Quyết tâm của nước Nga trong đảm bảo an ninh mạng nhìn từ góc độ luật pháp
Nhắc đến không gian mạng là phải nói đến các hệ thống thông tin – viễn thông. Hiện nay, Nga đã ban hành 2 luật liên bang chính trong lĩnh vực này, đó là:
- Luật Thông tin liên lạc được ban hành năm 2003, quy định quyền và nghĩa vụ của các chủ thể thực hiện các hoạt động trong lĩnh vực thông tin liên lạc, cũng như các chủ thể sử dụng dịch vụ thông tin liên lạc.
- Luật Thông tin, công nghệ thông tin và bảo vệ thông tin ban hành năm 2006, nhằm mục đích điều chỉnh các mối quan hệ trong ứng dụng công nghệ thông tin; tìm kiếm, tiếp nhận, truyền tải, tạo lập, phát tán thông tin và bảo vệ thông tin.
Trong thời gian qua, các luật liên quan đến an ninh mạng của Nga được ban hành đều là các sửa đổi, bổ sung cho hai luật này.
Hệ thống nghiệp vụ điều tra trong mạng thông tin liên lạc
Hiện nay, hiến pháp của các quốc gia văn minh đều quy định về quyền riêng tư của công dân, bao gồm quyền bí mật thư tín, điện tín, điện thoại... Tuy nhiên, vì mục đích an ninh quốc gia, trật tự an toàn xã hội, luật pháp các quốc gia cũng quy định các trường hợp mà cơ quan hành pháp được phép hạn chế các quyền riêng tư nói trên của công dân. Điển hình là việc các cơ quan hành pháp có thể thực thi chặn thu các cuộc liên lạc điện/điện tử.
Để thực hiện việc chặn thu đó, luật pháp quy định các nhà mạng phải triển khai trong mạng một hệ thống kỹ thuật để thu thập và chuyển giao thông tin cho cơ quan chức năng trong các trường hợp luật định. Hiện nay, trên thế giới có 3 mô hình chín muồi hơn cả cho các hệ thống như vậy: thứ nhất là mô hình được chuẩn hóa bởi ESTI (của Châu Âu), thứ hai là mô hình theo yêu cầu của CALEA (của Mỹ) và thứ ba là SORM (của Nga).
Trong đó, SORM của Nga có những điểm khác biệt đáng kể so với 2 mô hình còn lại:
Thứ nhất, để thu thập dữ liệu thống kê (thời điểm bắt đầu, thời điểm kết thúc cuộc liên lạc...) thì không cần sự cho phép của tòa án.
Thứ hai, để thu nội dung của cuộc liên lạc thì cần có lệnh của tòa, nhưng bên thu thập không cần trình lệnh này cho nhà mạng.
Thứ ba, SORM được vận hành trực tiếp (và từ xa) bởi lực lượng hành pháp. Điều này giúp đảm bảo tính kịp thời, cũng như tính bí mật tối đa hoạt động điều tra, bởi phía nhà mạng thậm chí không biết việc có một cuộc điều tra nào đó đang được tiến hành.
Cuối cùng, dữ liệu SORM được tiếp cận bởi nhiều lực lượng khác nhau. Nếu ban đầu chỉ có Tổng cục An ninh Liên bang Nga (Federal Security Service of the Russian Federation - FSB) có thẩm quyền, thì sau đó thẩm quyền này được mở rộng cho các cơ quan thực thi pháp luật khác.
Theo mô hình của Mỹ và Châu Âu thì hệ thống thu được vận hành bởi nhà mạng. Khi có lệnh của tòa án, nhà mạng thực hiện việc thu và chuyển giao thông tin cho cơ quan chức năng. Điều này cho thấy, luật pháp Nga cung cấp cho lực lượng hành pháp quyền lực cao hơn. Một mặt làm tăng hiệu quả công tác điều tra, nhưng mặt khác, các chuyên gia cho rằng dễ xảy ra việc lạm quyền.
Lưu trữ toàn bộ lưu lượng mạng
Quy định chính thức đầu tiên về SORM được quy định trong Luật Trinh sát, điều tra ban hành năm 1992, sau đó được quy định tại Điều 64 của Luật Thông tin liên lạc. Ban đầu, SORM chỉ có phạm vi trong mạng điện thoại (SORM-1). Sau đó, cùng với sự phát triển của công nghệ thông tin - viễn thông, SORM được điều chỉnh để thu thập thông tin về các liên lạc qua mạng điện thoại di động và mạng Internet (SORM-2), nhưng không bao gồm các liên lạc có mã hóa. Dù tính năng khác nhau nhưng 2 thế hệ SORM này có một điểm chung là không đặt yêu cầu cụ thể về việc lưu lại lưu lượng mạng.
Năm 2016, Nga ban hành một đạo luật gây chấn động không chỉ trong nội bộ nước Nga mà cả trên thế giới. Đó là đạo luật về tăng cường biện pháp chống khủng bố và đảm bảo an ninh, thường được nhắc đến là Đạo luật Yarovaya - theo tên của tác giả chính. Một trong những nội dung nổi bật của đạo luật này (tại Điều 13) là sự sửa đổi, bổ sung Luật Thông tin liên lạc. Theo đó, chủ quản các mạng viễn thông (bao gồm cả Nhà cung cấp dịch vụ Internet (Internet Service Provider - ISP)) có nghĩa vụ lưu lại lưu lượng mạng trong lãnh thổ Liên bang Nga. Cụ thể:
• Trong thời hạn 3 năm: lưu trữ thông tin về sự kiện tiếp nhận, truyền tải, chuyển phát và (hoặc) xử lý thông tin thoại, văn bản, hình ảnh, âm thanh, video và các dạng thông điệp khác của người sử dụng dịch vụ.
• Trong thời hạn đến 6 tháng: lưu trữ các thông điệp dạng văn bản, thoại, hình ảnh, âm thanh, video và các dạng thông điệp khác của người sử dụng dịch vụ.
Chính nội dung được bổ sung này quy định các yêu cầu đối với thế hệ SORM mới: SORM-3. Nội dung sửa đổi, bổ sung trên có hiệu lực thi hành bắt đầu từ 01/07/2018, nhưng theo nhận định của chuyên gia thì đây là quy định “bất khả thi”, bởi nó đòi hỏi không gian lưu trữ khổng lồ với chi phí ước tính mà các nhà mạng phải chịu lên tới 2,2 nghìn tỷ rub (khoảng 34,1 tỷ USD theo tỷ giá hiện thời). Để giải quyết khó khăn này, trong Nghị định hướng dẫn chi tiết thi hành điều khoản nói trên (Nghị định số 445 ngày 12/4/2018), Chính phủ Nga yêu cầu trong thời gian đầu, mỗi nhà mạng phải đảm bảo không gian lưu trữ tương đương tổng lưu lượng 30 ngày và sau đó phải tăng 15% mỗi năm, trong vòng 5 năm. Bên cạnh đó, có ý kiến chuyên gia cho rằng khoảng 50% lưu lượng là vô ích đối với công tác trinh sát, điều tra. Do đó, có thể áp dụng công nghệ phân tích sâu gói tin (Deep Packet Inspection - DPI) để loại bỏ bớt phần lưu lượng này.
Tương tự như sửa đổi, bổ sung vào Luật Thông tin liên lạc, Đạo luật Yarovaya (tại Điều 15) cũng sửa đổi, bổ sung Luật Thông tin, công nghệ thông tin và bảo vệ thông tin, yêu cầu các nhà cung cấp dịch vụ nội dung Internet (tức là chủ quản các mạng xã hội, các dịch vụ VoIP,...) phải lưu lại lưu lượng mạng trong lãnh thổ Liên bang Nga. Cụ thể:
- Trong thời hạn 1 năm: lưu trữ thông tin về sự kiện tiếp nhận, truyền tải, chuyển phát và (hoặc) xử lý thông tin thoại, văn bản, hình ảnh, âm thanh, video và các dạng thông điệp khác của người dùng cùng với thông tin về bản thân người dùng.
- Trong thời hạn đến 6 tháng: lưu trữ các thông điệp dạng văn bản, thoại, hình ảnh, âm thanh, video và các dạng thông điệp khác của người dùng.
Trong Nghị định số 728 ban hành ngày 26/6/2018 hướng dẫn chi tiết thi hành quy định trên, Chính phủ Nga yêu cầu lưu trữ đúng 6 tháng nội dung các thông điệp.
Yêu cầu cung cấp khóa mật mã
Bên cạnh yêu cầu “khủng” về lượng dữ liệu cần lưu trữ, Đạo luật Yarovaya còn có một quy định (cũng trong Điều 15) gây tiếng vang không kém, đó là yêu cầu cung cấp khóa để giải mã các nội dung được mã hóa. Theo đó, nếu nhà cung cấp dịch vụ nội dung Internet áp dụng hoặc cung cấp cho người dùng khả năng thực hiện việc mã hóa nội dung thông điệp, thì phải cung cấp cho cơ quan chức năng thông tin cần thiết (tức khóa mật mã) để giải mã các thông điệp này.
Quy định trên đây vấp phải sự phản đối mạnh mẽ từ cộng đồng Internet với lý lẽ rằng, nó xâm phạm quyền riêng tư đã được quy định trong Hiến pháp. Vì vậy, một số công ty đã không tuân thủ quy định này, điển hình là Telegram - nhà cung cấp dịch vụ tin nhắn và thoại. Hệ quả, vào tháng 4/2018, sau khi được sự phê chuẩn của tòa, dịch vụ Telegram đã bị chặn toàn diện trên lãnh thổ Liên bang Nga, các dịch vụ (của Google, Amazon...) được Telegram lợi dụng để vượt qua cơ chế chặn cũng bị chặn theo.
Bảo vệ chủ quyền Internet
Trong những ngày cuối tháng 4/2019, nhiều thông tin đăng tải cho rằng, Nga có thể chuẩn bị ngắt kết nối khỏi Internet toàn cầu. Điều này liên quan đến một đạo luật được gọi là “Chủ quyền mạng Internet của Nga” được Hạ viện Nga thông qua ngày 16/4, được Tổng thống Nga phê chuẩn ngày 01/5 và sẽ bắt đầu có hiệu lực từ ngayf 01/11/2019. Bản chất của đạo luật này là đưa một số sửa đổi, bổ sung vào hai luật hiện hành là Luật Thông tin liên lạc và Luật Thông tin, công nghệ thông tin và bảo vệ thông tin.
Thực tế, Nga không hề có ý định tách mình khỏi mạng toàn cầu. Ngược lại, đạo luật này thể hiện ý chí của nước Nga trong việc áp dụng tổng thể các giải pháp khác nhau để đảm bảo rằng phần mạng Internet nói riêng và mạng thông tin liên lạc nói chung trên lãnh thổ Liên bang Nga (gọi là Runet) sẽ hoạt động liên tục, an toàn trước mọi tấn công mạng, ngay cả khi kết nối với phần còn lại của Internet bị ngắt.
Xét từ khía cạnh kỹ thuật, điểm nổi bật nhất trong đạo luật này là quy định (bổ sung Khoản 5.1 vào Điều 46 Luật Thông tin liên lạc), các ISP bắt buộc phải triển khai trong hệ thống của mình “một tập hợp trang thiết bị kỹ thuật để chống lại các hiểm họa gây mất ổn định, an toàn và toàn vẹn cho hoạt động của hệ thống (về sau gọi là thiết bị an ninh)”. Bên cạnh đó, luật yêu cầu các nhà mạng lớn (có số hiệu Autonomous System riêng) khi phân giải tên miền phải sử dụng Hệ thống dịch vụ tên miền quốc gia (National Domain Name System - DNS) và trang thiết bị phần cứng, phần mềm đáp ứng yêu cầu của cơ quan chức năng. Việc xây dựng hệ thống tên miền riêng của Liên bang Nga cũng là một quy định mới trong luật này.
Luật mới cũng quy định trách nhiệm đảm bảo an ninh cho Runet thuộc về các nhà mạng có kết nối ra ngoài biên giới nước Nga, với Cơ quan liên bang về giám sát trong lĩnh vực thông tin liên lạc, công nghệ thông tin và truyền thông đại chúng thuộc Bộ Phát triển số, thông tin liên lạc và truyền thông đại chúng (Roskomnadzor) đóng vai trò đơn vị điều phối. Trong trường hợp nhận thấy an ninh của Runet bị đe dọa, Roskomnadzor sẽ được cấp quyền kiểm soát tập trung tất cả các mạng liên lạc trên lãnh thổ Liên bang Nga; việc kiểm soát tập trung đó được thực hiện thông qua thiết bị bảo vệ đã được đề cập ở trên và bao gồm việc thiết lập lại quy tắc định tuyến các gói tin. Đây chính là cơ sở để đảm bảo Runet hoạt động bình thường ngay cả khi bị ngắt kết nối với phần còn lại của Internet.
Cũng cần nói thêm rằng, “thiết bị bảo vệ” được đề cập ở đây không chỉ được sử dụng trong tình huống an ninh của Runet bị đe dọa. Theo thông tin từ tạp chí Hacker (số 3/2019), thiết bị này có chức năng DPI, cho phép phân biệt dữ liệu thuộc các dịch vụ khác nhau (web, email, Skype, Youtube...) ngay cả khi dữ liệu được mã hóa. Từ đó, cho phép cơ quan chức năng có thể áp dụng các chính sách khác nhau (ngăn chặn, hạn chế tốc độ...) lên các loại dữ liệu khác nhau. Với tính năng này, dịch vụ Telegram có thể bị ngăn chặn hiệu quả hơn so với việc chặn theo địa chỉ IP như đã từng được áp dụng năm 2018. Cũng theo nguồn tin này, các thiết bị bảo vệ đã được thử nghiệm thành công ở một số vùng khác nhau ở Nga và sẽ được triển khai rộng rãi trong thời gian tới.
Kết luận
Trong những năm gần đây, nước Nga đã tăng cường mạnh mẽ việc quản lý nhà nước trong đảm bảo an ninh mạng. Việc thực thi các quy phạm pháp luật mới đòi hỏi nguồn kinh phí khổng lồ, cũng như đòi hỏi đẩy mạnh nghiên cứu, ứng dụng những thành tựu mới nhất trong lĩnh vực công nghệ thông tin. Mặt khác, các quy định mới cũng nhận không ít chỉ trích. Tuy nhiên, trước sự gia tăng các hoạt động tội phạm và khủng bố sử dụng mạng máy tính, trong bối cảnh chính trị phức tạp hiện nay thì những sự thay đổi như trên là rất cần thiết và đó hoàn toàn có thể là kinh nghiệm để các quốc gia khác, trong đó có Việt Nam, có thể tham khảo, vận dụng.
Nguyễn Tuấn Anh