EU không thiếu luật an ninh mạng. Trong năm qua, EU đã đưa ra các luật bao gồm các thiết bị thông minh , an toàn AI , dịch vụ tài chính , các thực thể “quan trọng” và “thiết yếu” và chứng nhận bảo mật . Tuy nhiên, cho đến nay, vẫn chưa có chiến lược nào trên toàn châu lục giúp chuẩn bị, phát hiện và ứng phó với các sự cố mạng quy mô lớn trên khắp EU. Hãy tham gia Đạo luật Đoàn kết An ninh mạng EU , dự kiến sẽ đạt được động lực đáng kể vào năm 2025.
Nó hứa hẹn rất nhiều, nhưng may mắn thay đối với hầu hết các tổ chức tại Anh, nó sẽ không đòi hỏi nhiều từ họ.
Tại sao chúng ta cần nó
Mặc dù Ủy ban châu Âu đã đề xuất Đạo luật Đoàn kết mạng vào tháng 4 năm 2023, nhưng hạt giống của việc tạo ra nó đã được gieo trồng một năm trước khi ba tập đoàn Trung tâm hoạt động an ninh xuyên biên giới (SOC) được lựa chọn . Không phải ngẫu nhiên mà vào đầu năm đó, Nga đã xâm lược Ukraine. Mối đe dọa của các cuộc xâm nhập kỹ thuật số được nhà nước hậu thuẫn và các nhóm tội phạm mạng được tài trợ tốt hoạt động mà không bị trừng phạt từ các khu vực pháp lý ngoài tầm với thực sự sẽ củng cố các kế hoạch cho đạo luật này.
Theo NIS 2, DORA, Đạo luật An ninh mạng, Đạo luật Khả năng phục hồi mạng, Đạo luật AI và các luật khác, các cuộc tấn công mạng đại diện cho mối đe dọa kinh tế và xã hội ngày càng gia tăng đối với EU. Chúng có thể đe dọa đến sự ổn định của hệ thống tài chính và các dịch vụ chăm sóc sức khỏe cứu người, như đã chứng kiến bởi sự cố mất điện CNTT liên quan đến phần mềm tống tiền tại các bệnh viện trên khắp khu vực. Chúng cũng đe dọa phát tán thông tin sai lệch và làm suy yếu các cuộc bầu cử, chưa kể đến an ninh quốc gia. Và vi phạm dữ liệu đang thúc đẩy một đại dịch gian lận. Chỉ riêng gian lận thanh toán đã trị giá 2 tỷ euro trong nửa đầu năm 2023, trong khi EU ước tính tội phạm mạng nói chung gây thiệt hại 5,5 nghìn tỷ euro mỗi năm. Con số sau chiếm hơn một phần tư tổng GDP của EU.
Theo Microsoft, những xu hướng này đang hội tụ. Trong Báo cáo Phòng thủ Kỹ thuật số 2024 gần đây , gã khổng lồ công nghệ đã cảnh báo rằng ranh giới giữa hoạt động của nhà nước quốc gia và tội phạm mạng đang ngày càng mờ nhạt. Điều này có nghĩa là ngày càng có nhiều tác nhân nhà nước có động cơ lợi nhuận tài chính, như Triều Tiên và Iran. Và các nhóm được nhà nước bảo trợ sử dụng các chiến thuật, kỹ thuật và quy trình tội phạm mạng (TTP). Có lẽ đáng lo ngại nhất, điều này cũng có nghĩa là tin tặc được nhà nước hậu thuẫn thuê ngoài các hoạt động cho các nhóm tội phạm mạng, có lẽ là để có thể phủ nhận một cách hợp lý. Microsoft đã quan sát thấy tin tặc Điện Kremlin nhờ đến sự giúp đỡ của Storm-0593 để nhắm mục tiêu vào các tổ chức của Ukraine.
Khi bối cảnh mối đe dọa trở nên phức tạp và khó lường hơn do căng thẳng địa chính trị gia tăng, EU cần xây dựng một bộ máy ứng phó sự cố và phục hồi an ninh mạng trên toàn khu vực.
Đạo luật này sẽ yêu cầu những gì?
Có ba yếu tố chính trong đạo luật này. Nó nhằm mục đích giới thiệu:
Lá chắn an ninh mạng châu Âu: Còn được gọi là Hệ thống cảnh báo an ninh mạng châu Âu, hệ thống này sẽ bao gồm một loạt các Trung tâm điều hành an ninh (SOC) quốc gia và xuyên quốc gia trên khắp khối, được thiết kế để khai thác sức mạnh của AI và phân tích nhằm phát hiện và chia sẻ cảnh báo về mối đe dọa.
Cơ chế khẩn cấp mạng: được thiết kế để tăng cường khả năng chuẩn bị và ứng phó sự cố, chủ yếu thông qua Dự trữ an ninh mạng của EU. Cơ chế này sẽ bao gồm các “nhà cung cấp đáng tin cậy” được lựa chọn trước từ khu vực tư nhân có thể được triển khai theo yêu cầu của EU hoặc các quốc gia thành viên để hỗ trợ các sự cố an ninh lớn.
Cơ chế khẩn cấp mạng cũng hứa sẽ hỗ trợ ý tưởng hỗ trợ lẫn nhau giữa các quốc gia thành viên bị ảnh hưởng bởi các sự cố. Và việc lựa chọn và kiểm tra lỗ hổng định kỳ của các lĩnh vực cơ sở hạ tầng quan trọng như chăm sóc sức khỏe và tài chính. Các lĩnh vực để kiểm tra sẽ được lựa chọn theo đánh giá rủi ro chung cấp EU.
Cơ chế đánh giá sự cố an ninh mạng: được thiết kế để đánh giá và xem xét các sự cố nghiêm trọng theo yêu cầu của Ủy ban châu Âu hoặc các cơ quan quốc gia. Cơ quan an ninh ENISA sẽ tiến hành đánh giá và cung cấp tài liệu rút kinh nghiệm có chứa các khuyến nghị để cải thiện tình hình an ninh của khối.
Jeff Le, Phó chủ tịch phụ trách các vấn đề chính phủ toàn cầu và chính sách công tại nền tảng rủi ro của bên thứ ba SecurityScorecard, chia sẻ với ISOA.vn rằng sáng kiến này có thể cần nhiều hơn số tiền 1,1 tỷ euro (920 triệu bảng Anh) hiện được phân bổ.
Ông nói thêm: “Ở Hoa Kỳ, hệ thống tương trợ lẫn nhau đã hoàn thiện hơn và đáng được EU xem xét đáng kể trong trường hợp xảy ra sự cố thảm khốc làm tê liệt các quốc gia thành viên”.
“ENISA nên đảm nhận vai trò được củng cố ngoài các chương trình và tìm cách tăng cường vai trò lãnh đạo tư tưởng. Đặc biệt, cần có quan hệ đối tác sâu hơn với NIST và các cơ quan tiêu chuẩn toàn cầu khác để tập trung vào các số liệu, tiêu chuẩn và khuôn khổ bảo mật về khả năng phục hồi của chuỗi cung ứng khi động lực thúc đẩy sự hài hòa hóa được chú trọng”.
Le nói thêm rằng việc báo cáo sự cố của EU cũng có thể được hưởng lợi từ việc liên kết chặt chẽ hơn với các chế độ báo cáo sự cố cơ sở hạ tầng quan trọng toàn cầu như quy trình CIRCIA của Hoa Kỳ.
“Việc báo cáo cần phải được thống nhất hơn, và cần nêu rõ trọng tâm về thông tin nào là thiết yếu đối với các nhà hoạch định chính sách và CISO”, ông lập luận. “Với những vấn đề gần đây liên quan đến Volt và Salt Typhoon trong cơ sở hạ tầng quan trọng, cũng cần phải nhấn mạnh hơn vào việc đánh giá viễn thông. Trong khi các lĩnh vực khác được đề cập, thì không gian dễ bị tổn thương này lại không được đề cập”.
Làm thế nào để chuẩn bị cho nó
Đạo luật này sẽ không đòi hỏi nhiều ở hầu hết các công ty Anh.
Sarah Pearce và David Dumont, đối tác tại Hunton Andrews Kurth, chia sẻ với ISOA.vn rằng: “Sau Brexit, Vương quốc Anh sẽ không tham gia vào các cơ chế hợp tác được đưa ra theo Đạo luật Đoàn kết An ninh mạng”.
“Đạo luật này sẽ không áp dụng cho tất cả các tổ chức, chỉ áp dụng cho những tổ chức hoạt động trong các lĩnh vực cực kỳ quan trọng. Ít nhất, các tổ chức nên cập nhật các diễn biến và đánh giá xem chúng có nằm trong phạm vi của luật hay không. Những tổ chức nằm trong phạm vi có thể phải chịu ‘kiểm tra mức độ chuẩn bị phối hợp’, do đó CISO và các nhóm nội bộ có liên quan khác sẽ cần phải đưa các cuộc kiểm tra đó vào chương trình quản trị của họ.”
Tuy nhiên, ISOA.vn hiểu rằng chỉ những tổ chức cơ sở hạ tầng quan trọng có hoạt động tại EU mới phải tuân thủ các yêu cầu này.
Edward Machin, cố vấn tại Ropes & Gray, cũng cảnh báo rằng nếu các cuộc thử nghiệm này phát hiện ra lỗ hổng nghiêm trọng đối với các mối đe dọa mạng, các tổ chức đó có thể phải đối mặt với “rủi ro về mặt thực thi và danh tiếng rộng hơn” liên quan đến việc không tuân thủ các luật an ninh mạng khác của EU.
Ông chia sẻ với ISOA.vn rằng: “Các CISO trong các ngành công nghiệp quan trọng đã và đang chuẩn bị cho các luật an ninh mạng khác của EU sẽ thấy rằng những sự chuẩn bị đó giúp họ có đủ khả năng để đáp ứng các yêu cầu kiểm tra tiềm năng được đưa ra theo Đạo luật Đoàn kết An ninh mạng”.
“Do các luật an ninh mạng khác của EU có và sẽ có tác động lớn hơn đến các CISO hàng ngày, tôi đề xuất nên tập trung vào các luật đó trong thời điểm hiện tại trong khi vẫn theo dõi chặt chẽ các đạo luật đó.”
Nghị viện và Hội đồng châu Âu đã đạt được thỏa thuận tạm thời về luật vào tháng 3 năm 2024 và văn bản tạm thời đã được công bố cùng tháng đó. Tuy nhiên, vẫn chưa rõ khi nào các nhà lập pháp có thể chính thức thông qua. Dự kiến sẽ có nhiều điều hơn nữa vào năm 2025.
