Quy tắc DOD Mới có thể Khuyến khích Tố giác về An ninh mạng trong Lĩnh vực Quốc phòng

Bài báo của TechNewsWorld, xuất bản vào ngày 23 tháng 9 năm 2025, thảo luận về tác động tiềm tàng của một quy tắc mới từ Bộ Quốc phòng Hoa Kỳ (DOD) nhằm tăng cường an ninh mạng tại các nhà thầu quốc phòng. Các chuyên gia pháp lý tin rằng quy tắc này có thể làm gia tăng số lượng người tố giác (whistleblowers) trong khu liên hợp quân sự-công nghiệp.

1. Quy tắc CMMC và Trách nhiệm Pháp lý Mới

Quy tắc mới này, được gọi là CMMC DFARS Rule (Defense Federal Acquisition Regulation Supplement - Cybersecurity Maturity Model Certification), thiết lập các tiêu chuẩn tuân thủ an ninh mạng bắt buộc và được triển khai theo từng giai đoạn bắt đầu vào tháng 11 năm 2025.

• Tăng rủi ro cho Nhà thầu: Quy tắc CMMC làm tăng đáng kể rủi ro mà một nhà thầu quốc phòng có thể đưa ra một "khiếu nại sai" với chính phủ. Cụ thể, khi một nhà thầu chứng nhận sai về việc tuân thủ các yêu cầu an ninh mạng nghiêm ngặt của quy tắc, họ có thể bị kiện theo Đạo luật Khiếu nại Sai (False Claims Act - FCA).

• Hậu quả Pháp lý Cao: Các nhà thầu có sai sót trong tuân thủ, hoặc trình bày sai về mức độ sẵn sàng an ninh mạng của họ, sẽ phải đối mặt với nguy cơ bị điều tra và kiện tụng cao hơn.

2. Khuyến khích Tố giác (Whistleblowing)

Quy tắc CMMC tạo ra các động lực mới cho việc tố giác liên quan đến an ninh mạng:

• Tiêu chuẩn Cụ thể: Quy tắc biến các kỳ vọng an ninh mạng mơ hồ thành các yêu cầu cụ thể, có thể đo lường được, giúp nhân viên dễ dàng nhận ra khi nào có sự vi phạm. Điều này làm cho các vi phạm dễ xác định và dễ báo cáo hơn.

• Bảo vệ và Động lực Tài chính: Những người tố giác giờ đây có sự bảo vệ pháp lý mạnh mẽ hơn và động lực tài chính để báo cáo việc không tuân thủ. Theo FCA, người tố giác có thể nhận được một phần thưởng tài chính đáng kể (lên đến 30% số tiền chính phủ thu hồi được) nếu thông tin của họ dẫn đến một vụ kiện thành công.

• Dấu vết Giấy tờ: Sự nhấn mạnh của quy tắc vào giám sát liên tục và tài liệu hóa tạo ra các dấu vết giấy tờ sâu rộng, giúp nhân viên dễ dàng chứng minh các khiếu nại về hành vi gian lận hoặc thực hành bảo mật không đầy đủ.

3. Bối cảnh Thực thi

Bộ Tư pháp Hoa Kỳ (DOJ) đã tăng cường thực thi các quy định về an ninh mạng, đặc biệt thông qua Sáng kiến Gian lận Mạng Dân sự (Civil Cyber Fraud Initiative).

• Các vụ kiện Tiêu biểu: Đã có các vụ dàn xếp đáng chú ý theo FCA với các nhà thầu quốc phòng vì cáo buộc trình bày sai về việc tuân thủ các yêu cầu an ninh mạng, cho thấy sự sẵn lòng của DOJ trong việc theo đuổi các thất bại kỹ thuật, ngay cả khi không có bằng chứng về việc rò rỉ dữ liệu.

Tóm lại, quy tắc DOD mới được thiết kế để bảo vệ Thông tin Không được Phân loại có Kiểm soát (CUI) và Thông tin Hợp đồng Liên bang (FCI), nhưng hậu quả ngoài ý muốn của nó là làm tăng tính nhạy cảm của các nhà thầu đối với các hành vi tố giác, do rủi ro pháp lý và động lực tài chính mới được tạo ra cho nhân viên nội bộ.