Chiến lược và giải pháp đảm bảo an ninh mạng của Phần Lan

09:00 | 26/03/2024 | CHÍNH SÁCH - CHIẾN LƯỢC
Những năm gần đây, Phần Lan cũng như nhiều quốc gia khác trên thế giới phải đứng trước thách thức ngày càng lớn từ các mối đe dọa an ninh mạng. Các cơ quan, doanh nghiệp Phần Lan đang trở thành mục tiêu nhắm đến của các cuộc tấn công mạng. Số lượng thông báo liên quan đến vi phạm bảo mật dữ liệu mà Cơ quan Giao thông và Truyền thông Phần Lan (Traficom) nhận được ngày càng gia tăng qua từng năm. Một phần của sự gia tăng này bị ảnh hưởng bởi sự quan tâm và nhận thức về an ninh mạng đã tăng lên, ngoài ra còn do tác động của những hoạt động tấn công mạng nhắm mục tiêu vào Phần Lan, từ khi quốc gia này trở thành thành viên mới của NATO.

CHIẾN LƯỢC AN NINH MẠNG CỦA PHẦN LAN

Chiến lược An ninh mạng của Phần Lan được đưa ra theo Nghị quyết của Chính phủ ngày 24/01/2013 cùng với Chương trình thực hiện mới cho Chiến lược An ninh mạng giai đoạn 2017-2020 được công bố vào năm 2017 [1]. Chiến lược xác định các mục tiêu và phương pháp ứng phó với các mối đe dọa ảnh hưởng đến các miền mạng (network domain) và đảm bảo hệ thống này hoạt động ổn định. Tổng cộng có 74 biện pháp đã được đưa vào chương trình nhằm đảm bảo an ninh mạng.

Bên cạnh đó, Chiến lược An ninh thông tin của Phần Lan cũng đã được Traficom thông qua vào tháng 3/2016. Chiến lược này đặt ra các mục tiêu và biện pháp nhằm nâng cao mức độ tin cậy đối với Internet và các hoạt động kỹ thuật số. Chiến lược đã giải quyết các vấn đề liên quan đến sự cố an ninh kỹ thuật số và đề cập một phần đến lĩnh vực tội phạm mạng.

Trung tâm An ninh mạng Quốc gia Phần Lan (NCSC-FI) được thành lập trực thuộc Cơ quan Quản lý Thông tin Phần Lan (FICORA) vào ngày 01/01/2014. NCSC-FI sẽ tăng cường an ninh thông tin quốc gia của Phần Lan bằng cách xây dựng bức tranh tổng quát về tình hình an ninh mạng. Các hoạt động vận hành của NCSC-FI bao gồm điều phối, ứng phó và giải quyết các sự cố và mối đe dọa an ninh thông tin được phát hiện ở cấp quốc gia hoặc quốc tế. Trung tâm Tội phạm mạng của Cục Điều tra Quốc gia được thành lập năm 2015 để giải quyết vấn đề này. Trung tâm chịu trách nhiệm về các vụ án tội phạm mạng quốc tế có tổ chức với quy mô lớn, cũng như hỗ trợ tất cả các đơn vị cảnh sát điều tra tội phạm mạng, giám định pháp y về công nghệ thông tin, tình báo trên Internet và hợp tác quốc tế.

Mục đích của Chiến lược An ninh mạng quốc gia của Phần Lan là ứng phó với các mối đe dọa trên mạng, tăng cường an ninh chung của xã hội và đảm bảo miền mạng hoạt động trơn tru trong mọi trường hợp. Chiến lược đưa ra 10 mục tiêu với mục đích mang lại cho Phần Lan khả năng kiểm soát các tác động bất lợi có chủ ý và vô ý của miền mạng, cũng như ứng phó và phục hồi sau những tác động đó. Một trong số những mục tiêu đó là Phần Lan sẽ tăng cường an ninh mạng quốc gia bằng cách tham gia tích cực và hiệu quả vào các cuộc thảo luận và hợp tác quốc tế về an ninh mạng.

Phần Lan không có luật hoặc khuôn khổ chung về an ninh mạng. Tuy nhiên, triển khai Quy định chung về bảo vệ dữ liệu tại các quốc gia thành viên EU (GDPR), do đó nguyên tắc bảo mật tổng thể đã được đề cập trong Quy định này. Luật quốc gia được thay đổi tương ứng để đưa ra các yêu cầu bảo mật GDPR, bao gồm các nguyên tắc về trách nhiệm giải trình và quyền riêng tư của người dùng. Trước khi có GDPR, các ngành nghề được quản lý chặt chẽ theo truyền thống như tài chính, y tế và viễn thông đều có các quy tắc tương ứng riêng về bảo mật dữ liệu. Khái niệm bảo mật dữ liệu có nguồn gốc từ Hiến pháp Phần Lan (đã được sửa đổi) và các quy định của Hiến pháp về nguyên tắc riêng tư và bí mật, vì những nguyên tắc này sẽ dễ dàng bị vi phạm nếu không có biện pháp thích hợp để bảo vệ chống lại sự truy cập trái phép các dữ liệu.

Tóm lại, mặc dù Phần Lan không có luật an ninh mạng chung nhưng nghĩa vụ cung cấp các biện pháp an ninh đầy đủ vẫn được áp dụng ở mọi nơi, đối với cả cơ quan nhà nước, tư nhân và nhà cung cấp dịch vụ.

PHẠM VI ÁP DỤNG CỦA CÁC BIỆN PHÁP AN NINH MẠNG

Bất kỳ dịch vụ nào thu thập hoặc xử lý dữ liệu cá nhân, được định nghĩa rất rộng theo GDPR, đều phải có đủ biện pháp tổ chức và kỹ thuật để bảo vệ dữ liệu cá nhân đó khỏi các hành vi vi phạm, rò rỉ hoặc bất kỳ sự kiện nào có thể gây rủi ro cho tính khả dụng, tính toàn vẹn và tính bảo mật của dữ liệu. Nền tảng cho các yêu cầu bảo mật là kiểm soát quyền truy cập đầy đủ, chỉ những người đó mới có quyền truy cập vào thông tin cá nhân, thông tin mật hoặc thông tin nhạy cảm, những người đã được cấp quyền rõ ràng để truy cập các tập dữ liệu được xác định trước.

Chỉ thị về An ninh mạng và An ninh thông tin của EU (Chỉ thị NIS) có các điều khoản về nghĩa vụ bảo mật và báo cáo sự cố trong một số hoạt động nhất định. Ở Phần Lan, những nghĩa vụ như vậy được quy định trong luật pháp của từng lĩnh vực và cơ quan giám sát các lĩnh vực này giám sát việc tuân thủ chúng. Các điều khoản bảo mật cụ thể này áp dụng cho các nhà khai thác viễn thông, nhà cung cấp dịch vụ truyền thông, chủ doanh nghiệp hoặc hiệp hội, nhà đăng ký tên miền và các dịch vụ kỹ thuật số được đề cập trong Chỉ thị NIS, bao gồm các dịch vụ đám mây, thị trường trực tuyến và công cụ tìm kiếm.

MỨC ĐỘ THƯỜNG XUYÊN CỦA CÁC MỐI ĐE DỌA AN NINH MẠNG

Phần Lan là quốc gia luôn phải đối mặt với nhiều cấp độ đe dọa mạng, từ các cuộc tấn công từ chối dịch vụ đến các hoạt động vi phạm dữ liệu dưới các hình thức tội phạm mạng khác nhau. Sự gia tăng mức độ đe dọa hiện đã trở thành vấn đề thường xuyên. Phần Lan đang tích cực thực hiện các biện pháp ứng phó với sự hợp tác giữa các cơ quan, doanh nghiệp và đặc biệt là các nhà khai thác quan trọng nhằm ứng phó với các cuộc tấn công mạng.

Antti Pelttari, người đứng đầu Cơ quan Cảnh sát An ninh Phần Lan cho biết, ngay sau khi xung đột Nga - Ukraine nổ ra và từ khi Phần Lan có ý định xin gia nhập NATO, Nga đã tập trung các nỗ lực thu thập thông tin tình báo trên không gian mạng. Theo cơ quan an ninh, hoạt động gián điệp mạng của Nga nhắm vào Phần Lan đã tăng vọt kể từ nửa cuối năm 2022. Số lượng sĩ quan tình báo giảm và việc hạn chế đi lại qua biên giới Nga đã làm suy yếu đáng kể các điều kiện hoạt động của tình báo Nga ở Phần Lan. Chính quyền Phần Lan cho biết, bất chấp số vụ việc gia tăng, khả năng các cuộc tấn công mạng có thể làm tê liệt mọi hoạt động ở Phần Lan có thể khó xảy ra [2]. Những thách thức trên đòi hỏi Phần Lan phải phát triển liên tục và có hệ thống đảm bảo an ninh mạng. Cơ quan an ninh mạng của Phần Lan gần đây đã xác định một số biện pháp giúp nâng cao năng lực của chính quyền trong việc bảo vệ an ninh mạng quốc gia, chống tội phạm mạng nghiêm trọng và phát triển phòng thủ mạng.

Ngày 15/02/2022, Bộ Nội vụ và Bộ Quốc phòng Phần Lan đã khởi xướng dự án đánh giá năng lực của các cơ quan chức năng và đưa ra các đề xuất cụ thể. Báo cáo sơ bộ đầu tiên này là cơ sở để đề xuất các biện pháp đảm bảo an ninh mạng.

Tăng cường hợp tác chặt chẽ giữa các cơ quan trung ương

Theo báo cáo, các cơ quan chức năng hiện thiếu năng lực đầy đủ để chuẩn bị và ngăn chặn hiệu quả các mối đe dọa mạng nghiêm trọng nhất, đặc biệt là những mối đe dọa đối với an ninh và quốc phòng quốc gia. Báo cáo đã đề xuất các biện pháp phát triển liên quan đến mục tiêu chiến lược về an ninh mạng, hợp tác và quy trình của cơ quan, trao đổi thông tin, tác động và biện pháp ứng phó, thu thập thông tin tình báo và cải thiện việc bảo vệ mạng lưới cơ quan trung ương. Một số biện pháp có thể được triển khai nhanh chóng, trong khi những biện pháp khác đòi hỏi các chế tài đồng bộ và phối hợp nhiều hơn. Việc bảo vệ không gian mạng được xử lý bởi một số cơ quan chức năng. Để đối phó với các mối đe dọa, các cơ quan này phải tham gia hợp tác chặt chẽ ở cả cấp độ chiến lược và hành động. Một sự cố xâm phạm an ninh không gian mạng có thể đồng thời là mối đe dọa an ninh thông tin, tội phạm, đe dọa an ninh quốc gia, quốc phòng, tác động đến chính sách đối ngoại, an ninh.

Các thành viên của nhóm công tác đại diện cho Bộ Nội vụ, Bộ Quốc phòng, Bộ Giao thông vận tải, Bộ Tư pháp, Văn phòng Tổng thống Cộng hòa Phần Lan, Bộ Ngoại giao, Bộ Xây dựng, Bộ Tài chính và Văn phòng Thủ tướng; Các chuyên gia của Cơ quan Tình báo và An ninh Phần Lan, Cục Điều tra Quốc gia, Lực lượng Quốc phòng Phần Lan, Trung tâm Công nghệ thông tin của Chính phủ, Cơ quan Giao thông và Truyền thông Phần Lan, Cục Cảnh sát Quốc gia và Giám đốc An ninh mạng Quốc gia cũng tham gia vào quá trình xây dựng các giải pháp đảm bảo an ninh mạng.

Tăng cường hợp tác quốc tế về an ninh mạng

Đối với vấn đề hợp tác quốc tế về an ninh mạng, việc tăng cường niềm tin giữa các quốc gia là một vấn đề then chốt. Những nỗ lực cụ thể hoá được thực hiện bằng cách tăng cường thảo luận về các vấn đề liên quan đến tên miền mạng giữa các quốc gia ở cấp độ đa phương, khu vực và song phương, diễn ra trong phạm vi của Liên hợp quốc, OSCE, EU, Hội đồng châu Âu, OECD, NATO, Tổ chức các quốc gia châu Mỹ (OAS) và Diễn đàn khu vực ASEAN (ARF). Bộ Ngoại giao điều phối sự tham gia của Phần Lan vào hợp tác quốc tế và tham gia tích cực vào các cuộc thảo luận song phương, khu vực và toàn cầu về lĩnh vực mạng.

Trong đối thoại quốc tế, Phần Lan thúc đẩy việc thực hiện nhất quán việc phổ biến rộng rãi thông tin và tự do ngôn luận, đồng thời nhấn mạnh việc không phân biệt đối xử. Phần Lan, cùng với các nước EU khác, cho rằng các hiệp định và tiêu chuẩn liên quan đến luật pháp quốc tế cũng có thể áp dụng cho lĩnh vực an ninh mạng.

Hợp tác giữa các nước Bắc Âu và các quốc gia vùng Baltic trong các vấn đề an ninh mạng cũng rất chặt chẽ. Với tư cách là thành viên của NATO luôn nỗ lực vì nền hòa bình, Phần Lan cũng tiến hành hợp tác với các quốc gia NATO khác trong các vấn đề an ninh mạng, cũng như các vấn đề toàn cầu quan trọng, bao gồm việc áp dụng luật pháp quốc tế và nhân quyền, các biện pháp xây dựng lòng tin, quản lý Internet, phát triển năng lực mạng cũng như tăng cường an ninh trong miền mạng [3]. Thách thức chính đối với Phần Lan là cần tìm ra sự cân bằng giữa một bên là sự tự do và minh bạch của các mạng kỹ thuật số và mặt khác là tính bảo mật của chúng.

TÀI LIỆU THAM KHẢO

[1]. Cyberwiser, Finland, truy cập 22/9/2023.

[2]. Datacenter forum, Finland increasingle target of cyber-attacks, truy cập 22/9/2023.

[3]. Jarmo Sareva, Cyber security and the cyber domain, truy cập 20/9/2023

Đỗ Hồng Huyền (Viện Nghiên cứu châu Âu), Trịnh Thị Phương (Đại học Công nghiệp Hà Nội)

Tin cùng chuyên mục

Tin mới