“Bịt lỗ hổng” an ninh mạng
An ninh mạng đã và đang trở thành trọng tâm mới trong hành trình chuyển đổi số của nền kinh tế Việt Nam, được đánh dấu bằng cột mốc Lễ ký Công ước Liên hợp quốc về chống tội phạm mạng tại Hà Nội.
Chia sẻ với Diễn đàn Doanh nghiệp, ông Bruno Sivanandan, Giám đốc điều hành Cycle Vietnam, một nhà tư vấn chuyển đổi số và an ninh mạng từ châu Âu, phân tích “mắt xích yếu nhất” trong an ninh mạng tại Việt Nam không nằm ở công nghệ, mà ở quản trị và con người.
- Các doanh nghiệp Việt Nam đã nỗ lực trong chuyển đổi số, nhưng vẫn còn những trăn trở về khả năng ứng phó nguy cơ trên không gian mạng. Theo ông, đâu là mắt xích yếu nhất trong vấn đề này tại các doanh nghiệp?
Ngày nay, hầu hết doanh nghiệp đều thuê ngoài nhiều hoạt động, từ nhân sự, trả lương, marketing đến lưu trữ dữ liệu. Mỗi lần dữ liệu được chia sẻ với bên thứ ba, rủi ro lại nhân lên.
Xu hướng này càng rõ rệt hơn khi trí tuệ nhân tạo (AI) được tích hợp vào gần như mọi quy trình vận hành, khiến bức tranh an ninh mạng trở nên phức tạp hơn. Trong 5 đến 10 năm tới, chỉ còn một số ít nhà cung cấp lớn có năng lực kỹ thuật mạnh và uy tín mới giữ được niềm tin thị trường.
Theo kinh nghiệm của tôi, “mắt xích yếu nhất” không nằm ở công nghệ mà ở quản trị rủi ro mạng và tuân thủ ở cấp điều hành. Nhiều doanh nghiệp thiếu tầm nhìn ở cấp hội đồng quản trị, dẫn đến lỗ hổng toàn hệ thống. Bởi vậy, công việc của tôi là giúp các CEO có cái nhìn toàn diện về rủi ro, nghĩa vụ pháp lý và thiết kế lộ trình hành động cụ thể trong vấn đề an ninh mạng. Sau yếu tố quản trị, một mắt xích dễ bị tấn công là yếu tố con người. Ở Việt Nam, công nghệ lại không phải nỗi lo hàng đầu về an ninh mạng.
- Đầu tư cho an ninh mạng chưa phổ biến tại Việt Nam. Theo ông, các doanh nghiệp nên thay đổi nhận thức ra sao và làm gì để bắt kịp yêu cầu về an ninh dữ liệu cho công ty?
Đúng là khoản đầu tư này mới chỉ tập trung ở một số công ty lớn, nhưng tôi thấy điều đó đang dần thay đổi. Ngày càng nhiều lãnh đạo nhận ra rằng an ninh mạng không phải là “chi phí” mà là một khoản đầu tư cho tính bền vững của doanh nghiệp, tương tự như việc mua bảo hiểm.
Hiện nay, mối đe dọa phổ biến nhất đối với doanh nghiệp Việt Nam là tấn công lừa đảo. Khi một tài khoản bị xâm nhập, kẻ tấn công có thể giả mạo doanh nghiệp gửi hóa đơn giả hoặc thay đổi thông tin tài khoản ngân hàng để chiếm đoạt tiền. Chỉ một sai sót nhỏ cũng có thể dẫn đến thiệt hại tài chính nặng nề, thậm chí phá sản nếu hoạt động bị tê liệt trong một hoặc hai tuần.
Cả doanh nghiệp và cá nhân đều cần thay đổi tư duy: đầu tư vào an ninh mạng chính là xây nền móng cho chuyển đổi số và tích hợp AI an toàn. Ví dụ, một công ty có hệ thống ERP vững chắc có thể dễ dàng tích hợp AI để xử lý hóa đơn hoặc tương tác với khách hàng mà vẫn đảm bảo tuân thủ và bảo vệ dữ liệu.
- Theo ông, thị trường dịch vụ an ninh mạng tại Việt Nam đang phát triển như thế nào?
Thị trường dịch vụ an ninh mạng đang mở rộng nhanh chóng, với sự tham gia của cả doanh nghiệp trong và ngoài nước. Tôi thấy các công ty Việt Nam có chiến lược rõ ràng và tư duy chuyên nghiệp; chúng tôi đã hợp tác thành công với họ trong các dự án tại châu Âu.
Về cấu trúc, thị trường có thể chia thành ba tầng. Thứ nhất là hạ tầng kỹ thuật an ninh, ví dụ như Trung tâm điều hành an ninh (SOC) giám sát hệ thống và phát cảnh báo. Thứ hai là dịch vụ ứng phó sự cố, bao gồm xử lý vi phạm, kiểm thử xâm nhập và khôi phục hệ thống. Cuối cùng là quản trị và tuân thủ, trong đó tích hợp giải pháp an ninh mạng vào chiến lược doanh nghiệp ở cấp điều hành.
Cycle Vietnam tập trung vào tầng thứ ba, giúp CEO hiểu vì sao và bằng cách nào để đầu tư hợp lý, tối ưu ngân sách và bao quát toàn bộ rủi ro.
- Với tiềm năng của thị trường, ông đánh giá ra sao về nguồn nhân lực nội địa của Việt Nam trong lĩnh vực này?
Tôi nhận thấy nhân lực an ninh mạng của Việt Nam vẫn còn thiếu hụt, đặc biệt là chuyên gia tư vấn. Kỹ sư Việt Nam rất giỏi về kỹ thuật, nhưng thường thiếu tư duy phản biện và kỹ năng giao tiếp cần thiết cho vai trò cố vấn cấp cao. Tuy nhiên, khi ngày càng nhiều trường đại học mở chương trình đào tạo chuyên sâu, tôi lạc quan rằng khoảng trống này sẽ sớm được lấp đầy.
Không thể phủ nhận Việt Nam có lợi thế lớn: nhân lực chất lượng cao với chi phí cạnh tranh. Với đầu tư đúng hướng, Việt Nam hoàn toàn có thể trở thành trung tâm khu vực về dịch vụ an ninh mạng, thậm chí xuất khẩu chuyên môn sang thị trường châu Âu.
- Ông đánh giá thế nào về khung pháp lý an ninh mạng của Việt Nam? Và ông có khuyến nghị gì cho Chính phủ Việt Nam tăng cường năng lực này?
Chính phủ Việt Nam đã rất chủ động. Các văn bản như Nghị định 13/2023 về bảo vệ dữ liệu cá nhân, Luật Bảo vệ dữ liệu cá nhân, Luật An ninh mạng, cùng với các Luật về thương mại điện tử, công nghiệp công nghệ số... đều góp phần xây dựng nền tảng pháp lý quan trọng.
Tuy nhiên, kinh nghiệm châu Âu cho thấy việc tuân thủ chỉ thực sự hiệu quả khi có cơ chế thực thi mạnh và chế tài nghiêm minh. Tôi cho rằng Việt Nam đang chuyển từ giai đoạn “xây khung pháp lý” sang “thực thi khung pháp lý”.
Tôi cho rằng đối thoại giữa Chính phủ và cộng đồng doanh nghiệp rất hiệu quả và cần được duy trì. Lễ mở ký Công ước của Liên hợp quốc về chống tội phạm mạng diễn ra tại Hà Nội là một sáng kiến đáng hoan nghênh, thể hiện vai trò ngày càng rõ của Việt Nam trên bản đồ an ninh mạng toàn cầu.
Tuy vậy, cần nhớ rằng luôn tồn tại khoảng cách giữa cam kết và triển khai thực tế. Các chuyên gia an ninh mạng cần được lắng nghe để hoàn thiện khung pháp lý. Hội nghị này đã mang lại ý nghĩa biểu tượng lớn, nhưng để chuyển hóa thành tiến bộ thực chất, cần duy trì cam kết liên tục ít nhất trong 5 đến 10 năm tới.
- Trân trọng cảm ơn ông!