Lục Vân Tiên

Vụ "BKIS tìm thủ phạm" và an ninh mạng

(TuanVietNam) - Cần cách ứng xử khác qua vụ "BKIS tìm ra thủ phạm” tấn công vào mạng máy tính Hàn Quốc và Mỹ.


Ảnh: sharedpost.net

Dư luận nóng lên sau ngày 12/7/2009 khi BKIS (Trung tâm phần mềm và Giải pháp an ninh mạng, Đại học Bách khoa Hà Nội) thông báo trên trang web của mình rằng BKIS đã tìm ra “thủ phạm” (hai máy chủ đặt tại Anh) tấn công vào mạng máy tính Hàn Quốc và Mỹ bắt đầu từ ngày quốc khánh Mỹ 4-7-2009. Báo chí thế giới và trong nước đồng loạt đưa tin về “thành tích” này.

Rồi ngày 16/7/2009 Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đã có công văn gửi Đại học Bách Khoa Hà Nội rằng trung tâm đã nhận được khiếu nại của Trung tâm ứng cứu khẩn cấp máy tính Hàn Quốc (KrCERT) yêu cầu BKIS cải chính thông báo của mình.

Công văn của VNCERT có đoạn: “Việc BKIS thừa nhận tấn công và chiếm quyền điều khiển hai server (máy chủ) để tiến hành phân tích là vi phạm nghiêm trọng luật pháp Việt Nam và quốc tế. Cách BKIS công bố thông tin khiến công chúng hiểu rằng BKIS thực hiện các hành vi tấn công trái pháp luật và đồng thời gây nhầm lẫn là KrCERT và APCERT [Trung tâm ứng cứu khẩn cấp máy tính châu Á Thái Bình dương] cũng tham gia vào các hành vi phạm pháp này”. VNCERT yêu cầu Đại học Bách khoa báo cáo.

BKIS thì nói rằng mình hành xử đúng luật Việt Nam và luật quốc tế. Báo chí cũng đưa tin ngày 21-7-2009 BKIS có báo cáo chi tiết cho Đại học Bách khoa. Chưa có thông tin về báo cáo này.

Những người ủng hộ BKIS viện dẫn khoản 4 điều 43 của Nghị định 64/2007/NĐ-CP của Chính phủ, có nội dung “trong trường hợp khẩn cấp có thể gây sự cố nghiêm trọng hay khủng bố mạng, các cơ quan chức năng có quyền tổ chức ngăn chặn các nguồn tấn công trước khi có thông báo, sau đó lập biên bản báo cáo cho cơ quan điều phối ”, và cho rằng BKIS làm như thế là hợp pháp. Những người khác lại cho rằng liệu BKIS có là “cơ quan chức năng” trong khoản trên hay không để “có quyền ngăn chặn”. Nhiều người cũng chưa rõ liệu nghị định trên của Việt Nam có áp dụng với các máy chủ đặt ngoài lãnh thổ Việt Nam hay không.

Tại các nước phát triển việc nghe lén, truy cập và “chiếm quyền” điều khiển như vậy là hành vi phạm pháp. Điều 226a của Bộ luật hình sự (sửa đổi) của Việt Nam cũng cấm những hành vi như thế. Các cơ quan chức năng chỉ được tiến hành việc như vậy khi có lệnh của tòa án. Tòa án nào? Tòa án của nước của người “chiếm quyền điều khiển” hay tòa án của nước mà máy tính bị chiếm quyền kiểm soát được đặt.

Tình hình còn phức tạp hơn nếu “tin tặc” ở một nước khác, nước B chẳng hạn, dùng bất hợp pháp máy chủ, thí dụ đặt tại nước A (Anh), để tấn công các máy ở Hàn Quốc và Mỹ. Thủ phạm thật ở đây là “kẻ phá hoại, tin tặc” ở nước B, liệu đã có ai biết “thủ phạm” đích thực này là những ai chưa? Nếu không khéo “người điều tra” có thể bị lên án là “tin tặc” chư chơi. Ai là “người điều tra”? Có phải bất cứ công ty tin học nào cũng có thể dựa vào điều khoản đã nói của Nghị định để can thiệp?

Câu hỏi cuối này chắc chắn có câu trả lời là "không", nếu khác đi thì sẽ loạn vì ngay “cơ quan chức năng” cũng không được phép hành xử tùy tiện.

Có quá nhiều câu hỏi chưa có câu trả lời xác đáng (và e rằng không thể có cho tất cả các câu hỏi). Trong hoàn cảnh như vậy nên ứng xử thế nào?

Trước hết, các nhà chức trách, các chuyên gia và xã hội dân sự nên tìm hiểu kỹ lưỡng hơn các quy định pháp lí hiện hành (kể cả luật pháp quốc tế) để cải thiện chúng nhằm tạo ra môi trường pháp lí minh bạch hơn, dễ lường hơn đối với mọi người và mọi tổ chức.

Thứ hai, làm việc nghĩa, tìm cách “truy tìm” kẻ xấu, kẻ thủ phạm là việc rất đáng khuyến khích. Nhưng việc này cũng phải tuân thủ những thủ tục pháp lí nhất định để tránh bị liên lụy đến những vấn đề rắc rối có thể kéo theo nhiều rủi ro khôn lường.

Thứ ba, làm việc nghĩa thì rất nên tránh “quảng cáo” rùm beng rằng tôi làm việc nghĩa đây, tôi làm từ thiện đây. Đáng tiếc ở Việt Nam còn có quá nhiều người như vậy và đôi khi báo chí lại tiếp tay “đánh bóng” cho họ qua các chương trình “từ thiện” hoành tráng.

Thứ tư, để tránh mang tiếng tự “quảng cáo” như vừa nêu trên cần rất cẩn trọng với thông tin do mình đưa ra. Có thể chủ định là tốt, nhưng hậu quả không lường trước của việc đưa thông tin lại có thể rất xấu, cho nên phải cận trọng và cân nhắc rất kỹ. Nếu không khéo thì lợi bất cập hại. Nhất là những thông tin liên quan đến an ninh mạng, đến các đối tác quốc tế, đến quá trình “đang điều tra” chưa kết thúc. Lẽ ra những thông tin như vậy nên được coi là thông tin “kín”, “nội bộ” giữa các tổ chức có liên quan (BKIS, VNCERT, KrCERT, …). Chỉ sau khi vụ việc đã kết thúc thì mới nên đưa thông tin loại như vậy ra công khai.

Tất cả những thông tin trao đổi như vậy đều lưu dấu vết trong hệ thống nên không ngại ai tranh mất “công trạng Lục Vân Tiên” của mình. Mà đã là Lục Vân Tiên thì chắc Lục Vân Tiên cũng không để ý đến “công trạng”.

Cuối cùng, các quan chức cũng nên thận trọng khi bình luận. Nói rằng phải đợi tổ chức có máy bị chiếm quyền kiểm soát kiện thì mới rõ, hay “tin tặc” kiện thì sẽ biết “tin tặc” là ai, “người bị hại (chủ quản lý hai server được cho là bị tấn công) cũng chưa có khiếu nại”, “chưa có chứng cớ”.v.v., nên cứ bình chân như vại, là chưa cẩn trọng. Họ thường đưa ra ý kiến hơi thiên vị hay né tránh đưa ra ý kiến. Chưa có ý ‎kiến gì đôi khi cũng là ‎ ý kiến rất có ‎ nghĩa!

An ninh, an toàn, rủi ro là những thứ liên quan đến nhau. Những người làm công việc an ninh, nhạy cảm, liên quan đến nhiều người khác, chắc phải am hiểu các biện pháp phòng ngừa rủi ro cho chính mình, cho đơn vị mình, cho các đối tác của mình, khách hàng của mình. Không khéo thì gây rủi ro khó lường cho chính mình, cho các đối tác, thậm chí cho cả đất nước.

Thế giới thay đổi rất nhanh, để hội nhập thành công chúng ta cũng cần thay đổi cho phù hợp để trở nên ngày càng chuyên nghiệp hơn.

Và còn có thể rút ra bao bài học khác từ sự kiện “nhỏ” nhưng hoàn toàn “không nhỏ” và khá tế nhị, “lùng nhùng” này.

  • Nguyễn Quang A



Không có nhận xét nào: