Dự luật An ninh mạng mới của Vương quốc AnhLá chắn phòng thủ trong kỷ nguyên số

Trọng tâm của cuộc đại tu này là Dự luật An ninh mạng và khả năng phục hồi, một đề xuất lập pháp nhằm tái định hình chiến lược phòng thủ kỹ thuật số của đất nước trong thập kỷ tới.

Mối đe dọa số thực sự hiện hữu

Được đề cập trong bài phát biểu của Vua Charles III vào tháng 7/2024 và được trình bày chi tiết hơn trong báo cáo chính sách của Văn phòng Nội các phát hành vào ngày 1/4/2025, dự luật này đã được ca ngợi là cải cách an ninh mạng quan trọng nhất kể từ Quy định về hệ thống thông tin và mạng (NIS) năm 2018. Đây không chỉ là nỗ lực đổi mới chính sách, mà còn là bước ngoặt trong cách nước Anh bảo vệ biên giới kỹ thuật số của mình trước các mối đe dọa ngày càng tinh vi.

Dự luật giới thiệu chế độ quản lý linh hoạt, cập nhật theo các tiêu chuẩn quốc tế và có khả năng thích ứng trước các thách thức trong tương lai. Và thời điểm thực hiện không thể nào cấp bách hơn.

Chỉ trong vài năm qua, Vương quốc Anh đã hứng chịu hàng loạt cuộc tấn công mạng với quy mô và độ tinh vi đáng báo động. Các nhà bán lẻ lớn như Marks & Spencer, Harrods và Co-op từng bị tê liệt bởi phần mềm tống tiền và các chiêu trò lừa đảo công nghệ cao, khiến hoạt động kinh doanh đình trệ và hàng triệu dữ liệu khách hàng rơi vào nguy hiểm.

Đáng lo ngại hơn cả là vụ tấn công bằng phần mềm tống tiền vào Synnovis, nhà cung cấp dịch vụ chuẩn đoán bệnh lý cho Dịch vụ y tế quốc gia (NHS), vào giữa năm 2024. Cuộc tấn công đã buộc các bệnh viện phải tạm dừng các quy trình y tế quan trọng, làm gián đoạn việc chăm sóc bệnh nhân ở quy mô lớn. Tại NHS Dumfries & Galloway, tin tặc đã truy cập được vào thông tin nhạy cảm của bệnh nhân, phơi bày lỗ hổng của ngay cả các dịch vụ công quan trọng nhất của xứ sở sương mù.

Ngay cả các cơ quan quyền lực trọng yếu cũng không thoát. Bộ Quốc phòng đã bị xâm nhập hệ thống bảng lương, làm rò rỉ dữ liệu của 272.000 quân nhân. Trong khi đó, Cơ quan giao thông London, Thư viện Anh, Đại học Cambridge và thậm chí cả Ủy ban Bầu cử đều đã báo cáo về các cuộc tấn công số, khiến các dịch vụ quan trọng rơi vào tình trạng hỗn loạn và gióng lên hồi chuông cảnh tỉnh về mức độ dễ tổn thương đối với cơ sở hạ tầng, các kho lưu trữ quý giá, hồ sơ nghiên cứu và dữ liệu cá nhân.

Cái giá phải trả về mặt kinh tế thực sự không nhỏ vì chỉ riêng 5 năm qua, các doanh nghiệp Anh đã mất hơn 40 tỷ bảng Anh. Đây không chỉ đơn thuần là vấn đề kỹ thuật, mà là cuộc khủng hoảng an ninh quốc gia, đòi hỏi phải có phản ứng lập pháp toàn diện.

Từ "chữa cháy" đến chủ động phòng ngừa

Dự luật An ninh mạng và khả năng phục hồi là câu trả lời của Westminster cho thách thức này. Nếu được thông qua, nó sẽ mở ra khuôn khổ quản trị mạng chủ động, phản ứng nhanh và hiệu quả hơn.

Điểm cốt lõi của dự luật là quy định về báo cáo vi phạm bắt buộc. Thay vì trì hoãn để xử lý khủng hoảng truyền thông, các tổ chức sẽ phải thông báo cho cơ quan chức năng trong vòng 24 giờ kể từ khi phát hiện sự cố và nộp báo cáo chi tiết trong vòng 3 ngày. Đây là bước tiến quan trọng đưa Anh bắt kịp với các chuẩn mực quốc tế về an ninh mạng...

Hơn nữa, trong trường hợp khẩn cấp, dự luật còn trao cho các bộ trưởng quyền khẩn cấp để can thiệp vào các cuộc khủng hoảng mạng, bao gồm ban hành chỉ thị bảo vệ các dịch vụ quan trọng. Mặc dù táo bạo, nhưng điều khoản này phản ánh thực tế khắc nghiệt của thời hiện đại: khi các cuộc tấn công mạng xảy ra, sự do dự có thể gây ra thảm họa. Vì vậy, khả năng “duy trì hoạt động” của Chính phủ là điều không thể đánh đổi và an ninh mạng phải được coi là ưu tiên tuyệt đối.

Nhưng việc bảo vệ nhanh chóng không chỉ giới hạn ở phản ứng khủng hoảng. Dự luật cho phép Bộ trưởng Ngoại giao sử dụng luật thứ cấp - cái gọi là “quyền hạn của Henry VIII” - để cập nhật các quy định về mạng. Điều này tạo ra sự linh hoạt hiếm thấy trong chính sách an ninh mạng quốc gia, cho phép Vương quốc Anh thích ứng nhanh chóng với các mối đe dọa số đang phát triển. “Quyền hạn của Henry VIII” là thuật ngữ chỉ quyền lực được trao cho các bộ trưởng để sửa đổi hoặc bãi bỏ các điều khoản trong luật hiện hành mà không cần sự phê chuẩn đầy đủ từ Quốc hội. Nó bắt nguồn từ một đạo luật năm 1539 dưới thời vua Henry VIII, cho phép nhà vua ban hành luật mà không cần sự đồng ý của cơ quan lập pháp.

Giữa hoài nghi và hiện thực chính trị

Mặc dù nhận được sự ủng hộ mạnh mẽ từ Trung tâm An ninh mạng quốc gia (NCSC) và các chuyên gia an ninh mạng, nhưng dự luật vẫn vấp phải quan ngại. Trong số đó, đáng lo ngại nhất là việc tập trung quá nhiều quyền lực vào nhánh hành pháp. Những người phê bình cho rằng, việc sử dụng “quyền hạn của Henry VIII”, dù với mục đích tốt, vẫn cần được giám sát chặt chẽ để tránh xói mòn các nguyên tắc dân chủ.

Một điểm gây cản trở khác là chi phí tuân thủ. Đối với các doanh nghiệp vừa và nhỏ (SME), các quy tắc mới có thể gây ra gánh nặng không cân xứng. Với thời hạn báo cáo chặt chẽ và hình phạt nghiêm khắc hơn đối với hành vi không tuân thủ, các doanh nghiệp không có chuyên môn về an ninh mạng nội bộ hoặc ngân sách lớn có thể gặp khó khăn trong việc theo kịp.

Có chuyên gia cảnh báo, điều này có nguy cơ trở thành bài tập tuân thủ, thay vì nâng cấp có ý nghĩa trong phòng thủ kỹ thuật số. Thậm chí, nếu doanh nghiệp coi các quy định mới như một danh sách kiểm tra, xứ sở sương mù sẽ bỏ lỡ cơ hội thay đổi văn hóa.

Thực vậy, một hệ thống phòng thủ hiệu quả không thể chỉ dựa vào quy định. Nó đòi hỏi đầu tư vào đào tạo nhân lực, mở rộng năng lực hỗ trợ kỹ thuật, và xây dựng các cơ chế chia sẻ thông tin về mối đe dọa - đặc biệt là đối với những doanh nghiệp không thuộc nhóm Fortune 500.

Định vị chiến lược trong trật tự toàn cầu mới

Bất chấp những thách thức này, dự luật được kỳ vọng sẽ khẳng định vị thế của Vương quốc Anh như quốc gia đi đầu trong chính sách quản trị mạng hiện đại.

Dự luật này là bước phát triển quan trọng từ Chiến lược An ninh mạng quốc gia 2022 - 2030, với mục tiêu mở rộng các yêu cầu bảo mật ra toàn bộ hạ tầng thiết yếu của quốc gia - bao gồm cả các đối tác trong chuỗi cung ứng. Trong bối cảnh hiện nay, tin tặc hiếm khi tấn công trực diện; thay vào đó, chúng tìm cách xâm nhập thông qua nhà cung cấp bên thứ ba, dịch vụ đám mây hoặc các hệ thống công nghệ thông tin ẩn mà ít ai để ý. Đây chính là lý do tại sao cách tiếp cận toàn diện mà dự luật đề ra lại trở nên cấp thiết.

Trên bình diện quốc tế, dự luật giúp Vương quốc Anh bắt kịp với các tiêu chuẩn toàn cầu. Nó phản ánh nhiều điểm tương đồng với Chỉ thị NIS2 của Liên minh châu Âu, qua đó tạo ra sự đồng bộ về quy định có thể thúc đẩy hợp tác hiệu quả hơn với các quốc gia châu Âu, nhất là khi Brussels đang triển khai khung an ninh mạng nâng cao riêng. Việc tăng cường liên kết với EU không chỉ giúp Vương quốc Anh củng cố vị thế đối tác an ninh sau Brexit, mà còn mở đường cho sự phối hợp an ninh mạng xuyên biên giới một cách linh hoạt và kịp thời hơn.

Vương quốc Anh dự kiến sẽ tăng chi tiêu quốc phòng lên 2,5% GDP vào năm 2027. Trong khung chiến lược đó, an ninh mạng dân sự không phải là dự án phụ, mà là nền tảng phòng thủ quan trọng cũng như trụ cột về khả năng phục hồi quốc gia.