MÔ HÌNH THỐNG NHẤT QUYỀN LỰC QUẢN LÝ NHÀ NƯỚC, PHÂN CẤP QUẢN LÝ KỸ THUẬT

Hoa Kỳ - Tích hợp mật mã, tình báo và an ninh mạng trong một trục điều hành thống nhất toàn Liên Bang

Hoa Kỳ là quốc gia tiên phong trong việc hình thành cơ chế quản lý mật mã gắn liền với sức mạnh quốc gia, trong đó Nhà nước giữ quyền điều tiết tuyệt đối nhưng phân công thực thi theo phạm vi kỹ thuật và lĩnh vực ứng dụng. Từ giữa thế kỷ XX, quốc gia này đã thiết lập mô hình “thống nhất quyền lực quản lý - phân tầng kỹ thuật thực thi”, bảo đảm sự điều phối tập trung của Chính phủ Liên Bang, đồng thời khai thác tối đa năng lực chuyên môn của các cơ quan kỹ thuật độc lập. Đây là cấu trúc vừa duy trì tính bảo mật tuyệt đối của hệ thống an ninh quốc gia, vừa thúc đẩy chuẩn hóa và thương mại hóa công nghệ mật mã cho khu vực dân sự.

Trung tâm của hệ thống là Cơ quan An ninh Quốc gia (NSA), thành lập năm 1952 theo chỉ thị của Tổng thống Harry S. Truman, trực thuộc Bộ Quốc phòng Hoa Kỳ (DoD). NSA nắm giữ vai trò “National Manager for National Security Systems (NSS)”, được quy định cụ thể trong Chỉ thị An ninh Quốc gia số 42 (NSD-42) do Tổng thống George H. W. Bush ban hành năm 1990. Theo đó, NSA chịu trách nhiệm quản lý, giám sát và bảo vệ toàn bộ hệ thống thông tin và mật mã phục vụ an ninh quốc gia, quốc phòng, ngoại giao, tình báo và điều hành chính phủ liên bang. Cơ quan này có quyền ban hành tiêu chuẩn, hướng dẫn kỹ thuật và quy định bảo mật áp dụng cho tất cả các hệ thống NSS, đồng thời phối hợp với các cơ quan liên bang khác trong triển khai, giám sát và đánh giá an ninh mạng.

Trên phương diện kỹ thuật, NSA tích hợp ba trụ cột chiến lược:

- SIGINT (Tình báo tín hiệu): Thu thập, giải mã và phân tích các tín hiệu điện tử, thông tin vô tuyến và dữ liệu truyền thông trên phạm vi toàn cầu nhằm phục vụ công tác tình báo, cảnh báo sớm và bảo đảm an ninh quốc gia.

- Bảo đảm thông tin và an ninh mạng: Bảo vệ toàn diện hệ thống thông tin, hạ tầng mật mã và dữ liệu của Chính phủ Liên bang, DoD, các cơ quan tình báo và đối tác quốc phòng.

- Nghiên cứu và phát triển: Nghiên cứu, thiết kế, thử nghiệm và phát triển các thuật toán, tiêu chuẩn, thiết bị và công nghệ mật mã thế hệ mới, hướng tới duy trì ưu thế công nghệ và khả năng tự chủ trong lĩnh vực an ninh mạng - mật mã quốc gia.

Từ nền tảng đó, NSA đã ban hành Bộ thuật toán an ninh thương mại quốc gia (CNSA), hiện được nâng cấp lên CNSA 2.0 (2022), định hướng chuyển đổi sang mật mã hậu lượng tử (PQC) cho các hệ thống an ninh quốc gia. NSA đồng thời phối hợp với DoD và Bộ An ninh Nội địa (DHS) trong điều phối bảo mật hạ tầng trọng yếu, hình thành chuỗi phòng thủ hợp nhất giữa an ninh quốc gia, quốc phòng và không gian mạng dân sự.

Song song với NSA, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST), thuộc Bộ Thương mại Hoa Kỳ (DoC), là cơ quan kỹ thuật dân sự chịu trách nhiệm chuẩn hóa, đánh giá và chứng nhận mô-đun mật mã cho khu vực dân sự liên bang. NIST ban hành Tiêu chuẩn Xử lý Thông tin Liên bang (FIPS) và vận hành Chương trình Xác thực Mô-đun Mật mã (CMVP) theo FIPS 140-3 (2019) - phối hợp với Trung tâm An ninh mạng Canada (CCCS). Đây là cơ chế đánh giá độc lập bắt buộc đối với mọi sản phẩm, phần mềm hoặc thiết bị mã hóa được sử dụng trong các cơ quan liên bang và các lĩnh vực điều tiết đặc biệt như ngân hàng, năng lượng, y tế và tài chính.

Bên cạnh đó, NIST điều hành nhiều chương trình nghiên cứu mật mã công khai quy mô lớn, điển hình như AES, SHA-3 và Chương trình Chuẩn hóa Mật mã Hậu lượng tử nhằm lựa chọn, kiểm định và công bố các thuật toán an toàn cho tương lai. Với quy trình minh bạch, cạnh tranh toàn cầu, NIST không chỉ đóng vai trò kỹ thuật thuần túy mà còn là công cụ “ngoại giao công nghệ” của Hoa Kỳ, giúp nước này dẫn dắt xu thế chuẩn hóa mật mã quốc tế.

Mặc dù NSA và NIST có phạm vi hoạt động khác nhau, cả hai đều vận hành trong khuôn khổ quyền lực thống nhất dưới sự điều phối của Hội đồng An ninh Quốc gia (NSC) và Ủy ban Liên cơ quan về An ninh Thông tin (CNSS). NSA là cơ quan quản lý tối cao đối với các hệ thống NSS, trong khi NIST là cơ quan kỹ thuật thực thi trong khu vực dân sự, chịu trách nhiệm ban hành và duy trì các tiêu chuẩn công khai. Mối quan hệ này vận hành theo nguyên tắc “một chính sách - hai tầng kỹ thuật”: NSA định hướng chiến lược và chính sách bảo mật, còn NIST hiện thực hóa bằng tiêu chuẩn mở, quy trình kiểm định và hướng dẫn kỹ thuật, bảo đảm tính tương thích và thống nhất trên toàn liên bang.

Một điểm then chốt là NIST không có quyền độc lập ban hành tiêu chuẩn trái ngược với NSA, mà NIST phối hợp với NSA để bảo đảm tiêu chuẩn dân sự không xung đột chính sách NSS; các chuẩn công khai do NIST chủ trì được điều phối thống nhất ở cấp liên bang. Trên thực tế, hầu hết các thuật toán mật mã dân sự chủ lực như AES, SHA, ECDSA hay PQC đều được phát triển, đánh giá và thẩm định kỹ thuật với sự tham gia hoặc giám sát trực tiếp của NSA. Cơ chế phối hợp này bảo đảm chuẩn dân sự không xung đột với chính sách an ninh quốc gia, đồng thời duy trì tính thống nhất tuyệt đối giữa bảo mật nhà nước và chuẩn hóa dân sự. Nhờ đó, Hoa Kỳ kiểm soát được hai trục chiến lược song song: Bảo mật tuyệt đối cho Nhà nước và dẫn dắt chuẩn hóa toàn cầu trong công nghiệp công nghệ cao.

Từ góc độ chiến lược, mô hình “thống nhất quyền lực - phân tầng kỹ thuật” của Hoa Kỳ giúp duy trì ưu thế công nghệ mật mã toàn cầu. NSA và NIST không phải hai hệ thống song song, mà là hai tầng trong cùng một cấu trúc quản trị quốc gia, thống nhất về pháp lý, điều phối và mục tiêu chiến lược. NSA tập trung vào bảo vệ quyền lực và chủ quyền quốc gia, trong khi NIST mở rộng ảnh hưởng thông qua chuẩn hóa và hợp tác quốc tế - một “bàn tay kép” vừa bảo mật trong nước, vừa định hình trật tự công nghệ thế giới.

Có thể nói, Hoa Kỳ không hề “chia đôi” quản lý mật mã, mà phân tầng kỹ thuật dưới một quyền lực điều phối duy nhất, bảo đảm mọi tiêu chuẩn và ứng dụng mật mã, dù trong quân sự, dân sự hay thương mại, đều quy về một trục chủ quyền an ninh và công nghệ liên bang thống nhất. Mô hình này phản ánh tư duy chiến lược về an ninh mạng - tình báo - mật mã hợp nhất, đồng thời cho thấy năng lực điều phối quốc gia vượt trội, nơi công nghệ trở thành công cụ bảo vệ và mở rộng quyền lực toàn cầu của Hoa Kỳ.

Hàn Quốc - Mô hình “hai trục phối hợp” trong một thể thống nhất quyền quản lý nhà nước, phân cấp quản lý kỹ thuật giữa NIS và KISA

Hàn Quốc là một trong những quốc gia châu Á xây dựng được hệ thống quản lý mật mã có tính tập trung, phối hợp và tiêu chuẩn hóa cao, bảo đảm Nhà nước nắm quyền điều tiết tuyệt đối nhưng phân công thực thi kỹ thuật rõ ràng giữa các cơ quan chuyên trách theo chức năng dân sự và an ninh. Mô hình này được gọi là “hai trục phối hợp” (dual-axis coordination model), trong đó Cơ quan Tình báo Quốc gia (NIS) phụ trách an ninh mạng, bảo mật chính phủ và giám sát mật mã quốc gia; còn Cơ quan An ninh Internet và Thông tin Hàn Quốc (KISA), trực thuộc Bộ Khoa học và Công nghệ Thông tin - Truyền thông (MSIT), đảm nhiệm phát triển, phổ biến và chứng nhận công nghệ mật mã thương mại, đồng thời giám sát sự cố mạng dân sự và hỗ trợ doanh nghiệp ứng dụng công nghệ an toàn thông tin.

NIS, thành lập năm 1961 (tiền thân là Cơ quan Tình báo Trung ương Hàn Quốc - KCIA), hiện là cơ quan an ninh, tình báo tối cao trực thuộc Văn phòng Tổng thống. Thông qua Trung tâm An ninh mạng Quốc gia (NCSC), NIS chịu trách nhiệm bảo mật thông tin của Chính phủ, giám sát an ninh mạng các hệ thống thông tin công, kiểm định và phê duyệt mô-đun mật mã sử dụng trong cơ quan nhà nước. NIS đồng thời điều hành và cấp chứng nhận cho Chương trình Đánh giá và Xác nhận Mô-đun Mật mã Hàn Quốc (KCMVP) - cơ chế kiểm định và chứng nhận mô-đun mật mã thương mại bắt buộc đối với mọi sản phẩm, phần mềm hoặc thiết bị mã hóa được sử dụng tại Hàn Quốc. Chỉ những mô-đun đạt chứng nhận KCMVP mới được phép triển khai trong hệ thống chính phủ, tài chính, viễn thông và hạ tầng trọng yếu; quy trình thẩm định thực hiện theo “hai tầng”: KISA thử nghiệm và đưa ra khuyến nghị kỹ thuật, NIS đánh giá cuối và cấp chứng nhận.

Ngoài ra, NIS còn giữ quyền chỉ huy ứng phó sự cố mạng quy mô quốc gia, điều phối phản ứng giữa các bộ, ngành, tập đoàn và doanh nghiệp trong tình huống khủng hoảng an ninh mạng. Trong khi đó, KISA, được thành lập năm 2009 trên cơ sở sáp nhập ba tổ chức chuyên ngành (KRNIC, NIDA và KIISC), là cơ quan kỹ thuật dân sự trung tâm trong lĩnh vực an toàn Internet, bảo mật dữ liệu và tiêu chuẩn hóa mật mã. Dưới sự quản lý của MSIT, KISA đảm nhiệm bốn nhóm chức năng chủ yếu:

(1) Nghiên cứu và phát triển thuật toán mật mã quốc gia, tiêu biểu là SEED (1998), ARIA (2004) và LEA (2013) - các thuật toán nội địa được tiêu chuẩn hóa quốc tế (ISO/IEC 18033, RFC 4010) và ứng dụng rộng rãi trong công nghiệp phần mềm, tài chính, viễn thông và thương mại điện tử.

(2) Phát triển tiêu chuẩn kỹ thuật và hướng dẫn an ninh mạng, bảo đảm tương thích với chuẩn quốc tế (ISO/IEC, ITU-T, IETF) mà vẫn duy trì đặc trưng kỹ thuật riêng của Hàn Quốc.

(3) Vận hành mạng lưới ứng cứu sự cố dân sự KrCERT/CC - cơ quan giám sát, cảnh báo, điều phối xử lý sự cố mạng trên toàn quốc, đồng thời là đại diện Hàn Quốc trong các mạng lưới quốc tế như FIRST và APCERT.

(4) Hỗ trợ doanh nghiệp và cộng đồng dân sự trong triển khai công nghệ mật mã, xác thực số và an toàn dữ liệu, góp phần xây dựng “xã hội số an toàn” và phát triển hạ tầng tin cậy quốc gia.

Cơ chế phối hợp giữa NIS và KISA thể hiện nguyên tắc “thống nhất quyền quản lý - phân công kỹ thuật theo lĩnh vực”. Toàn bộ hoạt động mật mã và an ninh mạng của Hàn Quốc được điều phối thống nhất bởi Chính phủ Trung ương, thông qua Ủy ban An ninh Thông tin Quốc gia do Thủ tướng chủ trì. Trong cơ cấu này, NIS giữ vai trò quản lý, giám sát và phê duyệt đối với các mô-đun, giải pháp và hệ thống mật mã có liên quan đến an ninh quốc gia, chính phủ và hạ tầng trọng yếu; trong khi KISA đảm nhiệm nghiên cứu, thử nghiệm, triển khai kỹ thuật và phổ biến công nghệ mật mã trong khu vực dân sự, đồng thời phối hợp với NIS để bảo đảm mọi sản phẩm dân sự tuân thủ tiêu chuẩn và quy định an ninh quốc gia.

Theo quy trình thống nhất, một mô-đun mật mã thương mại được phát triển hoặc nhập khẩu phải trải qua hai tầng phê duyệt: KISA tiến hành thử nghiệm kỹ thuật, đánh giá độ an toàn và cấp khuyến nghị ban đầu; NIS (thông qua KCMVP) thực hiện đánh giá cuối cùng và cấp chứng nhận chính thức nếu mô-đun được sử dụng trong cơ quan chính phủ hoặc hạ tầng trọng yếu. Khi xảy ra sự cố mạng quy mô quốc gia, NIS nắm quyền chỉ huy ứng phó, còn KISA cung cấp hỗ trợ kỹ thuật, giám sát hiện trường và phục hồi hệ thống.

Trên phương diện tiêu chuẩn hóa, Hàn Quốc đã hình thành chuỗi mật mã nội địa hoàn chỉnh, bao gồm:

(1) Bộ thuật toán quốc gia SEED, ARIA, LEA, được tiêu chuẩn hóa trong ISO/IEC 18033-3 và RFC 4010 (IETF).

(2) Hệ thống KCMVP - cơ chế kiểm định trung tâm bắt buộc cho mọi sản phẩm thương mại có chức năng mã hóa.

(3) Các hướng dẫn kỹ thuật do KISA ban hành, tương thích với chuẩn quốc tế nhưng nằm trong khung giám sát kỹ thuật của NIS.

Mô hình “hai trục phối hợp” của Hàn Quốc tạo nên phân tầng kỹ thuật nhưng thống nhất quyền lực, bảo đảm mọi hoạt động mật mã, mặc dù trong khu vực chính phủ hay dân sự, đều đặt trong khung quản lý thống nhất của Nhà nước. NIS tập trung vào bảo vệ an ninh quốc gia, chủ quyền thông tin và điều phối khủng hoảng, mặt khác KISA đảm nhiệm nghiên cứu, phát triển và lan tỏa công nghệ mật mã phục vụ kinh tế số và hạ tầng dân sự, góp phần đưa chuẩn mật mã quốc gia của Hàn Quốc hội nhập quốc tế.

Nhìn chung, Hàn Quốc không tồn tại “mật mã dân sự” nằm ngoài quyền kiểm soát của Nhà nước, dù là về mặt kỹ thuật. Mọi mô-đun, thuật toán, tiêu chuẩn và sản phẩm đều được phê duyệt, giám sát và quản lý trong cùng một trục điều hành thống nhất, phản ánh mô hình “Nhà nước quản trị thông minh” - cứng về chính sách, linh hoạt về kỹ thuật, vừa bảo đảm tuyệt đối an ninh quốc gia, vừa khuyến khích phát triển công nghiệp mật mã nội địa và năng lực đổi mới sáng tạo quốc gia.

SO SÁNH ƯU NHƯỢC ĐIỂM CỦA TỪNG MÔ HÌNH

Bảng 1. So sánh các mô hình

KẾT LUẬN

Kinh nghiệm quốc tế cho thấy, thống nhất quyền quản lý nhà nước về mật mã là nguyên tắc bất biến, gắn liền với chủ quyền số và năng lực tự chủ công nghệ của mỗi quốc gia. Dù được tổ chức theo mô hình tập trung một đầu mối hay phân tầng kỹ thuật dưới sự điều phối thống nhất, các nước đều đặt Nhà nước ở vị trí trung tâm, nắm quyền điều tiết toàn diện từ chính sách, tiêu chuẩn, chứng nhận đến kiểm soát ứng dụng. Mật mã không đơn thuần là kỹ thuật bảo vệ thông tin mà là trụ cột của an ninh quốc gia trong kỷ nguyên số - bảo đảm cho sự ổn định của Nhà nước, an toàn dữ liệu và niềm tin xã hội. Điểm khác biệt giữa các mô hình chỉ nằm ở cách phân công kỹ thuật và mức độ linh hoạt trong phối hợp, chứ không phải ở việc phân tán hay chia sẻ quyền quản lý.

Đối với Việt Nam, cần giữ vững nguyên tắc tối cao là Đảng lãnh đạo trực tiếp, tuyệt đối, toàn diện đối với công tác cơ yếu; bảo đảm một đầu mối trong quản lý nhà nước về lĩnh vực này: Chính phủ thống nhất quản lý; Bộ trưởng Bộ Quốc phòng chịu trách nhiệm trước Chính phủ và trực tiếp chỉ đạo Ban Cơ yếu Chính phủ. Là cơ quan mật mã quốc gia và quản lý chuyên ngành về cơ yếu, Ban Cơ yếu Chính phủ giúp Bộ trưởng Bộ Quốc phòng thực hiện quản lý nhà nước về cơ yếu và mật mã dân sự. Theo quy định của Luật Cơ yếu và các văn bản pháp luật liên quan về lĩnh vực cơ yếu, bảo vệ bí mật nhà nước và an toàn thông tin mạng, Ban Cơ yếu Chính phủ có chức năng tham mưu, giúp Bộ trưởng Bộ Quốc phòng thống nhất quản lý nhà nước về cơ yếu và mật mã dân sự; tổ chức, chỉ đạo, hướng dẫn và kiểm tra việc thực hiện công tác cơ yếu trong phạm vi toàn quốc; đồng thời thực hiện các nhiệm vụ nghiên cứu, phát triển, ứng dụng và chuyển giao công nghệ mật mã; xây dựng, tham mưu ban hành và tổ chức thực hiện các tiêu chuẩn, quy chuẩn kỹ thuật; kiểm định, đánh giá, chứng nhận sản phẩm, giải pháp và dịch vụ mật mã; giám sát kỹ thuật, bảo đảm an toàn, tin cậy cho hạ tầng mật mã quốc gia; xây dựng, quản lý và vận hành hệ thống kỹ thuật mật mã phục vụ Đảng, Nhà nước và lực lượng vũ trang; tổ chức đào tạo, bồi dưỡng nhân lực cơ yếu; chủ trì, phối hợp và thực hiện hợp tác quốc tế trong lĩnh vực cơ yếu theo quy định của pháp luật. Với vai trò đó, Ban Cơ yếu Chính phủ là lực lượng nòng cốt trong việc bảo đảm bí mật, an toàn tuyệt đối thông tin lãnh đạo, chỉ đạo của Đảng, Nhà nước và chỉ huy của các lực lượng vũ trang, góp phần quan trọng trong giữ vững chủ quyền, an ninh, lợi ích quốc gia trên không gian mạng.

Chỉ bằng một cơ chế thống nhất, tập trung và chuyên nghiệp, chúng ta mới có thể xây dựng hệ thống mật mã quốc gia vững mạnh, tự chủ và an toàn, thực sự trở thành lá chắn bảo vệ chủ quyền số, bảo mật và an toàn thông tin cho toàn bộ hệ thống thông tin bí mật nhà nước trong thời đại số.