Nguy cơ an ninh mạng ngày càng lớn tỉ lệ thuận với mức độ phủ rộng và ứng dụng của các hệ thống mạng Internet, cũng như với kỹ năng ngày càng “lên tay” của bọn tội phạm tin học. Trong cuộc chiến an ninh mạng thì những vấn đề về đạo đức và pháp luật vẫn đang là những chủ đề tranh luận gay gắt.
Ranh giới giữa xấu và tốt
Hồi tháng 7-2009, nhiều website chính phủ, báo chí và cơ sở tài chính của Mỹ và Hàn Quốc bị tin tặc tấn công bằng botnet trong vòng một tuần khiến họ phải gửi email đi khắp nơi để đề nghị các nhà chuyên môn giúp họ tìm ra bọn tấn công. Lúc đó Công ty Công nghệ Bkav của Việt Nam, một thành viên hỗ trợ của Hiệp hội Các đơn vị ứng cứu khẩn cấp máy tính châu Á-Thái Bình Dương, cũng đã nhận được email của Trung tâm Ứng cứu khẩn cấp máy tính Hàn Quốc. Chỉ ít giờ sau, Bkav đã phát hiện được một số manh mối từ tám server hacker và lần ra được hang ổ ở Anh. Bkav đã quyết định tấn công vào master server của bọn tin tặc thu thập các dữ liệu, chứng cứ. Và chỉ trong vòng 25 giờ, các chuyên gia Bkav đã nắm được toàn bộ hoạt động của hệ thống tấn công rồi chuyển cho cơ quan chức năng quốc tế xử lý tiếp.
Sau đó đã xảy ra những tranh cãi lớn chuyện nói rằng Bkav đã vi phạm luật khi tự ý xâm nhập vào hệ thống của người khác. Theo ông Nguyễn Tử Quảng, CEO của Bkav, mãi ít lâu sau khi Mỹ chính thức cho phép thực hiện hành động như vậy để chống bọn tội phạm tin học, vụ việc mới êm lại.
Cách đây vài năm, một chiến dịch tấn công mạng với mã độc tên Stuxnet được cho là do Israel và Mỹ thiết kế với mục đích phá hoại ngầm chương trình làm giàu uranium của Iran, ngăn chặn nước Hồi giáo Ả Rập này chế bom hạt nhân. Các chuyên gia cho rằng các cuộc tấn công của mã độc Stuxnet đã làm chậm tiến trình làm giàu uranium của Iran lại khoảng ba năm. Nhưng theo sách dẫn Tallinn Manual về việc áp dụng luật quốc tế đối với chiến tranh mạng do một nhóm chuyên gia luật độc lập thực hiện theo yêu cầu của Trung tâm Hợp tác phòng thủ mạng thuộc NATO, đây là một “hành động vũ lực” và như vậy là “phi pháp”. Cụ thể, các chuyên gia luật quốc tế này nói rằng: “Các hành động giết hay làm bị thương con người, hoặc phá hoại hay làm hư hỏng vật chất là những hành động dùng vũ lực một cách hiển nhiên” và như vậy là vi phạm luật quốc tế. Theo Hiến chương Liên Hiệp Quốc, các hành động vũ lực bị cấm, ngoại trừ vì mục đích tự vệ.
Những anh hùng cá nhân trong thế giới an ninh mạng rất ít khi được vinh danh vì pháp luật không ủng hộ. Ảnh: Internet
Pháp luật bảo vệ tin tặc?
Ủy ban quốc tế Chữ thập đỏ và Trăng lưỡi liềm đỏ (ICRC) từng đặt ra câu hỏi: Liệu các máy tính, các hệ thống và cơ sở hạ tầng mạng của công dân có được bảo vệ trước các cuộc tấn công mạng? Và ICRC đã trả lời là “có” dựa trên ý kiến của một nhóm chuyên gia luật và quân sự quốc tế mà ICRC tham gia với tư cách một quan sát viên. Vậy thì phải chăng tin tặc là một “mục tiêu hợp pháp” (legitimate target) trong chiến tranh mạng? Nhóm chuyên gia quốc tế mà ICRC dẫn chứng nói rằng theo tinh thần luật nhân đạo quốc tế (International Humanitarian Law, IHL), tin tặc nếu không thuộc một tổ chức vũ trang nào vẫn là một dân thường được bảo vệ trước các cuộc tấn công trực tiếp. Tin tặc chỉ bị coi là đối tượng đối với các cơ quan thực thi luật pháp và tố tụng hình sự nếu như các hành động của chúng vi phạm luật pháp cụ thể.
Điều này, xét về luật pháp quốc tế, chỉ có các cơ quan pháp luật mới có quyền đối đầu trực diện với tin tặc giống với bọn tội phạm. Công chúng có tham gia chống tội phạm tin học thì cũng phải tuân thủ những luật định như chống bất cứ loại tội phạm nào. Nghĩa là họ chỉ có thể hỗ trợ các cơ quan pháp luật mà thôi.
Dù vậy, không ít chuyên gia mong muốn nhà chức trách cần có những điều chỉnh về luật lệ cho phù hợp với đặc thù của an toàn và an ninh mạng. Đồng thời cũng phải có những ràng buộc về pháp lý lẫn đạo đức đối với những người hoạt động trong lĩnh vực an ninh mạng. Bởi họ nắm trong tay thứ vũ khí quyền lực thật là kinh khủng, có khi còn hơn cả bom hạt nhân, nhất là khi họ có thể chiếm quyền điều khiển các loại vũ khí hủy diệt hàng loạt.
Theo phiên bản 22 của Báo cáo An ninh mạng (SIR Volume 22) phát hành mỗi năm hai lần mà Microsoft vừa công bố, số vụ tấn công tài khoản người dùng trên đám mây Cloud toàn cầu tăng 300% trong một năm qua (từ quý I-2016 tới quý I-2017). Các hành vi tấn công mạng không chỉ tinh vi hơn, không chỉ xâm nhập hệ thống nạn nhân để đánh cắp thông tin cá nhân, dữ liệu nhạy cảm hoặc lừa đảo hay chuyển tiền từ tài khoản nạn nhân vào tài khoản của mình, bọn tội phạm tin học còn tung ra những cuộc tấn công đòi tiền chuộc dữ liệu. |