IT làm phần mềm thuộc tốp nghề "hot", mức lương cao hơn lĩnh vực khác

Văn bản ý kiến đối với Điều 292 - “Tội cung cấp dịch vụ trái phép trên mạng máy tính, mạng viễn thông” của Bộ luật Hình sự (BLHS) năm 2015 của Phòng Thương mại và Công nghiệp Việt Nam (VCCI) dài 10 trang được Chủ tịch VCCI Vũ Tiến Lộc ký gửi tới Ủy ban Thường vụ Quốc hội ngày 8/8/2016 để phục vụ cho quá trình rà soát, sửa đổi BLHS sự số 100/2015/QH13.

Điều 292 phân biệt đối xử giữa DN trong và ngoài nước

Chủ tịch VCCI Vũ Tiến Lộc cũng cho biết, văn bản kiến nghị điều chỉnh các nội dung có liên quan đến Điều 292 trong BLHS vừa được gửi tới Ủy ban Thường vụ Quốc hội đã được đơn vị tham vấn ý kiến các doanh nghiệp, hiệp hội doanh nghiệp và chuyên gia có liên quan.

Cụ  thể, VCCI chính thức kiến nghị bãi bỏ Điều 292 BLHS và phi hình sự hóa các hành vi cung cấp dịch vụ không có/không đúng giấy phép đối với (1) Sàn giao dịch thương mại điện tử; (2) Trò chơi điện tử trên mạng; (3) Trung gian thanh toán; (4) Các dịch vụ khác bao gồm trang thông tin điện tử, mạng xã hội, dịch vụ nội dung trên mạng viễn thông.

VCCI nhận định, Điều 292 BLHS 2015 tác động rất lớn đến việc kinh doanh các dịch vụ trên mạng tại Việt Nam hiện nay, bởi điều luật này đã hình sự hóa nhiều hành vi vốn chỉ nên xử lý hành chính. Ví dụ như, cung cấp trò chơi điện tử trên mạng mà không có giấy phép. Thực tế, điều luật này không phù hợp với cách thức kinh doanh trong lĩnh vực thông tin, đặc biệt là các dịch vụ mới, các start-ups.

Đặc biệt, với điểm e Khoản 1 Điều 292 quy định “Các loại dịch vụ khác trên mạng máy tính, mạng viễn thông theo quy định của pháp luật” - điểm khiến cộng đồng doanh nghiệp CNTT, nhất là các start-ups lo lắng, bức xúc hơn cả, VCCI  phân tích, hiện nay có 3 dạng dịch vụ trên mạng máy tính, mạng viễn thông phải xin phép/đăng ký bao gồm: Trang thông tin điện tử tổng hợp (không có phát hành tin mới), nếu phát hành tin thì gọi là báo điện tử và quản lý theo pháp luật báo chí; Mạng xã hội, gồm cả diễn đàn hoặc bất kể các website, ứng dụng nào có chức năng trao đổi, tương tác giữa người dùng với nhau, lưu ý nếu website thương mại điện tử, trò chơi điện tử trên mạng cho phép các thành viên trao đổi với nhau thì cũng được coi là mạng xã hội và phải xin Giấy phép mạng xã hội; cung cấp dịch vụ nội dung trên mạng viễn thông (nhắn tin đầu số). Trong đó, trang thông tin điện tử tổng hợp và mạng xã hội thì phải có Giấy phép, còn cung cấp dịch vụ nội dung trên mạng thì phải đăng ký. Mức phạt cho các hành vi cung cấp các dịch vụ trên không có giấy phép, không thực hiện đúng giấy phép ở các mức từ 5 - 30 triệu đồng.

VCCI cho rằng:  Điều 292 sử dụng từ “các loại dịch vụ khác” là không phù hợp vì nó sẽ cho phép các bộ ngành có thể quy định thêm “tội mới” trong BLHS, mỗi khi ban hành thêm một quy định yêu cầu một loại dịch vụ trên mạng nào đó phải xin cấp phép. Ví dụ, các dịch vụ thư điện tử, dịch vụ lưu trữ, dịch vụ tìm kiếm, tra cứu, dịch vụ giải trí như xem phim, nghe nhạc… Nếu Bộ ngành nào quy định thêm các dịch vụ này phải xin phép thì đồng nghĩa với việc mở rộng các hành vi có thể bị truy cứu trách nhiệm hình sự.

Cũng theo phân tích, đánh giá của VCCI, một điểm bất cập, không hợp lý nữa của Điều 292 BLHS 2015 là điều luật này không phân biệt về động cơ và mục đích của việc phạm tội và cũng xử lý cả trường hợp người phạm tội có doanh thu (mà không chỉ dừng lại ở thu lợi bất chính). “Đây cũng là một đặc thù vì nhiều điều luật khác liên quan đến mạng viễn thông, mạng internet luôn có yếu tố động cơ mục đích. Ví dụ, Điều 290 nhắm vào các hành vi có động cơ chiếm đoạt tài sản, Điều 291 nhắm vào các hành vi có yếu tố thu lợi bất chính (chứ không phải chỉ là có doanh thu). Như vậy, Điều 292 đã có phạm vi xử lý rộng hơn nhiều so với các Tội danh khác” kiến nghị của VCCI nêu.

Chủ tịch VCCI Vũ Tiến Lộc nhấn mạnh, Điều 292 đã quy định quá rộng khi xử lý hình sự ngay cả hành vi kinh doanh có nguy cơ gây nguy hiểm cho xã hội thấp. Điều 292 xử lý hành vi “cung cấp một trong các dịch vụ sau đây trên mạng máy tính, mạng viễn thông không có giấy phép hoặc không đúng nội dung được cấp phép”. Chỉ cần điều chỉnh cách tiếp cận thành “không làm thủ tục xin phép hoặc điều chỉnh giấy phép trước khi cung cấp một trong các dịch vụ sau đây trên mạng máy tính, mạng viễn thông” sẽ thấy ngay đây chỉ nên bị xử lý hành chính vì đã thiếu sót về làm thủ tục hành chính. “Do đó, có thể nói Điều 292 đã hình sự hóa một vi phạm hành chính, tương tự như hành vi kinh doanh mà không đăng ký kinh doanh trong Tội kinh doanh trái phép của BLHS 1999”, ông Lộc nhận định.

Đáng chú ý, trong văn bản ý kiến về nội dung Điều 292, VCCI cũng thẳng thắn chỉ rõ, điều luật này phân biệt đối xử giữa DN trong nước  và DN nước ngoài. Cụ  thể, theo phân tích của VCCI, pháp luật về quản lý mạng Internet hiện nay của Việt Nam quá chú trọng vào công tác tiền kiểm thông qua các quy định về đăng ký và cấp phép. Tuy nhiên, với đặc tính không biên giới, các quy định này hầu như không tác động đến các nhà cung cấp dịch vụ ở nước ngoài mà chỉ siết chặt hơn hoạt động của các doanh nghiệp của Việt Nam. Trên thực tế, hiện vẫn có rất nhiều các dịch vụ được liệt kê tại Điều 292 do các nhà cung cấp đặt tại nước ngoài mà không thể bị xử lý theo tội danh này. Ví dụ, người dùng Việt Nam vẫn có thể dễ dàng tải và chơi các games trên kho ứng dụng toàn cầu được sản xuất và phát hành bởi nhiều doanh nghiệp nước ngoài.

1/4 thế kỷ trôi qua, trong khi máy quay phim và Walkman trở nên xa lạ với đám trẻ hiện tại, vì sao OTP vẫn đóng vai trò quan trọng trong các kế hoạch tăng cường bảo mật của ngân hàng? Công nghệ đơn giản không còn phù hợp với phần lớn các kịch bản lừa đảo trực tuyến thông dụng ngày nay. Tội phạm mạng vô cùng thông minh, được trang bị đến tận răng và có động lực hấp dẫn. Chúng lợi dụng các công nghệ yếu kém như OTP. Đây là thời điểm ngành tài chính nên thoát khỏi công nghệ lỗi thời này.

Một thập kỷ thất bại

Các cuộc tấn công thành công nhằm vào hệ thống nền OTP được ghi nhận từ năm 2005. Một trong những vụ sớm nhất xảy ra vào tháng 10 năm đó khi ngân hàng Nordea của Thụy Sỹ là nạn nhân của lừa đảo khiến hệ thống bảo mật OTP bị xâm phạm. Trong cuộc tấn công, nhiều khách hàng trực tuyến của Nordea được dẫn đến website giả mạo, hỏi thông tin tài khoản cũng như OTP của họ. Sau đó, họ lại nhìn thấy một bảng tương tự bảng họ đang dùng có chứa các mã OTP. Tuy nhiên, dù nhập bao nhiêu mã để truy cập tài khoản, trang web giả cũng từ chối khiến họ liên tiếp nhập mã OTP mới. Bằng cách này, hacker thu thập được vô số mã OTP cho mục đích riêng.

Một năm sau, CitiBusiness Online của Citibank cũng bị xâm phạm. Để truy cập tài khoản online, khách hàng CitiBusiness phải nhập mã OTP được tạo ra bởi một thiết bị token ngoài tên người dùng và mật khẩu. Tháng 7/2006, nhiều người nhận được email thông báo ai đó đang cố đăng nhập tài khoản của họ và yêu cầu họ phải xác nhận thông tin tài khoản trên mạng. Khi bấm vào đường link trong email, họ đến một website trông giống hệt của CitiBusiness và nhập tên, mật khẩu, OTP mà không hề hay biết đang cung cấp mọi chìa khóa cho kẻ lừa đảo.

Một vụ việc chấn động khác xảy ra năm 2012 khi tội phạm mạng truy cập được tài khoản cá nhân và doanh nghiệp tại gần 30 ngân hàng khắp châu Âu, trong đó có Ý, Đức, Hà Lan và Tây Ban Nha. Có tới 30.000 khách hàng online bị mất xấp xỉ 36 triệu Euro và mỗi người bị mất từ 500 Euro đến 250.000 Euro. Thủ phạm lừa nạn nhân tải Eurograbber, một phiên bản khác của trojan Zeus, vào máy tính và thiết bị di động. Như vậy, hacker có thể xem trộm các thông tin bằng phương thức tấn công man-in-the-middle (MITM). Để phá vỡ xác minh hai bước của ngân hàng, hacker can thiệp vào các tin nhắn văn bản chứa mã OTP.

Tội phạm mạng đặc biệt ưa thích Zeus vì khi các chuyên gia bảo mật dập tắt một phiên bản của nó, chúng đã có trong tay phiên bản khác. Theo Darrell Burkey, Giám đốc IPS tại Check Point thời điểm đó, cuộc tấn công nhằm vào xác thực hai bước phụ thuộc vào OTP qua SMS chứng minh hacker có hiểu biết sâu sắc về hoạt động của hệ thống ngân hàng trực tuyến.

Năm 2014, một nguy cơ mới có tên Operation Emmental tập trung vào ngân hàng dùng SMS OTP. Nạn nhân nhận được email lừa đảo dẫn tới trang web có thông tin về bảo mật trên di động. Nó lừa người dùng tải ứng dụng cam kết bảo vệ họ khỏi các nguy cơ lừa đảo ngân hàng online. Thực tế, một khi được cài đặt, ứng dụng can thiệp vào mọi tin nhắn chứa OTP và gửi ngay đến kẻ tấn công, sau đó dùng chúng để xác thực các giao dịch lừa đảo trên tài khoản nạn nhân.

Tất cả hệ thống OTP đều có một khiếm khuyết chung

Có rất nhiều hệ thống xác thực nền OTP, chủ yếu khác nhau về cách phân phối OTP đến khách hàng. Nó yêu cầu người dùng luôn phải mang theo thiết bị bên mình. Được sản xuất bởi các công ty như RSA, VASCO và SafeNet, các token này giống như một móc chìa khóa hay máy tính nhỏ với màn hình LCD hiển thị các con số.

Một số ngân hàng tạo và gửi OTP qua SMS đến khách hàng, có thể được gọi là mTAN (mobile Transaction Authorization Numbers). Tại một số nước, ngân hàng vẫn dùng bản cứng để cung cấp OTP.

Dù đa dạng như vậy, tất cả hệ thống OTP đều có chung nhược điểm. Đầu tiên, tất cả đều đối xứng vì ngân hàng cũng xem được một bí mật với khách hàng (và cả nhà mạng). Thứ hai, hệ thống OTP đều dựa trên trình duyệt để giao tiếp trở lại ngân hàng. Điều đó có nghĩa nếu một website lừa đảo bắt chước website thật của ngân hàng hay trình duyệt làm thế nào đó bị xâm phạm, thông tin đăng nhập và OTP có thể bị thu thập bởi những kẻ lừa đảo và ngay lập tức bị dùng để chiếm quyền truy cập, thực hiện các giao dịch lừa đảo.

Hàng ngày, tội phạm mạng khoe khoang về khả năng phá vỡ phương thức xác minh hai bước phụ thuộc vào trình duyệt. Theo Avivah Litan, Phó Chủ tịch và chuyên gia phân tích của Gartner, bất cứ thứ gì đi qua trình duyệt đều có thể bị một trojan xâm phạm. Các cuộc tấn công man-in-the-middle hoặc man-in-the-browser được kích hoạt bằng trojan có khả năng vượt mặt những lớp bảo mật tinh vi nhất từ OTP đến thẻ chip hay công nghệ sinh học vì đều dựa vào trình duyệt.

Trong đó, hacker can thiệp vào liên lạc giữa ngân hàng và khách hàng mà họ không hề nhận thức sự có mặt của chúng, cho phép kẻ lừa đảo hoạt động như một ủy nhiệm. Vài trường hợp, mã độc sao chép ID, mật khẩu và OTP rồi ngay lập tức dùng chúng.

Theo kết quả của các nghiên cứu năm 2015, 74% các doanh nghiệp vừa và nhỏ tại Anh báo cáo có vấn đề về bảo mật. Tuy nhiên, chỉ có 7% các doanh nghiệp nhỏ mong muốn tăng chi tiêu cho an ninh mạng trong những năm tiếp theo.

Trước đó hãng bảo mật Trend Micro cũng từng có báo cáo tương tự, cho thấy các doanh nghiệp nhỏ dễ gặp các nguy cơ an ninh mạng nhưng lại không chú trọng đầu tư bảo mật.

Chuyên gia Andy cho biết không phải tất cả các mối đe dọa đều đến từ bên ngoài. Trong thực tế, nhiều vấn đề phát sinh liên quan trực tiếp từ bên trong doanh nghiệp. Ví dụ khi nhân viên dữ liệu cố tình hay vô ý làm hư hỏng dữ liệu có giá trị.

Ransomware, một mối đe dọa mới nổi lên, có thể gây hại cho tất cả các doanh nghiệp vừa và nhỏ và các cá nhân. Do quy mô nhỏ, các hacker không yêu cầu số tiền lớn từ các nạn nhân mà yêu cầu một khoản tiền chấp nhận được đối với hầu hết mọi người. Theo đó, thay vì tập trung vào một số ít các công ty lớn, hacker có thể nhắm mục tiêu nhiều doanh nghiệp vừa và nhỏ với yêu cầu thanh toán tương đối.

Một trong những điều sai lầm mà hầu hết người dùng đều gặp phải là dễ dàng nhấp chuột vào liên kết trong email hoặc mở tập tin đính kèm. Chính vì vậy, vấn đề an ninh mạng cho các doanh nghiệp nhỏ cần được thực hiện chặt chẽ hơn.