BỘ THÔNG TIN VÀ TRUYỀN THÔNG
TỔ THƯỜNG TRỰC XÂY DỰNG LUẬT AN TOÀN THÔNG TIN

BÁO CÁO CHUYÊN ĐỀ
Nghiên cứu, rà soát chính sách pháp luật hiện hành của
Việt Nam về vấn đề an toàn thông tin và các thực tiễn
mất an toàn thông tin tại Việt Nam do thiếu cơ sở pháp lý

Hà Nội, tháng 3 năm 2014


MỤC LỤC
I. LỜI MỞ ĐẦU....................................................................................................2
II. ĐẶT VẤN ĐỀ..................................................................................................3
III. NỘI DUNG NGHIÊN CỨU...........................................................................5
III.1. Rà soát hệ thống văn bản pháp luật hiện hành tại Việt Nam về an toàn
thông tin............................................................................................................5
III.1.1. Chủ trương, đường lối, chính sách của Đảng và Nhà nước về an
toàn thông tin................................................................................................5
III.1.2. Nội dung cam kết trong các điều ước quốc tế..................................6
III.1.3. Văn bản mức luật và dưới luật về an toàn thông tin........................7
III.1.4. Những bất cập trong hệ thống văn bản pháp luật hiện hành về an
toàn thông tin................................................................................................9
III.2. Phân tích thực tiễn mất an toàn thông tin tại Việt Nam do thiếu cơ sở
pháp lý.............................................................................................................11
III.2.1. Do sự thiếu đồng bộ và bao quát trong các văn bản pháp luật liên
quan đến an toàn thông tin trong các lĩnh vực kinh tế, xã hội, an ninh,
quốc phòng..................................................................................................11
III.2.2. Do chế tài chưa đủ mạnh đối với hành vi gây mất an toàn thông tin
15
III.2.3. Do chưa quy định rõ quyền hạn, trách nhiệm pháp lý của các cá

Trong khi đó, hiện nay, chưa có một văn bản luật thống nhất bao trùm để điều
chỉnh toàn diện hoạt động an toàn thông tin mạng. Công tác đảm bảo an toàn thông tin
được quy định ở từng phạm vi hẹp theo lĩnh vực chuyên ngành như Luật Công nghệ
thông tin, Luật Viễn thông, Luật Giao dịch điện tử, Luật Cơ yếu, Luật Công nghệ cao,
Luật Chuyển giao công nghệ ...và các quy định đó còn mang tính chung chung, chưa
đề cập cụ thể về các hành vi và đối tượng chịu sự điều chỉnh. Để giải quyết thực trạng
nêu trên, Nghị quyết Hội nghị lần thứ 4 BCH TW khóa XI số 13-NQ/TW ngày
16/01/2012 đã xác định việc chú trọng phát triển 10 lĩnh vực hạ tầng và bảo đảm an
toàn, an ninh thông tin cho các hệ thống hạ tầng là nhiệm vụ hết sức quan trọng và cấp
thiết nhằm tháo gỡ “điểm nghẽn” của quá trình phát triển. Chỉ thị số 28-CT/TW ngày
16/9/2013 của Ban Bí thư về tăng cường công tác bảo đảm an toàn thông tin mạng trong đó
có xác định nhiệm vụ: “Xây dựng và ban hành Luật an toàn thông tin và các văn bản
hướng dẫn theo hướng quy định về trách nhiệm bảo đảm an toàn thông tin đối với tổ chức,
cá nhân; các biện pháp bảo đảm an toàn thông tin; các chế tài xử lý vi phạm an toàn thông
tin”;
Từ những căn cứ nêu trên và đứng trước các yêu cầu khách quan của công tác
xây dựng pháp luật, thi hành pháp luật về an toàn thông tin và các yêu cầu khách quan
của thực tiễn đời sống kinh tế - xã hội Việt Nam đã cho thấy việc xây dựng và ban
hành dự thảo Luật An toàn thông tin là cần thiết.

2


II.

ĐẶT VẤN ĐỀ

Ngày nay, xã hội loài người ngày càng phụ thuộc nhiều vào mạng và hệ thống
thông tin. Trong xu thế hội nhập kinh tế thế giới và toàn cầu hóa, công nghệ thông tin
và truyền thông (CNTT&TT) đã trở thành một động lực quan trọng để thúc đẩy sự

Quá trình công nghiệp hóa, hiện đại hóa cùng với sự gia tăng phát triển
CNTT&TT càng làm tăng nguy cơ, hiểm họa mất an toàn thông tin. Mạng thông tin
3


càng phát triển mở rộng, số người sử dụng mạng càng nhiều, tốc độ truy nhập càng
cao thì nguy cơ mất an toàn thông tin và mức độ thiệt hại do các tấn công càng lớn. Do
thông tin được truyền lan tỏa nhanh chóng như hiện nay, bất cứ thông tin sai lệch nào
cũng sẽ gây ra các hậu quả nặng nề đối với xã hội và nhà nước. Ngày càng xuất hiện
xu hướng tin tặc chuyên nghiệp hoạt động có tổ chức, với nhiều hình thức và phương
tiện tinh vi hơn, diễn biến phức tạp hơn. Ngoài những tấn công đánh cắp thông tin, phá
hoại, gây rối, ngày càng có thêm nhiều tấn công mang tính vụ lợi. Các sự cố an toàn
thông tin đã tăng lên nhanh chóng trong thời gian qua, kéo theo những thiệt hại về vật
chất, tiền bạc và những thiệt hại vô hình khác, gây ra ảnh hưởng đến hoạt động của các
cơ quan nhà nước, thiệt hại cho doanh nghiệp và người dân, bức xúc cho xã hội.
Các sự cố mất an toàn thông tin ngăn cản sự phát triển của CNTT&TT, làm mất
lòng tin của đối tác đầu tư nước ngoài, ảnh hưởng không nhỏ đến giao dịch qua mạng,
gây thất thoát trong và ngoài nước. Nguy cơ, hiểm họa mất an toàn thông tin đã trở
thành thách thức lớn đối với mỗi quốc gia, trong đó có Việt Nam trong quá trình phát
triển bền vững. An toàn thông tin là lĩnh vực khá mới và ngày càng phức tạp đối với
Việt Nam, đòi hỏi cần tiếp tục có sự quan tâm chỉ đạo của Đảng và Nhà nước trong
lĩnh vực an toàn thông tin. Nhiệm vụ quản lý nhà nước và nhiệm vụ nâng cao ý thức
cộng đồng trong lĩnh vực này ngày càng trở nên cấp thiết.
Trong những năm gần đây, Chính phủ đã chỉ đạo các bộ, ngành và địa phương
tổ chức thực hiện nhiều chương trình, dự án tăng cường đảm bảo an toàn thông tin.
Việc đầu tư trang bị các hệ thống thiết bị bảo vệ, đưa ra các chính sách, tăng cường
các biện pháp quản lý, các chương trình nâng cao nhận thức đã góp phần quan trọng
nâng cao khả năng đảm bảo an toàn thông tin.
Tuy nhiên, công tác quản lý về an toàn thông tin vẫn còn những thách thức và
bất cập, chủ yếu đến từ việc thiếu căn cứ pháp lý và các công cụ quản lý hữu hiệu.

nhiều năm qua, đặc biệt trong quá trình phát triển và ứng dụng công nghệ thông tin.
Chỉ thị 58-CT/TW ngày 17 tháng 10 năm 2000 của Ban Chấp hành Trung Ương Đảng
Cộng sản Việt Nam về đẩy mạnh ứng dụng và phát triển công nghệ thông tin phục vụ
sự nghiệp công nghiệp hóa, hiện đại hóa đã nhấn mạnh mục tiêu cần “có các biện pháp
chủ động và các quy định cụ thể về an toàn và an ninh thông tin” nhằm tạo môi trường
thuận lợi cho ứng dụng và phát triển công nghệ thông tin. “Phát triển, quản lý viễn
thông và Internet đồng thời phải có biện pháp toàn diện, đồng bộ để ngăn chặn những
hành vi lợi dụng gây ảnh hưởng đến an ninh quốc gia và việc giữ gìn bản sắc văn hóa
dân tộc”.
Nghị quyết số 08-NQ/TW ngày 05 tháng 02 năm 2007 của Ban Chấp hành
Trung ương Đảng Cộng sản Việt Nam tại Hội nghị Trung ương khóa X về một số chủ
trương, chính sách lớn để phát triển kinh tế cũng đã nêu: “…có đối sách đảm bảo an
ninh chính trị, an ninh tư tưởng, an ninh thông tin, an ninh kinh tế - xã hội. Đẩy mạnh
phòng chống tội phạm có tổ chức, các hành vi tham nhũng, buôn lậu, gian lận thương
mại… Xây dựng cơ chế xử lý các vấn đề xuyên biên giới và an ninh phi truyền thống”.
Nghị quyết của Đại hội đại biểu toàn quốc lần thứ XI Đảng Cộng sản Việt Nam
cũng đã nhấn mạnh nguy cơ tiếp tục gia tăng “các yếu tố đe dọa an ninh phi truyền
thống, tội phạm công nghệ cao trong các lĩnh vực tài chính - tiền tệ, điện tử - viễn
thông, sinh học, môi trường…” và đặt ra những nhiệm vụ chủ yếu về đảm bảo phát
triển bền vững, tăng cường tiềm lực ngăn chặn, đối phó.
Nghị quyết Hội nghị lần thứ 4 BCH TW khóa XI số 13-NQ/TW ngày
16/01/2012 đã xác định việc chú trọng phát triển 10 lĩnh vực hạ tầng và bảo đảm an
toàn, an ninh thông tin cho các hệ thống hạ tầng là nhiệm vụ hết sức quan trọng và cấp
thiết nhằm tháo gỡ “điểm nghẽn” của quá trình phát triển.
Chỉ thị số 28-CT/TW ngày 16/9/2013 của Ban Bí thư về tăng cường công tác bảo
đảm an toàn thông tin mạng trong đó có xác định nhiệm vụ: “Xây dựng và ban hành Luật
5


an toàn thông tin và các văn bản hướng dẫn theo hướng quy định về trách nhiệm bảo đảm

năm 2002 thông qua tuyên bố chung về an toàn thông tin, trong đó có nêu các vấn đề
về xây dựng luật và các văn bản pháp luật, công ước quốc tế về an toàn thông tin.
- Nghị quyết Hội nghị Cấp cao ASEM 5 (2004 tại Hà Nội) thông qua 9 sáng
kiến hợp tác, trong đó có sáng kiến 6 là về tăng cường an toàn mạng trong khu vực
ASEM.
- Nghị quyết Hội nghị thượng đỉnh về Xã hội thông tin (WSIS) 2005 tại
Tunisia.
6


- Các cam kết trong Liên minh Viễn thông Quốc tế (ITU), Tổ chức Viễn thông
Châu Á - Thái Bình Dương (APT).
- Nghị quyết các Hội nghị quan chức cấp cao viễn thông (TELSOM) và Hội
nghị Bộ trưởng Viễn thông (TELMIN) của ASEAN tổ chức hàng năm đều có các
khuyến nghị cho các nước về lĩnh vực an toàn thông tin.
III.1.3.

Văn bản mức luật và dưới luật về an toàn thông tin

Ở mức luật, điển hình có:
Luật Giao dịch điện tử (51/2005/QH11 ngày 29/11/2005) Quy định về giao dịch
điện tử trong hoạt động của các cơ quan nhà nước; trong lĩnh vực dân sự, kinh doanh,
thương mại và các lĩnh vực khác do pháp luật quy định. Đây là luật đầu tiên được quốc
hội ban hành có nhấn mạnh đến khái niệm bảo đảm an ninh, an toàn và bảo mật thông
tin. Luật đưa ra các quy định chung nhất về trách nhiệm phải bảo vệ dữ liệu, bảo mật
thông tin của các tổ chức/cá nhân và xử phạt đối với những hành vi sử dụng, cung cấp,
tiết lộ thông tin bí mật nhà nước, thông tin cá nhân. Tuy nhiên phạm vi điều chỉnh giới
hạn ở các giao dịch điện tử, hình thức xử phạt cũng chưa rõ ràng.
Luật Viễn thông (số 41/2009/QH12 ngày 04/12/2009) quy định về hoạt động
viễn thông, bao gồm đầu tư, kinh doanh viễn thông; viễn thông công ích; quản lý viễn

an toàn thông tin, song chưa đề cập đến đầy đủ và bao quát các lĩnh vực trong an toàn
thông tin.
Ở mức Nghị định và Thông tư điển hình có:
- Nghị định 64/2007/NĐ-CP quy định đảm bảo an toàn thông tin cho ứng dụng
công nghệ thông tin trong hoạt động của các cơ quan nhà nước với các Điều 41, 42,
43.
- Nghị định 63/2007/NĐ-CP về quy định xử phạt vi phạm hành chính trong lĩnh
vực công nghệ thông tin.
- Nghị định 97/2008/NĐ-CP về quản lý, cung cấp, sử dụng dịch vụ Internet và
thông tin điện tử nêu ra các điều khoản về an toàn thông tin tại Điều 4, Điều 7, Điều 8,
Điều 9, Điều 10.
- Nghị định 90/2008/NĐ-CP và Nghị định 77/2012/NĐ-CP sửa đổi, bổ sung
một số điều của Nghị định 90/2008/NĐ-CP quy định các nội dung cụ thể về chống thư
rác, bao gồm cả thư điện tử rác và tin nhắn rác.
Nghị định 73/2007/NĐ-CP ngày 08/5/2007 quy định về hoạt động nghiên cứu,
sản xuất, kinh doanh và sử dụng mật mã để bảo vệ thông tin không thuộc phạm vi bí
mật nhà nước.
Nghị định 72/2013/NĐ-CP ngày 15/7/2013 quy định về Quản lý, cung cấp, sử
dụng dịch vụ Internet và thông tin trên mạng.
- Thông tư 06/2008/TTLT-BTTTT-BCA về đảm đảm an toàn cơ sở hạ tầng và
an ninh thông internet trong hoạt động bưu chính, viễn thông và công nghệ thông tin.
Thông tư 27/2011/TT-BTTTT quy định về điều phối các hoạt động ứng cứu sự cố
mạng Internet Việt Nam.
- Quyết định số 1755/QĐ-TTg ngày 22/9/2010 của Thủ tướng Chính phủ phê
duyệt đề án “Đưa Việt Nam sớm trở thành nước mạnh về công nghệ thông tin và
truyền thông”, trong đó đã nêu các yêu cầu đảm bảo an toàn thông tin trong các nhiệm

8



vậy, phạm vi điều chỉnh của luật về an toàn thông tin cần phải rộng hơn nữa (không
chỉ bó hẹp trong phạm vi các giao dịch điện tử, hạ tầng, thông tin viễn thông) và sâu
hơn nữa (không chỉ quy định chung về trách nhiệm bảo vệ cơ sở hạ tầng thông tin, bảo
đảm thông tin riêng, hợp pháp khi lưu trữ, trao đổi, truyền đưa trên môi trường mạng
như quy định của Luật công nghệ thông tin mà còn xem xét đến các quy định cụ thể
hơn về cơ chế điều phối, theo dõi giám sát tấn công mạng, quy trình quản lý, các vấn
đề về tài chính, đầu tư cho an toàn thông tin, xử phạt đối với các hành vi vi phạm…).
Nếu chỉ đơn thuần điều chỉnh, cập nhật, nâng cấp các quy định về đảm bảo an toàn
9


thông tin trong các văn bản đã được ban hành thì rất khó có thể giải quyết được một
cách toàn diện những bức xúc, khó khăn trong hiện tại, tương lai về các vấn đề mất an
toàn thông tin và chưa tạo ra được những chuyển biến về chất, cũng như không triển
khai được những giải pháp đồng bộ, có hệ thống về đảm bảo an toàn thông tin. Thêm
vào đó, nếu bổ sung thêm nhiều nội dung, nhiều chi tiết liên quan đến an toàn thông
tin trong những văn bản trên nhằm đáp ứng những yêu cầu đặt ra thì rõ ràng là bản
chất, nội dung, tên của những dự luật này bị thay đổi.
Thứ hai, các văn bản pháp luật đã có đề cập đến vấn đề đảm bảo an toàn thông
tin song các quy định còn rải rác, chưa đầy đủ, chưa bao quát được lĩnh vực an toàn
thông tin, có thể gây chồng chéo trong lĩnh vực quản lý điều hành trong lĩnh vực an
toàn thông tin, gây khó khăn nhất định khi áp dụng. Ví dụ, quy định về đảm bảo an
toàn, bí mật thông tin nằm rải rác ở các văn bản pháp luật ở các phạm vi và mức độ
khác nhau. Tương tự như vậy là các quy định về bảo đảm cơ sở hạ tầng thông tin.
Trong khi đó hệ thống văn bản vẫn còn những khoảng trống chưa được điều chỉnh;
Đặc biệt, trong trường hợp cùng một lúc xảy ra nhiều sự cố thì vẫn thiếu những quy
định quy định phối hợp thực thi tổng thể.
Thứ ba, quy định trong các lĩnh vực cụ thể của an toàn thông tin còn chung
chung, nhiều điểm chưa rõ ràng, khó tra cứu và vận dụng khi thực thi. Các quy định
pháp luật về các lĩnh vực trong quy trình phòng ngừa, khôi phục sự cố và điều phối các

loại tội phạm công nghệ cao.
Nhìn chung, các văn bản pháp luật trên phần lớn không chuyên biệt về an toàn
thông tin. Nội dung về an toàn thông tin chưa nhiều và còn nằm rải rác; chưa có tính
hệ thống; chưa bao quát được các lĩnh vực an toàn thông tin; chưa đáp ứng được tình
hình phát triển kinh tế - xã hội và công tác đảm bảo an toàn thông tin trong thực tiễn
hiện nay. Với các văn bản pháp luật hiện hành, vẫn chưa đủ cơ sở pháp lý để xây dựng
tiếp các chế tài xử lý đủ mức độ răn đe; chưa xác định rõ ràng, cụ thể trách nhiệm của
từng đối tượng liên quan trong hoạt động đảm bảo an toàn thông tin.
Như vậy có thể thấy, mặc dù các văn bản pháp lý đã tạo một hành lang pháp lý
cơ sở cho việc thực thi quản lý nhà nước về lĩnh vực an toàn thông tin; song như vậy là
chưa đầy đủ và chưa có tính hệ thống hóa, chưa toàn diện vẫn phải cần tiếp tục xây
dựng để hoàn thiện. Thiết nghĩ, an toàn thông tin có vị trí và tầm quan trọng đối với
đời sống - xã hội nói chung và đặc biệt đới với các cơ sở hạ tầng thông tin và hệ thống
thông tin trọng yếu quốc gia. Do đó, việc xây dựng Luật An toàn thông tin là cấp thiết
để hoàn thiện và tạo hành lang pháp lý toàn diện quy định các vấn đề trong lĩnh vực an
toàn thông tin.
III.2. Phân tích thực tiễn mất an toàn thông tin tại Việt Nam do
thiếu cơ sở pháp lý
III.2.1.
Do sự thiếu đồng bộ và bao quát trong các văn bản pháp
luật liên quan đến an toàn thông tin trong các lĩnh vực kinh tế, xã hội, an
ninh, quốc phòng
Các văn bản pháp luật tới nay thường được xây dựng tập trung vào nhiệm vụ
quản lý của từng lĩnh vực đơn lẻ, chỉ đề cập đến một số quy định về an toàn thông tin
ở từng phạm vi hẹp, chưa đầy đủ, chưa hoàn thiện.
Luật Giao dịch điện tử tạo ra khung pháp lý, công nhận hoạt động giao dịch
điện tử được thể hiện qua thông điệp dữ liệu, công nhận giá trị pháp lý của chữ ký điện
tử, tạo chỗ dựa pháp lý cho các bên giao dịch có sự tin cậy để ứng dụng giao dịch điện
11


ra được hành lang pháp lý đồng bộ để triển khai các hoạt động tăng cường các biện
pháp đảm bảo an toàn thông tin, thu thập thông tin cảnh báo, điều phối công tác xử lý
ứng cứu…Các doanh nghiệp không mạnh dạn đầu tư phát triển các sản phẩm an toàn
thông tin và các ứng dụng thương mại qua mạng. Người dùng còn e ngại trong việc
chia sẻ thông tin qua mạng do lo sợ bị “lừa” hoặc bị “lợi dụng” trên môi trường mạng.
Đảm bảo an toàn thông tin trong cơ quan nhà nước vẫn chưa được thật sự chú trọng
đến như mong muốn. Kết quả rõ ràng nhất thể hiện qua các cuộc tấn công vào các
trang web của cơ quan nhà nước vẫn gia tăng.
12


Các quy định còn rải rác ở các văn bản pháp luật ở các phạm vi và mức độ khác
nhau, chưa đầy đủ, chưa bao quát được lĩnh vực an toàn thông tin, có thể gây chồng
chéo trong lĩnh vực quản lý điều hành trong lĩnh vực an toàn thông tin, gây khó khăn
nhất định khi áp dụng. Trong khi đó vẫn còn những khoảng trống chưa được điều
chỉnh, khi xảy ra sự cố thì vẫn thiếu các quy định phối hợp thực thi tổng thể. Số lượng
virút máy tính, phần mềm độc hại, tin nhắn lừa đảo… vẫn tiếp tục gia tăng song vẫn
chưa đủ các quy định pháp luật hỗ trợ công tác quản lý điều hành.

Hình 1 – Biểu đồ thống kê sự cố Phising, Deface, Malware năm 2012 (Nguồn: VNCERT)

Theo số liệu thống kê của VNCERT, chỉ riêng các tấn công lừa đảo qua mạng
điển hình được Trung tâm xử lý tính từ 01/01/2011 đến 30/12/2011 đã là 757 vụ, gấp 3
lần so với cả năm 2010. Tính đến cuối tháng 12/2012, số lượng các vụ tấn công lừa
đảo trên mạng là 2179 vụ, gấp 3 lần so với năm 2011. Lượng mã độc tăng với tốc độ
nhanh ở mức 45% trong vòng 3 năm qua (2010 - 2012). Hình thức tấn công từ chối
dịch vụ tăng mạnh, ở mức 8% năm 2010 và lên đến 16% năm 2012. Trong khi đó,
công tác quản lý về an toàn thông tin vẫn còn những thách thức và bất cập. Trên 40%
cơ quan, tổ chức còn chưa quan tâm đến an toàn thông tin. Gần 40% cơ quan, tổ chức
không báo cáo sự cố cho cơ quan quản lý do chưa nhận thức được tầm quan trọng

14


nghị Cấp cao ASEM 5 (2004 tại Hà Nội), các cam kết trong Liên minh Viễn thông
Quốc tế (ITU) đều thể hiện các nội dung cam kết quốc tế về tăng cường an toàn thông
tin trong khu vực và quốc tế. Thiếu một văn bản luật điều chỉnh toàn diện, đầy đủ về
an toàn thông tin sẽ gây khó khăn cho quá trình hội nhập kinh tế quốc tế, cản trở đầu
tư nước ngoài vào Việt Nam và gia công phần mềm cho nước ngoài, cản trở các giao
dịch thương mại trên mạng…
III.2.2.
toàn thông tin

Do chế tài chưa đủ mạnh đối với hành vi gây mất an

An toàn thông tin đang trở thành một lĩnh vực mới phát triển rất nhanh, trở
thành một trong những vấn đề nghiêm trọng nhất trong mối quan hệ pháp luật – xã hội
– con người mà các cơ quan, tổ chức, doanh nghiệp, cá nhân đều phải đối mặt.
Những vấn đề nổi cộm về an toàn thông tin phát sinh do công nghệ thông tin và
truyền thông đang ngày càng được ứng dụng rộng rãi trong mọi lĩnh vực chính trị-kinh
tế-xã hội-văn hóa-lịch sử-đời sống…đặc biệt trong các cơ sở hạ tầng thông tin trọng
yếu như: hoạt động của các cơ quan Chính phủ, Y tế, Dầu khí, Hệ thống cung cấp
nước, Năng lượng điện, Viễn thông, Tài chính Ngân hàng, Thương mại và Giao thông
vận tải. Hầu hết các hoạt động của các cơ quan, tổ chức, doanh nghiệp, cá nhân hàng
ngày đang ngày càng phụ thuộc vào công nghệ thông tin và truyền thông, vào kiến trúc
hạ tầng thông tin kết nối các hệ thống thông tin. Điều đó mang lại những lợi ích to lớn
cho cá nhân, cơ quan, tổ chức, doanh nghiệp; giảm thiểu chi phí và tăng năng suất lao
động; mang lại những hiệu quả kinh tế thiết thực.
Tuy nhiên, môi trường kết nối mạng toàn cầu làm phát sinh thêm nhiều nguy cơ
tiềm ẩn mới có thể gây ra nhiều hiểm họa lớn cho các cơ quan, tổ chức, doanh nghiệp,
và từng cá nhân trong xã hội. Theo thống kê của Công ty An ninh mạng BKAV, trong

11/2006, thay đổi nội dung và mã truy cập của 38 hồ sơ trong trang chủ của Sở Kế
hoạch đầu tư TP Hồ Chí Minh tháng 7/2006, tấn công chiếm đoạt tên miền làm tê liệt
khoảng 10.000 trang chủ thuộc Công ty PAViệt Nam tháng 7/2008, tấn công chiếm
đoạt thẻ tín dụng và chuyển tiền trái phép qua mạng Internet, tấn công trang chủ của
Ngân hàng Techcombank tháng 7/ 2008, tấn công phá sập Cổng thông tin điện tử của
tỉnh Nam Định tháng 7/2008, tấn công vào website bộ Nông nghiệp đầu năm 2011…
Khi điều tra truy tìm được thủ phạm thì chưa đủ cơ sở pháp lý để xử phạt, mức xử phạt
còn chưa tương xứng, chưa đủ sức răn đe. Khi có sự cố mất an toàn thông tin do nhà
cung cấp dịch vụ mạng, khách hàng không biết căn cứ vào đâu để khiếu nại. Khi nhà
cung cấp dịch vụ gặp oan ức vì sự cố trên mạng cũng không biết kêu ai.
16


Nhiều dịch vụ và ứng dụng mạng mới ngày càng gia tăng theo sự phát triên của
công nghệ thông tin và truyền thông, điển hình là các dịch vụ trên nền tảng điện toán
đám mây, tính toán lưới, lưu trữ dữ liệu trên mạng, các dịch vụ trên nền mạng 3G,
mạng thế hệ mới…kéo theo nhiều hành vi vi phạm an toàn thông tin mới tinh vi hơn,
phức tạp hơn, có sự liên quan đến nhiều thành phần, đối tượng hơn, với phạm vi và
quy mô lớn hơn. Hệ thống giám sát vi-rút của BKAV phát hiện hàng loạt thư điện tử
đính kèm file văn bản có chứa phần mềm gián điệp được gửi tới các cơ quan, doanh
nghiệp trong cả nước. Các file văn bản từ trước đến nay vẫn được cho là an toàn nên
hầu hết người nhận đã mở file đính kèm và bị nhiễm vi-rút dạng spyware khai thác lỗ
hổng của phần mềmMicrosoft Office (bao gồm cả Word, Excel và PowerPoint). Sau
khi xâm nhập, vi-rút này âm thầm kiểmsoát toàn bộ máy tính của nạn nhân, mở cổng
hậu (backdoor), cho phép tin tặc điều khiển máy tính nạn nhân từ xa. Từ đó, tin tặc sẽ
tải các vi-rút khác về máy tính để ghi lại thao tác bàn phím, chụp màn hình, lấy cắp tài
liệu, tài khoản ngân hàng...
Các quy định trong các văn bản pháp luật hiện có chưa đủ để điều chỉnh những
hành vi, nguy cơ xâm phạm an toàn thông tin mới phát sinh trên thực tế. Ngày càng
xuất hiện xu hướng tin tặc chuyên nghiệp hoạt động có tổ chức, với nhiều hình thức và

dụng thông tin cá nhân; lưu trữ, cung cấp thông tin cá nhân. Đây là luật có nhiều điều
khoản liên quan đến an toàn thông tin nhất.
Tuy nhiên, Luật Công nghệ thông tin và các luật khác còn chưa quy định rõ
trách nhiệm và quyền lợi của các cá nhân, tổ chức, doanh nghiệp tham gia vào cung
cấp các dịch vụ đảm bảo an toàn thông tin thiếu cơ sở pháp lý về trách nhiệm chủ quản
hệ thống. Các văn bản pháp luật hiện hành cũng chưa nêu trách nhiệm và quyền hạn
đối với việc đảm bảo an toàn hệ thống thiết bị, an toàn mạng, an toàn cơ sở dữ liệu…
Chính vì những bất cập đó, kể từ 2008 tới nay, mỗi năm vẫn có khoảng từ 35%
đến 45% cơ quan, doanh nghiệp trên toàn quốc bị tấn công. Tính đến tháng 11/2011,
vẫn còn tới trên 40% trang chủ và cổng thông tin điện tử của các cơ quan, doanh
nghiệp luôn tồn tại các lỗ hổng bảo mật nghiêm trọng có thể bị tin tặc lợi dụng tấn
công. Việc một số trang báo điện tử, trang chủ bị đánh sập, thay đổi nội dung là một
bài học về sự mất cảnh giác, xem nhẹ công tác đảm bảo an toàn thông tin cho các hệ
thống trang tin ở Việt Nam hiện nay.
Bên cạnh đó, quyền và lợi ích hợp pháp của các cá nhân, tổ chức, doanh nghiệp
tham gia vào cung cấp các dịch vụ đảm bảo an toàn thông tin chưa được đảm bảo nên
không khuyến khích được nguồn lực đầu tư của xã hội cho phát triển an toàn thông tin,
không thúc đẩy được các hoạt động công ích về an toàn thông tin.
Các dự án đầu tư trang bị hệ thống thông tin, phát triển mạng chưa quan tâm
đúng mức đến các biện pháp đảm bảo an toàn thông tin do thiếu quy định pháp lý và
do tư tưởng tiết kiệm chi phí nhỏ đầu tư cho an toàn thông tin, dẫn đến những thiệt hại
lớn khi mất toàn bộ dữ liệu hoặc ngưng trệ hoạt động hệ thống. Khi đó rất khó xử lý
do thiếu phân định rõ ràng về trách nhiệm và quyền hạn.
Kinh nghiệm các nước cho thấy, cần phải phân định rõ quyền hạn, trách nhiệm
pháp lý của các cá nhân, tổ chức, doanh nghiệp, nhà nước trong việc áp dụng, thực thi
các biện pháp, chương trình đảm bảo an toàn thông tin; phân định rõ trách nhiệm của
chủ quản hệ thống thông tin. Đảm bảo quyền lợi hợp pháp của các đối tượng trong
hoạt động đảm bảo an toàn thông tin.
18


của tổ chức, cá nhân tham gia hoạt động viễn thông.
- Luật bảo vệ người tiêu dùng năm 2010 cũng đã dành Điều 6 để quy định về
bảo vệ thông tin của người tiêu dùng.
- Luật sửa đổi, bổ sung một số điều của Bộ Luật Hình sự năm 2009 sửa đổi
Điều 226 quy định hình phạt từ 10 triệu đồng đến 100 triệu đồng, cải tạo không giam
giữ đến ba năm hoặc bị phạt tù từ sáu tháng đến ba năm cho hành vi: “Mua bán, trao
đổi, tặng cho, sửa chữa, thay đổi hoặc công khai hóa những thông tin riêng hợp pháp
19


của cơ quan, tổ chức, cá nhân khác trên mạng máy tính, mạng viễn thông, mang
Internet mà không được phép của chủ sở hữu thông tin đó” gây hậu quả nghiêm trọng.
- Nghị định số 63/2007/NĐ-CP ngày 10/4/2007 của Chính phủ có Điều 6 quy
định mức xử lý vi phạm hành chính từ 200.000 đồng đến 5.000.000 đồng cho các hành
vi vi phạm quy định về thông tin cá nhân
- Thông tư số 25/2010/TT-BTTTT ngày 15/11/2010 quy định về việc thu thập,
sử dụng, chia sẻ, bảo đảm an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện
tử hoặc cổng thông tin điện tử của cơ quan nhà nước.
Ở khía cạnh khác, trong thời gian gần đây, các vấn đề liên quan đến bảo vệ cơ
sở hạ tầng thông tin chung và cơ sở hạ tầng thông tin trọng yếu nói riêng luôn được
các cấp lãnh đạo các cơ quan nhà nước cũng như doanh nghiệp quan tâm. Bởi sự phát
triển mạnh về viễn thông - công nghệ thông tin song song với việc phải có những
phương án ngăn chặn các cuộc tấn công vào hạ tầng viễn thông – công nghệ thông tin.
Tuy nhiên, đi cùng với sự phát triển mạnh mẽ này của Internet là nguy cơ ngày càng
tăng của các cuộc tấn công mạng, đặc biệt là nhắm vào các cơ quan nhà nước.

Hình 5 – Những nguy cơ mất an toàn thông tin nhắm vào các cơ quan nhà nước

Việc một quốc gia có nền công nghệ khá tiên tiến như Iran đã bị sâu Stuxnet
xâm nhập vào hạ tầng thông tin của một cơ sở an ninh trọng yếu suốt một thời gian dài

môi trường mạng, bảo vệ môi trường mạng an toàn cho xã hội. Đưa ra các quy định
bắt buộc đối với các đối tượng tham gia chia sẻ hạ tầng thông tin. Quản lý chặt hơn
việc đảm bảo an toàn thông tin trong sử dụng chung cơ sở hạ tầng thông tin, dùng
chung cơ sở dữ liệu và tài nguyên mạng. Quy định về phối hợp trong đảm bảo an toàn
thông tin.

21


III.2.5.
Chưa có định hướng, chính sách và cơ chế hỗ trợ phát
triển rõ ràng đối với doanh nghiệp và thị trường an toàn thông tin trong
nước.
Các văn bản pháp luật hiện hành đều chưa đề cập nhiều đến các dịch vụ, sản
phẩm an toàn thông tin. Điều đó khiến cho doanh nghiệp, thị trường an toàn thông tin
còn gặp nhiều lúng túng.
Pháp luật chưa có những quy định ràng buộc cụ thể về các dịch vụ, sản phẩm an
toàn thông tin nên chưa thúc đẩy được nghiên cứu, phát triển các sản phẩm nội địa. An
toàn thông tin và lĩnh vực đặc thù và nhạy cảm, liên quan nhiều đến xã hội, vấn đề
pháp lý, đạo đức và con người. Khó có thể tin cậy khi các hệ thống bảo vệ chỉ dựa vào
công nghệ bên ngoài. Quy định cụ thể của văn bản pháp luật sẽ góp phần thúc đẩy
năng lực, sức mạnh nội địa trong việc cung cấp các sản phẩm, dịch vụ an toàn thông
tin.
Mặt khác, một số sản phẩm có yêu cầu đặc thù về bảo đảm an toàn thông tin
cần được điều chỉnh bởi quy định của pháp luật về sản xuất, kinh doanh, nhập khẩu.
Hiện nay chưa có văn bản pháp luật nào đề cập cụ thể đến vấn đề này.
Một số loại hình kinh doanh dịch vụ an toàn thông tin nhạy cảm cần được nhà
nước quản lý dưới hình thức kinh doanh có điều kiện như: Dịch vụ bảo mật thông tin
sử dụng mật mã thương dụng, Dịch vụ chứng thực chữ ký số, chữ ký điện tử, Dịch vụ
hỗ trợ bảo đảm an toàn thông tin, bao gồm: tư vấn, thiết kế, phân tích, kiểm tra, đánh

vực an toàn thông tin, xác định rõ các yêu cầu đảm bảo an toàn thông tin trong công
tác đầu tư, phát triển mạng và các dịch vụ sẽ góp phần giảm được các rủi ro, thiệt hại
gây ra do các sự cố mất an toàn thông tin.
Ngoài ra, điều chỉnh luật pháp giúp xác lập cơ chế, chính sách trong các hoạt
động công ích về an toàn thông tin, phát huy mọi nguồn lực xã hội vào các hoạt động
công ích đảm bảo an toàn thông tin. Nhà nước sẽ đánh thuế và thu phí về việc đảm bảo
an toàn bảo mật công ích đối với các doanh nghiệp. Các doanh nghiệp có thể đăng ký
cung cấp các dịch vụ công ích đảm bảo an toàn thông tin.

IV.

KẾT LUẬN VÀ KIẾN NGHỊ

Như đã trình bảy ở trên về phân tích nguyên nhân gây ra thực trạng an toàn
thông tin ở Việt Nam hiện nay, nhóm chuyên đề đã tập trung rà soát hệ thống văn bản
pháp luật và làm rõ thực trạng mất an toàn thông tin do những bất cập trong công tác
quản lý nhà nước về an toàn thông tin.
Từ kết quả kết quả rà soát các văn bản pháp luật hiện hành có liên quan và từ
thực tiễn đòi hỏi của quá trình phát triển kinh tế - xã hội, nhóm chuyên đề nhận thấy
các văn bản pháp luật hiện hành có liên quan đến công tác đảm bảo an toàn thông tin
còn có sáu vấn đề bất cập còn tồn tại sau đây.
•

Cần có một văn bản luật điều chỉnh toàn diện và bao quát về an toàn thông tin;
đảm bảo sự thống nhất, tương thích, tham chiếu đồng bộ với các quy định nằm
rải rác trong các văn bản pháp luật liên quan đến an toàn thông tin trong các
lĩnh vực kinh tế, xã hội, an ninh, quốc phòng.

•


•

Định hướng phát triển cho doanh nghiệp và thị trường an toàn thông tin. Tăng
cường thúc đẩy năng lực, sức mạnh nội địa do đặc thù của lĩnh vực an toàn
thông tin là nhạy cảm, liên quan nhiều đến con người và xã hội, không thể dựa
vào bên ngoài. An toàn thông tin là trách nhiệm của toàn xã hội, cần khuyến
khích phát triển theo hướng xã hội hóa.

•

Làm rõ các quy định về đầu tư vào an toàn thông tin và kinh doanh trong lĩnh
vực an toàn thông tin. Xác định rõ yêu cầu đảm bảo an toàn thông tin trong
công tác đầu tư, phát triển mạng và các dịch vụ. Xác lập cơ chế, chính sách
trong các hoạt động công ích về an toàn thông tin, phát huy mọi nguồn lực xã
hội vào các hoạt động công ích đảm bảo an toàn thông tin.

Trên cơ sở trình bày quan điểm khi xử lý các vấn đề cơ bản đã nêu, nhóm thực
hiện chuyên đề mong muốn cung cấp thông tin để các cơ quan liên quan có thể tham
khảo khi thảo luận, trình và biểu quyết những vấn đề liên quan đến công tác quản lý an
toàn thông tin./.

24