Bao nhiêu chuyên gia an ninh mạng đã phải sống trong sợ hãi bị bỏ tù chỉ vì làm công việc bảo vệ cộng đồng? Câu trả lời có thể khiến bạn bất ngờ: hàng nghìn người trên khắp thế giới, đặc biệt tại Anh quốc. Chính phủ Anh vừa công bố kế hoạch cải cách luật Computer Misuse Act 1990 - đạo luật đã khiến các nhà nghiên cứu bảo mật 'white hat' sống trong lo sợ suốt hơn 3 thập kỷ qua.

Cuộc 'săn phù thủy' kéo dài 34 năm

Computer Misuse Act 1990 ra đời với mục đích tốt: trừng phạt tội phạm mạng. Thế nhưng, điều khoản quá rộng của đạo luật đã biến những người hùng thầm lặng thành 'tội phạm'. Các chuyên gia bảo mật (security researchers) khi thực hiện penetration testing - kiểm thử xâm nhập hệ thống để tìm lỗ hổng bảo mật có thể bị cáo buộc 'truy cập trái phép máy tính'. Chúng tôi cho rằng đây chính là nghịch lý lớn nhất trong lịch sử pháp luật công nghệ.

Theo thống kê không chính thức từ cộng đồng bảo mật quốc tế, ít nhất 50 chuyên gia bảo mật tại Anh đã phải đối mặt với cáo buộc hình sự trong 10 năm qua. Điển hình như vụ Marcus Hutchins - người hùng đã ngăn chặn mã độc WannaCry năm 2017 nhưng lại bị FBI bắt giữ vì cáo buộc tạo malware trong quá khứ. Bug bounty programs (chương trình thưởng tìm lỗi) cũng trở nên mờ nhạt pháp lý khi các nhà nghiên cứu không biết liệu hành động của mình có vi phạm luật hay không.

Điểm mù pháp lý trong thời đại số

Vấn đề cốt lõi nằm ở định nghĩa 'truy cập trái phép'. Computer Misuse Act 1990 không phân biệt được ethical hacking (hack đạo đức) với malicious activities (hoạt động độc hại). Khi một chuyên gia bảo mật scan port của website để tìm vulnerability (lỗ hổng bảo mật), về mặt kỹ thuật họ đã 'truy cập' hệ thống mà không có sự cho phép rõ ràng từ chủ sở hữu. Authorized testing (kiểm thử được ủy quyền) chỉ được bảo vệ trong trường hợp có hợp đồng rõ ràng - điều không phải lúc nào cũng khả thi.

Thực tế nghiêm trọng hơn khi các công ty công nghệ lớn như Google, Microsoft thường khuyến khích responsible disclosure (công bố có trách nhiệm) - tức các chuyên gia tự do tìm lỗ hổng và báo cáo riêng tư trước khi công khai. Tuy nhiên, quá trình 'tìm kiếm' này lại có thể vi phạm luật hiện hành. Chúng tôi đánh giá đây chính là rào cản lớn nhất khiến ngành an ninh mạng Anh phát triển chậm so với Mỹ và các nước châu Á.

Làn sóng domino toàn cầu

Quyết định cải cách của Anh không chỉ ảnh hưởng trong nước mà có thể tạo hiệu ứng domino toàn cầu. EU đã theo dõi sát sao và cân nhắc điều chỉnh Computer Crime Directive tương tự. Tại Việt Nam, Luật An ninh mạng 2018 và các nghị định liên quan cũng có điểm tương đồng khi chưa có quy định rõ ràng bảo vệ hoạt động nghiên cứu bảo mật chính đáng.

Theo số liệu từ Vietnam Computer Emergency Response Team (VNCERT), Việt Nam ghi nhận trung bình 8.000 cuộc tấn công mạng mỗi tháng trong năm 2023. Thế nhưng, cộng đồng white hat hacker trong nước vẫn khá thận trọng khi tham gia bug bounty programs của các tổ chức quốc tế vì lo ngại pháp lý. Nếu Anh thành công với mô hình cải cách này, Việt Nam hoàn toàn có thể tham khảo để phát triển 'safe harbor provisions' - điều khoản bảo vệ pháp lý cho các nhà nghiên cứu bảo mật.

Lời khuyên cho cộng đồng bảo mật Việt Nam

Dù luật pháp chưa hoàn thiện, các chuyên gia bảo mật Việt Nam vẫn có thể hoạt động an toàn bằng cách tuân thủ nguyên tắc 'ba không': không truy cập dữ liệu cá nhân, không gây thiệt hại hệ thống, không khai thác lỗ hổng vì mục đích cá nhân. Khi phát hiện vulnerability, hãy liên hệ trực tiếp với tổ chức qua official security contact thay vì thử nghiệm sâu hơn.

Chúng tôi khuyến nghị cộng đồng bảo mật trong nước nên tham gia các chương trình bug bounty chính thức từ HackerOne, Bugcrowd với scope (phạm vi) được định nghĩa rõ ràng. Đồng thời, hãy document (lưu trữ tài liệu) đầy đủ quá trình nghiên cứu và chỉ thực hiện trên test environment (môi trường thử nghiệm) khi có thể. Cuộc cải cách tại Anh là tín hiệu tích cực, nhưng việc bảo vệ bản thân bằng các biện pháp phòng ngừa vẫn là ưu tiên hàng đầu.