Tôi là Dương Ngọc Thái, Kỹ sư an ninh mạng đang làm việc ở Mỹ. Tôi năm nay 34 tuổi, bắt đầu học và làm an ninh mạng từ năm 18 tuổi. Năm 20 tuổi tôi là Trưởng phòng an ninh mạng của một ngân hàng ở Việt Nam. Năm 2011, tôi rời Việt Nam sang Silicon Valley làm việc. Tôi là một chuyên gia nghiên cứu về an ninh phần mềm. Các phát hiện của tôi có ảnh hưởng sâu rộng đến sự an toàn của Internet, được trích dẫn trong nhiều bài báo khoa học, được đưa vào giảng dạy ở các đại học danh tiếng và đăng tải trên các tờ báo lớn trên thế giới.
Tôi giới thiệu dài dòng như vậy với mong muốn Quốc Hội hiểu rằng tôi là một chuyên gia an ninh mạng có kinh nghiệm thực tế.
Với trách nhiệm xã hội của một chuyên gia, tôi viết thư này để chia sẻ với Quốc hội góc nhìn và góp ý của một người đã dành nhiều thời gian nghiên cứu và làm việc trực tiếp về an ninh mạng. Ba câu hỏi tôi đặt ra và phân tích với Quốc hội (1) liệu dự thảo Luật có đưa ra được các giải pháp chính sách thực sự để giải quyết vấn đề an ninh mạng? (2) tác động dự thảo đến doanh nghiệp, đến phát triển kinh tế như thế nào; và (3) khuyến nghị của tôi cho Luật An ninh mạng và Chính sách an ninh mạng Việt Nam.
Đây là ý kiến của cá nhân tôi, không thể hiện quan điểm hay ý kiến của nơi tôi làm việc hay bất kỳ ai khác.
Chống nói xấu Nhà nước không đảm bảo được an ninh mạng
Đại biểu Nguyễn Thanh Hồng – Ủy viên thường trực Ủy ban Quốc phòng và An ninh của Quốc hội đã nói trên tờ VnExpress: “An ninh mạng nếu giải thích dễ hiểu nhất là không truyền bá, cổ súy, khai thác những nội dung chống phá Đảng, Nhà nước và làm sao để mỗi công dân có ý thức trong việc phòng chống tội phạm, bảo vệ bản thân và gia đình”. Hiểu an ninh mạng như vậy là sai bản chất và có thể dẫn đến nguy cơ vừa mất an ninh quốc gia vừa kìm hãm sự phát triển của đất nước.
Đúng là Việt Nam đã và đang liên tục bị tấn công trên không gian mạng. Năm 2014, hệ thống máy tính của Bộ Tài nguyên & Môi trường Việt Nam bị xâm nhập. Gần đây hơn, nhiều sự cố an ninh mạng cũng liên tục xảy ra: Ngân hàng Tiên Phong Bank bị hacker xâm nhập, đánh cắp 1,1 triệu đôla Mỹ; Tháng 5.2017, hệ thống máy chủ email của Bộ Ngoại giao lại bị hacker “lạ” xâm nhập; Tháng 4/2018, kẻ tấn công đã tung lên mạng thông tin cá nhân bao gồm tên, ngày sinh, chứng minh nhân dân, số điện thoại, email và mật khẩu của gần 75 triệu tài khoản người dùng của VNG, công ty game và Internet lớn nhất Việt Nam.
Có lẽ không cần nói thêm, Quốc hội cũng hiểu rằng “chống truyền bá, cổ súy, khai thác những nội dung chống phá Đảng, Nhà nước” không thể bảo vệ Việt Nam khỏi những vụ tấn công như trên. Một cách thẳng thắn, chống nói xấu, chống thông tin ‘độc hại’ không phải là giải quyết vấn đề an ninh mạng.
Đảm bảo an ninh mạng không có nghĩa là phải hy sinh phát triển kinh tế và tự do của người dân
Một vệ sĩ giỏi là người biết lùi lại phía sau, âm thầm quan sát, đảm bảo an toàn cho yếu nhân mà không gây cản trở công việc của họ. Một Kỹ sư an ninh mạng lành nghề là người hiểu mục tiêu kinh doanh của công ty, từ đó sáng tạo các giải pháp có sự cân bằng giữa an ninh, chi phí và tiện dụng để sản phẩm làm ra đáp ứng nhu cầu khách hàng, giúp công ty kinh doanh thuận lợi, với những rủi ro chấp nhận được. Trách nhiệm của tôi là phục vụ họ, giúp họ đảm bảo an toàn thông tin mà vẫn có thể tự do sáng tạo, vẫn tiết kiệm được thời gian, công sức, chứ tôi không thể bắt họ phục tùng. Tôi hay nói với đồng nghiệp công việc của chúng tôi không phải là đảm bảo an ninh, mà là đảm bảo an ninh để công ty vẫn có thể sáng tạo và phát triển.
Tương tự như vậy, ở tầm mức quốc gia, một chiến lược an ninh mạng đúng đắn không thể bỏ qua phát triển kinh tế. Việt Nam cần đảm bảo an ninh mạng, nhưng an ninh mạng chỉ là phương tiện, không phải đích đến, để đạt đến các mục tiêu quan trọng nhất của đất nước là phát triển kinh tế, khai phóng con người, bảo vệ môi trường sống. Muốn vậy, lực lượng chuyên trách an ninh mạng quốc gia cũng cần là người đóng vai trò hỗ trợ chứ không phải người kiểm soát. Nhưng tôi e rằng trao quyền cho cơ quan quản lý trực tiếp can thiệp vào cách doanh nghiệp điều hành và quản lý hệ thống thông tin của họ (như Điều 26 và 24 dự Luật) dễ dẫn đến lạm quyền, tạo điều kiện cho tham nhũng. Việc yêu cầu báo cáo, đánh giá – đi kèm với phê duyệt, chấp thuận – sẽ làm tăng chi phí; giảm sự sáng tạo; làm mất lợi thế cạnh tranh của doanh nghiệp (vì thời gian là ‘vàng’ trong kinh tế số và thị trường công nghệ vốn cạnh tranh khốc liệt).
Giải pháp nào cho An ninh mạng quốc gia?
Đối với Luật An ninh mạng nói riêng, chính sách và chiến lược An ninh mạng quốc gia nói chung, tôi đề xuất 3 điểm:
Thứ nhất, dự thảo Luật, thay vì ôm đồm rất nhiều nội dung, chỉ cần tập trung vào điều chỉnh đối tượng là hệ thống thông tin trọng yếu, chủ thể trung tâm trong vấn đề bảo vệ an ninh quốc gia trên không gian mạng.
Hệ thống thông tin trọng yếu bao gồm hệ thống công, do Chính phủ quản lý và hệ thống tư, thuộc sự quản lý và là tài sản của các doanh nghiệp tư nhân. Chính phủ toàn quyền chịu trách nhiệm và tùy nghi điều chỉnh hệ thống công.
Thứ 2, vấn đề quyền riêng tư và dữ liệu cá nhân, cách quy định như Điều 26 sẽ không có ý nghĩa thực tế. Trước đó, Luật An toàn thông tin mạng có đề cập, nhưng tôi e rằng chưa đủ. Dữ liệu là vấn đề pháp lý phức tạp, tôi cho rằng Quốc hội nên nghiên cứu kỹ lưỡng để có một đạo luật riêng về vấn đề này thay vì gộp chung vào Luật An ninh mạng như hiện nay.
Thứ 3, tôi cho rằng, để chống lại tấn công mạng, điều cốt lõi là con người, chứ không phải là công cụ pháp lý. Tuy nhiên, những chuyên gia hàng đầu Việt Nam mà tôi đã có dịp trao đổi đều không làm việc cho Chính phủ vì khu vực doanh nghiệp trả lương cao hơn, đãi ngộ tốt hơn. Nhưng với với uy tín của Chính phủ, Chính phủ dễ dàng huy động được những chuyên gia tên tuổi tham gia vào các dự án giúp đỡ đất nước. Việt Nam cần thành lập một đội đặc nhiệm bao gồm những chuyên gia Việt Nam giỏi nhất mà Việt Nam hiện có. Nhóm chuyên gia này, tương tự như tổ tư vấn về chính sách kinh tế, làm việc theo cơ chế phi lợi nhuận, sẽ giúp Chính phủ hoạch định chính sách, chiến lược an ninh mạng quốc gia.
Từ vài năm nay tôi đã dành nhiều thời gian suy nghĩ về chiến lược an ninh mạng quốc gia cho Việt Nam. Những ý kiến của tôi ở đây đều là tổng kết của quá trình suy nghĩ lâu dài, không phải những suy nghĩ vội vàng. Để soạn thảo và thông qua một bộ luật đòi hỏi nhiều kiến thức chuyên môn như Luật An ninh mạng, Chính phủ và Quốc hội cần phải dựa vào sự tư vấn và lắng nghe ý kiến của các chuyên gia. Tôi thành thực mong muốn, tiếng nói của những Kỹ sư an ninh mạng sẽ được Quốc hội cân nhắc.
Kính thư,
Dương Ngọc Thái