Vương quốc Anh xây dựng luật mới nhằm nâng cấp các biện pháp bảo vệ mạng đối với dịch vụ thiết yếu
Dự luật An ninh mạng và khả năng chống chịu (Cyber Security and Resilience Bill) đặt mục tiêu củng cố an ninh quốc gia và bảo vệ tăng trưởng kinh tế.
Chính phủ Anh vừa đề xuất một loạt quy định mới nhằm tăng cường khả năng phòng vệ trước các cuộc tấn công mạng nhắm vào các dịch vụ công thiết yếu như y tế, cung cấp nước sinh hoạt, giao thông và năng lượng.
Dự luật được trình lên Quốc hội, mở đường cho việc bảo vệ tốt hơn các bệnh viện, hệ thống năng lượng, nguồn nước và mạng lưới giao thông trước các nguy cơ mạng ngày càng gia tăng.
Luật mới siết chặt tiêu chuẩn an ninh cho các dịch vụ công và nhà cung cấp công nghệ thông tin trọng yếu
Nằm trong khuôn khổ Kế hoạch thay đổi (Plan for Change), Dự luật An ninh mạng và khả năng chống chịu (Cyber Security and Resilience Bill) đặt mục tiêu củng cố an ninh quốc gia và bảo vệ tăng trưởng kinh tế thông qua việc nâng cấp các biện pháp bảo vệ mạng đối với những dịch vụ thiết yếu mà người dân và doanh nghiệp sử dụng hàng ngày.
Trong bối cảnh các mối đe dọa mạng gia tăng nhanh chóng, dự luật nhằm ngăn chặn gián đoạn, đảm bảo nước sạch không bị ngừng cấp, điện không bị cắt và hệ thống giao thông vẫn vận hành bình thường, đồng thời buộc các nhà cung cấp dịch vụ trọng yếu phải tuân thủ những tiêu chuẩn bảo mật cao hơn.
Theo đề xuất, luật mới sẽ điều chỉnh các dịch vụ số và dịch vụ thiết yếu trong các lĩnh vực như y tế, giao thông, năng lượng và nước sạch. Một thay đổi đáng chú ý là lần đầu tiên các công ty quy mô vừa và lớn cung cấp dịch vụ công nghệ thông tin như quản lý hệ thống, hỗ trợ kỹ thuật hay an ninh mạng cho các tổ chức công và tư, bao gồm dịch vụ y tế quốc gia (NHS), sẽ nằm trong phạm vi điều chỉnh.
Những doanh nghiệp này nắm quyền truy cập vào hệ thống của chính phủ, cơ sở hạ tầng trọng yếu và mạng lưới doanh nghiệp, do đó sẽ phải đáp ứng những nghĩa vụ bảo mật rõ ràng, như báo cáo nhanh chóng các sự cố mạng nghiêm trọng hoặc có khả năng nghiêm trọng cho chính phủ và khách hàng, đồng thời xây dựng kế hoạch ứng phó mạnh mẽ.
Dự luật cũng trao cho cơ quan quản lý quyền chỉ định các nhà cung cấp có vai trò then chốt trong chuỗi cung ứng của các dịch vụ thiết yếu của Vương quốc Anh, chẳng hạn như nhà cung cấp dịch vụ chẩn đoán y tế cho NHS hoặc các công ty cung cấp hóa chất cho hệ thống cấp nước.
Khi được chỉ định, họ sẽ phải tuân thủ các yêu cầu an ninh tối thiểu nhằm khắc phục các lỗ hổng trong chuỗi cung ứng mà tội phạm mạng có thể khai thác để gây gián đoạn trên diện rộng.
Bên cạnh đó, cơ chế thực thi sẽ được hiện đại hóa, bao gồm các mức phạt nghiêm khắc tính theo tỷ lệ doanh thu đối với những vi phạm nghiêm trọng. Chính phủ nhấn mạnh rằng, việc cắt giảm chi phí và xem nhẹ bảo mật sẽ không còn rẻ hơn việc tuân thủ đúng quy định, bởi các công ty cung cấp dịch vụ công phải có trách nhiệm đầu tư vào các biện pháp bảo vệ phù hợp để duy trì hoạt động ổn định.
Dự luật trao cho Bộ trưởng Công nghệ quyền chỉ đạo các cơ quan quản lý và tổ chức chịu sự giám sát như NHS Trusts hay Thames Water áp dụng các biện pháp cần thiết và tương xứng nhằm ngăn chặn nguy cơ tấn công mạng khi xuất hiện mối đe dọa đối với an ninh quốc gia.
Điều này có thể bao gồm yêu cầu tăng cường giám sát hệ thống hoặc cô lập các thành phần có rủi ro cao để bảo vệ các dịch vụ thiết yếu.
Chính phủ Anh cảnh báo rằng, các lĩnh vực này, nếu bị tấn công, có thể gây ra hậu quả nghiêm trọng cho nền kinh tế và đời sống công cộng. Văn phòng Trách nhiệm ngân sách (OBR) ước tính một cuộc tấn công mạng vào cơ sở hạ tầng trọng yếu có thể khiến chi phí vay mượn của nước Anh tăng tạm thời hơn 30 tỷ bảng Anh - tương đương 1,1% GDP.
Nghiên cứu độc lập mới công bố cho thấy, chi phí trung bình của một cuộc tấn công mạng nghiêm trọng tại Anh hiện vượt 190.000 bảng, tương đương khoảng 14,7 tỷ bảng mỗi năm trên toàn nền kinh tế - tương đương 0,5% GDP.
Bộ trưởng Khoa học, Đổi mới và Công nghệ Liz Kendall nhấn mạnh: An ninh mạng chính là an ninh quốc gia. Luật mới sẽ giúp chúng ta đối diện những kẻ muốn phá hoại cuộc sống của người dân. Tôi muốn gửi đi thông điệp rõ ràng: Vương quốc Anh không phải là mục tiêu dễ dàng.
Giám đốc Trung tâm An ninh mạng Quốc gia (NCSC), TS. Richard Horne, nhận định: Tác động thực tế của các cuộc tấn công mạng chưa bao giờ rõ ràng như những tháng gần đây. NCSC tiếp tục làm việc 24/7 để hỗ trợ các tổ chức trước các mối đe dọa ngày càng tăng. An ninh mạng là trách nhiệm chung và là nền tảng của thịnh vượng. Vì vậy, chúng tôi kêu gọi mọi tổ chức, dù lớn hay nhỏ, hãy làm theo hướng dẫn tại ncsc.gov.uk và hành động với mức độ khẩn cấp mà rủi ro đòi hỏi.
Nỗ lực bảo vệ hạ tầng thiết yếu trước nguy cơ tấn công mạng quy mô lớn
Đầu năm nay, Chính phủ Anh đã công bố Bộ quy tắc thực hành quản trị an ninh mạng (Cyber Governance Code of Practice), đưa ra các bước rõ ràng mà các tổ chức cần thực hiện để quản lý rủi ro số và bảo đảm hoạt động hàng ngày được an toàn.
Dù trách nhiệm chính thuộc về doanh nghiệp trong việc triển khai các biện pháp bảo mật phù hợp, dự luật mới tập trung vào những đối tượng có khả năng tạo ra tác động lớn nhất đối với việc nâng cao khả năng chống chịu mạng.
Bằng cách đưa các dịch vụ mà nhà bán lẻ, bệnh viện, chính quyền địa phương và nhiều cơ quan khác đang phụ thuộc vào phạm vi điều chỉnh, dự luật sẽ nâng chuẩn an ninh và giúp bảo vệ hàng nghìn doanh nghiệp trong dài hạn.
Những cuộc tấn công mạng gần đây nhằm vào các nhà cung cấp dịch vụ quản lý (managed service providers) cho thấy, sự cần thiết của các quy định mới.
Năm 2024, tin tặc đã xâm nhập hệ thống quản lý bảng lương của Bộ Quốc phòng Anh thông qua một nhà cung cấp dịch vụ công nghệ thông tin.
Một sự cố nghiêm trọng khác, vụ tấn công Synnovis trong NHS, đã dẫn đến hơn 11.000 cuộc hẹn khám và thủ thuật y tế bị gián đoạn, với chi phí thiệt hại ước tính lên tới 32,7 triệu bảng.
Những vụ việc này nhấn mạnh tác động trực tiếp mà các sự cố mạng có thể gây ra đối với người dân và các dịch vụ công thiết yếu.
Theo quy định mới, các tổ chức thuộc phạm vi điều chỉnh sẽ phải báo cáo những sự cố mạng có ảnh hưởng nghiêm trọng cho cơ quan quản lý và Trung tâm An ninh mạng Quốc gia (NCSC) trong vòng 24 giờ, đồng thời nộp báo cáo đầy đủ trong vòng 72 giờ.
Cơ chế này nhằm bảo đảm hỗ trợ kịp thời, giúp chính phủ nhanh chóng xây dựng bức tranh tổng thể hơn về các mối đe dọa trên toàn quốc. Nếu trung tâm dữ liệu hoặc các nhà cung cấp dịch vụ số và dịch vụ quản lý công nghệ thông tin đối mặt với một cuộc tấn công nghiêm trọng hoặc tiềm ẩn nguy cơ nghiêm trọng, họ sẽ phải thông báo nhanh chóng cho các khách hàng bị ảnh hưởng để các tổ chức kịp thời triển khai biện pháp bảo vệ dữ liệu, nhân sự và hoạt động của mình.
Các trung tâm dữ liệu đóng vai trò huyết mạch đối với hoạt động của nước Anh, từ lưu trữ hồ sơ bệnh nhân, xử lý thanh toán đến vận hành email và phát triển AI. Dự luật sẽ đưa các trung tâm dữ liệu vào phạm vi điều chỉnh nhằm bảo đảm họ đáp ứng các tiêu chuẩn an ninh mạng nghiêm ngặt.
Ngoài ra, các biện pháp bảo vệ mới cũng áp dụng cho những tổ chức quản lý dòng điện tới các thiết bị thông minh như trạm sạc xe điện hay hệ thống sưởi điện gia đình. Quy định này giúp giảm nguy cơ gián đoạn đối với người dùng thiết bị năng lượng thông minh và giảm rủi ro đối với lưới điện, đồng thời củng cố an ninh năng lượng quốc gia.
Động thái này được đưa ra sau bức thư của các bộ trưởng, bao gồm Bộ trưởng Công nghệ, Bộ trưởng Tài chính và Bộ trưởng Kinh doanh, gửi đến các nhà lãnh đạo doanh nghiệp và các công ty FTSE 350 (350 công ty có giá trị vốn hóa lớn nhất đang niêm yết trên Sở Giao dịch Chứng khoán London), kêu gọi họ tăng cường phòng thủ mạng để đối phó với các mối nguy hiểm đang gia tăng nhằm vào các tổ chức hàng đầu của Anh.
Các tổ chức có thể tận dụng bộ công cụ và hướng dẫn miễn phí của NCSC, bao gồm Cyber Essentials, Active Cyber Defence và Cyber Assessment Framework dành cho các tổ chức trọng yếu để nâng cao khả năng chống chịu trước các mối đe dọa mạng./.
