Tin Khu Vực 
An ninh mạng - thách thức của doanh nghiệp
Phát biểu trong Diễn đàn “Tương lai số an toàn cho doanh nghiệp vừa và nhỏ” do Liên đoàn Thương mại và Công nghiệp Việt Nam (VCCI) cùng Hiệp hội An ninh mạng quốc gia tổ chức ngày 15/4 tại Hà Nội, ông Nguyễn Hoa Cương, Phó Viện trưởng Viện Nghiên cứu Chính sách và Chiến lược, Ban Chính sách và Chiến lược Trung ương cho biết, doanh nghiệp vừa và nhỏ chiếm 98% tổng số doanh nghiệp; gần 1,1 triệu doanh nghiệp hoạt động tính đến hết năm 2025.
Ông Nguyễn Hoa Cương, Phó Viện trưởng Viện Nghiên cứu Chính sách và Chiến lược, Ban Chính sách và Chiến lược Trung ương.
Ông Nguyễn Hoa Cương nhận định, an ninh mạng là thách thức của các doanh nghiệp vừa và nhỏ. Đầu tiên, là sự gia tăng của các cuộc tấn công mạng đe dọa trực tiếp đến sự tồn tại của doanh nghiệp.
Thứ hai, nhận thức về an ninh mạng còn thấp, không có nhân viên chuyên trách về an toàn thông tin, phần lớn chỉ bắt đầu đầu tư khi gặp sự cố.
Thứ ba, thiếu chiến lược dài hạn, phụ thuộc nền tảng bên thứ ba và là “mắt xích yếu” trong chuỗi cung ứng, "số hóa từng phần" chứ không "chuyển đổi số toàn diện"; rào cản về nguồn lực.
Từ đó, ông Nguyễn Hoa Cương đưa ra các nhóm giải pháp. Đối với Chính phủ, cần cụ thể hóa các hướng dẫn thực thi luật; xây dựng các chương trình hỗ trợ đơn giản, hiệu quả để doanh nghiệp dễ tiếp cận; tăng cường đối thoại chính sách; tăng cường nhận thức, năng lực cho cộng đồng doanh nghiệp.
Liên quan đến hệ sinh thái, ông Cương cho hay, cần xây dựng cổng thông tin và danh bạ nhà cung cấp. Theo đó, thiết lập các nền tảng tài nguyên cung cấp hướng dẫn thực hành tốt nhất và danh bạ các nhà cung cấp dịch vụ an ninh mạng uy tín đã được xác thực để doanh nghiệp dễ dàng lựa chọn.
Phát triển các chương trình đào tạo kỹ năng; thúc đẩy mô hình hợp tác công tư: Xây dựng các mô hình thực tế nơi doanh nghiệp, hiệp hội và các trường đại học cùng chia sẻ vai trò trong việc đào tạo nhân lực và diễn tập ứng cứu sự cố.
Đồng thời, xây dựng cơ chế cảnh báo sớm: Thiết lập hệ thống chia sẻ thông tin về các mối đe dọa mạng liên ngành để các doanh nghiệp nhỏ có thể chủ động phòng tránh.
Đối với doanh nghiệp, theo ông Cương, cần thực hiện "vệ sinh mạng" (Cyber hygiene). Nền tảng cơ bản bao gồm việc sử dụng phần mềm diệt virus, tường lửa, chính sách mật khẩu mạnh, mã hóa dữ liệu và xác thực nhiều lớp.
Cùng với đó, áp dụng quy trình sao lưu 3-2-1. Ông Cương nhấn mạnh, doanh nghiệp cần lưu trữ ít nhất 3 bản sao dữ liệu, trên 2 loại phương tiện khác nhau và có 1 bản lưu trữ ngoại vi (offsite) để đảm bảo an toàn trước các cuộc tấn công mã hóa dữ liệu (ransomware).
Ngoài ra, doanh nghiệp cần chuyển đổi sang hệ thống điện toán đám mây; sử dụng phần mềm có bản quyền, thay thế các phiên bản miễn phí hoặc không rõ nguồn gốc bằng phần mềm có giấy phép để giảm thiểu lỗ hổng bảo mật; khuyến khích áp dụng các khung tiêu chuẩn để chuẩn hóa công tác an toàn thông tin...
Cần áp dụng quy trình bảo vệ dữ liệu cá nhân
Tham luận với chủ đề "Chính sách và quy định về bảo đảm an ninh mạng và bảo vệ dữ liệu" tại diễn đàn, Thượng tá Nguyễn Đình Đỗ Thi, Trưởng Ban Nghiên cứu, tư vấn chính sách, pháp luật, Hiệp hội An ninh mạng Quốc gia cho biết, trên thế giới, rất nhiều quốc gia coi dữ liệu là tài sản quốc gia.
Thượng tá Nguyễn Đình Đỗ Thi, Trưởng Ban Nghiên cứu, tư vấn chính sách, pháp luật, Hiệp hội An ninh mạng Quốc gia.
Theo ông Nguyễn Đình Đỗ Thi, hiện nay, cùng với quá trình chuyển đổi số thì không gian mạng cũng tạo ra vô vàn những thách thức, rủi ro. Đặc biệt, vấn đề xâm phạm dữ liệu. "Hiện nay, trên các diễn đàn kín và thậm chí có một số diễn đàn công khai rao bán rất nhiều các loại dữ liệu, trong đó, có nhiều tệp dữ liệu của người dùng Việt Nam" - ông Thi cho hay.
Trong 3 năm qua, cơ quan chức năng, trong đó có Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao đã phát hiện, xử lý hơn 30 vụ việc mua bán, chiếm đoạt trái phép dữ liệu cá nhân với khoảng hơn 160 triệu bản ghi dữ liệu cá nhân bị lộ, lọt trong nhiều lĩnh vực.
Bên cạnh đó, qua tổng kết việc thi hành Nghị định số 13 của Chính phủ về Bảo vệ dữ liệu cá nhân, ông Nguyễn Đình Đỗ Thi nhận thấy, nhiều cơ quan, tổ chức, doanh nghiệp còn gặp khó khăn, lúng túng trong triển khai công tác bảo vệ dữ liệu cá nhân. Một số quy trình áp dụng chưa đầy đủ, chưa quy củ và bài bản.
Việc xây dựng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, đánh giá tác động chuyển dữ liệu xuyên biên giới và thông báo vi phạm dữ liệu cá nhân của nhiều cơ quan, tổ chức, doanh nghiệp còn chậm trễ và thiếu sót...
Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân nhằm để khắc phục những bất cập, những lỗ hổng, những vướng mắc phát sinh trong quá trình thực hiện Nghị định 13.
Trong triển khai thi hành Luật Bảo vệ dữ liệu cá nhân, ông Thi cũng nêu một số vấn đề cần lưu ý: Các cơ quan, tổ chức, doanh nghiệp (trong đó có các doanh nghiệp vừa và nhỏ) cần rà soát toàn bộ hoạt động xử lý dữ liệu cá nhân của cơ quan, tổ chức mình và đánh giá hiện trạng tuân thủ pháp lý và biện pháp bảo vệ dữ liệu cá nhân.
Bên cạnh đó, cần áp dụng đầy đủ các biện pháp, giải pháp, quy trình, cơ chế bảo vệ dữ liệu cá nhân ở từng khâu và trong toàn bộ quá trình xử lý dữ liệu.
Theo ông Thi, xử lý dữ liệu cá nhân bao gồm rất nhiều khâu, gồm một chuỗi quy trình từ tạo lập, thu thập, phân tích, tổng hợp, mã hóa... Tất cả các khâu này đều phải áp dụng các biện pháp, giải pháp để bảo vệ. "Nếu bỏ sót một khâu nào đó, có thể tin tặc, tội phạm, các đối tượng có thể nhằm vào những "mắt xích" yếu đó để tấn công, đánh cắp thông tin dữ liệu" - ông Nguyễn Đình Đỗ Thi lưu ý.
Ngoài ra, ông cũng cho rằng, cần thực hiện chỉ định nhân sự hoặc bộ phận bảo vệ dữ liệu cá nhân trong nội bộ tổ chức của cơ quan, tổ chức, doanh nghiệp; hoặc có thể sử dụng các dịch vụ chuyên gia bảo vệ dữ liệu cá nhân thông qua đơn vị cung cấp các dịch vụ giải pháp này.
Ông Nguyễn Đình Đỗ Thi chỉ ra, nhân sự trực tiếp tham gia bảo vệ dữ liệu cá nhân cũng cần phải lựa chọn không chỉ những cán bộ nhân viên có đủ năng lực, trình độ, kỹ năng, mà phải lựa chọn những cán bộ, nhân viên có phẩm chất tốt. Tránh tạo lỗ hổng hay "mắt xích yếu" từ nhân sự, và từ đó phòng ngừa việc bị đánh cắp, chiếm đoạt dữ liệu.
Ngoài ra, phải có cơ chế quản lý và giám sát chặt chẽ, tránh tình trạng xảy ra đánh cắp thông tin dữ liệu từ nội bộ; triển khai các hoạt động, chương trình tuyên truyền, đào tạo, bồi dưỡng kiến thức, kỹ năng về quy định pháp luật về bảo vệ dữ liệu cá nhân; thực hiện đánh giá tác động xử lý dữ liệu cá nhân…
Việc bảo đảm an ninh mạng không còn là vấn đề kỹ thuật đơn thuần mà là bài toán chiến lược, liên quan trực tiếp đến sự ổn định và phát triển bền vững của doanh nghiệp và nền kinh tế quốc gia.