Đạo đức nghề nghiệp trong đảm bảo An toàn thông tin

Fedotov là chuyên gia phân tích chính thuộc công ty InfoWatch của Nga, chuyên phát triển các hệ thống phòng chống thất thoát dữ liệu DLP. Là tiến sĩ toán - lý, nhưng Fedotov có cách nhìn khá thú vị về đảm bảo an toàn thông tin (ATTT) từ khía cạnh phi kỹ thuật và đã có nhiều bài báo về vấn đề này. Phần lược dịch bài báo dưới đây sẽ giới thiệu về vai trò của đạo đức nghề nghiệp trong đảm bảo ATTT.


Khổng Tử đã nói, nếu cai trị người dân thông qua các luật lệ và đảm bảo kỷ cương bằng những hình phạt thì người dân sẽ cố gắng trốn tránh các hình phạt và không cảm thấy xấu hổ. Còn nếu cai trị người dân thông qua đạo đức và đảm bảo kỷ cương qua các lễ nghi thì người dân sẽ biết đến sự xấu hổ và sẽ sửa mình.

Có điều lạ là nhiều người hoạt động trong lĩnh vực công nghệ thông tin (CNTT) nói chung và ATTT nói riêng lại hoài nghi về sự tồn tại vấn đề đạo đức nghề nghiệp trong lĩnh vực này. Vậy có đạo đức nghề nghiệp cho người làm CNTT không; Nói về đạo đức nghề nghiệp trong lĩnh vực này có hợp lý không; Có thể áp dụng các tiêu chí đạo đức nào trong lĩnh vực này... Là những câu hỏi mà người ta đã đặt ra khi thảo luận về vấn đề đạo đức trong cộng đồng chuyên gia kỹ thuật của ngành CNTT. Thực tế trên cho thấy, nhiều chuyên gia kỹ thuật tin tưởng và cảm nhận rằng họ chỉ làm việc với máy móc mà không hề làm việc với con người.

Hiển nhiên là vấn đề đạo đức không thể áp dụng cho những đối tượng vô tri, vô giác. Người ta có thể cho rằng, Internet chỉ là một tập hợp các thiết bị kỹ thuật được liên kết với nhau qua các kênh thông tin. Nói cách khác, Internet là một đối tượng vô tri, vô giác. Đó chính là sai lầm mà một số người thường mắc phải. Họ nghĩ rằng chỉ đang tương tác với máy móc, trong khi trên thực tế họ đã và đang tương tác với con người. Hơn thế nữa, họ còn tác động đến những lĩnh vực nhạy cảm thuộc sở hữu của con người, ví dụ như bí mật thông tin liên lạc, bí mật cá nhân.

Ban đầu, Internet được hình thành như là một cỗ máy, việc điều khiển nó được thực hiện bởi các nhân công kỹ thuật. Nhưng cùng với thời gian, Internet đã trở thành một môi trường mà trong đó các lợi ích kinh tế, tinh thần, chính trị, tín ngưỡng, khoa học và các lợi ích phi kỹ thuật khác của con người trao đổi, tương tác với nhau. Đến nay, nó không còn là một “môi trường” nữa, mà đã là một thế giới ảo.  

Dù rằng trong thế giới ảo đó đã xuất hiện những mối quan hệ mới, nhưng phương pháp điều khiển Internet vẫn không thay đổi. Nó vẫn được điều khiển bởi những nhân công kỹ thuật, bằng những phương pháp kỹ thuật. Thông thường thì những công việc như vậy không cần phải nắm vững các vấn đề thuộc các lĩnh vực khoa học xã hội – nhân văn như luật, kinh tế, đạo đức... Vì thế họ sẽ cố gắng giải quyết mọi vấn đề phát sinh chỉ bằng các công cụ kỹ thuật. Những công cụ như thế không hiệu quả, không giúp giải quyết vấn đề mà chỉ làm cho vấn đề trở nên nghiêm trọng hơn.

Ví dụ điển hình cho trường hợp này là cách giải quyết vấn đề thư rác. Thư rác (spam) là một hiện tượng kinh tế, đó là một dạng quảng cáo. Các vấn đề kinh tế cần phải được giải quyết hoặc bằng phương pháp kinh tế, hoặc bằng pháp luật. Thế nhưng, suốt nhiều năm qua, người ta lại cố gắng giải quyết vấn đề thư rác bằng các biện pháp kỹ thuật mà không quan tâm đến các khía cạnh khác. Tất nhiên, người phát tán thư rác luôn tìm được cách để vượt qua các kỹ thuật lọc thư rác. Vì thế, số lượng thư rác không giảm đi, mà các tác dụng phụ không mong muốn từ các giải pháp kỹ thuật đó lại càng tăng lên.

Đã đến lúc cần phải xem xét lại việc sử dụng những quản trị viên chỉ thuần túy kỹ thuật trong việc điều khiển Internet. Cần phải cung cấp cho quản trị viên các hệ thống thông tin, một lượng tương đối kiến thức về khoa học xã hội – nhân văn. Đồng thời, một số vấn đề trong quản trị mạng cần phải được giao cho những nhà luật học, kinh tế học, tâm lý học và các chuyên gia phi kỹ thuật khác. Tuy nhiên, chúng ta chưa phân định được việc nào dễ thực hiện hơn – đào tạo kiến thức khoa học xã hội – nhân văn cho quản trị viên, hay là giảng giải kỹ thuật về Internet cho các nhân lực phi kỹ thuật.
Những vấn đề đã được trình bày trên đây không đặt mục tiêu chỉ ra mâu thuẫn trong môi trường mạng, giữa các biện pháp quản trị mạng cũ và các mối quan hệ xã hội mới trong mạng. Mâu thuẫn này đã được tác giả phân tích kỹ hơn trong các bài báo khác. Mục đích ở đây là gợi mở sự cần thiết của vấn đề đạo đức trong ATTT.

Đạo đức là những quy tắc bất thành văn trong quan hệ giữa người với người. Khó có thể luật hóa một cách đầy đủ mọi quy tắc đạo đức, dù rằng khuynh hướng này đang diễn ra, đặc biệt là ở các nước phương Tây. Và trong các mối quan hệ trên mạng, thì việc luật hóa lại càng khó khăn, bởi vì các quy phạm pháp luật thường bị lạc hậu so với thực tế.

Có người đặt câu hỏi: liệu có thỏa đáng không nếu nói về đạo đức trong một nghề cụ thể hoặc một lĩnh vực công việc cụ thể? Đạo đức là như nhau đối với mọi nghề nghiệp?

Xét một cách tổng thể thì đúng như thế. Một tập hợp quy tắc đạo đức có thể điều chỉnh mối quan hệ giữa con người với nhau, bất kể trong lĩnh vực, nghề nghiệp gì. Tuy nhiên, không phải bao giờ cũng có thể diễn giải một cách dễ dàng các quy tắc đạo đức chung để áp dụng vào những tình huống đặc trưng cho một nghề nghiệp nào đó. Hơn thế nữa, khi làm việc trong lĩnh vực CNTT, con người sẽ phải tham gia vào nhiều mối quan hệ phức tạp, không lường trước được. Ngoài ra, không phải mọi quy tắc đạo đức đều có thể áp dụng vào một ngành nghề cụ thể. Một số quy tắc không thể áp dụng, một số khác lại trở nên quan trọng hơn so với trong các tình huống thông thường.

Nói cách khác, đạo đức nghề nghiệp không phải là một loại đạo đức đặc biệt dành cho một nghề nghiệp nào đó, mà đạo đức nghề nghiệp là hình chiếu của các quy tắc đạo đức chung lên những tình huống đặc trưng đối với một nghề nghiệp nhất định.

Đạo đức phải là công cụ để giải quyết vấn đề trong những trường hợp mà luật pháp không thể phát huy tác dụng. Trong những trường hợp đặc biệt, các quy tắc đạo đức có thể mâu thuẫn với luật pháp, điều chỉnh luật pháp để không cho phép dựa vào luật pháp mà làm những điều gây tổn hại cho xã hội.

Vậy đạo đức sẽ tác động hỗ trợ như thế nào đối với các biện pháp bảo vệ thông tin, các phương tiện bảo vệ và đối với những trường hợp cần bảo vệ?

Sẽ là hợp lý nếu các quy tắc đạo đức trong ATTT được phát biểu dựa trên các quy tắc đạo đức trong y học. Đó là những quy tắc đạo đức được áp dụng, được kiểm chứng qua nhiều thế kỷ và được biết đến như là lời thề Hippocrates. Nếu bỏ qua những yếu tố đặc trưng của xã hội cổ đại thì lời thề này có thể được tóm lược với năm điểm chính. Trên cơ sở đó, tác giả đã đề xuất năm quy tắc đạo đức trong ATTT. Các quy tắc này cần được sử dụng như là chính sách bắt buộc đối với thành viên của các tổ chức cung cấp dịch vụ ATTT đặc biệt như: ứng cứu sự cố máy tính, giám sát an toàn mạng… Không loại trừ khả năng các quy tắc này trong tương lai sẽ được sử dụng bởi các tổ chức ATTT khác và chúng sẽ phát triển thành một bộ quy tắc đạo đức nghề nghiệp hoàn chỉnh.


Năm quy tắc đạo đức trong an toàn thông tin

1. Giúp đỡ những người có tinh thần học hỏi

Người làm ATTT không được phép từ chối chia sẻ với người khác những kiến thức trong lĩnh vực CNTT và bảo vệ thông tin. Những kiến thức này phải được truyền đạt một cách không vụ lợi cho tất cả những ai có mong muốn học hỏi.

2. Tránh những điều có hại

Trong công việc của mình, người làm ATTT cần phải tránh việc gây hại cho đối tượng được bảo vệ (thiệt hại từ tác dụng phụ), trừ trường hợp việc gây hại là cần thiết để ngăn chặn một thiệt hại lớn hơn. Cần tránh gây hại cho những bên không liên quan, cho dù việc gây hại đó giúp tránh được thiệt hại cho đối tượng được bảo vệ.

3. Không phát tán những thông tin nguy hiểm

Người làm ATTT không được cung cấp cho bất kỳ ai thông tin về các điểm yếu mà có thể bị khai thác (ngoại trừ việc cung cấp thông tin cho chủ sở hữu hoặc nhà phát triển hệ thống chứa điểm yếu nhằm mục đích loại trừ điểm yếu đó). Không được cung cấp cho bất kỳ ai những chương trình độc hại hoặc chương trình đa mục đích, nếu như có căn cứ để cho rằng người được cung cấp sẽ sử dụng chương trình một cách ác ý.

4. Sử dụng có chừng mực

Khi có được quyền truy cập tới hệ thống hoặc thông tin về hệ thống, người làm ATTT chỉ được sử dụng quyền truy cập/thông tin đó để thực hiện việc bảo vệ, ngăn chặn các mối nguy hại và tăng cường mức an toàn, mà không được sử dụng quyền truy cập/thông tin đó cho bất kỳ mục đích nào khác, kể cả mục đích vô hại. Khi thực hiện xong nhiệm vụ, quyền truy cập cần được đóng lại, còn thông tin thì cần phải được xóa bỏ.

5. Giữ bí mật

Người làm ATTT cần phải giữ bí mật mọi thông tin được tiếp cận trong quá trình cung cấp dịch vụ bảo vệ, nếu thông tin đó là bí mật thương mại, bí mật đời tư, bí mật nghề nghiệp hay bất kỳ dạng thông tin mật nào khác, dù cho có hay không có thỏa thuận về việc giữ bí mật các thông tin.

Những quy tắc đạo đức trên đây không chỉ là nỗ lực ban đầu trong việc văn bản hóa chuẩn mực đạo đức nghề nghiệp cho những người làm trong lĩnh vực bảo vệ thông tin, mà chúng cần được quy định chính thức cho các tổ chức ứng cứu sự cố máy tính, giám sát an toàn mạng, cung cấp dịch vụ ATTT. Đó là một trong những yếu tố đảm bảo rằng thành viên của đội sẽ thực hiện chức năng của mình một cách vô tư, công bằng.

Một số vấn đề đạo đức đối với người làm an toàn thông tin

Trong số trước, Tạp chí An toàn thông tin đã giới thiệu một quan điểm về đạo đức nghề nghiệp trong lĩnh vực an toàn thông tin (ATTT) của học giả người Nga. Trong phần này, Tạp chí giới thiệu một quan điểm khác của học giả phương Tây về vấn đề được trình bày trong bài viết của Debra Littlejohn Shinder .Tác giả đã phân tích sự cần thiết phải xem xét một cách nghiêm túc vấn đề đạo đức trong đào tạo và tác nghiệp ATTT, một chủ đề mang tính thời sự trong bối cảnh Việt Nam hiện nay.

Các nhà vật lý, các luật gia, các chuyên gia thuộc các lĩnh vực mà công việc của họ ảnh hưởng đến đời sống của người khác, thường được học về các vấn đề đạo đức nghề nghiệp như là một phần của chương trình đào tạo.

Người làm ATTT thường có quyền truy cập tới các dữ liệu nhạy cảm, có hiểu biết về máy tính hay mạng máy tính của cá nhân, tổ chức; điều đó giúp họ có được lợi thế to lớn để thực hiện những thao tác mà người dùng thông thường không có được. Nhưng khả năng này lại thường vô tình hay cố ý bị lạm dụng. Trong khi đó, chẳng có tiêu chuẩn nào quy định về yêu cầu đào tạo đối với người làm ATTT độc lập. Các hiệp hội, các tổ chức về CNTT thường quan tâm đến mặt đạo đức nghề nghiệp, nhưng những người làm ATTT lại không nhất thiết phải thuộc một tổ chức hay hiệp hội như thế.

Tại sao cần có những chỉ dẫn về đạo đức?

Các chương trình đào tạo về CNTT, bao gồm cả đào tạo chuyên gia ATTT thường tập trung vào kiến thức và kỹ năng kỹ thuật. Người học được truyền thụ kiến thức, kỹ năng để thực hiện công việc, nhưng lại ít được cảnh báo về khả năng, kịch bản mà các kiến thức, kỹ năng đó bị lạm dụng. Trên thực tế, nhiều người làm CNTT hành động với suy nghĩ của một hacker (mũ đen): tất cả những gì có thể làm đều là những thứ được phép làm. Và nhiều người thậm chí không nhận thấy sự tồn tại vấn đề đạo đức trong công việc của họ.

Đó là những vấn đề đạo đức nào?

Trong số những vấn đề đạo đức mà người làm ATTT phải đối mặt, trước hết phải kể đến các vấn đề liên quan đến tính riêng tư. Ví dụ: Nếu bạn có khả năng đọc được email cá nhân của các người dùng khác trong mạng thì bạn có đọc chúng không?

- Có đúng không, nếu bạn đọc email của nhân viên để đảm bảo rằng nhân viên không vi phạm các quy định của công ty (ví dụ, quy định không được phép sử dụng hệ thống email của công ty vào mục đích cá nhân, thông tin nhạy cảm của công ty không được tiết lộ). Và nếu bạn quyết định đọc email của nhân viên thì bạn có thông báo cho họ biết hay không? Nếu có thì thông báo trước hay sau khi đọc chúng?

- Có cần phải giám sát tất cả hành động truy cập web của người dùng trong mạng hay không? Có cần ghi vào log tất cả những website mà người dùng đã truy cập không? Việc không giám sát các truy cập như thế có phải là một sự tắc trách không, khi mà bạn biết rằng việc giám sát có thể giúp ngăn ngừa ai đó truy cập nội dung mang tính giải trí trong giờ làm việc, nhưng đồng thời cũng tạo ra một môi trường làm việc kém thân thiện?

- Có đúng không nếu cài đặt key logger trên các máy tính trong mạng để ghi lại tất cả thao tác gõ bàn phím của người dùng? Câu trả lời có khác không nếu đối tượng được cài đặt là phần mềm chụp ảnh màn hình, cho phép người quản lý theo dõi tất cả những gì hiện trên màn hình người dùng? Và nếu bạn quyết định giám sát người dùng bằng một trong hai hình thức trên thì bạn có thông báo trước cho người dùng hay không?

- Có đúng không nếu bạn đọc các file tài liệu hoặc xem các file hình ảnh mà người dùng lưu trên máy của họ hoặc trong thư mục của họ trên file server?

- Các vấn đề trên đây được nêu ra không phải từ khía cạnh pháp lý. Nếu xét về mặt pháp lý, một công ty hoàn toàn có quyền giám sát tất cả mọi thứ mà nhân viên thực hiện trên hệ thống máy tính. Nhưng xét về mặt đạo đức, liệu chúng ta có nên thực hiện những việc như đã nêu ở trên mà chúng ta có quyền, có khả năng thực hiện hay không?

Bạn là quản trị viên một mạng máy tính, hoặc là một chuyên gia ATTT, bạn sẽ có được đặc quyền để truy cập hầu hết dữ liệu trên mạng mà bạn tác nghiệp, thậm chí có thể truy cập được cả những dữ liệu đã mã hóa, nếu bạn có tài khoản Recovery Agent. Bạn sẽ làm những gì khi có được đặc quyền và khả năng như thế? Điều đó một phần tùy thuộc vào nhiệm vụ cụ thể của bạn (ví dụ, có thể chính sách của công ty chỉ rõ rằng, một phần công việc của bạn là giám sát email của nhân viên) và một phần tùy thuộc vào quan điểm đạo đức của cá nhân bạn về các vấn đề trên đây.

Sự tuột dốc

Khi tranh luận về một vấn đề đạo đức, người ta thường đề cập đến khái niệm “tuột dốc” (slippery slope). Khái niệm này liên quan đến một thực tế rằng, người ta có thể dễ dàng đi từ việc thực hiện một hành động dường như không trái đạo đức (quét email của người dùng “cho vui”) đến việc thực hiện những hành động có tính trái đạo đức tăng dần (thay đổi đôi chút trong nội dung email, chuyển email tới người nhận khác...).

Khi xem xét danh sách các vấn đề đạo đức có liên quan đến tính riêng tư trên đây, có thể nhận thấy rằng, rất dễ để đưa ra sự biện hộ cho mỗi hành động. Đồng thời cũng có thể nhận ra rằng, các hành động đó có thể dễ dàng biến tấu thành những hành động khó biện hộ hơn. Ví dụ, những thông tin có được từ việc đọc email của ai đó có thể bị sử dụng để gây khó dễ cho người đó, để tạo lợi thế về quyền lực trong công ty, để khiến cho người đó có thể bị kỷ luật hoặc bị đuổi việc và thậm chí để tống tiền.

Sự “tuột dốc” cũng có thể dẫn đến những hành động vượt ra ngoài phạm vi việc sử dụng các kỹ năng CNTT. Nếu người quản trị cho rằng việc đọc email của các nhân viên khác là bình thường, thì có lẽ người đó cũng sẽ cho là bình thường với việc soi mói bàn làm việc của người khác khi họ vắng mặt, cho đến việc lục lọi cặp và túi xách của người khác.

Một số tình huống đạo đức trên thực tế

Điều gì sẽ xảy ra nếu bạn nghiên cứu một tài liệu nào đó và phát hiện ra bí mật thương mại của công ty? Sẽ thế nào nếu sau đó bạn nghỉ việc và chuyển sang làm việc cho một công ty là đối thủ cạnh tranh với công ty cũ? Liệu có sai trái không, nếu bạn sử dụng những kiến thức thu được trước đó cho công việc mới? Và liệu có “sai hơn” hay không, nếu bạn in tài liệu đó và mang theo mình, thay vì chỉ ghi nhớ chúng trong đầu?

Điều gì sẽ xảy ra nếu những tài liệu mà bạn đọc được cho thấy rằng công ty của bạn đã vi phạm luật pháp hoặc quy định khác của chính quyền? Bạn sẽ vì nghĩa vụ mà tố cáo hay vì tình nghĩa mà giữ bí mật cho sếp? Và sự lựa chọn có khác đi không, nếu trước khi thực hiện công việc, bạn đã ký với công ty một thỏa thuận không tiết lộ thông tin (nondisclosure agreement)?

Những người cùng một lúc làm công việc tư vấn CNTT hoặc ATTT cho nhiều công ty sẽ phải đối mặt những tình huống đạo đức phức tạp hơn nữa. Nếu bạn phát hiện ra rằng, một trong những khách hàng của mình có thể ảnh hưởng xấu đến một (một số) khách hàng khác, bạn sẽ phải xử lý thế nào?

Bên cạnh vấn đề đạo đức liên quan đến tính riêng tư thì ta cũng thường gặp những vấn đề đạo đức liên quan đến tiền bạc. Sự gia tăng các cuộc tấn công mạng, phát tán virus và các hiểm họa khác đối với cơ sở hạ tầng CNTT khiến cho nhiều công ty lo ngại. Là người tư vấn về ATTT, bạn có thể dễ dàng lợi dụng sự lo ngại của các công ty như thế để thuyết phục họ phải chi nhiều tiền hơn so với mức cần thiết. Liệu có sai trái không, nếu bạn yêu cầu từ các công ty đó quá nhiều tiền cho mỗi giờ tư vấn, hay bạn coi đó là trường hợp “ra cái giá mà thị trường chấp nhận trả”?

Liệu có là sai trái không nếu bạn kê khai giá thiết bị, phần mềm cao hơn so với thực tế để kiếm lời? Còn việc nhận “lại quả” từ nhà sản xuất thiết bị thì sao? Liệu có là sai trái nếu bạn nhận “phần trăm” từ nhà sản xuất để thuyết phục khách hàng lựa chọn sản phẩm của họ? Có là sai trái nếu thúc đẩy người dùng sử dụng sản phẩm của hãng mà bạn có cổ phần?
Có một thực tế là bạn có thể triển khai, cấu hình các sản phẩm bảo vệ để một mạng máy tính trở nên an toàn hơn, nhưng bạn không bao giờ có thể làm cho nó tuyệt đối an toàn. Liệu có đúng không, nếu bạn thuyết phục khách hàng rằng, để giải quyết vấn đề an toàn của họ thì cần phải đổi toàn bộ firewall hiện tại sang dùng firewall của hãng khác, đổi hệ điều hành hiện tại sang hệ điều hành mã nguồn mở... bởi vì những sự thay đổi đó khiến thời gian làm việc của bạn tăng lên và bạn thu được nhiều tiền hơn?

Một tình huống khác: sẽ thế nào nếu khách hàng yêu cầu tiết kiệm chi phí bằng cách cắt giảm một số biện pháp bảo vệ mà bạn khuyến cáo, trong khi kết quả khảo sát của bạn về nhu cầu an toàn của khách hàng chỉ ra rằng, việc cắt giảm như thế sẽ khiến cho dữ liệu nhạy cảm của khách hàng sẽ không được bảo vệ ở mức cần thiết? Bạn đã cố gắng giải thích điều này với khách hàng nhưng không thành công. Liệu bạn có tiếp tục công việc và bỏ qua phần bị cắt giảm? Liệu bạn có thiết lập không công cho khách hàng các biện pháp bảo vệ bổ sung để nâng cao tính an toàn? Hay bạn sẽ từ chối, không nhận thực hiện công việc đó nữa? Và quyết định của bạn có khác đi không, nếu lĩnh vực hoạt động của khách hàng thuộc diện chịu sự kiểm soát của nhà nước và việc áp dụng mức bảo vệ thấp hơn tiêu chuẩn là một sự vi phạm pháp luật?

Kết luận

Bài báo này đã đặt ra nhiều câu hỏi, nhưng không có ý định đưa ra câu trả lời tương ứng. Bởi câu hỏi “Liệu có phù hợp đạo đức không” phải được trả lời bởi chính mỗi cá nhân, bởi từng người làm ATTT.

Khác với những nghề nghiệp có lịch sử lâu đời như nghề y, nghề luật,... hầu hết các vấn đề đạo đức mà người làm CNTT và ATTT gặp phải đều rất khó luật pháp hóa. Bên cạnh đó cũng chưa có một tổ chức uy tín nào tương tự như hiệp hội y tế, hiệp hội luật gia đề xuất được một bộ quy tắc đạo đức cụ thể.

Tuy vậy, vấn đề đạo đức nghề nghiệp trong lĩnh vực CNTT cần phải được quan tâm. Một số tổ chức như Hiệp hội Kỹ thuật tính toán của Mỹ (Association for Computing Machinery - ACM) đã xây dựng bộ quy tắc đạo đức nghề nghiệp của riêng mình. Những bộ quy tắc đạo đức đó có thể áp dụng, định hướng cho các cá nhân và tổ chức khác.[/size]

TS. Nguyễn Tuấn Anh (Theo "Ethical issues for IT security professionals" của Debra Littlejohn Shinder) - antoanthongtin.vn

Luật pháp Mỹ cản trở các nhà nghiên cứu về bảo mật

Các nhà nghiên cứu bảo mật tại Mỹ cho biết, công việc điều tra những lỗ hổng Internet của họ đang bị đe dọa bởi Đạo luật Lạm dụng và gian lận máy tính (CFAA). Tương lai của ngành công nghiệp bảo mật sẽ ra sao?

Một số nhà nghiên cứu bảo mật nổi tiếng nhất thế giới tuyên bố đã bị đe dọa bởi tòa án vì những nỗ lực tìm các lỗ hổng trong cơ sở hạ tầng Internet giúp cho môi trường mạng an toàn hơn. 

Nhiều người trong ngành công nghiệp bảo mật cũng bày tỏ mối quan tâm sâu sắc đến việc áp dụng Đạo luật Lạm dụng  và gian lận máy tính (CFAA) của Mỹ, khi chính quyền và giới luật sư đang cản trở bất kỳ ai có thiện ý muốn tìm kiếm các lỗ hổng trên Internet. Họ cho rằng đạo luật có những hình phạt quá nặng, quy định chung chung và không có ngoại lệ.

Luật pháp đang giết chết sự nghiệp các nhà nghiên cứu

Jeremiah Grossman, CEO công ty bảo mật mạng Whitehat Security cho rằng, việc triển khai mạnh mẽ Đạo luật này sẽ khiến các nhà nghiên cứu từ bỏ công việc tìm kiếm những lỗ hổng nghiêm trọng trên Internet, dẫn đến tình hình bảo mật chung càng trở nên phức tạp. 

H.D. Moore, giám đốc nghiên cứu của công ty tư vấn bảo mật Rapid7 trả lời phỏng vấn báo Guardian rằng, ông đã bị chính quyền cảnh cáo hồi năm ngoái về dự án mang tên Critical.IO. Công trình này bắt đầu từ năm 2012 nhằm ​​tìm kiếm các lỗ hổng phổ biến rộng rãi bằng cách sử dụng chương trình máy tính tự động để phát hiện ra những điểm yếu trên toàn bộ Internet. Họ đã tìm thấy một số lỗ hổng phổ biến rộng rãi mang tính chất rất nghiêm trọng, trong đó có một trường hợp được cho là khoảng 40-50 triệu máy tính kết nối mạng có thể đã bị xâm nhập do những yếu kém trong giao thức mạng Universal Plug and Play (UPnP). Mặc dù ông công khai minh bạch vai trò cũng như lý do nghiên cứu của mình, đồng thời không hề nêu ra tổ chức nào phải chịu trách nhiệm cho những sai sót, nhưng điều đó không cải thiện được tình hình trước con mắt của những nhà thực thi pháp luật. 

Năm 2013, chàng trai Aaron Swartz, người sáng lập mạng xã hội Reddit, đồng tác giả định dạng tập tin RSS phiên bản 1.0 đã tự tử vì những cáo buộc từ tòa án cho rằng anh ta dính dáng đến sự việc lén đăng tải 4 triệu tài liệu từ kho lưu trữ của tạp chí trực tuyến JSTOR. Sự việc sẽ không nghiêm trọng đến mức này nếu tòa án không đưa ra mức án quá nặng lên tới hàng trăm triệu USD và 35 năm tù giam. 

Luật pháp không khuyến khích các hoạt động nghiên cứu 

Moore nói: "Bạn cần người có thể đi sâu vào những chi tiết của hệ thống, người biết cách tận dụng những lợi thế của công nghệ như một tên tội phạm sẽ làm. Từ đó giúp mọi người hiểu các mối đe dọa, đồng thời hỗ trợ các nhà cung cấp sửa chữa chúng. Thật đáng tiếc tại thời điểm này, luật pháp không khuyến khích điều đó. Họ không phân biệt tội phạm với nhà nghiên cứu, cũng như không muốn giúp người dân biết về những rủi ro có thể gặp phải”.

Nhiều nhà nghiên cứu khác cũng gặp phải vấn đề tương tự. Zach Lanier, chuyên gia bảo mật của Duo Security cho biết, các nhóm nghiên cứu của ông đã đạt được nhiều kết quả tốt trước khi đạo luật CFAA được áp dụng suốt thập kỷ vừa qua. Sau khi tìm thấy lỗ hổng nghiêm trọng trong một "thiết bị nhúng trên thị trường dành cho trẻ em" và báo cáo với nhà sản xuất, ông đã nhận được những lời đe dọa từ các luật sư vì hành động đó. "Chúng tôi chỉ cố gắng hợp tác và muốn trao đổi với họ, nhưng thứ chúng tôi nhận được là cuộc gọi từ luật sư. Họ không hiểu hoặc không muốn hiểu những điều chúng tôi làm. Họ tuyên bố chúng tôi đã xâm nhập vào hệ thống của họ”. Nguy cơ có thể bị truy tố buộc Lanier và cộng sự từ bỏ công trình nghiên cứu đó.

Nỗ lực cải cách luật CFAA đang chìm dần. Các nhà nghiên cứu đã hy vọng trường hợp của Andrew Auernheimer sẽ đi tiên phong trong cuộc chiến này. Auernheimer từng bị luật CFAA kết án do đã phát tán thông tin có lỗ hổng trên trang web của AT&T có thể hack dữ liệu của người dùng Ipad. Tuy nhiên, Auernheimer kháng án thành công do đã thuyết phục được tòa án bởi vì các thẩm phán đã đồng ý với trường hợp riêng ở New Jersey, chứ không phải vì bất kỳ vấn đề gì thuộc về bản chất của CFAA.

Sau cái chết của Aaron, một dự luật mang tên anh cũng đã được đề xuất sửa đổi. Nhiều người vẫn hy vọng “dự luật Aaron” sẽ được thông qua nhằm giảm hình phạt hiện đang được áp dụng quá nặng.

Các nhà lập pháp muốn hình phạt nặng hơn đối với tin tặc 

Các nghị sĩ không đưa ra bất kỳ bình luận nào về “dự luật Aaron”. Quốc hội vẫn đang thảo luận về vấn đề này. Sau một số vi phạm nghiêm trọng như trường hợp hệ thống bán lẻ khổng lồ của Mỹ bị xâm nhập hay hành động gián điệp nhằm vào các tổ chức của Mỹ do chính quyền Trung Quốc tài trợ, nhiều người muốn hình phạt lớn hơn từ CFAA cho các hoạt động đó. 

Hiện nay, quy định của CFAA thực sự gây khó khăn trong việc kết án thế nào là bất hợp pháp. Ví dụ: những người cố tình truy cập một máy tính mà không được phép hoặc vượt quá thẩm quyền là vi phạm pháp luật nhưng họ lại không nói rõ thế nào là “không được phép” hay “vượt quá thẩm quyền”? Mọi thứ hầu như đều do tòa án tự quyết định.

Vì vậy, một mặt, với hành động xâm nhập nghiêm trọng, các thành viên Quốc hội cần đưa ra hình phạt cứng rắn hơn. Mặt khác, CFAA phải quy định rõ ràng những hành vi nào được cho là hợp pháp nên khuyến khích, hành vi nào vi phạm pháp luật cần phải trừng trị.

Ngoài ra, còn những mối lo ngại nếu CFAA điều chỉnh để có lợi cho ngành công nghiệp bảo mật, tin tặc sẽ lợi dụng những kẽ hở trong quy định về các hoạt động nghiên cứu. Cần phải có biện pháp xác định hoặc chứng minh thế nào là nghiên cứu phục vụ cộng đồng. Moore nói: “Cách bạn công bố những lỗ hổng được phát hiện như thế nào? Đó có phải là loại thông tin bạn được phép truy cập? Đây không phải là vấn đề dễ giải quyết, nhưng nó sẽ rất quan trọng và có ý nghĩa nếu các chuyên gia muốn bảo vệ chính mình”.