Giáo trình luật pháp an toàn thông tin

Thời gian gần đây chúng ta thường nghe nói nhiều đến các vụ tấn công vào các hệ thống máy tính của các ngân hàng, của các cơ quan quản lý nhà nước, của các cơ quan quốc phòng, an ninh trên khắp thế giới. Ở nước ta mới đây nhất là vụ xâm nhập trái phép vào trang Web của bộ GD&ĐT gây nhiều tai tiếng trong dữ luận. Vấn đề bảo vệ thông tin (TT) nhất là các TT nhạy cảm ngày càng thu hút sự chú ý của xã hội và của giới chuyên môn. Một chuyển ngành mới gắn liền với vấn đề an toàn TT (ATTT) đã ra đời - đó là chuyên ngành tội phạm học máy tính (Computer Forensics).

Mục tiêu của tội phạm máy tính có thể là chi tiết bất kỳ của hệ tính toán. Các mục tiêu này có những đặc tính khác với các mục tiêu tội phạm thông thường.

• Kích thước và tính cơ động: Các thiết bị vật lý trong hệ MT nhỏ đến mức giá trị của chúng là đến hàng nghìn đô - la vẫn có thể để gọn trong một valy nhỏ và trị giá hàng chục nghìn đô - la vẫn có thể mang được trên hai tay.

• Khả năng không cần tiếp xúc vật lý trực tiếp: Các quỹ điện tử chuyển khoản hầu hết là tiền gửi các ngân hàng. Ví dụ, một số cơ quan trả lương cho cán bộ nhân viên bằng cách chuyển trực tiếp tài khoản qua máy tính thay thế tiền mặt. Khách hàng có thể gửi tiền vào ngân hàng ngay ở nhà mình, di chuyển quỹ giữa các tài khoản và sắp xếp việc rút tiền thông qua MT cá nhân.

• Giá trị tài sản: Giá trị của TT được lưu giữ trong mỗi hệ MT rất cao. Một số MT chứa TT bí mật của các cá nhân như thuế, các khoản đầu tư, bệnh tật. Một số máy khác lại chứa TT về các dòng sản phẩm mới, các số liệu thương mại, các chiến lược tiếp thị ... Các hệ MT trong các cơ quan an ninh, quốc phòng chứa các TT tuyệt mật về bí mật quốc gia, các mục tiêu quân sự, các phong trào đấu tranh, các vũ khí chiến lược...

Rõ ràng ATTT là một vấn đề rất quan trọng, trong thời đại CNTT phát triển nhanh đến mức chóng mặt thì nó lại càng trở nên bức xúc hơn bao giờ hết. Hệ MT là một mục tiêu phức tạp. Hệ MT gồm phần cứng, phần mềm, đường truyền, dữ liệu và con người thao tác. Một kẻ gian quan tâm đến một ngân hàng, nó có thể tấn công vào hệ MT của ngân hàng đó trên nhiều mục tiêu (chứ không nhất thiết chỉ vào tiền mặt để trong két). Danh sách khách hàng và địa chỉ của họ, tài khoản cá nhân và các giao dịch tài chính thường nhật...đều có thể nằm trong vòng ngắm. Danh sách có thể ghi trên giấy, trên đĩa từ, được lưu trong bộ nhớ MT hoặc được truyền qua đường truyền thông bằng modem, điện thoại... Sự đa dạng của các mục tiêu có thể tấn công làm cho an toàn MT càng trở nên khó khăn hơn.

Trong những học kỳ trước, chúng ta đã nghiên cứu khá sâu về các tai họa về ATTT và đặc biệt là các phương pháp để bảo vệ thông tin trong các hệ MT để chống lại các hiểm họa đó. Chúng ta đã làm quen với kỹ thuật mật mã, với kiểm soát phần mềm, kiểm soát phần cứng, các kiểm soát vật lý và kiểm soát con người...Tất cả các phương pháp BVTT đã biết đều nhằm tới bảo vệ cho được tính bí mật, tính toàn vẹn và tính sẵn sàng phục vụ của các thành phần trong các hệ máy tính.

Giáo trình này dành riêng giới thiệu về pháp luật ATTT. Các kiểm soát về pháp lý và đạo lý là một phần quan trọng của ATTT. Tất cả các loại tội phạm đều cần chống lại bằng pháp luật. Với tội phạm máy tính cũng như vậy. Pháp luật chống lại tội phạm máy tính, bảo vệ an toàn hệ máy tính, ATTT gọi là pháp luật an toàn thông tin. Phải ban hành các đạo luật quy định bắt buộc mọi người phải tuân thủ khi làm việc với các hệ MT và các TT trong đó, nghiêm cấm các hành vi phạm tội trong quá trình giao tác thông tin, bảo vệ hiệu quả các lợi ích của Nhà nước, xã hội và cá nhân trong lĩnh vực thông tin; tạo ra hành lang pháp lý cho các hoạt động về đảm bảo ATTT... ở góc độ quốc gia và quốc tế. Đó chính là mục đích của luật pháp ATTT.

Pháp lý có tác dụng trừng phạt và răn đe; nó cũng có tác dụng to lớn trong giáo dục và giác ngộ. Do đó pháp lý luôn song hành với đạo lý. Đạo đức không mang tính cưỡng chế, nhưng nó lại rất quan trọng trong hình thành nhân cách con người, xác định các hành vi và phương cách ứng xử xã hội của cá nhân. Trong xã hội TT, nền kinh tế TT (hay còn gọi là kinh tế tri thức) thì việc ứng xử đúng theo các chuẩn mực đạo đức của xã hội TT nói chung và các hành vi đạo đức đúng đắn về ATTT nói riêng cũng là đòi hỏi ngày càng cấp thiết.

Các kỹ sư ATTT là những người làm việc bảo vệ ATTT trong thế giới CNTT (Cyber Space). Họ phải nắm vững CNTT, các kỹ thuật, công nghệ ATTT, các giải pháp bảo vệ hệ MT và các TT chứa trong đó. Họ cũng cần phải hiểu biết về các pháp luật ATTT và các vấn đề về đạo đức học máy tính và tội phạm học máy tính. Vì - chúng ta đã biết – bảo vệ bằng luật pháp là một phương pháp phi kỹ thuật hữu hiệu của ATTT; và vì chính các kỹ sư ATTT là những người trực tiếp làm việc với các CNTT và đối mặt với tội phạm MT nên họ cần hơn ai hết nắm được và tuân thủ các chuẩn mực đạo đức, các hành vi ứng xử nghề nghiệp đúng đắn trong xã hội thông tin phát triển nhanh chóng. Giáo trình này có mục đích cung cấp cho người học các kiến thức thuộc hai vấn đề đó.

Lần đầu tiên một giáo trình loại này được biên soạn, khó tránh được các thiếu sót, rất mong được sự đóng góp của các đồng nghiệp và bạn đọc gần xa.

Hà Nội tháng 11 năm 2007

Các tác giả