Luật an ninh mạng: Khoảng trống về điện toán đám mây

(Bài được đăng trên tạp chí Tia Sáng số 17 phát hành ngày 05/09/2018, các trang 8-10. Phiên bản điện tử của bài được phát hành ngày 09/09/2018 tại địa chỉ: http://www.tiasang.com.vn/-dien-dan/Luat-an-ninh-mang-Khoang-trong-ve-dien-toan-dam-may-12749)

Luật An Ninh Mạng (LANM) mới được Quốc hội thông qua vào ngày 12/06/2018. Nhưng để có thể thực hiện được những gì ghi trong luật, cần một cái nhìn thấu đáo và cẩn trọng hơn về mặt công nghệ trong các văn bản dưới luật.

Thuyết minh lần cuối về Dự luật LANM trước khi Quốc hội thông qua biểu quyết, tướng Võ Trọng Việt, Chủ nhiệm Ủy ban Quốc phòng và An ninh của Quốc hội khóa 14, đã nêu đại ý như sau: Hiện nay, Google và Facebook đang lưu giữ dữ liệu của cơ quan, tổ chức, cá nhân Việt Nam tại trung tâm dữ liệu đặt tại Hồng Kông và Singapore. Nếu quy định của luật này có hiệu lực thì các doanh nghiệp này phải dịch chuyển đám mây điện toán, đám mây ảo về Việt Nam để mở trung tâm dữ liệu tại Việt Nam. Và điều đó là hoàn toàn khả thi… Những gì ông Võ Trọng Việt nói ở trên, được ghi tại khoản 3, điều 26 trong LANM đã được phê duyệt.

Đúng là hiện nay, nhiều dịch vụ trên Internet được cung cấp là các dịch vụ điện toán đám mây (ĐTĐM). Để tìm hiểu về qui mô khả thi của điều 26 và ĐTĐM trước hết chúng ta cần tìm hiểu về kiến trúc của loại hình công nghệ này.

Google, Facebook chỉ là trường hợp đặc biệt

Thị trường mua-bán đám mây không đơn giản chỉ bao gồm nhà cung cấp và người sử dụng. Trong tài liệu ‘Kiến trúc tham chiếu điện toán đám mây của NIST’ do Viện Tiêu chuẩn và Công nghệ Quốc gia - NIST (National Institute of Standards and Technology) của nước Mỹ phát hành tháng 09/2011 đã đưa ra mô hình kiến trúc tham chiếu với ba lớp dịch vụ tương ứng với ba dạng nhà cung cấp dịch vụ ĐTĐM cùng với năm đối tượng tham gia hệ sinh thái ĐTĐM với các vai trò khác nhau.

Nhà cung cấp đám mây là một người hoặc một tổ chức giành quyền nắm và quản lý hạ tầng tính toán, các phần mềm và phân phối các dịch vụ trên đám mây cho những người sử dụng. Ba dạng nhà cung cấp bao gồm: (3) Phần mềm như một dịch vụ - SaaS (Software as a Service) theo đó, nhà cung cấp sẽ quản lý và kiểm soát các phần mềm và ứng dụng chạy trên đám mây. Chẳng hạn như các ứng dụng của Google như Google docs, Google drives…đều là ví dụ về SaaS (2) Nền tảng như một dịch vụ - PaaS (Platform as a Service) cung cấp nền tảng và môi trường cho phép các nhà phát triển phần mềm xây dựng các ứng dụng và dịch vụ trên internet. Google App Engine, bộ công cụ để các nhà lập trình tự xây dựng và phát triển các ứng dụng đám mây là một ví dụ của PaaS. Nhà cung cấp này có thể kiểm soát cả các ứng dụng, phần mềm trên đám mây và có thể một số môi trường đặt chỗ hosting, nhưng không có hoặc chỉ có quyền hạn chế truy cập tới hạ tầng mạng, các máy chủ, các hệ điều hành, hạ tầng lưu trữ (1) Hạ tầng như một dịch vụ - IaaS (Infrastructure as a Service) nhà cung cấp nắm quyền quản lý tài nguyên vật lý tính toán cho các phần mềm, bao gồm các máy chủ, các mạng, hạ tầng lưu trữ và đặt chỗ hosting.

Mô hình tham chiếu điện toán đám mây của NIST.

Tương tác giữa các tác nhân trong điện toán đám mây.

Hơn nữa, việc vận hành thị trường đám mây không chỉ có người sử dụng dịch vụ và nhà cung cấp dịch vụ đám mây, mà còn có tới ba đối tượng khác gồm Nhà kiểm toán (một bên tiến hành đánh giá độc lập về các dịch vụ đám mây, các hoạt động hệ thống thông tin, hiệu năng và an ninh của triển khai đám mây); Nhà môi giới (một tổ chức quản lý sử dụng, hiệu năng và phân phối các dịch vụ đám mây, và kết nối giữa các nhà cung cấp đám mây và những người sử dụng đám mây); và Nhà vận chuyển đám mây (tổ chức cung cấp kết nối và vận chuyển các dịch vụ đám mây từ nhà cung cấp đến người sử dụng).

Tất cả các tương tác có thể giữa 5 tác nhân trong điện toán đám mây.

Ông Võ Trọng Việt có nhắc đến trường hợp của Google, Facebook cần phải đặt máy chủ tại Việt Nam, nhưng đây là hai trường hợp cá biệt, là các tập đoàn với nguồn lực khổng lồ và sở hữu nhiều trung tâm dữ liệu, là đơn vị đủ khả năng cung cấp tất cả các loại hình dịch vụ đám mây mà không cần ký hợp đồng với bên thứ 3. Tuy nhiên, trên thực tế, việc mua bán các dịch vụ liên quan đến đám mây sẽ chồng chéo và đa phần sẽ phải thông qua các bên trung gian. Vấn đề là, các bên trung gian này không có chức năng thu thập hay xử lý dữ liệu được quy định trong điều 26 nhưng không thể đảm bảo rằng, họ không chứa các thông tin của người sử dụng một cách vô tình hay hữu ý và cũng rất khó có thể kiểm tra được điều này (ví dụ, nhà cung cấp đám mây điện toán phải sử dụng đường truyền của nhà vận chuyển đám mây, không ai chắc chắn là nhà vận chuyển này hoàn toàn không có thông tin của người sử dụng). Xét một ví dụ, người sử dụng dịch vụ không ký hợp đồng trực tiếp với nhà cung cấp đám mây mà kí thông qua nhà môi giới đám mây, thì trong trường hợp này rất cần LANM làm rõ xem ai, nhà môi giới đám mây hay tất cả các nhà cung cấp dịch vụ đám mây, sẽ phải đặt chi nhánh hoặc văn phòng đại diện ở Việt Nam. Điều này cũng tương tự như trường hợp thay nhà môi giới đám mây bằng nhà vận chuyển đám mây. Vì có tất cả năm tác nhân trong hệ sinh thái ĐTĐM, có nghĩa là từ góc độ của người sử dụng hoặc nhà cung cấp hay bất kỳ tác nhân nào khác, chúng ta đều nên tính tới tất cả các tình huống có thể xảy ra đối với các mối liên hệ giữa các tác nhân đó, cả trực tiếp lẫn gián tiếp, để đảm bảo LANM sẽ không bỏ sót bất kỳ trường hợp nào vì sự đơn giản hóa, như các trường hợp ví dụ được nêu ở trên.

Ngay cả giữa các nhà cung cấp dịch vụ ĐTĐM với nhau - bao gồm cả IaaS, PaaS và SaaS có mức độ tiếp cận và lưu trữ dữ liệu rất khác nhau và cũng sẽ có rất nhiều trường hợp “lai ghép”, chẳng hạn như người sử dụng dịch vụ ký hợp đồng với một nhà cung cấp SaaS, nhưng nhà cung cấp SaaS này lại ký hợp đồng với một nhà cung cấp SaaS khác (vì họ không có dịch vụ mà người sử dụng cần) hoặc sử dụng dịch vụ của một nhà cung cấp PaaS (điều này là đương nhiên). Vậy thì, các văn bản dưới LANM cũng cần làm rõ để hiểu liệu trong thực tế có các dạng kết hợp nào tồn tại giữa họ hay không, có thể quy về một đầu mối mà không gây ra sự bất tiện khó có khả năng tuân thủ cho các nhà cung cấp đó hay không?

Làm việc cộng tác xuyên biên giới qua mạng

Việc kiểm soát thông tin, dữ liệu trên mạng theo điều 26 nói trên sẽ ngày càng khó khăn hơn trong một thế giới mở. Ngày nay, nhiều công việc, bao gồm cả công việc nghiên cứu khoa học, đòi hỏi sự cộng tác làm việc của các cá nhân, tổ chức không chỉ ở một quốc gia, mà trên phạm vi toàn cầu. Hơn nữa, công việc của họ nhiều khi được thực hiện qua nhiều chứ không phải chỉ một ứng dụng, dịch vụ trên điện toán đám mây. Thông qua công việc nghiên cứu như vậy, chắc chắn các nhà khoa học Việt Nam cũng sẽ tạo ra các thông tin, nội dung và/hoặc dữ liệu bên trong các ứng dụng - dịch vụ có khả năng nằm trong các máy chủ khác nhau nằm rải rác trên toàn cầu. Liệu chúng ta có phải yêu cầu mỗi nhà khoa học tạo ra dữ liệu phải có một máy chủ đặt ở Việt Nam? Và ngay cả yêu cầu như vậy, làm sao chúng ta kiểm soát được các dữ liệu họ trao đổi với đồng nghiệp nằm trong máy chủ khác trên toàn thế giới?

Điều 23, Khoản 3 của LANM có liên quan tới các tình huống khác nhau khi mọi người làm việc trong thực tế hàng ngày hiện nay với các ứng dụng - dịch vụ dựa vào web trên trực tuyến và/hoặc công nghệ ĐTĐM. Giả sử, trong trường hợp có sự vi phạm và phải xóa thông tin - dữ liệu theo LANM quy định, và giả sử, công ty/hãng nước ngoài đặt chi nhánh hoặc văn phòng đại diện của họ ở Việt Nam cũng đã xóa đi các bản ghi trên tất cả các máy tính họ quản lý, làm thế nào để các nhà quản lý chắc chắn được sẽ không còn bản sao nào tồn tại trên Internet nữa? Khi này, ai sẽ là người phải chịu trách nhiệm pháp lý theo LANM?

Điều 26, Khoản 3 của LANM hiện hành có lẽ áp dụng được trong một vài trường hợp với những điều kiện cụ thể nhất định, nhưng không chắc áp dụng được với đa số các trường hợp khác của ĐTĐM và làm việc cộng tác có sử dụng các ứng dụng - dịch vụ dựa vào web trên trực tuyến. Vì vậy, rất cần được nghiên cứu kỹ lưỡng tất cả các trường hợp có khả năng xảy ra trong đời sống thực khi làm việc với các công nghệ như được nêu ở đây trong giai đoạn xây dựng các văn bản dưới luật, tránh việc luật hóa chỉ dựa vào vài trường hợp cụ thể, không đủ đại diện cho đa số lớn các trường hợp khác có liên quan, để khi đưa LANM vào cuộc sống sẽ không cản trở dòng chảy thông tin - dữ liệu, làm khó cho các doanh nghiệp và các thành phần khác làm ăn chính đáng trong kỷ nguyên số và hội nhập toàn cầu.

Giấy phép nội dung: CC BY 4.0 Quốc tế.

———-

Lê Trung Nghĩa

PS: Nội dung bài trên Blog được chỉnh sửa một chút so với nội dung trên Tia Sáng Online.