Ảnh minh họa. Shutterstock

Dự luật, được đưa ra để trình lần đầu tiên ngày 12/11, đề xuất sửa đổi những quy định hiện hành về Mạng và Hệ thống thông tin (NIS Regulations 2018), tập trung vào mục tiêu trọng tâm: bảo vệ các hạ tầng dịch vụ thiết yếu và dịch vụ số.

Gia tăng tấn công mạng buộc chính phủ siết chặt quy định

Theo chính phủ, dự luật hướng tới củng cố an ninh mạng cho các lĩnh vực trọng yếu như y tế, năng lượng, cấp nước và giao thông, qua đó giảm nguy cơ gián đoạn các dịch vụ công từ bệnh viện đến hệ thống hạ tầng thiết yếu bằng giải pháp siết chặt yêu cầu an toàn mạng đối với các tổ chức nền tảng cho đời sống và kinh tế Anh.

Dự luật được trình trước Quốc hội diễn ra trong bối cảnh Anh đang hứng chịu trung bình bốn vụ tấn công mạng nghiêm trọng mỗi tuần, nhiều vụ nhằm trực tiếp vào hạ tầng trọng yếu và doanh nghiệp lớn. Tần suất và mức độ nghiêm trọng của các vụ tấn công tăng mạnh đã tạo áp lực lớn lên cả các tổ chức lẫn doanh nghiệp bảo hiểm trong việc nâng cao khả năng phục hồi trước rủi ro mạng.

Theo quy định mới, các doanh nghiệp quy mô vừa và lớn cung cấp dịch vụ quản lý CNTT, hỗ trợ kỹ thuật hoặc an ninh mạng cho khu vực công và tư sẽ lần đầu tiên được đặt dưới sự giám sát của cơ quan quản lý.

Những tổ chức này, vốn có quyền truy cập vào hạ tầng trọng yếu và mạng lưới chính phủ sẽ phải đáp ứng những quy định về trách nhiệm và nghĩa vụ bảo mật cụ thể, bao gồm báo cáo kịp thời các sự cố nghiêm trọng và duy trì kế hoạch ứng phó sự cố rõ ràng.

Cơ quan quản lý cũng được trao thẩm quyền mới để chỉ định nhà cung cấp “thiết yếu” đối với các dịch vụ trọng điểm của Anh, chẳng hạn doanh nghiệp cung cấp thiết bị chẩn đoán cho NHS (Cơ quan Y tế quốc gia) hoặc hóa chất cho các công ty nước. Các nhà cung cấp này sẽ phải tuân thủ tiêu chuẩn an ninh mạng tối thiểu nhằm khắc phục điểm yếu trong chuỗi cung ứng - mục tiêu mà tội phạm mạng thường lợi dụng.

Những quy định mới về bảo hiểm an ninh mạng

Dự luật cũng đưa ra chính sách bảo hiểm cụ thể để hỗ trợ cho doanh nghiệp. Số vụ yêu cầu bồi thường bảo hiểm mạng tại Anh tăng tới 230% trong năm qua, trong đó tấn công mã độc tống tiền (ransomware) chiếm tỷ lệ đáng kể. Các lĩnh vực tài chính và dịch vụ chuyên nghiệp bị ảnh hưởng nặng nề, cho thấy rủi ro tài chính và vận hành từ tội phạm mạng ngày càng lớn.

Jonathan Fong, Giám đốc Chính sách Bảo hiểm Chung tại ABI, cho biết: “Một chính sách phù hợp không chỉ hỗ trợ doanh nghiệp sau sự cố mà còn có thể giúp ngăn chặn các cuộc tấn công thông qua việc tiếp cận tư vấn chuyên môn, giám sát mối đe dọa và lập kế hoạch ứng phó sự cố. Với các mối đe dọa an ninh mạng ngày càng gia tăng về quy mô và độ tinh vi, bảo hiểm an ninh mạng cần phải là một thành phần quan trọng trong chiến lược quản lý rủi ro hiện đại của mọi tổ chứcMức độ đe dọa gia tăng cũng phản ánh rõ trong lĩnh vực bảo hiểm".

Khung pháp lý cụ thể và chế tài mạnh hơn

Dự luật cũng đề xuất hiện đại hóa cơ chế thực thi và tăng mức phạt đối với vi phạm nghiêm trọng, căn cứ vào doanh thu doanh nghiệp. Chính phủ cho rằng, duy trì phòng tuyến an ninh mạnh phải trở thành lựa chọn kinh tế hơn so với cái giá phải trả khi vi phạm.

Ngoài ra, Bộ trưởng Khoa học, Đổi mới và Công nghệ sẽ có quyền chỉ đạo các cơ quan quản lý và tổ chức trực thuộc (như các bệnh viện NHS hoặc nhà cung cấp tiện ích công) thực hiện biện pháp phòng ngừa cụ thể khi có nguy cơ đe dọa an ninh quốc gia như tăng cường các hoạt động kiểm tra, giám sát hoặc cô lập những hệ thống rủi ro cao.

Theo Văn phòng Trách nhiệm Ngân sách (OBR), một vụ tấn công mạng nhằm vào hạ tầng quốc gia trọng yếu có thể khiến chính phủ phải vay thêm hơn 30 tỷ bảng, tương đương 1,1% GDP. Nghiên cứu độc lập công bố cùng dự luật cũng cho thấy thiệt hại trung bình của một vụ tấn công mạng lớn tại Anh vượt 190.000 bảng, tương đương khoảng 14,7 tỷ bảng mỗi năm (0,5% GDP).

An ninh mạng là an ninh quốc gia

Bộ trưởng Khoa học, Đổi mới và Công nghệ Liz Kendall nhấn mạnh: “An ninh mạng chính là an ninh quốc gia. Dự luật này sẽ giúp chúng ta đối phó với những kẻ muốn phá vỡ cuộc sống bình thường của người dân. Thông điệp của tôi rất rõ ràng: Vương quốc Anh không phải mục tiêu dễ bị tấn công.”

Bà cho biết, các quy định mới sẽ giúp giảm số ca khám bệnh bị hủy, hạn chế gián đoạn dịch vụ địa phương và kinh doanh, đồng thời nâng cao tốc độ phản ứng quốc gia trước các mối đe dọa mới nổi.

Giám đốc Trung tâm An ninh mạng quốc gia (NCSC) Richard Horne nhận định, tác động thực tế của các vụ tấn công mạng ngày càng rõ rệt, và dự luật là “bước đi quan trọng để bảo vệ tốt hơn các dịch vụ trọng yếu của đất nước”. Ông nhấn mạnh rằng an ninh mạng là trách nhiệm chung, kêu gọi mọi tổ chức khẩn trương thực hiện các khuyến nghị của NCSC.

An Lâm (Theo Insurance Business)