An ninh dữ liệu phải trở thành một trụ cột trong bảo vệ an ninh mạng

Tại Kỳ họp thứ 10, Quốc hội khóa XV, Chính phủ trình Quốc hội dự án Luật An ninh mạng. Đây là dự án luật được xây dựng trên cơ sở hợp nhất hai luật hiện hành là Luật An ninh mạng 2018 và Luật An toàn thông tin mạng 2015 nhằm nhanh chóng hoàn thiện thể chế, chính sách pháp luật, làm nền tảng vững chắc đối với hệ thống thông tin quan trọng về an ninh quốc gia; phòng ngừa, xử lý hành vi xâm phạm an ninh mạng; bảo vệ an ninh mạng mang tính chiến lược và lâu dài nhằm bảo vệ chủ quyền số, bảo đảm an toàn cho các hệ thống thông tin quốc gia, đồng thời thúc đẩy phát triển ngành công nghiệp an ninh mạng Việt Nam. Dự án luật đã được dư luận và nhiều đại biểu Quốc hội ủng hộ, góp ý. Đại biểu Quốc hội Nguyễn Hoàng Bảo Trân (đoàn TP Hồ Chí Minh) đã chia sẻ quan điểm về dự án luật này.

Phóng viên: Trong dự thảo Luật An ninh mạng, một điểm mới quan trọng là quy định về bảo đảm an ninh dữ liệu. Theo đại biểu, vì sao an ninh dữ liệu phải trở thành trụ cột trong bảo vệ an ninh mạng?

Đại biểu Nguyễn Hoàng Bảo Trân: Tôi cho rằng an ninh dữ liệu phải trở thành một trụ cột trong bảo vệ an ninh mạng vì 3 lý do rất căn bản.

Thứ nhất, trong bối cảnh chuyển đổi số, dữ liệu chính là "hạt nhân" của Chính phủ số, kinh tế số và xã hội số. Không có dữ liệu chúng ta không thể vận hành dịch vụ công trực tuyến, phát triển các mô hình kinh doanh số hay triển khai hạ tầng số. Nếu dữ liệu không được bảo vệ, toàn bộ quá trình chuyển đổi số quốc gia sẽ bị tổn thương.

Đại biểu Nguyễn Hoàng Bảo Trân bên hành lang Quốc hội.

Thứ hai, dữ liệu không chỉ bao gồm dữ liệu cá nhân mà còn là dữ liệu của cơ quan, tổ chức, hệ thống… Với đặc tính số hóa, kết nối rộng và lan truyền nhanh, khi dữ liệu bị chiếm đoạt, khai thác, sử dụng trái phép hoặc bị tiêu hủy, hậu quả không chỉ là thiệt hại kinh tế mà còn trực tiếp đe dọa an ninh quốc gia và trật tự, an toàn xã hội.

Thứ ba, thời gian qua chúng ta chủ yếu tập trung vào khai thác, sử dụng dữ liệu để phục vụ phát triển, nhưng còn thiếu một khung pháp lý đồng bộ về an ninh, an toàn dữ liệu nói chung. Luật Bảo vệ dữ liệu cá nhân là bước tiến quan trọng, nhưng chưa bao quát hết các loại dữ liệu, các lớp dữ liệu và những rủi ro mới phát sinh từ công nghệ số, trí tuệ nhân tạo, hay các mô hình kinh doanh nền tảng… Vì vậy, việc lần đầu tiên đưa an ninh dữ liệu vào như một trụ cột của Luật An ninh mạng thể hiện quan điểm rõ ràng: bảo vệ an ninh mạng không chỉ là bảo vệ hệ thống kỹ thuật, mà còn phải bảo vệ toàn bộ vòng đời dữ liệu - từ khâu tạo lập, lưu trữ, xử lý đến khai thác và chia sẻ. Đây là một yêu cầu khách quan, cấp thiết, phù hợp với xu thế chung trên thế giới và định hướng của Đảng, Nhà nước ta.

Phóng viên: Dự thảo quy định doanh nghiệp phải định danh và cung cấp thông tin địa chỉ IP khi có yêu cầu. Vì sao đây là chính sách được coi là "rất cấp thiết" trong thực tiễn phòng chống tội phạm mạng?

Đại biểu Nguyễn Hoàng Bảo Trân: Tôi cho rằng yêu cầu doanh nghiệp phải định danh và cung cấp thông tin địa chỉ IP khi có yêu cầu của cơ quan chức năng là một chính sách rất cấp thiết, xuất phát từ những đòi hỏi thực tiễn trong phòng chống tội phạm mạng hiện nay.

Trước hết, địa chỉ IP chính là "địa chỉ nhà" trên không gian mạng. Mọi thiết bị truy cập Internet đều phải sử dụng IP. Nhờ IP, lực lượng chức năng mới xác định được ai, ở đâu, vào thời điểm nào đã thực hiện hành vi trên mạng.

Tuy nhiên, nhiều năm qua, việc tra cứu IP phục vụ điều tra rất chậm, thiếu đầy đủ và phụ thuộc hoàn toàn vào doanh nghiệp cung cấp dịch vụ. Ở một số nơi còn phát sinh tiêu cực, và tình trạng "xin - cho".

Trong khi đó, các doanh nghiệp viễn thông vốn đã định danh IP để tính cước, vận hành hệ thống nhưng khi phục vụ điều tra thì không đồng ý cung cấp qua API, không cung cấp dữ liệu đầy đủ, hoặc chỉ cung cấp nhỏ giọt theo yêu cầu thủ công. Đây là một khoảng trống pháp lý dẫn đến lực lượng chức năng không có đủ công cụ để xử lý tội phạm mạng.

Trong khi đó, tội phạm mạng hiện nay rất tinh vi, ẩn danh và tốc độ gây án cực nhanh. Chỉ cần chậm vài phút, đối tượng có thể thay đổi, xóa dấu vết hoặc chuyển sang một hệ thống khác. Trong môi trường số hóa sâu rộng, việc thiếu dữ liệu IP chính xác và kịp thời khiến cơ quan chức năng khó truy vết các hành vi tấn công mạng, lừa đảo trực tuyến, chiếm đoạt tài sản, phát tán mã độc hay các cuộc tấn công có chủ đích vào cơ quan, tổ chức. Chính vì thế, có thể khẳng định đây là một chính sách thực sự cần thiết và cấp bách trong bối cảnh hiện nay.

Thu Thủy