Là một quốc gia nhỏ thuộc Bắc Âu với dân số khoảng 1,3 triệu người, nhưng Estonia đang là một trong những quốc gia hàng đầu về ứng dụng chính phủ điện tử và bảo đảm an ninh mạng. Một trong những lý do để có được tầm ảnh hưởng lớn ở Châu Âu và cả thế giới trong lĩnh vực an ninh mạng là do Estonia luôn có chiến lược ninh mạng (Cyber Security Strategy) quốc gia cho từng giai đoạn cụ thể. Bài báo này giới thiệu Các nguyên tắc và Các mục tiêu của Chiến lược an ninh mạng Estonia giai đoạn 2014 – 2017.

Chiến lược an ninh mạng 2014 - 2017 là tài liệu cơ bản để hoạch định an ninh mạng của Estonia và là một phần của chiến lược an ninh biên giới. Với mục tiêu là tăng khả năng an ninh mạng và nâng cao nhận thức của người dân về các mối đe dọa từ không gian mạng, từ đó bảo đảm cho sự tiếp tục tin tưởng vào không gian mạng, Chiến lược đã đánh giá những phát triển quan trọng gần đây, các mối đe dọa đối với an ninh mạng của Estonia và đưa ra các biện pháp để quản lý các mối đe dọa. Chiến lược này tiếp tục thực hiện một số mục tiêu đã được đề cập trong Chiến lược an ninh mạng 2008 - 2013, trong đó có sự bổ sung thêm các nội dung về mối đe dọa và yêu cầu mới không được đề cập trong chiến lược trước đó.

Các nguyên tắc và mục tiêu của Chiến lược an ninh mạng giai đoạn 2014 - 2017 được xây dựng trên cơ sở xác định các thách thức trong việc đảm bảo an toàn cho các dịch vụ quan trọng, tăng cường hiệu quả hoạt động chống tội phạm mạng và nâng cao khả năng phòng thủ quốc gia. Bên cạnh đó là các hoạt động bổ trợ cần thiết bao gồm: định hình khung pháp lý, thúc đẩy truyền thông và hợp tác quốc tế, nâng cao nhận thức và đào tạo chuyên gia cũng như phát triển các giải pháp kỹ thuật, cụ thể gồm:

Đảo bảo an toàn cho các dịch vụ quan trọng (vital services): Trong trường hợp Nhà nước Estonia không thể giám sát hiệu quả các dịch vụ hay một phần dịch vụ quan trọng, thì chúng phải được nhận biết và ứng phó kịp thời, các giải pháp thay thế phải được nghiên cứu, phát triển để sẵn sàng hoạt động. Việc bảo vệ dữ liệu và hệ thống thông tin quan trọng phải được đảm bảo trong cả khu vực công và tư nhân.

Tội phạm mạng (cybercrime) làm suy yếu chức năng của nền kinh tế, làm giảm niềm tin vào các dịch vụ kỹ thuật số và nhiều tính huống xấu có thể xẩy ra: Cần có đội ngũ đủ năng lực với các công cụ kỹ thuật hiện đại để đảm bảo phòng ngừa, phát hiện và truy tố tội phạm mạng; Tăng cường trao đổi thông tin giữa các quốc gia trong cuộc chiến chống tội phạm mạng.

Đảm bảo khả năng bảo vệ tổ quốc trên không gian mạng: Tổng hợp các nguồn lực dân sự và quân sự là một phần trong kế hoạch phòng thủ quốc gia, dưới sự chỉ đạo của cấp có thẩm quyền và phù hợp với thông lệ quốc tế.

Xác định và ngăn chặn các mối đe dọa bảo mật trong tương lai (future security threats): Cần liên tục đầu tư phát triển khoa học và công nghệ liên quan đến an ninh mạng. Quan tâm đến việc đầu tư mua sắm, sản xuất, xuất khẩu các giải pháp kỹ thuật đáng tin cậy, thu hút các nguồn lực và phải được tái đầu tư vào các giải pháp sáng tạo.

Các hoạt động hỗ trợ cần thiết: Xây dựng khung pháp lý hiện đại để đảm bảo cho các giải pháp hoàn chỉnh tương ứng với các thách thức đã nêu ở trên. Ở cấp độ quốc tế, Estonia thể hiện vai trò trung tâm trong việc xây dựng một không gian mạng tự do và an toàn cũng như việc hướng dẫn và phát triển chính sách an ninh mạng quốc tế.

Các nguyên tắc bảo đảm an ninh mạng

Có 8 nguyên tắc đảm bảo an ninh mạng:

a) An ninh mạng là một phần không thể thiếu của an ninh quốc gia, nó hỗ trợ cho hoạt động của nhà nước và xã hội, cho sự đổi mới và khả năng cạnh tranh của nền kinh tế.

b) An ninh mạng được đảm bảo bằng cách tôn trọng các quyền và tự do cơ bản như bảo vệ quyền tự do cá nhân, thông tin cá nhân và danh tính.

c) An ninh mạng được đảm bảo trên cơ sở nguyên tắc cân đối trong khi xem xét các rủi ro và tài nguyên hiện có và tiềm ẩn.

d) An ninh mạng được đảm bảo trong sự phối hợp giữa các cộng đồng thông qua sự hợp tác giữa các khu vực công, tư và các bên thứ ba, có tính đến sự kết nối và phụ thuộc lẫn nhau của cơ sở hạ tầng và dịch vụ hiện có trong không gian mạng.

e) An ninh mạng phải được xác định ngay từ việc sử dụng an toàn các công cụ công nghệ thông tin và truyền thông của người dùng.

f) Ưu tiên hàng đầu trong việc đảm bảo an ninh mạng là dự đoán cũng như ngăn chặn các mối đe dọa tiềm ẩn và ứng phó hiệu quả với các mối đe dọa đã xuất hiện.

g) An ninh mạng được hỗ trợ bởi các hoạt động nghiên cứu và phát triển ở mức chuyên sâu và tầm quốc tế.

h) An ninh mạng được đảm bảo thông qua hợp tác quốc tế với các đồng minh và đối tác. Thông qua hợp tác, Estonia thúc đẩy an ninh mạng toàn cầu và nâng cao năng lực của chính mình.

Các mục tiêu cụ thể

1. Đảm bảo an toàn các dịch vụ quan trọng trên hệ thống thông tin

Hoạt động của nhà nước và xã hội Estonia, sự thịnh vượng kinh tế và xã hội, chất lượng cuộc sống và sức khỏe của người dân, ngày càng phụ thuộc vào sự an toàn của các hệ thống và dịch vụ. Một trong những mục tiêu chính của chiến lược là đưa ra các phương pháp đảm bảo hoạt động của các dịch vụ quan trọng không bị gián đoạn, có khả năng phục hồi và bảo vệ hạ tầng thông tin quan trọng chống lại các mối đe dọa trên mạng.

- Đảm bảo các giải pháp thay thế cho các dịch vụ quan trọng: Các quốc gia phụ thuộc vào hạ tầng CNTT và dịch vụ điện tử liên tục được cập nhật, sắp xếp và quản lý. Trong đó bao gồm một hệ thống các giải pháp thay thế sẵn sàng được sử dụng trong trường hợp hoạt động của hạ tầng và dịch vụ điện tử bị gián đoạn.

- Quản lý phụ thuộc chéo giữa các dịch vụ quan trọng: Luôn cập nhật sơ đồ về sự phụ thuộc chéo giữa các dịch vụ quan trọng, việc đánh giá mức độ ảnh hưởng của sự phụ thuộc chéo vào hoạt động của dịch vụ được tiến hành kịp thời và các rủi ro liên quan được đưa ra một cách có hệ thống. Cập nhật thông tin về quan hệ giữa các dịch vụ quan trọng từ bên ngoài Cộng hòa Estonia. Mức độ ảnh hưởng của chúng đối với hoạt động của dịch vụ được đánh giá kịp thời và các rủi ro liên quan được xử lý một cách có hệ thống.

- Đảm bảo an ninh cho hạ tầng và dịch vụ CNTT: Hạ tầng công nghệ thông tin và truyền thông được bảo vệ khỏi các mối đe dọa mới. Dữ liệu quan trọng được lưu giữ và xử lý trong các trung tâm có độ an toàn cao và cũng có thể được lưu trữ an toàn ở nước ngoài.

- Quản lý các mối đe dọa trên mạng cho cả khu vực công và tư nhân: Các rủi ro luôn được đánh giá và đo lường bởi đội ngũ nhân viên có trình độ phù hợp. Các khu vực chưa được giải quyết đầy đủ sẽ được lên kế hoạch và đưa ra chương trình đặc biệt tương ứng.

- Thiết lập hệ thống giám sát quốc gia về an ninh mạng: Áp dụng kỹ thuật giám sát, phân tích và báo cáo toàn diện để xác định và phản ứng kịp thời với các mối đe dọa trên mạng gây nguy hiểm cho nhà nước, xã hội và cá nhân.

- Đảm bảo tính liên tục cho các hoạt động nhà nước: Các dịch vụ điện tử, quy trình và hệ thống thông tin của nhà nước rất cần được cập nhật và lên kế hoạch liên tục và luôn có các lựa chọn thay thế và sao lưu.

- Thúc đẩy hợp tác quốc tế trong việc bảo vệ hạ tầng thông tin quan trọng: tham gia vào các tổ chức quốc tế, khai thác lợi thế của các đối tác và đồng minh.

2. Tăng cường cuộc chiến chống lại tội phạm mạng

Thiệt hại kinh tế xuất phát từ tội phạm mạng làm giảm niềm tin vào các dịch vụ kỹ thuật số và trong trường hợp xấu nhất có thể dẫn đến hệ thống CNTT bị vô hiệu hoá. Nâng cao nhận thức cho toàn thể cộng đồng về rủi ro an ninh mạng giúp ngăn ngừa tội phạm mạng, xây dựng các bài giảng về chủ đề an ninh mạng cho tất cả các cấp giáo dục, dựa trên các nghiên cứu và phân tích các hành vi an toàn.

- Tăng cường phát hiện tội phạm mạng: nâng cao hiệu quả phát hiện, truy tố tội phạm mạng, tăng số lượng nhân viên xử lý tội phạm mạng, tăng cường năng lực cho các cơ quan tiến hành tố tụng, hợp tác với các trường đại học và trung tâm quốc tế có uy tín.

- Nâng cao nhận thức cộng đồng về các rủi ro không gian mạng: cung cấp kiến thức cần thiết để xác định, ứng phó, ngăn chặn các mối đe doạ trên không gian mạng. Người dùng dịch vụ điện tử được giới thiệu, hướng dẫn sử dụng các giải pháp an toàn nhất và các công nghệ mới nhất.

- Thúc đẩy hợp tác quốc tế chống tội phạm mạng: hiệu quả và kịp thời trong trao đổi thông tin giữa các quốc gia và truy tố tội phạm mạng quốc tế.

3. Phát triển khả năng phòng thủ không gian mạng quốc gia

Sự phối hợp quân sự, dân sự và quốc tế dựa trên các nguồn lực của nhà nước phải triển khai đầy đủ trong không gian mạng - liên quan đến cảnh báo, răn đe và phòng thủ tích cực.

- Đồng bộ hóa kế hoạch quân sự và chuẩn bị cho các trường hợp khẩn cấp dân sự: Phòng thủ quốc gia trên diện rộng đòi hỏi các kế hoạch hoạt động liên tục của các nhà cung cấp dịch vụ mạng quan trọng phải được phối hợp với các kịch bản đe dọa quốc phòng.

- Phát triển tương tác quốc phòng trên không gian mạng và hợp tác quốc tế: Để đảm bảo phòng thủ liên minh trong môi trường quốc tế, trao đổi thông tin và tăng cường hợp tác với các không gian mạng của NATO, Liên minh châu Âu và các đối tác khác. Nỗ lực nâng cao khả năng an ninh mạng chung của NATO trong việc phát triển năng lực, được chuẩn hoá và có đào tạo.

- Phát triển khả năng phòng thủ không gian mạng: Sự phát triển của năng lực phòng thủ không gian mạng quân sự (military cyber defence capabilities) là kết quả của việc đưa phòng thủ không gian mạng thành một phần của phòng thủ tổng thể quốc gia. Trong đó có sự tham gia của đội ngũ cán bộ chuyên nghiệp trong Lực lượng Quốc phòng và liên minh quốc phòng Estonia (Estonian Defense League) cũng như các chuyên gia từ khu vực công và tư nhân khác.

- Đảm bảo mức độ nhận thức cao về vai trò của an ninh mạng trong quốc phòng: Tăng cường đào tạo để nâng cao mức độ nhận thức về rủi ro an ninh mạng trong lĩnh vực quốc phòng và với các lĩnh vực quân sự khác liên quan.

4. Kiểm soát các mối đe dọa an ninh mạng đang phát triển

Để duy trì và nâng cao khả năng bảo mật không gian mạng, Estonia áp dụng nhiều giải pháp an ninh mạng độc lập, tăng cường hỗ trợ cho đào tạo, nghiên cứu, phát triển và khởi nghiệp về an ninh mạng. Nhà nước đóng vai trò là nhà thầu thông minh (smart contractor) để hỗ trợ xuất khẩu các giải pháp an ninh mạng nhằm tăng tính tin cậy và sự ổn định của các giải pháp.

- Đảm bảo có các chuyên gia an ninh mạng cho tương lai: Thiết lập, bổ sung cơ hội cho các hoạt động giáo dục, cả dưới hình thức giáo dục đại học cũng như các hình thức đào tạo dịch vụ. Tăng số lượng học viên được đào tạo lấy bằng Thạc sĩ và Tiến sĩ về an ninh mạng và ưu tiên các cán bộ hướng dẫn tốt nghiệp là các chuyên gia, giảng viên nước ngoài.

- Phát triển hợp đồng thông minh cho các giải pháp an ninh mạng: Nhà nước sẽ đóng góp, đầu tư cho nghiên cứu và phát triển khoa học - công nghệ liên quan đến an ninh mạng. Thành lập một ban giám sát để củng cố và điều phối các hoạt động liên quan đến các lĩnh vực quốc phòng, an ninh, phát triển kinh tế và giáo dục, đào tạo.

- Hỗ trợ phát triển các doanh nghiệp cung cấp giải pháp an ninh mạng và an ninh mạng quốc gia: Để hỗ trợ tính bền vững của các giải pháp an toàn trên không gian mạng, nhà nước sẽ thúc đẩy và hỗ trợ xuất khẩu các giải pháp an ninh mạng và tăng cường sử dụng các giải pháp này ở cấp quốc tế.

- Ngăn ngừa rủi ro bảo mật trong các giải pháp mới: Triển khai các nghiên cứu và đánh giá chuyên sâu về rủi ro công nghệ liên quan đến việc phát triển và triển khai các công nghệ mới để ứng phó với các sự cố mạng quy mô lớn. Nâng cao kiến thức và nhận thức về các rủi ro để tận dụng các lợi thế của công nghệ thông tin và truyền thông trong việc phát triển nhà nước, xã hội và nền kinh tế.

5. Phát triển các hoạt động liên ngành

Cải thiện các khả năng cần thiết để chống lại các mối đe dọa trên mạng. Điều chỉnh khung pháp lý và phát triển chính sách đối ngoại để bảo vệ các dịch vụ quan trọng, trấn áp với tội phạm mạng, cũng như tổ chức lực lượng quốc phòng trong không gian mạng.

- Hoàn thiện khung pháp lý hỗ trợ an ninh mạng: Cập nhật khung pháp lý liên quan đến an ninh mạng để hỗ trợ triển khai các biện pháp an ninh mạng đảm bảo không gian mạng an toàn hơn.

- Thúc đẩy chính sách an ninh mạng quốc tế: giới thiệu và bảo vệ vai trò, quan điểm về chính sách an ninh mạng ngoài nước của Estonia trong các tổ chức quốc tế. Nâng cao nhận thức về việc áp dụng các quy tắc pháp lý quốc tế, xây dựng lòng tin về không gian mạng, đặc biệt là bảo vệ các quyền tự do cơ bản.

- Hợp tác chặt chẽ hơn với các đồng minh và đối tác: Tăng cường quan hệ với các đồng minh và đối tác, đặc biệt là với các nước láng giềng và các nước cùng quan điểm, chia sẻ bí quyết và kinh nghiệm liên quan đến an ninh mạng.

- Nâng cao năng lực của Liên minh châu Âu: Thúc đẩy các hoạt động an ninh mạng và các chính sách của Liên minh châu Âu để nâng cao khả năng của các quốc gia thành viên và cải thiện khả năng sẵn sàng và khả năng đối phó với các mối đe dọa mới trên không gian mạng.

Kết luận

Được sự quan tâm trực tiếp của Tổng thống Toomas Hendrik Ilves, người đã được Boston Global Forum vinh danh là Nhà lãnh đạo thế giới về an ninh mạng (World Leader in Cybersecurity Award) tại trường đại học Harvard năm 2017, từ năm 2008, Estonia luôn có chiến lược an ninh mạng rất cụ thể và đúng đắn. Trong giai đoạn 2009 đến 2013, với nhiều tổ chức về an ninh mạng trong chính phủ Estonia đã được thành lập và lượng kinh phí sử dụng khoảng 16 triệu EUR, chiến lược an ninh mạng 2014 – 2017 đã tạo nên những thay đổi vượt bậc trong đảm bảo an ninh mạng quốc gia, tạo tiền đề cho sự hình thành Lực lượng tác chiến không gian mạng (Cyber Command) Estonia vào cuối năm 2018 và tiếp tục khẳng định vai trò trung tâm về an ninh mạng của Châu Âu và thế giới.