Phó Tổng giám đốc EY Việt Nam: Các cuộc tấn công mạng không còn là nguy cơ, chúng chắc chắn sẽ xảy ra, không sớm thì muộn

Ông Robert Trần, Phó Tổng Giám đốc, Công ty TNHH Dịch vụ An toàn thông tin EY Việt Nam vừa có bài viết chia sẻ về vấn đề an ninh mạng và vai trò của Hội đồng quản trị (HĐQT). 

Mở đầu bài viết, ông Robert Trần dẫn số liệu, vào cuối tháng 8 năm 2024, một cuộc tấn công ransomware nghiêm trọng đã làm tê liệt hệ thống IT của sân bay Seattle. 6 triệu USD là khoản tiền chuộc mà các hacker đòi, nhưng các nhà chức trách sân bay đã từ chối trả. Mặc dù hạ tầng IT cốt lõi của sân bay bị tê liệt hoàn toàn, chuyến bay của gia đình chị gái tôi chỉ bị chậm 30 phút. Họ được cấp vé máy bay viết tay và vẫn lên được chuyến bay đến Tp. Hồ Chí Minh đúng lịch. Trục trặc duy nhất? Hành lý của họ bị chậm hai ngày tại sân bay Tân Sơn Nhất, có lẽ là do hiệu ứng domino từ các quy trình thủ công.

Sự cố này chứng minh rõ ràng khả năng phục hồi an ninh mạng (cyber resilience) đặc biệt của sân bay Seattle. Khả năng duy trì các hoạt động chính, ngay cả dưới áp lực của sự cố kỹ thuật số nghiêm trọng, cho thấy họ có một khuôn khổ an ninh mạng mạnh mẽ không chỉ để ngăn chặn các cuộc tấn công, mà còn để duy trì khả năng vận hành khi bị tấn công. Điều này nhấn mạnh tầm quan trọng của việc có các kế hoạch ứng phó sự cố được luyện tập kỹ lưỡng và một lực lượng nhân lực đã được chuẩn bị sẵn sàng.

Ngày nay, các cuộc tấn công mạng không còn là nguy cơ, chúng chắc chắn sẽ xảy ra, không sớm thì muộn. Hậu quả tài chính là khổng lồ. Tháng 2 năm ngoái, cuộc tấn công ransomware vào một doanh nghiệp bảo hiểm y tế đã gây thiệt hại 3,1 tỷ USD, mặc dù họ đã phải trả 22 triệu USD tiền chuộc. Những con số này cho thấy chi phí thực sự của các cuộc tấn công mạng là sự gián đoạn hoạt động, không chỉ là tiền chuộc. Ngay trong tháng Tư vừa qua, một vụ tấn công mạng tại một doanh nghiệp bán lẻ của Anh đã khiến họ mất 400 triệu USD và việc khắc phục sự cố được cho biết sẽ kéo dài ít nhất đến tháng Bảy. Những con số thiệt hại còn chưa bao gồm chi phí cho các hành động pháp lý tiềm ẩn hoặc tiền phạt, chẳng hạn theo Quy định Bảo vệ dữ liệu chung của Liên minh Châu Âu (GDPR).

Trải nghiệm của sân bay Seattle đóng vai trò là một lời nhắc nhở mạnh mẽ rằng đầu tư vào khả năng phục hồi hoạt động là điều tối quan trọng đối với bất kỳ tổ chức nào đang hoạt động trong bối cảnh nhiều rủi ro an ninh mạng hiện nay.

Hiện an ninh mạng không còn là vấn đề của IT. Đó là rủi ro kinh doanh. Mỗi ngày, các tổ chức đối mặt với các mối đe dọa ngày càng lớn hơn từ những kẻ tấn công mạng ngày càng tinh vi hơn, được hỗ trợ tốt hơn và khó phát hiện hơn bao giờ hết. Khi những rủi ro này leo thang, đặt ra yêu cầu hội đồng quản trị (HĐQT) doanh nghiệp phải đóng một vai trò tích cực và sâu sắc hơn trong quản trị an ninh mạng.

Trong một thời gian dài, nhiều HĐQT, đặc biệt ở các thị trường mới nổi như Việt Nam, đã xem an ninh mạng là một vấn đề kỹ thuật, tốt nhất nên giao cho bộ phận IT. Tuy nhiên, đây là tư duy lỗi thời và nguy hiểm. Sự gia tăng các quy định, sự phức tạp ngày càng tăng của các mối đe dọa mạng, cũng như nhu cầu về sự tin cậy và minh bạch từ khách hàng và đối tác đều chỉ ra một yêu cầu cấp thiết: an ninh mạng phải là trách nhiệm ở cấp HĐQT.

Vì sao an ninh mạng phải bắt đầu từ cấp cao nhất?

Theo ông Robert Trần, dưới đây là những lý do tại sao các HĐQT phải chịu trách nhiệm về an ninh mạng:

Thứ nhất, Quy tắc An ninh mạng của SEC: Trách nhiệm giải trình ở cấp cao nhất

Việc Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) giới thiệu quy tắc công bố an ninh mạng mới vào năm 2023 là hồi chuông cảnh tỉnh cho các HĐQT trên toàn thế giới. Những quy tắc này yêu cầu các doanh nghiệp niêm yết phải công bố các sự cố an ninh mạng quan trọng trong vòng bốn ngày làm việc. Quan trọng hơn, họ còn phải báo cáo về sự giám sát của HĐQT đối với rủi ro mạng và vai trò của ban quản lý trong việc đánh giá và quản lý rủi ro đó.

Về bản chất, SEC quy trách nhiệm trực tiếp cho HĐQT trong việc hiểu và quản lý rủi ro mạng. Quy định mang tính bước ngoặt này có thể tạo ra tiền lệ cho cách các cơ quan quản lý khác trên toàn cầu, bao gồm cả Việt Nam, để họ bắt đầu hành động. Các HĐQT tiếp tục xem an ninh mạng là một vấn đề kỹ thuật giờ đây không chỉ đối mặt với rủi ro hoạt động mà còn cả rủi ro không tuân thủ quy định.

Thứ hai, các vụ vi phạm mạng đang gia tăng

Các con số thống kê đã cho thấy một tình trạng đáng báo động: các cuộc tấn công ransomware, các vụ vi phạm dữ liệu, và các vụ xâm nhập chuỗi cung ứng giờ đây đang xảy ra hàng ngày trên toàn cầu. Việt Nam cũng không ngoại lệ. Trên thực tế, với nền kinh tế số và ngành sản xuất đang phát triển mạnh mẽ, cùng với năng lực phòng thủ mạng còn tương đối non trẻ so với các quốc gia phát triển, Việt Nam đã trở thành một mục tiêu ngày càng hấp dẫn.

Các sự cố gần đây, chẳng hạn như rò rỉ dữ liệu tại các ngân hàng và công ty viễn thông lớn của Việt Nam, chứng minh ngay cả hạ tầng thiết yếu cũng dễ bị tổn thương. Những sự cố này không còn là cá biệt, mà mang tính hệ thống. Đây không phải là rủi ro giả định để HĐQT cân nhắc, mà là một tình huống chắc chắn sẽ xảy ra nếu lãnh đạo doanh nghiệp không có hành động.

Thứ ba, Quy định của cơ quan quản lý và niềm tin của khách hàng

Một thách thức ngày càng tăng khác là rủi ro từ bên thứ ba. Các tổ chức ngày càng liên kết chặt chẽ với các nhà cung cấp, đối tác, nền tảng và nhà cung cấp dịch vụ. Một vụ vi phạm ở một công ty có thể nhanh chóng lan rộng ra toàn bộ chuỗi cung ứng. Các cơ quan quản lý và khách hàng hiện mong đợi các tổ chức không chỉ bảo vệ hệ thống của chính họ mà còn đảm bảo an ninh của hệ sinh thái rộng lớn hơn của họ.

Ví dụ, nếu một ngân hàng Việt Nam thuê một công ty fintech xử lý dữ liệu. Trong trường hợp công ty fintech này bị tấn công thì thiệt hại về danh tiếng, trách nhiệm pháp lý và tác động tài chính thuộc về ngân hàng. Khả năng giành được và duy trì niềm tin của các bên liên quan giờ đây là một lợi thế cạnh tranh. Các HĐQT phải nhận ra sự thay đổi này và đảm bảo rằng an ninh mạng được coi là một trụ cột cốt lõi của quản trị doanh nghiệp, chứ không phải bó hẹp trong mối quan tâm về kỹ thuật.

Thứ tư, vẫn còn tồn tại quan niệm sai lầm ở Việt Nam

Ở Việt Nam, nhiều HĐQT vẫn tin rằng việc mua các công cụ hoặc phần cứng an ninh mạng là đủ để giảm thiểu rủi ro. Đây là một quan niệm sai lầm nguy hiểm. Mặc dù các công cụ rất cần thiết, chúng chỉ là một phần của chiến lược an ninh mạng rộng lớn hơn - bao gồm quản trị, con người, quy trình, quản lý rủi ro, ứng phó sự cố và một văn hóa an ninh mạnh mẽ.

Đầu tư vào tường lửa hay phần mềm diệt virus mới nhất sẽ không có ý nghĩa gì nếu không có kế hoạch ứng phó sự cố, không có đào tạo nhân viên liên tục, hoặc nếu rủi ro từ bên thứ ba không được giám sát. Các HĐQT đánh đồng chi tiêu với an ninh là đang nhìn cây mà không thấy rừng.

Cách HĐQT có thể thực sự nắm giữ an ninh mạng

Vậy HĐQT có thể làm gì? Dưới đây là bảy khuyến nghị hành động để hội đồng quản trị có thể đảm bảo được an ninh mạng và khả năng phục hồi mạng được ông Robert Trần đưa ra.

Một là, chấp nhận an ninh mạng là trách nhiệm của HĐQT

Theo SEC và các thực hành điển hình toàn cầu, an ninh mạng không phải là vấn đề công nghệ, đó là vấn đề kinh doanh và quản trị. Nó ảnh hưởng đến danh tiếng thương hiệu, lòng tin của khách hàng, khả năng hoạt động liên tục và thậm chí cả giá cổ phiếu.

Các thành viên HĐQT phải được giáo dục về rủi ro mạng và sẵn sàng đặt ra những câu hỏi đúng:

Chúng ta có một khung quản lý rủi ro mạng không? Chúng ta kiểm tra các kế hoạch ứng phó sự cố của mình bao lâu một lần? Chúng ta đang quản lý rủi ro từ bên thứ ba như thế nào?

Vấn đề mạng phải được thảo luận trong phòng họp của hội đồng quản trị, giống như các vấn đề tài chính, pháp lý và chiến lược.

Hai là, đầu tư vào an ninh mạng và vào con người

Chỉ riêng công nghệ không thể đảm bảo an toàn cho tổ chức. Các HĐQT phải đảm bảo không chỉ đầu tư vào công cụ mà còn vào con người và đào tạo. Điều này bao gồm các chương trình nâng cao nhận thức về an ninh mạng liên tục cho tất cả nhân viên, đào tạo kỹ năng nâng cao cho các nhóm an ninh, và các bài tập mô phỏng khủng hoảng cấp điều hành.

Một văn hóa nhận thức về mạng phải được nuôi dưỡng từ cấp cao nhất. Khi nhân viên, từ thực tập sinh đến CEO, hiểu vai trò của họ trong việc bảo vệ tổ chức, toàn bộ doanh nghiệp sẽ trở nên vững chắc hơn.

Ba là, xây dựng văn hóa đảm bảo an ninh mạng

An ninh mạng là công việc của mọi người. Các HĐQT phải làm gương bằng cách thúc đẩy một văn hóa nhận thức rủi ro và trách nhiệm giải trình. Điều đó có nghĩa là khuyến khích sự minh bạch xung quanh các sự cố và các rủi ro xảy ra sự cố, đầu tư vào thiết kế sản phẩm an toàn, và đảm bảo rằng an ninh mạng được tích hợp vào mọi bộ phận của doanh nghiệp, từ HR đến chuỗi cung ứng đến dịch vụ khách hàng.

Một văn hóa đảm bảo an ninh mạng đích thực không phải là khiến mọi người nơm nớp lo về rủi ro an ninh mạng, mà về sự sẵn sàng ứng phó, khả năng phục hồi và trách nhiệm cho khả năng có sự cố.

Bốn là, thu hẹp khoảng cách giữa HĐQT và CISO

Theo một khảo sát của Splunk năm 2025, khoảng cách giữa các giám đốc an ninh thông tin (CISO) và HĐQT đang ngày càng tăng.

83% CISO hiện tham dự các cuộc họp HĐQT "tương đối thường xuyên" trở lên. Tuy nhiên, chỉ 29% HĐQT có thành viên có chuyên môn về an ninh mạng. 52% HĐQT tin rằng CISO tập trung vào việc hỗ trợ kinh doanh, nhưng chỉ 34% CISO đồng ý. Ngược lại, 52% CISO nói rằng họ ưu tiên công nghệ mới nổi, nhưng chỉ 33% HĐQT công nhận đó là ưu tiên.

Sự mất cân bằng này là nguy hiểm. HĐQT phải đảm bảo rằng họ không chỉ lắng nghe CISO mà còn hiểu họ. Đồng thời, CISO cần phát triển từ những nhà lãnh đạo kỹ thuật thành những nhà điều hành hiểu về kinh doanh, có khả năng nói ngôn ngữ của rủi ro, tăng trưởng và chiến lược.

Năm là, ở Việt Nam, CISO cần ngồi vào bàn chiến lược hay làm cố vấn cho HĐQT

Khác với các thị trường đã "trưởng thành" hơn, tại Việt Nam rất hiếm có một CISO ngồi trong ban lãnh đạo của một công ty lớn. Điều này phải thay đổi. CISO phải được trao quyền hành động không chỉ với tư cách là trưởng bộ phận an ninh, mà còn là những giám đốc điều hành chiến lược có vai trò định hình chính sách rủi ro mạng, ảnh hưởng đến đầu tư và tham gia với các cơ quan quản lý.

HĐQT nên xem xét thành lập một ủy ban an ninh mạng và CISO nên báo cáo trực tiếp lên CEO hoặc HĐQT.

Sáu là, định nghĩa lại vai trò của CISO

Nhiều CISO ở Việt Nam vẫn hoạt động như những trưởng nhóm kỹ thuật mạng, tập trung vào vận hành an ninh, thử nghiệm và truy tìm các mối đe dọa. Mặc dù chuyên môn kỹ thuật là cần thiết, một CISO hiện đại phải là một nhà lãnh đạo chiến lược, một người: hiểu các ưu tiên kinh doanh; có thể chuyển đổi các mối đe dọa mạng thành ngôn ngữ rủi ro kinh doanh; có thể hợp tác với bộ phận pháp lý, tuân thủ, vận hành và HR; xây dựng và thực thi một chiến lược phục hồi mạng dài hạn.

Các HĐQT phải nhận ra sự thay đổi này và cung cấp cho CISO quyền hạn và nguồn lực cần thiết để thành công.

Bảy là, cần sự dẫn dắt của các cơ quan quản lý

Cuối cùng, không thể không nhắc đến vai trò của Chính phủ và các cơ quan quản lý. Giống như SEC đã nâng tầm trách nhiệm về an ninh mạng, cơ quan quản lý an ninh mạng và các cơ quan liên quan của Việt Nam nên phát triển và thực thi các chính sách quản trị an ninh mạng mạnh mẽ hơn, như: bắt buộc HĐQTgiám sát rủi ro mạng; yêu cầu báo cáo công khai các vụ vi phạm lớn; thúc đẩy đào tạo và chứng nhận CISO; đưa ra các chính sách khuyến khích tăng cường an ninh mạng, đặc biệt đối với các doanh nghiệp vừa và nhỏ cũng như các thực thể khu vực công.

An ninh mạng là một ưu tiên quốc gia. Phát triển kinh tế, lòng tin của nhà đầu tư và chuyển đổi số đều phụ thuộc vào sự tin cậy và khả năng phục hồi mạng. Chính phủ phải dẫn đầu bằng cách thiết lập tiêu chuẩn.

Đối với doanh nghiệp, an ninh mạng không chỉ là một thách thức công nghệ; đó là một mối quan tâm kinh doanh cơ bản đòi hỏi sự chú ý ở cấp cao nhất. Bằng cách chấp nhận trách nhiệm của mình, đầu tư khôn ngoan, trao quyền cho CISO, và thúc đẩy một văn hóa rủi ro mạng mạnh mẽ, các HĐQT có thể biến an ninh mạng từ một khoản chi thành một yếu tố chiến lược hỗ trợ thành công và khả năng phục hồi lâu dài trong kỷ nguyên số.

**Ghi chú dành cho độc giả: Quan điểm trong bài báo này là của tác giả và không nhất thiết phản ánh quan điểm của tổ chức EY toàn cầu và các thành viên.

H. Kim (ghi)