- Dự luật ‘Cyber Security and Resilience (CSR)’ của Anh đưa hạ tầng trọng yếu quốc gia và các nhà cung cấp dịch vụ quản lý vào diện điều chỉnh, nhưng loại trừ chính quyền trung ương và địa phương
- Thay vào đó, chính phủ cho biết sẽ tự nguyện áp dụng cùng tiêu chuẩn bảo mật thông qua ‘Government Cyber Action Plan’, nhưng không có nghĩa vụ pháp lý
- Nhiều nghị sĩ và chuyên gia chỉ trích việc khu vực công là mục tiêu tấn công lớn nhưng lại bị loại khỏi phạm vi luật, đồng thời cho rằng các tiêu chuẩn tự nguyện không có tính ràng buộc pháp lý gây thiếu niềm tin
- Theo báo cáo của Cơ quan Kiểm toán Quốc gia (NAO), các lỗ hổng bảo mật và sự chậm trễ trong khắc phục của hệ thống chính phủ đang ở mức nghiêm trọng, làm dấy lên lo ngại rằng kế hoạch hiện tại là không đủ
- Quyết định loại trừ khu vực công làm nảy sinh nghi vấn về cam kết an ninh mạng của chính phủ, và nhu cầu hoàn thiện lập pháp trong tương lai đang tăng lên
Phạm vi của dự luật CSR và việc chính phủ tự miễn trừ
- Dự luật CSR nhằm hiện đại hóa khung an ninh mạng của Anh bằng cách thay thế quy định NIS năm 2018
- Bao gồm các nhà cung cấp dịch vụ quản lý và trung tâm dữ liệu, nhưng loại trừ chính quyền trung ương và địa phương
- Không giống chỉ thị NIS2 của EU, dự luật loại các cơ quan công quyền khỏi phạm vi điều chỉnh
- Sir Oliver Dowden đã chỉ trích tại Hạ viện việc chính phủ tự đưa mình ra khỏi phạm vi áp dụng của luật
- Ông cho rằng cần áp đặt các yêu cầu nghiêm ngặt hơn đối với khu vực công
- Ông nhấn mạnh rằng phải có nghĩa vụ pháp lý thì các bộ trưởng mới ưu tiên an ninh mạng
Phản ứng của chính phủ và ‘Cyber Action Plan’
- Bộ trưởng Ian Murray trả lời rằng ông sẽ tiếp thu đề xuất của Dowden và nhắc tới Government Cyber Action Plan
- Kế hoạch này áp dụng cho các bộ ngành chính phủ mức tiêu chuẩn bảo mật tương đương dự luật CSR nhưng không có tính ràng buộc pháp lý
- Những người chỉ trích xem đây là biện pháp nhằm né tránh chỉ trích, và đặt câu hỏi về hiệu quả tăng cường bảo mật trên thực tế
- Neil Brown (Decoded.legal) nhận định: “Nếu chính phủ sẽ tuân theo các tiêu chuẩn ở mức của dự luật, thì không có lý do gì để tránh bị điều chỉnh bởi luật”
- Ông đánh giá việc bị loại khỏi dự luật là một quyết định không tạo được niềm tin
Thực trạng bảo mật khu vực công và các chỉ trích
- Theo báo cáo của NCSC, trong số các vụ tấn công được xử lý từ tháng 9/2020 đến tháng 8/2021, 40% nhắm vào khu vực công
- Tỷ lệ này được dự báo sẽ còn tăng trong tương lai
- Báo cáo năm 2025 của Cơ quan Kiểm toán Quốc gia (NAO) kiểm tra 58 trên 72 hệ thống trọng yếu của chính phủ đã xác nhận nhiều lỗ hổng bảo mật và tốc độ cải thiện chậm
- Điều này cho thấy khu vực công vẫn dễ tổn thương trước các cuộc tấn công mạng thường xuyên
- Trong bối cảnh đó, việc chính phủ loại khu vực công khỏi dự luật CSR bị chỉ trích là thiếu nhất quán về chính sách
Hướng lập pháp sắp tới và thảo luận
- Nghị sĩ Lao động Matt Western cho biết dự luật CSR không phải là giải pháp hoàn chỉnh, và sẽ có thêm các đạo luật được thiết kế riêng tiếp theo
- Ông cũng nhắc tới khả năng chính phủ xây dựng riêng một luật an ninh mạng dành cho khu vực công
- Neil Brown đánh giá rằng “cách tiếp cận khôn ngoan hơn là thường xuyên ban hành các đạo luật nhỏ, rõ ràng”
- Ông giải thích rằng các đạo luật tách riêng theo từng lĩnh vực như Telecommunications (Security) Act 2021 và Product Security and Telecommunications Infrastructure Act 2022 có thể hiệu quả hơn
Niềm tin và tác động chính trị
- Mỗi khi các cơ quan công, hội đồng địa phương hay NHS bị tấn công, quyết định loại trừ khỏi dự luật của chính phủ lại trở thành điểm công kích của phe đối lập
- Cũng có ý kiến nhắc lại tiền lệ các khuyến nghị cải thiện bảo mật được đề xuất từ thời chính phủ Bảo thủ (2022) đã không được thực thi suốt hơn 2 năm
- Chừng nào chính phủ còn duy trì việc tự miễn trừ, sự thiếu tin tưởng vào cam kết cải thiện an ninh mạng có khả năng sẽ tiếp diễn
- Nếu dự luật CSR muốn trở thành trụ cột của hệ thống an ninh quốc gia, thì việc có đưa khu vực công vào phạm vi áp dụng hay không sẽ vẫn là vấn đề then chốt trong thời gian tới
1 bình luận
Ý kiến trên Hacker News
Tôi đã lướt qua dự luật này và có cảm giác nó đang bị diễn giải quá cynical
Nội dung chính là chỉ định các nhà cung cấp và đơn vị cung cấp dịch vụ trọng yếu, rồi quy định nghĩa vụ bảo mật của họ
Chính phủ trung ương thường không phải là nhà cung cấp trực tiếp mà đóng vai trò khách hàng sử dụng nhiều nhà cung cấp bên ngoài
Vì vậy, tôi không thấy lạ khi ban đầu chính phủ không thuộc phạm vi áp dụng của luật. Theo tôi, thứ tự hợp lý là trước hết chỉnh đốn các nhà cung cấp tuyến đầu, rồi sau đó mới xây dựng quy định cho toàn bộ chức năng của chính phủ
Nhưng lần này họ lại cố tình thêm điều khoản miễn trừ, nên có thể xem đó là bằng chứng cho thấy ban đầu chính phủ cũng thuộc đối tượng điều chỉnh của luật
Nếu đây là lần thử đầu tiên thì tôi sẽ đồng ý, nhưng thực tế đây là cách đã thất bại nhiều lần rồi
Chính phủ hợp tác với vô số vendor, nhưng đồng thời các cơ quan an ninh mạng quốc gia hay đơn vị hỗ trợ IT cũng trực tiếp đóng vai trò nhà cung cấp dịch vụ
Ví dụ như vận hành SOC, tư vấn bảo mật, chia sẻ thông tin và nhiều vai trò khác, nên việc loại trừ chính phủ chỉ khiến tôi thấy đây đơn thuần là biện pháp cắt giảm ngân sách
Tôi nghĩ nếu các cơ quan chính phủ Anh từng bước áp dụng công bố lỗ hổng có phối hợp (Coordinated Vulnerability Disclosure) thì có thể tạo ra cải thiện bảo mật thực chất
Điều này cũng phù hợp với nội dung bài viết rằng dự luật UK CSR là bước đầu để phát triển thành một khung pháp lý bảo mật được thiết kế phù hợp
Tôi làm kỹ thuật phần mềm liên quan đến thông tin y tế nên chủ đề này đặc biệt gần với chuyên môn của tôi
Tài liệu liên quan có thể xem tại GitHub link
Trông như cảnh các kỹ sư thiết kế thay đổi ngồi lùi về sau với thái độ kiểu “hãy làm theo điều chúng tôi nói, đừng làm theo điều chúng tôi làm”
Đây cũng giống tình huống ở Texas và nhiều nơi khác, nơi các cơ quan chính quyền bang không cần tuân theo quy chuẩn xây dựng
Khi tôi từng làm tại công trường xây dựng trung tâm dữ liệu của bang, tôi cũng đã thấy những trường hợp như vậy — kiểu như “amiăng à? là gì thế?”
Những miễn trừ như vậy cũng có lý do riêng
Ví dụ, để tránh việc phải tự nộp báo cáo cho chính mình hoặc phải công khai thông tin nhạy cảm
Nhưng cách tiếp cận đúng là xây dựng khung pháp lý cơ bản trước, rồi trong các quy định thực thi chi tiết sẽ ghi rõ theo kiểu “cơ quan XXX áp dụng NIS2 với các ngoại lệ sau”
Làm vậy sẽ tránh được việc miễn trừ quá mức và ngăn các cơ quan tự đặt ra quy định theo ý mình
Trong ngành hạt nhân và quốc phòng đây cũng là cách làm phổ biến. Tuyên bố miễn trừ diện rộng ngay từ đầu là cách tiếp cận sai lầm
Tôi không hiểu vì sao Anh lại có thái độ độc đoán như vậy với các vấn đề an ninh mạng
Thường xuyên thấy những đạo luật kiểu “đây là luật cho các anh, chứ không phải cho chúng tôi”
Mục tiêu của nó là tăng cường bảo mật cho các tài sản trọng yếu và siết chặt nghĩa vụ báo cáo sự cố xâm nhập, nên tôi khá ngạc nhiên khi gọi những biện pháp này là “độc đoán”
Tôi muốn biết cụ thể điều gì khiến bạn thấy như vậy
Nhưng đồng thời họ lại không muốn thừa nhận rằng mình đang “đi theo EU”
Vì thế họ đang viết lại luật để các công ty kỹ thuật và tư vấn của Anh có thể soạn tài liệu quy định và duy trì thế độc quyền về compliance
Với tư cách một người Anh, tôi thấy việc chính phủ nói rằng “dù không có nghĩa vụ pháp lý, chúng tôi vẫn sẽ duy trì tiêu chuẩn tương đương thông qua Cyber Action Plan” thực chất chỉ ở mức “hãy tin vào file PDF” mà thôi
Tôi nghĩ giờ phải nhanh chóng chuyển sang thời đại của non-repudiation
(Trả lời cho bình luận trước đó)
Tôi muốn hỏi liệu có phải mọi người đã quên ai là người tạo ra máy tính đầu tiên, và ai là người tạo ra World Wide Web rồi không