���㣨Leyu����������

Trong năm 2023, Việt Nam có khoảng 13.900 cuộc tấn công mạng nhắm vào các h�� thống trên c�� nước đã được báo cáo, và hơn 83.000 máy tính và máy ch�� đã tr�� thành nạn nhân của các cuộc tấn công liên quan đến mã độc ransomware �� loại mã độc chuyên mã hoá d�� liệu đ�� tống tiền¹. Phần lớn các cuộc tấn công mạng này nhắm vào các doanh nghiệp cung cấp dịch v�� trực tuyến hoặc hoạt động kinh doanh trên môi trường s�� trong các lĩnh vực tài chính, thương mại điện t��, viễn thông và công ngh��, ví d�� như các công ty chứng khoán, ngân hàng và các công ty công ngh�� thông tin.

Các cuộc tấn công mạng gây ra những rủi ro đáng k�� cho cá nhân và t�� chức. Người dùng có th�� b�� các đối tượng xấu xâm phạm, truy cập trái phép vào các tài khoản ngân hàng, tài khoản chứng khoán, hoặc b�� s�� dụng d�� liệu cá nhân của mình cho các mục đích bất hợp pháp. Mặt khác, các doanh nghiệp s�� đối diện với việc gián đoạn hoạt động kinh doanh, thiệt hại v�� uy tín và có th�� phải chịu các trách nhiệm pháp lý nếu như doanh nghiệp b�� qua việc thực thi các biện pháp an ninh mạng đầy đ�� đ�� ngăn chặn các cuộc tấn công như vậy. Thêm vào đó, các doanh nghiệp b�� tấn công có kh�� năng phải trải qua s�� kiểm tra của cơ quan có thẩm quyền chuyên trách đ�� đánh giá việc tuân th�� các quy định pháp luật v�� bảo v�� d�� liệu cá nhân. 

Đ�� giảm thiểu những rủi ro pháp lý có th�� phát sinh t�� việc không tuân th�� pháp luật, các doanh nghiệp cần dần làm quen và tuân th�� nghiêm ngặt các quy định hiện hành liên quan.

T�� góc đ�� bảo v�� d�� liệu cá nhân, Ngh�� định s�� 13/2023/ND-CP v�� bảo v�� d�� liệu cá nhân (“Ngh�� định 13��) không quy định rõ các biện pháp c�� th�� đ�� bảo v�� d�� liệu cá nhân. Điều 26 của ngh�� định ch�� nêu ra hai loại biện pháp bảo v�� chính mà các bên liên quan đến hoạt động x�� lý d�� liệu cá nhân phải thực hiện, bao gồm: (i) Biện pháp quản lý và (ii) Biện pháp k�� thuật. Bên cạnh đó, Điều 23 yêu cầu các t�� chức kiểm soát d�� liệu cá nhân phải thông báo chậm nhất 72 gi�� k�� t�� khi xảy ra bất k�� hành vi vi phạm quy định bảo v�� d�� liệu cá nhân nào, như rò r�� d�� liệu hoặc các cuộc tấn công mạng.

Đ�� đảm bảo s�� tuân th�� và thúc đẩy trách nhiệm của các t�� chức trong việc bảo v�� d�� liệu cá nhân, ngh�� định x�� phạt hành chính điều chỉnh c�� th�� các hành vi vi phạm đang được xây dựng và s�� ban hành trong thời gian tới. Mục tiêu của ngh�� định s�� thiết lập một cơ s�� ch�� tài c�� th�� đối với những t�� chức không tuân th�� và thực hiện các quy định v�� bảo v�� d�� liệu cá nhân. Tuy nhiên, trong thời điểm các quy định v�� bảo v�� d�� liệu cá nhân vẫn còn chưa rõ ràng và đầy đ��, các doanh nghiệp cần tìm hiểu k�� lưỡng và dẫn chiếu đến các quy định pháp luật v�� an toàn thông tin mạng và pháp luật chuyên ngành đ�� đảm bảo s�� tuân th�� và hạn ch�� tối đa các rủi ro pháp lý.

Năm 2015, Việt Nam đã xây dựng khung pháp lý toàn diện đối với việc bảo đảm an toàn thông tin mạng và phòng tránh các mối đe dọa tấn công mạng. Luật An toàn thông tin mạng cung cấp các nguyên tắc căn bản đ�� bảo v�� h�� thống thông tin trong nước, bao gồm c�� mạng và máy ch��. Đối với các h�� thống thông tin cung cấp dịch v�� trực tuyến hoặc phục v�� cho hoạt động của cơ quan, t�� chức nhà nước, Ngh�� định s�� 85/2016/NĐ-CP (“Ngh�� định 85��) và Thông tư s�� 12/2022/NHNN (“Thông tư 12��) đã được ban hành đ�� điều chỉnh chi tiết v�� các tiêu chuẩn và các biện pháp bảo mật.

Các văn bản pháp luật này quy định một loạt các khía cạnh bảo đảm an toàn t�� quản lý đến k�� thuật, tập trung vào việc xây dựng và duy trì các chính sách bảo mật thông tin, thành lập các đơn v�� chuyên trách v�� bảo mật và tầm quan trọng của việc đảm bảo an toàn thông tin cho nguồn nhân lực.

V�� mặt k�� thuật, các quy định hướng dẫn yêu cầu việc thiết lập các mạng an toàn, triển khai các phương pháp quản lý t�� xa và thực hiện kiểm soát việc truy cập một cách toàn diện, nhằm ngăn chặn s�� xâm nhập và bảo v�� khỏi các phần mềm độc hại. Các quy định hướng dẫn cũng đ�� xuất việc s�� dụng các giao thức bảo mật nghiêm ngặt hơn đ�� đáp ứng nhu cầu bảo mật cấp cao, bao gồm việc tối ưu hóa h�� tầng mạng, bảo v�� d�� liệu và phát triển k�� hoạch khôi phục khẩn cấp, nhằm bảo đảm tính liên tục và toàn vẹn của d�� liệu.

Các đối tượng không tuân th�� hoặc tuân th�� không đầy đ�� các tiêu chuẩn như trên có th�� b�� x�� phạt vi phạm hành chính t�� 10.000.000 đồng đến 30.000.000 triệu đồng, và mức phạt có th�� tăng lên t�� 30 triệu đồng đến 70 triệu đồng nếu không thực hiện các biện pháp ứng phó kịp thời đối với các s�� c�� bảo mật.

Trong bối cảnh Việt Nam đang ngày càng tập trung vào việc bảo v�� d�� liệu cá nhân, d�� kiến các ch�� tài đối với hành vi vi phạm quy định bảo v�� d�� liệu do không tuân th�� các biện pháp bảo mật s�� được tăng cường theo các quy định mới được ghi nhận trong Ngh�� định 13.

Ngoài các quy định tổng quát v�� bảo đảm an toàn thông tin mạng, Việt Nam đã thiết lập các quy định riêng biệt v�� đảm bảo an toàn thông tin mạng đ�� đáp ứng được các nhu cầu đặc biệt của từng ngành.

Ví d��, trong lĩnh vực chứng khoán, quy định tại Điều 20 của Thông tư 121/2020/TT-BTC yêu cầu các công ty chứng khoán cung cấp dịch v�� giao dịch trực tuyến phải đảm bảo rằng các giao dịch diễn ra một cách liên tục và hiệu qu��, bảo đảm s�� an toàn, toàn vẹn và bảo mật của h�� thống d�� liệu, duy trì các h�� thống d�� phòng và ứng phó đột xuất, có s�� tách biệt với các h�� thống thông tin điện t�� khác, và thiết lập các quy trình vận hành, quản lý và s�� dụng h�� thống giao dịch trực tuyến. Quy định này tập trung vào cam kết v�� an toàn thông tin mạng trong quá trình cung cấp dịch v�� chứng khoán trực tuyến, và đối với hành vi vi phạm các nghĩa v�� trên có th�� b�� áp đặt mức phạt tiền t�� 100 triệu đồng đến 150 triệu đồng.

Trong lĩnh vực ngân hàng, Thông tư 09/2020/TT-NHNN đã xây dựng khung pháp lý quy định chi tiết v�� các biện pháp quản lý và biện pháp k�� thuật nhằm bảo v�� tài sản công ngh�� thông tin, bao gồm tài sản thông tin, tài sản vật lý và tài sản phần mềm. Các biện pháp quản lý yêu cầu việc lập danh mục toàn b�� tài sản công ngh�� thông tin liên quan đến h�� thống thông tin, thực hiện việc làm mới danh mục hàng năm và áp dụng các biện pháp bảo v�� phù hợp theo từng cấp đ�� h�� thống thông tin. Các biện pháp k�� thuật bao gồm biên pháp mã hóa d�� liệu, xây dựng quy trình, kịch bản phòng tránh thiệt hại, chính sách quản lý thiết b�� di động và vật mang tin (ví d�� như vô hiệu hóa thiết b�� hoặc xóa d�� liệu t�� xa) và quản lý tài sản phần mềm, bao gồm việc cập nhật định k�� các bản vá lỗi v�� an ninh bảo mật.

Đ�� tránh xung đột lợi ích và bảo đảm s�� giám sát có hiệu qu��, Thông tư cũng nhấn mạnh tầm quan trọng của s�� tham gia trực tiếp của người đại diện theo pháp luật trong việc bảo đảm an toàn thông tin, ứng phó với s�� c�� và phân chia rõ ràng vai trò của nhân viên chuyên trách.

Trong bối cảnh Ngh�� định 13 vẫn chưa có những quy định c�� th�� v�� những biện pháp mà các doanh nghiệp cần phải thực hiện đ�� bảo v�� d�� liệu cá nhân và phòng tránh các các cuộc tấn công mạng thì các quy định tại Luật ATTTM, Ngh�� định 85, Thông tư 12 cùng với các ch�� tài x�� phạt vi phạm hành chính trong lĩnh vực an toàn thông tin mạng tại Ngh�� định 15/2020/NĐ-CP vẫn tiếp tục đóng vai trò là cơ s�� quan trọng đ�� điều chỉnh các hành vi không tuân th�� các biện pháp bảo đảm an toàn thông tin của các doanh nghiệp vận hành h�� thống thông tin.

Vì vậy, đ�� giảm thiểu rủi ro pháp lý cho doanh nghiệp trong trường hợp rò r�� d�� liệu, việc tuân th�� các tiêu chuẩn k�� thuật v�� an ninh mạng và đáp ứng đầy đ�� nghĩa v�� theo Luật An toàn thông tin mạng và các quy định ngành liên quan là vô cùng quan trọng.

¹ Theo Báo cáo tổng kết An ninh mạng Việt Nam năm 2023 của Công ty Công ngh�� An ninh mạng Quốc gia Việt Nam (NCS) []