
Thứ nhất, thay vì ôm đồm rất nhiều nội dung, luật chỉ nên tập trung vào hệ thống thông tin trọng yếu, chủ thể trung tâm trong vấn đề bảo vệ an ninh quốc gia trên không gian mạng. Hệ thống thông tin trọng yếu bao gồm hệ thống công, do Chính phủ quản lý và hệ thống tư, thuộc sự quản lý và là tài sản của các doanh nghiệp tư nhân. Chính phủ chịu trách nhiệm và tùy nghi điều chỉnh hệ thống công, nhưng Chính phủ không được phép kiểm soát hệ thống tư, mà chỉ đóng vai trò hỗ trợ, ngoại trừ có sự đồng ý của doanh nghiệp hoặc lệnh của tòa án.
Để giúp đỡ doanh nghiệp, Chính phủ có thể chủ động chia sẻ thông tin tình báo, thông tin sự cố an toàn thông tin, hoặc các nhóm hacker nước ngoài mà Chính phủ đã theo dõi và nắm bắt được. Chính phủ cũng có thể khuyến khích doanh nghiệp hợp tác, chia sẻ thông tin, nhưng bất kỳ sự chia sẻ nào cũng phải là tự nguyện và phải đảm bảo được sự riêng tư của khách hàng của các doanh nghiệp. Chính phủ không thể mặc nhiên yêu cầu doanh nghiệp cung cấp tất cả thông tin mà Chính phủ muốn. Quá trình chia sẻ thông tin, nội dung chia sẻ giữa doanh nghiệp và Chính phủ phải được luật hóa cụ thể.
Chính phủ cũng có thể giúp doanh nghiệp bằng cách đặt ra các tiêu chuẩn về an toàn thông tin. Các tiêu chuẩn này chỉ áp dụng cho hệ thống mạng máy tính của Nhà nước. Tuy nhiên doanh nghiệp có thể dựa vào đó để tự xây dựng tiêu chuẩn cho hệ thống máy tính và sản phẩm của họ. Nhà nước chỉ mua các sản phẩm đạt chuẩn, tạo động lực để doanh nghiệp muốn bán sản phẩm cho Nhà nước xây dựng các sản phẩm đúng chuẩn.
Một việc có ích khác Chính phủ nên làm là dùng ngân sách để đào tạo nguồn nhân lực an toàn thông tin chất lượng cao và nâng cao nhận thức an toàn thông tin cũng như quyền riêng tư của người dân. Bộ Thông Tin Truyền Thông đã trình Chính phủ những đề án cụ thể về hai vấn đề này, trách nhiệm của Quốc hội lúc này là giám sát việc thực thi các đề án này. Để đánh giá đề án thực thi có hiệu quả, có đúng với mục tiêu đặt ra, Quốc hội nên tham khảo ý kiến đánh giá độc lập của các chuyên gia.
Thứ hai, chính sách an ninh mạng quốc gia cần phải bảo vệ quyền riêng tư của người dân. Quyền riêng tư là một quyền hiến định và được Liên Hợp Quốc công nhận là quyền cơ bản của con người. Nhà nước không thể dựa vào lý do an ninh quốc gia để tùy tiện xâm phạm riêng tư của người dân.
Luật An Toàn Thông Tin Mạng có đề cập đến quyền riêng tư, nhưng tôi e rằng chưa đủ. Để bảo vệ riêng tư của người dân, tối thiểu Việt Nam cần có luật yêu cầu những tổ chức thu thập thông tin cá nhân của người dân phải thông báo đại chúng khi những nơi này bị xâm nhập và để lộ thông tin. Ngoài ra, Việt Nam cũng cần cân nhắc tạo luật yêu cầu những do tổ chức thu thập và xử lý thông tin cá nhân nhạy cảm như tài chính và y tế phải có cơ chế đảm bảo sự riêng tư của khách hàng. Luật này sẽ đặt ra những tiêu chuẩn cụ thể, cách thức người dân có thể phản ánh khiếu nại và cách Nhà nước sẽ xử lý chế tài ra sao các doanh nghiệp hay tổ chức phạm luật.
Nhưng bảo vệ riêng tư không có nghĩa là phải lưu trữ dữ liệu ở Việt Nam. Đa số người dân châu Âu sử dụng dịch vụ của các công ty Mỹ, nhưng Quy định chung về bảo vệ dữ liệu (GDPR) không yêu cầu các công ty Mỹ phải đặt máy chủ ở châu Âu. Do đó cách quy định như điều 26 của dự thảo luật không có mấy ý nghĩa thực tế.
Dữ liệu là vấn đề pháp lý phức tạp, tôi cho rằng Quốc hội nên nghiên cứu kỹ lưỡng để có một đạo luật riêng về vấn đề này thay vì gộp chung vào Luật An Ninh Mạng như hiện nay.
Cuối cùng, tôi cho rằng, để chống lại tấn công mạng, điều cốt lõi là con người, chứ không phải là công cụ pháp lý. Tuy nhiên, những chuyên gia hàng đầu Việt Nam mà tôi đã có dịp trao đổi đều không làm việc cho Chính phủ vì khu vực doanh nghiệp trả lương cao hơn, đãi ngộ tốt hơn, cơ hội nghề nghiệp công bằng hơn. Nhưng với uy tín của Chính phủ, tôi tin rằng Chính phủ dễ dàng huy động được những chuyên gia tên tuổi tham gia vào các dự án giúp đỡ đất nước. Năm 2016 tôi có đề xuất Việt Nam nên thành lập một đội đặc nhiệm bao gồm những chuyên gia Việt Nam giỏi nhất mà Việt Nam hiện có (xem bài Có một Biển Đông trên không gian mạng). Nhóm chuyên gia này, tương tự như tổ tư vấn về chính sách kinh tế, làm việc theo cơ chế phi lợi nhuận, sẽ giúp Chính phủ về chính sách và công nghệ. Đội đặc nhiệm này có vai trò tương tự như “Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an” mà dự thảo nêu ra, nhưng chỉ đóng vai trò hỗ trợ, chứ không có quyền kiểm soát doanh nghiệp.
Kết thư

Từ vài năm nay tôi đã dành nhiều thời gian suy nghĩ về chiến lược an ninh mạng quốc gia cho Việt Nam. Những ý kiến của tôi ở đây đều là tổng kết của quá trình suy nghĩ lâu dài, không phải những suy nghĩ vội vàng.
Tôi thấy cần phải chỉnh sửa, thu hẹp phạm vi của dự thảo Luật An Ninh Mạng, chỉ nên tập trung vào mục tiêu đảm bảo an ninh mạng cho hệ thống máy tính trọng yếu do nhà nước quản lý, loại bỏ những nội dung vi phạm quyền hiến định của người dân như quyền tự do ngôn luận, quyền riêng tư, cản trở tự do báo chí, tăng chi phí kinh doanh, giảm năng lực cạnh tranh, tạo cơ sở pháp lý cho một nhóm thiểu số nhũng nhiễu doanh nghiệp. Tôi không phải là một luật sư, nhưng với vốn kiến thức hạn hẹp tôi thấy rằng làm luật để kiểm soát người dân, kiểm soát doanh nghiệp là dùng pháp luật để cai trị dân chúng, chứ không phải dùng pháp luật để vận hành và phát triển đất nước. Dự thảo Luật An Ninh Mạng, do đó, nếu được thông qua, sẽ đẩy Việt Nam đi thụt lùi trên con đường trở thành một quốc gia pháp quyền.
Kính thưa Quốc hội,
Tôi đến Mỹ vì muốn tìm kiếm cơ hội chạy đua cùng thế giới, nhưng điều mà tôi tìm thấy lại quý giá hơn nhiều lần, đó là sự tự do. Nước Mỹ được như hôm nay là vì hiến pháp và văn hóa tôn trọng tự do của mỗi cá nhân. Ai cũng có quyền nói. Báo chí độc lập, là quyền lực thứ tư, giữ vai trò giám sát Nhà nước cho người dân. Internet không bị tường lửa ngăn chặn. Ở Trung Quốc thì ngược lại hoàn toàn. Vì vậy, mặc dù Trung Quốc đang giàu lên rất nhanh, nhưng người Trung Quốc vẫn muốn thành người Mỹ, chứ người Mỹ không muốn thành người Trung Quốc. Dự thảo Luật An Ninh Mạng có khả năng biến Việt Nam thành một bản sao xấu xí của Trung Quốc.
Tôi hi vọng Quốc hội sẽ có một lựa chọn sáng suốt để người dân Việt Nam, chí ít là cá nhân tôi, không phải mong muốn trở thành công dân một quốc gia khác.
Alsace, 31/5/2018
Dương Ngọc Thái

No comments:

Post a Comment