Kinh nghiệm xử lý hành vi tấn công từ chối dịch vụ (DoS/DDoS) trong pháp luật hình sự một số quốc gia và đề xuất hoàn thiện pháp luật Việt Nam

Tóm tắt:

Bài viết phân tích kinh nghiệm xử lý hành vi tấn công từ chối dịch vụ (DoS/DDoS) trong pháp luật hình sự của một số quốc gia tiêu biểu gồm: Vương quốc Anh, Hoa Kỳ và Cộng hòa Liên bang Đức. Từ đó, nghiên cứu đề xuất hoàn thiện pháp luật hình sự Việt Nam theo hướng cụ thể hóa tiêu chí đánh giá mức độ cản trở nghiêm trọng, bổ sung cơ chế xử lý hành vi đe dọa, tống tiền thông qua DoS/DDoS và tăng cường hợp tác quốc tế trong điều tra, xử lý tội phạm mạng.

Từ khóa: tội phạm mạng, DoS, DDoS, pháp luật hình sự, hành vi tấn công từ chối dịch vụ.

1. Đặt vấn đề

Trong bối cảnh chuyển đổi số, tính sẵn sàng và khả năng vận hành liên tục của hệ thống thông tin trở thành yếu tố quan trọng bảo đảm an ninh mạng và trật tự xã hội. Tấn công từ chối dịch vụ DoS và tấn công từ chối dịch vụ phân tán DDoS là các hình thức tấn công mạng nhằm làm gián đoạn hoặc tê liệt khả năng truy cập hợp pháp vào hệ thống thông tin thông qua việc tạo ra lưu lượng truy cập vượt quá năng lực xử lý. Khác với hành vi xâm nhập trái phép để chiếm đoạt dữ liệu, DoS/DDoS chủ yếu xâm phạm tính sẵn sàng và hoạt động bình thường của hệ thống.

Dựa trên kinh nghiệm của pháp luật các quốc gia như Hoa Kỳ, Vương quốc Anh và Cộng hòa Liên bang Đức - những quốc gia phát triển, đánh giá quy định của pháp luật hình sự Việt Nam trong xử lý hành vi tấn công DoS/DDoS nhằm làm rõ khả năng hoàn thiện pháp luật hình sự Việt Nam tiệm cận hơn với pháp luật các quốc gia trên thế giới và phòng ngừa tối đa đối với tội phạm mạng này.

2. Quy định của pháp luật hình sự Việt Nam xử lý hành vi tấn công DoS/DDoS

Pháp luật Việt Nam quy định hành vi tấn công DoS/DDoS là một hành vi tấn công mạng tại Khoản 13 Điều 2, và tại Khoản 3 và 4 Điều 7 Luật An ninh mạng năm 2018 sửa đổi bổ sung năm 2025 có hiệu lực từ ngày 01/07/2026^[1], các điều luật mô tả hành vi cụ thể hơn so với khái niệm tấn công mạng tại Khoản 2. Do đó, về xử lý hành chính, tội phạm này có thể bị xử lý theo Điều 80 Nghị định số 15/2020/NĐ-CP ngày 03/02/2020 của Chính phủ về xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, công nghệ thông tin và giao dịch điện tử^[2].

Trong thực tiễn, nếu hành vi tấn công từ chối dịch vụ DoS/DDoS không chỉ dừng lại ở mức độ vi phạm thông thường mà còn gây ra những tác động nghiêm trọng, gây thiệt hại đáng kể cho xã hội thì hành vi có thể bị xem xét truy cứu trách nhiệm hình sự theo Điều 287 tội “Cản trở hoặc gây rối loạn hoạt động của mạng máy; mạng viễn thông; phương tiện điện tử” của Bộ luật Hình sự năm 2015 sửa đổi bổ sung năm 2017 và năm 2025^[3]. Hành vi tấn công DoS/DDoS thường được thực hiện thông qua việc gửi một số lượng lớn các yêu cầu truy cập giả mạo hoặc bất thường đến hệ thống mục tiêu trong một khoảng thời gian khiến người sử dụng hợp pháp không thể truy cập hoặc sử dụng hệ thống thông tin. Tuy nhiên, không phải bất kỳ hành vi cản trở nào cũng cấu thành tội phạm. Các hành vi này phải thỏa mãn các dấu hiệu định tội được quy định tại khoản 1 Điều 287 Bộ luật Hình sự. Về hình phạt, Điều 287 quy định 4 khung hình phạt đối với cá nhân có hành vi tấn công từ chối dịch vụ Dos/DDos với hình phạt tiền từ 30.000.000 đồng đến 200.000.000 đồng hoặc phạt tù từ 06 tháng đến 12 năm. Ngoài ra, người phạm tội còn có thể phải chịu một số hình phạt bổ sung khác.

3. Quy định của pháp luật hình sự một số quốc gia trong xử lý hành vi tấn công DoS/DDoS

3.1. Quy định của pháp luật hình sự Hoa Kỳ

Tại Hoa Kỳ, hành vi tấn công DoS/DDoS được xử lý chủ yếu theo Đạo luật Gian lận và Lạm dụng Máy tính năm 1986 (Computer Fraud and Abuse Act - CFAA), được pháp điển hóa tại 18 U.S.C. § 1030 Bộ luật Liên bang Hoa Kỳ^[4]. Đây là văn bản pháp lý trung tâm điều chỉnh các hành vi xâm phạm hệ thống máy tính ở cấp liên bang và được sửa đổi nhiều lần nhằm đáp ứng sự phát triển của tội phạm mạng. Theo quy định tại 18 U.S.C. § 1030(a)(5), một người có thể bị truy cứu trách nhiệm hình sự nếu cố ý gây ra việc truyền tải chương trình, thông tin, mã hoặc lệnh và qua đó cố ý gây thiệt hại cho một “máy tính được bảo vệ”^[5]. Đối với hành vi tấn công từ chối dịch vụ DoS/DDoS, người thực hiện thường gửi một lượng rất lớn yêu cầu truy cập hoặc dữ liệu đến hệ thống mục tiêu trong thời gian ngắn, khiến hệ thống bị quá tải và không thể xử lý kịp và khi đó, người dùng hợp pháp không thể truy cập hoặc sử dụng dịch vụ như bình thường. Theo pháp luật Hoa Kỳ, việc cố ý thực hiện hành vi này và làm gián đoạn hoạt động của hệ thống đã được coi là hành vi gây thiệt hại theo phương diện pháp lý. Đáng chú ý, khái niệm “thiệt hại” trong CFAA không chỉ giới hạn ở việc xóa bỏ hoặc làm thay đổi dữ liệu mà còn bao gồm việc làm suy giảm tính toàn vẹn hoặc tính sẵn sàng của hệ thống hoặc dữ liệu.

Về yếu tố lỗi, CFAA yêu cầu hành vi được thực hiện có chủ đích hoặc biết việc làm này là hành vi tấn công không gian mạng. Điều này có nghĩa chủ thể nhận thức được hành vi của mình và ý thức được khả năng gây thiệt hại cho hệ thống, nhưng vẫn thực hiện hành vi đó. Pháp luật Hoa Kỳ không yêu cầu trong mọi trường hợp phải chứng minh hành vi truy cập trái phép như một điều kiện bắt buộc cấu thành tội phạm đối với hành vi gây thiệt hại hệ thống, cũng không cần chứng minh mục đích chiếm đoạt tài sản trong cấu thành cơ bản.

Về chế tài, hành vi vi phạm có thể bị phạt tù tối đa 10 năm đối với lần đầu phạm tội; nếu tái phạm hoặc gây hậu quả nghiêm trọng, mức phạt có thể lên đến 20 năm tù, kèm theo phạt tiền và các biện pháp bổ sung như tịch thu tài sản liên quan. Hệ thống hình phạt linh hoạt cho phép tòa án cân nhắc mức độ nguy hiểm của hành vi, phạm vi ảnh hưởng và hậu quả thực tế khi quyết định hình phạt cụ thể.

3.2. Quy định của pháp luật hình sự Vương quốc Anh

Tại Vương quốc Anh, hành vi này được hình sự hóa và xây dựng, hoàn thiện khung pháp lý thông qua Đạo luật Lạm dụng máy tính năm 1990 (Computer Misuse Act 1990)^[6], được sửa đổi, bổ sung và tích hợp trong Đạo luật Tội phạm Nghiêm trọng năm 2015 (Serious Crime Act 2015)^[7].

Qua đó, tại Điều 3^[8] và Điều 3ZA^[9], Đạo luật Lạm dụng Máy tính năm 1990 (sửa đổi, bổ sung tại Điều 41^[10] Đạo luật Tội phạm nghiêm trọng năm 2015), hành vi tấn công từ chối dịch vụ (DoS/DDoS) được coi là hành vi trái phép liên quan đến máy tính và bị nghiêm cấm bởi các lý do sau: Thứ nhất, các cuộc tấn công do hành vi DoS/DDoS thực hiện không có sự cho phép của chủ sở hữu hoặc người quản lý hợp pháp của hệ thống máy tính trong việc phát sinh hậu quả là một lượng lớn yêu cầu truy cập hoặc dữ liệu; thứ hai, DoS/DDoS trực tiếp làm suy giảm hoặc tê liệt khả năng cung cấp dịch vụ của hệ thống thông tin, thậm chí, hệ thống còn bị gián đoạn kéo dài, gây đình trệ hoạt động của cơ quan, tổ chức hoặc doanh nghiệp, làm ảnh hưởng nghiêm trọng đến lợi ích hợp pháp của các chủ thể liên quan.

Điều 3ZA^[11] của Đạo luật Lạm dụng Máy tính năm 1990 (sửa đổi, bổ sung tại Điều 41^[12] Đạo luật Tội phạm nghiêm trọng năm 2015) còn quy định hành vi DoS/DDoS qua việc gây ra hoặc tạo ra nguy cơ đáng kể dẫn đến thiệt hại nghiêm trọng mang tính vật chất. Các dạng thiệt hại mang tính vật chất được điều luật quy định bao gồm: thiệt hại đến phúc lợi con người ở bất kỳ nơi nào; thiệt hại đến môi trường ở bất kỳ nơi nào; thiệt hại đến nền kinh tế của bất kỳ quốc gia nào; hoặc thiệt hại đến an ninh quốc gia của bất kỳ quốc gia nào. Đáng chú ý, pháp luật Anh không yêu cầu phải chứng minh hành vi DoS/DDoS là nguyên nhân trực tiếp hoặc duy nhất dẫn đến thiệt hại nghiêm trọng. Chỉ cần xác định hành vi đó tạo ra nguy cơ đáng kể hoặc góp phần quan trọng vào việc phát sinh hậu quả nghiêm trọng là đã đủ căn cứ để cấu thành tội phạm theo Điều 3ZA^[13].

Về yếu tố lỗi, điều luật yêu cầu người phạm tội biết hành vi của mình là không được phép thực hiện, thông thường, yếu tố này thường được thể hiện thông qua việc người thực hiện sử dụng các biện pháp che giấu danh tính như mạng riêng ảo (VPN), các công cụ ẩn danh hoặc mạng botnet để tiến hành tấn công; nhận thức được hành vi của mình có khả năng gây ra sự gián đoạn nghiêm trọng đối với hoạt động của hệ thống thông tin nhưng vẫn thực hiện.

Về hình phạt, pháp luật Anh quy định 2 khung hình phạt đối với hành vi DoS/DDoS. Khung hình phạt cơ bản được áp dụng trong trường hợp hành vi gây ra hoặc tạo nguy cơ gây ra thiệt hại đáng kể nhưng chưa dẫn đến hậu quả đặc biệt nghiêm trọng; theo đó, người phạm tội có thể bị phạt tù không quá 14 năm, hoặc bị phạt tiền, hoặc áp dụng đồng thời cả 2 hình phạt^[14]. Khung hình phạt tăng nặng được áp dụng khi hành vi DoS/DDoS dẫn đến hoặc tạo nguy cơ đáng kể gây thiệt hại nghiêm trọng đến phúc lợi con người hoặc an ninh quốc gia, mức hình phạt tối đa có thể lên tới tù chung thân, kết hợp với phạt tiền hoặc đồng thời cả 2 hình phạt^[15].

3.3. Quy định của pháp luật hình sự Đức

Trong hệ thống pháp luật hình sự Đức, hành vi tấn công từ chối dịch vụ DoS/DDoS được xác định là một dạng tội phạm công nghệ cao có tính chất xâm phạm trực tiếp đến an ninh mạng và trật tự xã hội. Căn cứ vào đặc điểm cụ thể của từng vụ việc, người tấn công có thể bị truy cứu trách nhiệm hình sự theo các điều khoản tương ứng của Bộ luật Hình sự Đức, bao gồm: Điều 202a quy định về hành vi gián điệp thu thập dữ liệu trái phép; Điều 263a về tội lừa đảo máy tính; Điều 303a khai thác dữ liệu trái phép; và Điều 303b về tội phá hoại máy tính^[16].

Về bản chất, tấn công từ chối dịch vụ DoS/DDoS là hành vi tạo ra hoặc điều phối một lượng lớn yêu cầu truy cập bất hợp pháp nhằm làm quá tải hệ thống; trường hợp hành vi tấn công được thực hiện với mục đích truy cập trái phép vào dữ liệu máy tính được bảo vệ, thì chủ thể thực hiện có thể bị xem xét xử lý theo Điều 202a Bộ luật Hình sự Đức về tội gián điệp thu thập dữ liệu trái phép^[17]. Đặc biệt, với hành vi trục lợi bất chính từ việc truy cập trái phép can thiệp vào hệ thống thông tin máy tính của chủ thể bị hại thì sẽ được xử lý thông qua Điều 263a về tội lừa đảo máy tính^[18]. Đáng chú ý tại các quy định Điều 303a khai thác dữ liệu trái phép^[19] và Điều 303b về tội phá hoại máy tính^[20] Bộ luật Hình sự Đức quy định chi tiết hơn về hành vi khách quan của hành vi tấn công từ chối dịch vụ DoS/DDoS khi làm cho hệ thống thông tin không thể vận hành và khai thác một cách hợp pháp và hiệu quả; quá trình xử lý dữ liệu bị đình trệ hoặc rối loạn, dẫn đến việc dữ liệu không thể sử dụng. Trong những trường hợp nghiêm trọng hơn, hành vi còn có thể tác động đến hệ thống xử lý dữ liệu hoặc thiết bị lưu trữ, làm thay đổi cấu trúc, chức năng hoặc trạng thái hoạt động. Hình phạt được áp dụng có thể là hình phạt tiền hoặc hình phạt tù đến 10 năm.

4. Đề xuất hoàn thiện pháp luật hình sự tại Việt Nam

Dựa trên kinh nghiệm của pháp luật các quốc gia như: Hoa Kỳ, Vương quốc Anh và Cộng hòa Liên bang Đức cho thấy, các nền pháp luật này không chỉ hình sự hóa hành vi tấn công DoS/DDoS một cách tương đối rõ ràng, mà còn mở rộng phạm vi xử lý đối với các hành vi tổ chức, điều phối hoặc lợi dụng tấn công để trục lợi. Trong khi đó, pháp luật hình sự Việt Nam hiện chủ yếu xử lý hành vi tấn công DoS/DDoS thông qua quy định chung về cản trở hoặc gây rối loạn hoạt động của mạng máy tính, chưa cụ thể hóa đầy đủ các dạng biểu hiện mới của hành vi này, chưa làm rõ cơ chế xử lý trường hợp tấn công gắn với yêu cầu tiền, và cũng chưa đặt ra trách nhiệm hình sự đối với pháp nhân thương mại trong loại tội phạm này. Do đó, nhóm tác giả có một số đề xuất sau nhằm hoàn thiện pháp luật hình sự xử lý hành vi tấn công DoS/DDoS:

Thứ nhất, bổ sung một số hành vi mới nhằm hoàn thiện quy định về xử lý tấn công DoS/DDoS. Pháp luật hình sự Việt Nam cần bổ sung và làm rõ một số hành vi như những dạng biểu hiện của hành vi tấn công DoS/DDoS:

(i) Hành vi cố ý tạo ra hoặc huy động lưu lượng truy cập, yêu cầu hoặc gói dữ liệu bất thường nhằm làm cạn kiệt tài nguyên hệ thống (băng thông, bộ nhớ, năng lực xử lý), dẫn đến việc hệ thống không thể hoặc chỉ có thể cung cấp dịch vụ ở mức suy giảm nghiêm trọng;

(ii) Hành vi tổ chức, điều khiển hoặc tham gia vận hành mạng botnet để thực hiện tấn công DoS/DDoS, kể cả trong trường hợp đối tượng không trực tiếp phát động tấn công nhưng giữ vai trò điều phối, cung cấp hạ tầng hoặc duy trì hoạt động của mạng botnet;

(iii) Hành vi thực hiện tấn công DoS/DDoS có tính chất kéo dài, lặp lại nhiều lần hoặc có kế hoạch nhằm gây gián đoạn liên tục đối với hệ thống thông tin được bảo vệ, đặc biệt là hệ thống cung cấp dịch vụ công, dịch vụ tài chính - ngân hàng, y tế, giáo dục hoặc hạ tầng thông tin trọng yếu. Bên cạnh đó, cần xem xét bổ sung hành vi cung cấp, môi giới hoặc cho thuê dịch vụ tấn công DoS/DDoS (DDoS-as-a-Service) như một dạng hành vi độc lập hoặc hành vi đồng phạm, thay vì chỉ xử lý gián tiếp thông qua các quy định chung về đồng phạm dưới vai trò giúp sức.

Thứ hai, xử lý hành vi tấn công DoS/DDoS gắn với yêu cầu tiền hoặc lợi ích vật chất theo tình tiết tăng nặng tại Điều 287 hoặc xử lý hình sự theo Điều 170. Thực tiễn cho thấy, hành vi tấn công từ chối dịch vụ (DoS/DDoS) ngày càng được sử dụng như một công cụ gây sức ép nhằm buộc nạn nhân phải đáp ứng yêu cầu về tiền hoặc lợi ích vật chất khác, thường được gọi là “DDoS extortion”. Theo đó, cần bổ sung hành vi đòi tiền hoặc lợi ích vật chất kèm theo tấn công DoS/DDoS như một tình tiết tăng nặng trách nhiệm hình sự trong cấu thành tội phạm quy định tại Điều 287 Bộ luật Hình sự. Mặt khác, mục đích của hành vi mang tính “đi kèm”, khác với mục đích của việc cưỡng đoạt tài sản được quy định tại Điều 170 Bộ luật Hình sự. Cách tiếp cận này giúp xử lý nghiêm khắc hơn các trường hợp phạm tội có động cơ vụ lợi mà không làm thay đổi bản chất pháp lý của hành vi xâm phạm hệ thống thông tin.

Thứ ba, cần nghiên cứu mở rộng trách nhiệm hình sự của pháp nhân thương mại đối với hành vi DoS/DDoS. Trong bối cảnh nhiều cuộc tấn công DoS/DDoS được thực hiện có tổ chức, sử dụng hạ tầng kỹ thuật và nguồn lực lớn, có thể có sự tham gia hoặc chỉ đạo từ pháp nhân thương mại. Tuy nhiên, pháp luật hình sự hiện hành chưa quy định trách nhiệm hình sự của pháp nhân đối với loại tội phạm này, dẫn đến khoảng trống trong xử lý. Cụ thể, tại Điều 76 Bộ luật Hình sự, pháp nhân thương mại không phải chịu trách nhiệm hình sự đối với hành vi DoS/DDoS được mô tả cụ thể tại Điều 287 Bộ luật Hình sự. Việc nghiên cứu mở rộng trách nhiệm hình sự của pháp nhân thương mại đối với DoS/DDoS không chỉ phù hợp với xu hướng lập pháp quốc tế mà còn góp phần tăng cường hiệu quả phòng ngừa, đặc biệt đối với các hành vi tấn công có quy mô lớn, gây hậu quả nghiêm trọng cho xã hội.

TÀI LIỆU TRÍCH DẪN: