Nếu doanh nghiệp bưu chính không xây dựng hệ thống bảo đảm ATTT có thể bị xử phạt
Trong bối cảnh chuyển đổi số đang diễn ra rộng khắp mọi trong mọi ngành nghề, lĩnh vực, ngành bưu chính đã và đang đẩy mạnh tiến trình chuyển đổi số. Với mục tiêu đưa mọi hoạt động truyền thống của ngành bưu chính lên môi trường mạng, ngoài việc tuân thủ quy định pháp luật về bưu chính, các doanh nghiệp bưu chính cũng cần phải quan tâm hơn tới việc tuân thủ các quy định pháp luật về an toàn an ninh thông tin.
Theo quy định hiện hành, nếu doanh nghiệp bưu chính không xây dựng hệ thống bảo đảm an toàn thông tin theo cấp độ quy định thì có thể bị xử phạt.
Trong Chiến lược phát triển bưu chính đến năm 2025 và định hướng đến năm 2030 phê duyệt ngày 30/5/2022 có nội dung yêu cầu các doanh nghiệp bưu chính phải có các giải pháp, hoạt động đảm bảo an toàn thông tin xuyên suốt trong quá trình xây dựng, phát triện, vận hành và khai thác các hạ tầng mạng lưới, hạ tầng số và hạ tầng dữ liệu bưu chính.
Bị xử phạt nếu không đảm bảo an toàn
Tại hội nghị phổ biến pháp luật về bưu chính diễn ra trong tháng 6/2022, ông Trần Nguyên Chung, Cục An toàn thông tin, Bộ Thông tin và Truyền thông lưu ý, Nghị định số 85/2016/NĐ-CP của Chính phủ (ban hành ngày 1/7/2016) về bảo đảm an toàn hệ thống thông tin theo cấp độ đã có quy định: Những doanh nghiệp cung cấp dịch vụ trực tuyến thuộc danh mục ngành nghề có điều kiện thì phải xây dựng hệ thống đảm bảo an toàn thông tin theo cấp độ.
Bưu chính là lĩnh vực kinh doanh có điều kiện. Do vậy, những doanh nghiệp bưu chính sử dụng hệ thống thông tin đều phải xây dựng hồ sơ phê duyệt hệ thống bảo đảm an toàn thông tin theo cấp độ quy định.
Ông Trần Nguyên Chung phân tích quy định trên không phải là cơ quan quản lý gây khó khăn cho doanh nghiệp.
Về cơ bản, việc xác định cấp độ an toàn thông tin cho hệ thống trước tiên là nhằm mục đích bảo vệ chính doanh nghiệp. Thêm vào đó, việc doanh nghiệp nghiên cứu, xây dựng phương án bảo đảm an toàn thông tin theo cấp độ giúp doanh nghiệp hiểu rõ hơn về hệ thống hoạt động của mình.
Khi kinh doanh trên môi trường trực tuyến, doanh nghiệp bưu chính phải triển khai đảm bảo an toàn thông tin. Nếu doanh nghiệp bị tấn công dẫn đến việc bị lộ lọt thông tin thì hoạt động vận hành các dịch vụ bưu chính sẽ bị gián đoạn.
Thêm vào đó, nếu xảy ra sự cố tấn cộng mạng xảy ra, cơ quan chức năng nhà nước vào kiểm tra hệ thống mà phát hiện ra doanh nghiệp không xây dựng hệ thống bảo đảm an toàn thông tin theo cấp độ quy định thì sẽ bị coi là vi phạm và sẽ bị xử phạt.
Theo quy định hiện hành, doanh nghiệp vận hành hệ thống xử lý thông tin dưới 10.000 dữ liệu cá nhân sẽ phải xây dựng hệ thống đảm bảo an toàn thông tin cấp độ 2; trên 10.000 dữ liệu thì phải đảm bảo cấp độ 3; còn cấp độ 4 và 5 áp dụng cho các hệ thống liên quan đến an toàn an ninh quốc gia, phải duy trì hoạt động 24/7, không được phép ngắt hoạt động để tránh ảnh hưởng tới trật tự an toàn xã hội.
Đại diện Cục An toàn thông tin, Bộ Thông tin và Truyền thông nhấn mạnh, các hệ thống cơ bản của doanh nghiệp bưu chính đều ở mức phải xây dựng hệ thống an toàn thông tin cấp độ 3, đây là cấp độ tối thiểu để đảm bảo an toàn thông tin hệ thống.
Tuy nhiên, nếu có điều kiện, các doanh nghiệp nên đề xuất xây dựng hệ thống với cấp độ cao hơn. Việc này được so sánh như xây thêm cửa sắt, lắp thêm khóa để đảm bảo an toàn hơn cho ngôi nhà của mình.
Cục An toàn thông tin, Bộ Thông tin và Truyền thông là đấu mối tư vấn, hỗ trợ doanh nghiệp về việc xây dựng hệ thống an toàn thông tin.
Trong nội dung chiến lược phát triển bưu chính đến năm 2025 được Thủ tướng chính phủ phê duyệt trong quyết định 654/QĐ-TTg 2022 (ngày 30/5/2022) có yêu cầu lĩnh vực bưu chính phải đảm bảo an toàn thông tin.
Khi xây dựng hệ thống quản lý vận hành, doanh nghiệp bưu chính có thể lường được số lượng khách hàng trên hay dưới 10.000 người, phải đầu tư hệ thống đảm bảo an toàn thông tin tương ứng.
Nếu doanh nghiệp bưu chính thuê một đơn vị khác vận hành hệ thống thì phải đưa ra các yêu cầu đảm bảo an toàn thông tin cho hệ thống.
Trong trường hợp xảy ra sự cố về an toàn thông tin, doanh nghiệp bưu chính sẽ là đối tượng bị xử phạt chứ không phải đơn vị được thuê vận hành.
Do đó, xây dựng và vận hành hệ thống an toàn thông tin là điều kiện tiên quyết và bắt buộc để doanh nghiệp bưu chính thực hiện chuyển đổi số, đưa các hoạt động lên môi trường mạng.
Nghị định số 25/2022/NĐ-CP sửa đổi, bổ sung một số điều của Nghị định số 47/2011/NĐ-CP quy định chi tiết thi hành một số nội dung của Luật Bưu chính vừa chính thức có hiệu lực thi hành từ ngày 1/6/2022 đã bổ sung một số quy định mới, các doanh nghiệp bưu chính cần phải lưu ý tuân thủ để tránh bị phạt vì vi phạm quy định pháp luật.
Ông Lê Văn Chung, Phó Vụ trưởng Vụ Bưu chính, Bộ Thông tin và Truyền thông, cho biết hiện Luật Bưu chính không quy định chi tiết các biện pháp đảm bảo an toàn an ninh thế nào, mà để các doanh nghiệp chủ động xây dựng.
Các đoàn thanh kiểm tra thường yêu cầu cung cấp nội dung này và thực hiện thanh kiểm tra trên cơ sở tài liệu doanh nghiệp cung cấp. Nếu không đáp ứng yêu cầu sẽ bị xử lý theo chế tài quy định.
Cần thiết xây dựng hệ thống
Chia sẻ về sự cần thiết phải xây dựng hệ thống đảm bảo an toàn thông tin theo cấp độ, ông Lê Quốc Anh, Phó Tổng Giám đốc Tổng Công ty Bưu điện Việt Nam, nhận định các doanh nghiệp bưu chính ngày càng trở nên quan trọng hơn trong đời sống kinh tế-xã hội.
Sự phát triển thương mại điện tử và môi trường chuyển đổi số đã kéo theo thay đổi rất lớn.
Hiện doanh nghiệp bưu chính có nhiều quy mô lớn nhỏ khác nhau, rất nhiều doanh nghiệp bưu chính lớn mạnh nhờ công nghệ.
Đặc biệt, dữ liệu của người dân trong lĩnh vực bưu chính ngày càng lớn. Xu thế chuyển đổi số tạo bản sao dữ liệu của mỗi người dân ánh xạ trên hệ thống doanh nghiệp bưu chính càng trở nên phức tạp.
Một trong những nội dung khác liên quan tới an toàn thông tin mà các doanh nghiệp bưu chính cũng cần phải đặc biệt lưu ý, đó là quy định về bảo vệ thông tin cá nhân.
Khi thu thập thông tin của khách hàng, các doanh nghiệp bưu chính phải thông báo rõ thông tin của khách hàng được sử dụng vào mục đích gì.
Những doanh nghiệp có lưu thông tin khách hàng thì phải cam kết có chính sách bảo vệ khi lưu trữ thông tin, tránh trường hợp vô tình hay cố ý chia sẻ thông tin của khách hàng ra bên ngoài, bởi đó cũng là vi phạm quy định về thông tin cá nhân.
Nếu doanh nghiệp bưu chính chia sẻ cho các hệ thống khác, doanh nghiệp khác mà hệ thống của doanh nghiệp được chia sẻ không đảm bảo an toàn thông tin thì việc chia sẻ cũng bị coi là vi phạm quy định.
Khi công an phát hiện, truy nguồn, phát hiện doanh nghiệp bưu chính vô tình để lộ dữ liệu cá nhân của khách hàng cũng sẽ bị coi là liên đới.
Đại diện Cục An toàn thông tin, Bộ thông tin và Truyền thông cảnh báo về tình trạng này đã xuất hiện trong thời gian vừa qua.
Liên quan tới câu chuyện bảo vệ dữ liệu cá nhân, ông Chu Đại Thông (Bộ Công an) cho biết Nghị định về bảo vệ dữ liệu cá nhân sẽ được Chính phủ ban hành trong thời gian tới. Theo đó, mạng bưu chính cũng là một trong những mạng mà các đơn vị, tổ chức, cá nhân thu thập rất nhiều dữ liệu về khách hàng.
Các doanh nghiệp, tổ chức, cá nhân làm trong lĩnh vực bưu chính cần cố gắng bảo toàn dữ liệu thu thập được, tránh chia sẻ thông tin khi chưa được sự đồng ý của cá nhân khách hàng, để tránh xảy ra vi phạm pháp luật, các cơ quan chức năng phải vào cuộc xử lý.
Với sự phát triển của thương mại điện tử, đặc biệt việc mua bán trực tuyến (online) trên các nền tảng số, hoạt động tiếp vận (logicstis) đang đứng trước cơ hội phát triển vô cùng lớn bởi đây là nhu cầu tất yếu của xã hội.
Các doanh nghiệp bưu chính sẽ ngày càng sở hữu rất nhiều dữ liệu khách hàng, trong đó có những thông tin vô cùng quan trọng như tên, địa chỉ, điện thoại, thậm chí cả sở thích, thói quen mua sắm...
Do đó, các doanh nghiệp bưu chính cần phải xây dựng hệ thống đảm bảo an toàn thông tin để có thể phát triển bền vững, bảo vệ khách hàng khi các hoạt động bưu chính được chuyển đổi lên môi trường số.
PV