Tọa đàm “Bảo mật dữ liệu và an ninh mạng trong kỷ nguyên vươn mình của dân tộc”

Giai đoạn hiện nay trong quá trình chuyển đổi số mạnh mẽ, Việt Nam là nơi có nhiều công ty khởi nghiệp về công nghiệp đặc biệt AI. Tận dụng lợi thế dân số trẻ, mạnh về khoa học tự nhiên, có ý chí về khởi nghiệp cao nên có nhiều bạn trẻ thành lập các doanh nghiệp mới.

Về câu hỏi của độc giả trao đổi về khó khăn của các doanh nghiệp trẻ trong tiếp cận dữ liệu chính thống. Thực tế, dữ liệu là tài nguyên quan trọng của quốc gia, dữ liệu là tài nguyên của doanh nghiệp nên việc chia sẻ cho công ty bên ngoài rất nhạy cảm. Dữ liệu là tài nguyên, bí mật của các tổ chức doanh nghiệp hoặc cơ quan nhà nước nên việc chia sẻ dữ liệu cho các doanh nghiệp AI non trẻ rất khó khả thi vì khả năng rủi ro lộ lọt dữ liệu rất cao.

Hiện nay, rất nhiều doanh nghiệp khởi nghiệp AI sử dụng công cụ AI nguồn mở chứ không phải công ty tự phát triển từ số không. Tức là dựa trên các phần mềm thương mại, họ tích hợp vào hệ thống xử lý của công ty và coi đó là giải pháp. Nhưng thực tế, nếu chúng ta đưa những dữ liệu bí mật lên hệ thống này sẽ là cách tiếp tay cho lộ lọt dữ liệu. Đó là rủi ro dữ liệu cần phải ngăn chặn.

Do đó, trước hết các công ty start-up cần phải bảo đảm phát triển công nghệ riêng của mình và thực hiện trên dữ liệu mở, thuyết phục các đơn vị, các tổ chức. Khi làm mạnh về công nghệ, tiến hành cô lập hóa trên hệ thống cloud, cung cấp dữ liệu AI trên hệ thống nội bộ chúng ta, bảo đảm Luật An ninh mạng, mô hình tại Việt Nam do Việt Nam phát triển và kiểm soát không để dữ liệu chạy ra nước ngoài.

Thông thường, khi có sự cố xảy ra, tùy vào mức độ “trưởng thành” của doanh nghiệp, họ sẽ có các kế hoạch ứng phó với sự cố khác nhau. Có rất nhiều bước để xử lý sự cố; trong đó, bao gồm các bước như: khoanh vùng, cô lập sự cố, duy trì hoạt động…

Tôi xin tóm tắt 3 điểm chính nên áp dụng trong quy trình ứng phó ngay sau khi phát hiện dữ liệu bị tấn công, rò rỉ như sau:

Đầu tiên, khi sự cố xảy ra, chúng ta phải xác thực thông tin lộ lọt đó có đúng không. Nếu xác nhận được thông tin ấy chính xác thì cần sử dụng các biện pháp để cô lập hệ thống, ngăn chặn các kết nối bất thường. Đồng thời, tiến hành đánh giá mức độ thiệt hại của sự việc.

Tiếp đến là bước điều tra sự cố. Nếu sự cố nghiêm trọng, doanh nghiệp cần phối hợp với các cơ chức năng để điều tra. Bên cạnh đó, có thể phối hợp, sử dụng dịch vụ từ các doanh nghiệp chuyên về ứng cứu, điều tra sự cố thông tin.

Trong quá trình này, thời gian là yếu tố vô cùng quan trọng. Bởi lẽ, khi xác định sớm, khoanh vùng sự cố sớm thì sẽ càng có cơ hội để hạn chế thiệt hại và khôi phục dữ liệu. Tôi cho rằng, điều này cũng liên quan đến việc khôi phục niềm tin đối với người dùng. Cho nên, sự cố nghiêm trọng tới đâu cũng phụ thuộc rất lớn vào khả năng ứng phó kịp thời trong khâu xử lý. Sau đó, làm song song việc vá lỗ hỏng cũng như làm nhiều việc khác để ngăn chặn các thiệt hại.

Cuối cùng là năng lực khôi phục lại toàn bộ các dịch vụ, đồng thời, triển khai các biện pháp khác nhau để hạn chế những sự cố tương tự xảy ra trong tương lai. Thực tế, các sự cố xảy ra thường không giống như kịch bản chúng ta đã chuẩn bị hay diễn tập từ trước. Nhưng rõ ràng, khi đã có sự chuẩn bị kỹ càng thì quá trình ứng phó sẽ diễn ra kịp thời hơn.

Theo tôi, bên cạnh tư duy bảo vệ hệ thống thì phải có tư duy bảo vệ dữ liệu. Tư duy này sẽ làm thay đổi từ việc chúng ta thiết kế hệ thống. Kể cả khi chúng ta làm tất cả những biện pháp bảo vệ đúng thì sẽ có những lúc không tránh khỏi rủi ro. Chẳng hạn, có thể sẽ có những lỗi xuất hiện lúc nửa đêm và chúng ta không khắc phục kịp thời.

Vì thế, thay vì xây dựng hệ thống và tìm các biện pháp khác nhau để bảo vệ thì chúng ta nên nhìn nhận ngược lại: Ngay từ quá trình thiết kế, hệ thống cần phải được xây dựng an toàn, đồng thời, xác định được dữ liệu nào quan trọng nhất để bảo vệ.

Trong quá trình vận hành hệ thống, có thể xuất hiện nhiều rủi ro khác nhau. Thế nhưng, nếu ngay từ đầu hệ thống được xây dựng với độ bảo mật tốt thì các rủi ro sẽ được hạn chế hơn. Ngoài ra, không nên lưu trữ các dữ liệu quá dư thừa mà chỉ nên lưu những dữ liệu cần thiết.

Một vấn đề khác là thông tin cá nhân của mọi người đang được chia sẻ cho nhiều doanh nghiệp khác nhau. Trong khi đó, mỗi doanh nghiệp có khả năng bảo vệ hệ thống thông tin, dữ liệu nhất định. Và dữ liệu cá nhân chúng ta khi đã lộ ra ngoài thì không thể thay đổi được. Do đó, mỗi người nên hạn chế việc các doanh nghiệp xác định thông tin cá nhân một cách chi tiết, đầy đủ. Thay vào đó, nên sử dụng qua dữ liệu nhận diện thông tin một bên thứ ba như VneID để cung cấp. Qua đó, hạn chế mức độ nghiêm trọng nếu có sự cố lộ lọt dữ liệu xảy ra.

Trong thực tế, các vụ tấn công mạng thời gian vừa qua hầu hết tấn công dựa trên những lỗ hổng đã được công bố từ trước. Điều này cho thấy câu chuyện các vụ tấn công đều liên quan đến vấn đề chuẩn hóa và tuân thủ an toàn thông tin. Nhiều hệ thống đã biết tồn tại điểm yếu, song do được vá cấu hình chưa chuẩn hoặc vận hành thiếu cập nhật, vẫn để lộ sơ hở.

Chắc chúng ta từng nghe vụ tấn công nổi tiếng WannaCry. Lỗ hổng đó dựa trên lỗ hổng giữa các máy tính trong cùng một mạng, từ máy tính này có thể nhảy sang máy tính khác.

Chúng tôi có khảo sát thấy rằng, có những lỗ hổng được phát hiện gần 10 năm trước, nhưng đến nay vẫn còn tồn tại trên khoảng 40% máy tính. Điều này cho thấy một khi hacker tấn công một máy tính trong mạng thì hoàn toàn mã độc có thể lây lan sang 30 đến 40 máy tính khác. Nguy hiểm hơn, nếu trong số đó có máy tính của quản trị hệ thống thì toàn bộ máy chủ có thể bị chiếm quyền kiểm soát.

Từ thực tế này, Hiệp hội Dữ liệu quốc gia đang triển khai xây dựng bộ tiêu chuẩn cơ sở liên quan đến an ninh dữ liệu. Dự kiến trong thời gian tới, bộ tiêu chuẩn sẽ được đưa ra lấy ý kiến các ban, ngành nhằm hỗ trợ các đơn vị, trước mắt là thành viên, công bố và áp dụng, qua đó nâng cao việc tuân thủ.

Một nội dung quan trọng khác là việc chủ động xây dựng giải pháp về an ninh mạng. Các đơn vị, doanh nghiệp trong nước cùng với Hiệp hội An ninh mạng quốc gia đang phối hợp phát triển hệ sinh thái sản phẩm an ninh mạng nội địa. Thực tế đã có nhiều bằng chứng cho thấy, sản phẩm công nghệ nước ngoài tiềm ẩn rủi ro, bởi trên đó có thể tồn tại lỗ hổng, dù vô tình hay cố ý, khiến dữ liệu bị trích xuất và truyền ra ngoài.

Thậm chí, có trường hợp một số hệ thống bảo mật triển khai tại Việt Nam lại vô tình để dữ liệu đi qua hạ tầng nước ngoài trước khi lưu trữ. Điều này làm gia tăng nguy cơ rò rỉ dữ liệu.

Vì vậy, để bảo đảm an toàn dữ liệu, chúng ta cần tập trung vào chuẩn hóa, triển khai tuân thủ và đẩy mạnh phát triển các giải pháp an ninh, an toàn do Việt Nam làm chủ.

Trong bối cảnh về chuyển đổi số hiện nay, dữ liệu đã trở thành tài nguyên chiến lược. Bảo vệ dữ liệu, đặc điểm là dữ liệu nhạy cảm; trong đó, là dữ liệu và thông tin bao gồm dữ liệu và thông tin bí mật Nhà nước, cùng dữ liệu và thông tin không thuộc phạm vi bí mật Nhà nước không còn là lựa chọn mà là yêu cầu bắt buộc.

Nếu không bảo vệ dữ liệu, chúng ta khó có thể xây dựng thành công kinh tế số, xã hội số và Chính phủ số. Ở đây, công nghệ mật mã đóng vai trò cốt lõi, then chốt.

Với vai trò là cơ quan mật mã quốc gia, Ban Cơ yếu Chính phủ thực hiện quản lý thống nhất trên phạm vi toàn quốc, bao gồm mật mã để bảo vệ thông tin bí mật Nhà nước và mật mã dân sự.

Vừa qua, ngành cơ yếu cũng tổ chức kỷ niệm 80 năm Ngày truyền thống và đón nhận danh hiệu Anh hùng Lực lượng vũ trang nhân dân vào ngày 12/9/2025.

Trong những năm qua, ngành cơ yếu và Ban Cơ yếu Chính phủ đã nghiên cứu, sản xuất cung cấp rất nhiều sản phẩm mật mã và xây dựng triển khai nhiều mô hình giải pháp bảo mật từ trung ương đến địa phương để bảo mật thông tin lãnh đạo, chỉ đạo của Đảng, Nhà nước và lực lượng vũ trang được tuyệt đối bí mật và an toàn. Đồng thời, thực hiện tốt vai trò quản lý Nhà nước về mật mã dân sự.

Thời gian qua, chúng tôi tham mưu cho các cấp, cơ quan Nhà nước có thẩm quyền, ban hành hơn 100 quy chuẩn, tiêu chuẩn kỹ thuật về mật mã. Và có thể khẳng định rằng, công nghệ mật mã đã trở thành lớp bảo vệ thầm lặng và hiện diện trong hầu hết các hoạt động trọng yếu của đất nước.

Đứng đằng sau việc bảo vệ thầm lặng đó chính là vai trò nòng cốt của Ban Cơ yếu Chính phủ, cơ quan mật mã quốc gia, luôn kiên trì, bền bỉ bảo đảm an toàn, bảo mật thông tin cho Đảng, Nhà nước và các lực lượng vũ trong mọi tình huống cũng như quản lý tốt Nhà nước về mật mã dân sự.

Vào năm 2024, Ban Cơ yếu Chính phủ đã tham mưu công bố thuật toán mật mã khối MKV và được ban hành thành Tiêu chuẩn quốc gia TCVN 14263:2024. Thuật toán MKV được thiết kế với 2 phiên bản:

Phiên bản 128-bit đáp ứng yêu cầu an toàn hiện nay, chống lại những kỹ thuật tấn công hiện đại.

Phiên bản 256-bit đã sẵn sàng chuẩn bị cho kỷ nguyên hậu lượng tử, khi máy tính lượng tử quy mô lớn ra đời với sức mạnh vượt trội.

Điều này giúp Việt Nam nằm trong nhóm rất ít quốc gia trên thế giới có thuật toán mật mã riêng, khẳng định năng lực tự chủ, tự lực, tự cường trong một lĩnh vực cốt lõi và nhạy cảm bậc nhất.

Trong thời gian tới, Ban Cơ yếu Chính phủ sẽ tập trung vào ba ưu tiên lớn.

Thứ nhất, đưa thuật toán mã khối MKV tham gia hệ thống chuẩn quốc tế, như RFC của IETF hay tiêu chuẩn ISO/IEC. Điều này sẽ mở rộng phạm vi ứng dụng của MKV, không chỉ trong nước mà còn trên phạm vi toàn cầu.

Thứ hai, tiếp tục nghiên cứu và chuẩn hóa các thuật toán hậu lượng tử, bao gồm cả chữ ký số và mật mã khóa công khai kháng lượng tử. Đây là lĩnh vực then chốt, bởi nó quyết định khả năng bảo vệ dữ liệu khi công nghệ lượng tử thực sự bùng nổ.

Thứ ba, xây dựng và hoàn thiện hệ thống quy chuẩn, tiêu chuẩn quốc gia cho mật mã dân sự, để mọi sản phẩm dịch vụ mật mã trước khi lưu thông trên thị trường đều được kiểm định, đánh giá an toàn, đem lại sự tin cậy cho người dân và doanh nghiệp.

Việc phát triển các công nghệ mật mã nội địa không chỉ bảo vệ an ninh nội địa quốc gia, mà còn là cơ hội để Việt Nam khẳng định vị thế công nghệ trong khu vực.

Với quyết tâm chính trị, với sự đầu tư bài bản và có lộ trình khoa học, Ban Cơ yếu Chính phủ làm chủ công nghệ mật mã, bảo vệ chủ quyền số quốc gia và góp phần quan trọng vào sự phát triển bền vững của đất nước.

Trong vấn đề an ninh mạng, công nghệ máy tính hiện nay là công nghệ truyền thống bán dẫn chỉ có số 0 và 1. Về phát triển khoa học công nghệ đặc biệt là lĩnh vực vật lý, nhiều năm về trước đã phát hiện hiện tượng rối lượng tử. Trong giai đoạn gần đây, các nhà khoa học dùng các lý thuyết về rối lượng tử để thể hiện tốc độ xử lý dữ liệu qua qubit nhanh đến mức nào.

Viện Hàn lâm Khoa học Công nghệ Việt Nam mà Viện Công nghệ thông tin của chúng tôi - một thành phần trong đó, là cơ quan của Chính phủ về phát triển khoa học công nghệ, tập trung vào phần tính chất vật lý lượng tử. Trong công nghệ số và công nghệ bán dẫn, vật lý lượng tử là một khái niệm khác hoàn toàn, nó tăng tốc độ xử lý thông tin và thể hiện dữ liệu đa trạng thái hơn.

Viện Công nghệ thông tin cũng là một phần trong định hướng phát triển của Viện Hàn lâm Khoa học Công nghệ Việt Nam. Chúng tôi cũng xây dựng, nghiên cứu cơ bản, nhưng phải nói rằng những gì nghiên cứu về tính toán lượng tử hiện nay bản chất là chưa có tính thương mại, vì mức độ tính vật lý và tính ổn định của việc thể hiện của qubit mới ở phòng thí nghiệm, và để ổn định vận hành là một quá trình rất khó khăn, đòi hỏi việc nghiên cứu cơ bản. Và từ nghiên cứu cơ bản để ra được ứng dụng và triển khai thương mại hóa sản phẩm lại là một quá trình rất dài.

Viện Hàn lâm Khoa học Công nghệ Việt Nam có đơn vị nghiên cứu chuyên về vật lý lượng tử và chúng tôi phối hợp với họ về định hướng ứng dụng và nghiên cứu dài hơi cho việc này. Xu thế của thế giới trong lĩnh vực tính toán điện tử này và mã hóa lượng tử, ở những quốc gia phát triển, họ có nguồn lực đầu tư, như Mỹ, Trung Quốc, hai nước hàng đầu trong lĩnh vực này.

Nguồn lực của Việt Nam không mạnh, chúng ta chưa thể triển khai được các nghiên cứu mang tính thử nghiệm cao cho ứng dụng lượng tử theo tính chất của vật lý lượng tử hiện nay. Chúng tôi hiện nay đang nghiên cứu về những nguyên lý cơ bản về vật lý lượng tử, dựa trên đó có những phần khóa truyền thống, khóa bán dẫn như thế nào cho an toàn, và mã hóa, xác thực trên đó. Phần hệ thống hạ tầng truyền dẫn lượng tử chúng tôi chưa làm vì kinh phí rất cao, hiện thế giới đã làm.

Thứ ba là các thiết bị phần cứng bên cạnh hạ tầng truyền dẫn để thể hiện qbit như thế nào. Chúng ta mới tiếp cận thế giới để tìm hiểu họ đang làm gì thôi. Và đặc biệt là nguyên lý về lý thuyết, chúng tôi cũng có những nghiên cứu liên quan đến ứng dụng lý thuyết điện tử cho mã hóa, đặc biệt là trong thương mại.

Hiện tại, Viện Hàn lâm Khoa học Công nghệ Việt Nam và các đơn vị con như chúng tôi đang hợp tác với các đối tác là các trung tâm nghiên cứu hàng đầu trên thế giới liên quan đến mảng này để kết nối và và hiểu họ đang làm gì, tiếp cận để chuẩn bị cho giai đoạn tới. Tôi nghĩ hiện nay chưa thể triển khai được ngay mà ít nhất phải 10-15 năm tới, may ra phần ứng dụng thương mại hóa của phần lý luận lượng tử này mới đi vào thực tiễn.

Thưa các quý vị đại biểu, năm 2030 chúng ta đã đặt ra mục tiêu rất lớn. Rõ ràng, công nghiệp an ninh mạng là một lĩnh vực rất mới và rất khó. Hiện nay trên thế giới cũng chưa có một mô hình chuẩn nào về ngành công nghiệp này. Đối với những ngành công nghiệp mới như thế này, đòi hỏi phải vừa có chính sách, vừa có hạ tầng công nghệ, vừa có đầu tư tài chính, đầu tư nguồn nhân lực, vừa phải có những sản phẩm chiến lược như thế nào, sản phẩm quốc tế ra sao?

Riêng đối với an ninh mạng, nó gắn liền với vấn đề bảo mật và tính tự chủ rất cao. Để tự chủ được, vai trò của Nhà nước là vai trò kiến tạo, rất quan trọng. Nhà nước cần xây dựng được cơ chế, sân chơi, thị trường và có những mô hình để các doanh nghiệp phát huy được sự sáng tạo của mình. Đồng thời, phải có những chính sách ưu tiên về thuế, về cơ chế liên quan đến đầu tư tài chính, đất đai, hay những thứ mà doanh nghiệp thường rất khó có thể tiếp cận.

Thứ hai, về kỹ thuật an ninh mạng, các sản phẩm an ninh mạng thường gắn liền với những cơ quan trực tiếp làm nhiệm vụ bảo đảm an ninh quốc gia như: Bộ Quốc phòng, Bộ Công an. Thế thì, Nhà nước phải giao nhiệm vụ cho một số doanh nghiệp chủ lực để làm ra những sản phẩm phục vụ bảo đảm an ninh quốc gia cũng như phục vụ trong hệ thống chính trị. Sau này, chúng ta có thể lưỡng dụng các sản phẩm đó để đưa đến người dân.

Vai trò của Chính phủ là vai trò kiến tạo như vậy và những doanh nghiệp hàng đầu của Nhà nước phải được giao nhiệm vụ, mục tiêu, được giao sản phẩm cụ thể. Bởi vì chỉ những doanh nghiệp trực thuộc các lực lượng này mới biết rõ các yêu cầu phải làm gì, phải làm ra sản phẩm gì để phục vụ bảo đảm an ninh quốc gia.

Với cơ chế chuyển đổi số hiện nay, nhu cầu về bảo đảm an ninh mạng trong các doanh nghiệp và người dân là rất lớn. Những sản phẩm đó có thể được lưỡng dụng, hoặc các doanh nghiệp (nhất là doanh nghiệp công nghệ lớn) có thể phát triển dựa trên cơ chế, chính sách, hạ tầng dùng chung của Nhà nước. Nhờ đó, doanh nghiệp mới có cơ hội, bởi vì khi sở hữu dữ liệu lớn, họ mới có được lợi thế trong vấn đề này.

Theo đó, các doanh nghiệp phải tự chủ phát triển. Một là, phải kết hợp với nước ngoài để chuyển giao công nghệ, thì mới theo kịp được bởi nếu nghiên cứu từ đầu, chúng ta sẽ bị chậm chân. Hai là, phải có sự kết nối giữa Chính phủ với các doanh nghiệp, giữa doanh nghiệp Nhà nước với doanh nghiệp tư nhân.

Hiện nay, rất nhiều doanh nghiệp tư nhân phát triển mạnh về công nghệ, có những thế mạnh riêng nhưng đang lúng túng không biết phát triển sản phẩm gì, như thế nào, bán cho ai, và những phẩm đó có được công nhận, có đúng tiêu chuẩn hay không? Vì vậy, Nhà nước phải xây dựng những tiêu chuẩn quốc gia để đánh giá sản phẩm này thì các doanh nghiệp mới có thể tham gia được.

Với vai trò của mình, chúng tôi đang tạo ra những kết nối giữa Chính phủ với doanh nghiệp, giữa nhu cầu của Chính phủ và các cơ quan với các doanh nghiệp lớn về công nghệ. Chúng tôi cũng kết hợp với các trường đại học, các trung tâm nghiên cứu để nghiên cứu những sản phẩm, nghiên cứu phải có đơn đặt hang. Chúng tôi cũng mời các hội viên giới thiệu sản phẩm, thế mạnh của mình để tập hợp lại thành những nhóm phát triển, tránh giẫm chân lên nhau và sẽ bị tiêu hao nguồn lực.

Như thế, chúng ta hy vọng sẽ xây dựng được một nền công nghiệp an ninh mạng và đạt được các mục tiêu vào năm 2030. Chúng ta có bài học từ Israel. Trước đây, các sản phẩm an ninh mạng của họ chủ yếu phục vụ an ninh quốc phòng, sau đó được phép lưỡng dụng và bán thương mại ra khắp thế giới, thu về rất nhiều tiền. Đây là cơ hội cho Việt Nam - một nước nhỏ có thể trở thành một cường quốc về an ninh mạng. Tôi tin rằng với sức trẻ và sự nhanh nhạy của người Việt Nam, chúng ta hoàn toàn có thể làm được điều này.

Tọa đàm “Bảo mật dữ liệu và an ninh mạng trong kỷ nguyên vươn mình của dân tộc” là một tọa đàm quan trọng. Theo quan điểm của Viện Hàn lâm Khoa học và Công nghệ Việt Nam, mô hình bảo vệ dữ liệu dựa trên công nghệ nội địa cho Việt Nam cần dựa trên các trụ cột chính sau:

Một là, Viện phối hợp với các cơ quan liên quan, các bộ, ngành xây dựng nền nền tảng pháp lý - quy chuẩn trong nước: Các văn bản pháp lý về bảo vệ dữ liệu cá nhân và các văn bản liên quan (Luật An toàn thông tin mạng, Luật An ninh mạng); tham khảo các khung tiêu chuẩn bảo vệ dữ liệu quốc tế (NIST, ISO 27000) và bản địa hóa theo hoàn cảnh Việt Nam; Tiêu chuẩn mã hóa quốc gia riêng (thuật toán mật mã nội địa do Ban Cơ yếu Chính phủ phát triển); phân loại độ mật của các dữ liệu và mức độ bảo vệ tương ứng.

Hai là, bảo đảm tập trung phát triển hạ tầng và công nghệ bản địa: Hạ tầng điện toán đám mây trong nước, đặt máy chủ tại Việt Nam (khuyến khích dùng dịch vụ cloud của các công ty trong nước như Viettel, VNPT, CMC, FPT thay vì phụ thuộc AWS/Azure, bảo đảm dữ liệu công dân được lưu tại Việt Nam); các tiêu chuẩn, giải thuật mã hóa đầu cuối end-to-end bằng giải pháp mật mã do Ban Cơ yếu/Viện Công nghệ thông tin nghiên cứu phát triển; tăng cường khả năng xác thực đối tượng thông qua các hệ thống xác thực đa yếu tố tích hợp với VNeID, chữ ký số công dân; luôn áp dụng nguyên tắc kiến trúc Zero Trust Architecture - Không tin cậy mặc định, xác minh mọi yêu cầu truy cập dữ liệu.

Về các tiêu chí đánh giá thành công của mô hình có thể được phân loại thành các nhóm như:

Một là, tiêu chí kỹ thuật: Việc giảm số lượng sự cố rò rỉ dữ liệu qua từng năm; 100% dữ liệu có độ mật, nhạy cảm, riêng tư được mã hóa và lưu trong lãnh thổ Việt Nam; tỷ lệ phát hiện sớm và phòng ngừa sự cố (ví dụ: 95% số lượng sự cố được phát hiện sớm và phản ứng khắc phục trong thời gian ngắn dưới 24 giờ).

Hai là, tiêu chí tổ chức-quản trị: cán bộ quản trị dữ liệu chuyên trách, độc lập, chịu trách nhiệm báo cáo trực tiếp trong các cơ quan đơn vị; thực hiện đánh giá định kỳ, kiểm toán an toàn thông tin bởi bên thứ ba trong nước; cơ chế phối hợp liên ngành giữa bộ ngành, cơ quan quản lý nhà nước với doanh nghiệp an ninh mạng nội địa khi có sự cố một cách hiệu quả, thống nhất giữa các bên.

Ba là, tiêu chí xã hội-người dân: Mức độ tin cậy của người dân tăng, chia sẻ dữ liệu trên các nền tảng và các ứng dụng nội địa có chứng chỉ bảo mật, an toàn thông tin như VNeID, Cổng dịch vụ công, ví điện tử..;

Bốn là, tiêu chí kinh tế-phát triển: Hệ sinh thái nội địa về bảo mật dữ liệu, công nghệ xâm nhập ra thị trường khu vực, quốc tế; tỉ lệ sử dụng/thị phần giải pháp công nghệ bảo mật do Việt Nam phát triền tăng.

Cần một tổng công trình sư về quản trị dữ liệu và an ninh mạng

Tôi cảm thấy cách Ban tổ chức xây dựng mạch câu hỏi cho tọa đàm rất hấp dẫn khi đã đi từ những vấn đề vĩ mô, tổng quan đến các nội dung cụ thể với các case study (tình huống điển hình) của cơ quan quản lý và doanh nghiệp.

Về phía các cơ quan báo chí, tôi cho rằng trước hết chúng ta cần phải hiểu được tầm quan trọng của dữ liệu. Khi hiểu được rồi chúng ta mới có những hình thức truyền thông đúng mực đến các cơ quan Chính phủ, từ đó có những giải pháp quản trị dữ liệu bằng kỹ thuật hay bằng hệ thống pháp luật như đồng chí Phạm Đại Dương, Phó Trưởng Ban Chính sách, chiến lược Trung ương đã nói.

Nghị quyết của Đảng đã xác định dữ liệu là một tư liệu sản xuất; nó khác với các tư liệu sản xuất khác ở chỗ nó được bồi đắp liên tục, thường xuyên và cực kỳ quan trọng. Đã là tư liệu sản xuất thì phải có luật pháp để điều chỉnh, muốn hiểu đúng thì phải định danh nó, phải gọi tên nó. Trong dữ liệu có rất nhiều thành tố, chúng ta phải gọi tên đúng, xác định, phân loại thành tố dữ liệu, từ đó chúng ta mới xác định được quyền sở hữu, phân bổ, điều tiết như thế nào.

Về bảo vệ dữ liệu bằng công nghệ, như các chuyên gia đã đề cập, chúng ta đang có những bất cập nhất định. Chúng ta đang thiếu những tổng công trình sư về quản trị dữ liệu và an ninh mạng để có sự kết hợp hài hòa, đồng bộ.

Với khả năng sao chép không giới hạn, dữ liệu đang trở thành tư liệu sản xuất chủ chốt, cực kỳ quan trọng trong nền kinh tế số. Về mặt quản lý, cần xây dựng, thể chế hóa đồng bộ hệ thống pháp luật theo hướng pháp luật dẫn dắt, tạo công bằng, bảo vệ nhóm yếu thế và điều tiết được theo mục tiêu của Nhà nước.

Pháp luật cần cụ thể hóa những quyền sở hữu của cá nhân, quyền của nhà nước, xây dựng được khung chia sẻ dữ liệu có điều kiện, kết hợp dữ liệu công và dữ liệu tư. Sẽ có những tranh chấp mà luật pháp không quy định được, vì vậy các cơ quan tố tụng, tư pháp cần phải xây dựng những án lệ để đồng bộ hệ thống pháp luật và quản trị một cách hiệu quả.

Trong bối cảnh số hóa với rủi ro an ninh mạng rất cao, tôi cho rằng các cơ quan báo chí phải có những nhà báo am hiểu công nghệ, trình bày nó một cách sinh động, dễ hiểu để từ đó đưa ra được những cảnh báo, khuyến nghị cụ thể, hữu ích đến với người dân và các cấp chính quyền.

Là cơ quan báo chí đi đầu trong hình thành báo chí dữ liệu, Báo Nhân Dân mong muốn thông qua những cuộc tọa đàm như thế này hướng đến hình thành công trình tổng quan mang tính dữ liệu để cung cấp một cái nhìn tổng quan, bắt đầu từ nhận thức, lý luận cho đến các giải pháp đề ra và hành động cụ thể.

Trong nhiều năm vừa qua, chúng tôi đã cùng xử lý nhiều sự cố thông tin lớn trên thế giới, cũng như hỗ trợ một số sự cố về bảo mật trong nước.

Trên thực tế, có nhiều vấn đề liên quan đến việc xâm nhập các hệ thống. Thông thường, các hệ thống thường bị tấn công bằng những điểm yếu: Có thể do hệ thống đã cũ quá hoặc sơ suất trong cấu hình, sai sót trong việc bảo vệ. Đôi khi, điểm yếu này xuất phát từ việc phân quyền sai, sai sót từ người dùng hoặc sai sót quản trị hệ thống.

Các đối tượng khai thác lỗ hổng của hệ thống quản lý dữ liệu sẽ tìm kiếm những lỗi sai, điểm yếu này để tấn công trước. Nếu các yếu tố của hệ thống này đã được xây dựng và kiểm soát tốt, họ sẽ tiếp tục tìm kiếm ở những điểm yếu khó bảo vệ hơn.

Lúc này, người dùng và quản trị viên sẽ trở thành mục tiêu của các đối tượng tấn công. Tùy vào năng lực, nhận thức về bảo mật cá nhân mà mỗi người có khả năng quản lý bảo vệ, bảo mật thông tin riêng.

Một vấn đề nữa đến từ hiện tượng có những đối tượng, công ty lừa đảo dưới hình thức tuyển dụng nhân sự bán thời gian, tuyển cộng tác viên. Sau một quãng thời gian gia nhập, các đối tượng này sẽ xâm nhập vào hệ thống thông tin của người dùng và người dùng sẽ bị nhiễm mã độc mà không hề hay biết. Đã từng có trường hợp không ít người nộp đơn xin làm việc tại một tổ chức, sau một thời gian công tác thì dữ liệu cá nhân của họ đã bị tấn công.

Cuối cùng, các đối tượng, tổ chức xâm nhập hệ thống dữ liệu có thể tấn công từ bên thứ ba. Đây là các bên đối tác thường cung cấp những sản phẩm dịch vụ, giải pháp liên quan tới hệ thống. Để xây dựng một hệ thống thông tin, chúng ta cần sử dụng công nghệ do nhiều bên cung cấp và đôi khi không thể làm chủ, kiểm soát toàn bộ. Bất kỳ bên thứ ba nào cũng có thể sơ suất và đây là cơ hội cho các đối tượng trên tấn công.

Có thể thấy, thực tế, tình trạng tấn công từ bên thứ ba khá nhiều và hiệu quả hơn là tấn công từ người dùng cũng như tấn công trực tiếp lỗ hổng của hệ thống.

Điều này cho thấy, việc tự chủ công nghệ để giảm lệ thuộc vào các bên thứ ba vô cùng quan trọng. Thế nhưng, làm được điều đó thì không dễ. Bởi xây dựng một hệ thống đòi nhiều công đoạn, cũng như sự tham gia của nhiều thành phần khác nhau và rất khó để chúng ta tự mình xây dựng toàn bộ.

Dẫu vậy, chúng ta vẫn cần nỗ lực trên tinh thần công nghệ nào có thể đầu tư sản xuất được thì vẫn nên tự sản xuất. Đồng thời, phải bảo vệ và làm tất cả những điều cần thiết để phát hiện rủi ro, phòng ngừa các lỗ hổng, điểm yếu.

Tôi cho rằng, cần xác định không có một hệ thống nào an toàn tuyệt đối. Hiện tại, đa số các đơn vị tấn công an ninh mạng hiện đại được tổ chức và hoạt động rất bài bản. Họ có động lực, mục tiêu và nguồn tại chính dồi dào.

Do đó, chúng ta cần tư duy khác đi, phải xác định trong cả hệ thống thông tin thì đâu là "tài sản" quan trọng, cần thiết nhất. Từ đây, sử dụng thêm các biện pháp khác xoay quanh việc bảo vệ để trong trường hợp có sự cố xảy ra thì dữ liệu thất thoát không nhiều, lượng thông tin mất đi không quá giá trị và không gây ra những thiệt hại nghiêm trọng.

Thế giới đang bước vào kỷ nguyên kinh tế số, và Kiểm toán Nhà nước cũng đang đẩy mạnh tiến trình số hóa. Trong thời gian qua, chúng tôi đã đổi mới phương thức kiểm toán bằng việc ứng dụng trí tuệ nhân tạo (AI) trong các khâu lựa chọn mẫu, quét dữ liệu, đối chiếu và phân tích. Nhờ đó, tiết kiệm đáng kể thời gian, nhân lực và nâng cao độ chính xác của các bước kiểm toán.

Việc ứng dụng trí tuệ nhân tạo (AI) giúp hoạt động kiểm toán trở nên minh bạch, hiệu quả hơn. Tuy nhiên, công nghệ cũng đặt ra thách thức mới khi dữ liệu được xem là tài sản vô cùng quan trọng. Nguy cơ bị tấn công mạng có thể gây ra tổn thất lớn. Với ngành đặc thù như kiểm toán, bảo vệ dữ liệu không chỉ là vấn đề an ninh mạng mà còn gắn liền với uy tín của cơ quan.

Nhận thức rõ điều này, Kiểm toán Nhà nước đã đầu tư mạnh mẽ để bảo đảm an toàn, an ninh hệ thống. Hiện hệ thống kiểm toán đang được bảo vệ ở cấp độ 3, với 4 lớp an ninh theo quy định của Nhà nước, gồm theo dõi-truy vết, sao lưu dữ liệu dự phòng, cùng các biện pháp khôi phục nhanh khi xảy ra sự cố.

Mới đây, Kiểm toán Nhà nước đã tổ chức diễn tập thực chiến giữa “quân xanh” (phòng thủ) và “quân đỏ” (tấn công). Khi “quân đỏ” phát động tấn công, hệ thống phòng thủ lập tức phát hiện, báo động và khóa toàn bộ hệ thống. Đặc biệt, các bước và phương thức tấn công đều được hệ thống ghi nhận chi tiết, phục vụ công tác nghiên cứu, phòng ngừa.

Dù vậy, không có hệ thống nào có thể bảo mật tuyệt đối. Yếu tố con người vẫn giữ vai trò then chốt: một sai sót nhỏ từ người dùng có thể mở cửa cho tin tặc xâm nhập.

Chỉ trong 8 tháng đầu năm 2025, Kiểm toán Nhà nước đã ghi nhận hàng triệu lượt tấn công mạng. Tất cả đều được ngăn chặn kịp thời, bảo vệ máy chủ và ngăn mã độc lây lan trong hệ thống.

Trong thời gian tới, Kiểm toán Nhà nước sẽ tiếp tục đầu tư, nâng cấp hệ thống công nghệ thông tin - một trong ba trụ cột phát triển của cơ quan. Kiểm toán Nhà nước đặt mục tiêu nâng mức bảo vệ lên cấp độ 4 (mức độ cao nhất đối với hệ thống thông tin của các bộ ngành, không thuộc khối an ninh, quốc phòng) ngay trong nửa đầu năm 2026.

Dữ liệu, như chúng ta đã biết, là thành phần quan trọng nhất trong hệ thống. Nhiều sự cố lộ lọt xuất phát từ những lỗ hổng rất cơ bản, chủ yếu từ cấu hình, lỗ hổng liên quan lưu trữ và liên quan đến back up.

Trước hết là vấn đề cấu hình. Chúng ta hình dung dữ liệu nằm trong một “ngôi nhà” nhưng lại không khóa cẩn thận. Có hệ thống chứa thông tin rất quan trọng nhưng lại dùng mật khẩu yếu, cấu hình mặc định hoặc để tiếp xúc trực tiếp với Internet. Khi một dịch vụ được đưa lên internet, sau vài phút sẽ có các công cụ quét và khai thác tự động trên toàn cầu. Đó là lý do nhiều hệ thống, chỉ cần sơ hở nhỏ là bị truy cập trái phép.

Một rủi ro nữa là lưu trữ tràn lan. Nhiều đơn vị lưu giữ quá nhiều biểu mẫu, dữ liệu không cần thiết, dẫn tới chi phí lưu trữ tăng và mở rộng bề mặt rủi ro. Khi hệ thống lưu trữ bị xâm phạm, toàn bộ khối dữ liệu có thể bị lộ. Trong bối cảnh pháp luật về bảo vệ dữ liệu cá nhân vừa được hoàn thiện, đơn vị lưu trữ sẽ phải chịu trách nhiệm pháp lý khi xảy ra rủi ro.

Thực tế không có hệ thống nào bảo đảm an toàn 100%. Các khảo sát cho thấy, nếu kẻ xấu có động cơ tấn công, tỷ lệ thành công là rất cao khi hệ thống có điểm yếu. Vì vậy, biện pháp phòng thủ đa lớp là cần thiết, trong đó sao lưu (backup) được coi là một trong những yếu tố sống còn.

Kinh nghiệm từ các vụ tấn công ransomware gần đây cho thấy thời gian khôi phục khác nhau rõ rệt: Có đơn vị mất đến vài tuần, trong khi đơn vị có phương án dự phòng tốt chỉ mất vài ngày. Khác biệt này chủ yếu đến từ việc có bản sao lưu an toàn, quy trình cách ly hệ thống bị tấn công và phối hợp kịp thời cơ quan chức năng.

Từ các bài học thực tiễn, cần tập trung vào ba nhóm giải pháp: siết chặt cấu hình an toàn trước khi đưa dịch vụ lên Internet; quản lý, phân loại và hạn chế lưu trữ dữ liệu không cần thiết; xây dựng quy trình phát hiện sớm, cách ly, khôi phục và phối hợp pháp lý khi xảy ra sự cố. Đây là các bước thiết yếu để bảo vệ tài sản quan trọng nhất của tổ chức: dữ liệu.

Bây giờ phần dữ liệu số hóa trên khu vực quản lý Nhà nước, các bộ ngành Trung ương và địa phương cũng như khu vực tư nhân bắt đầu kết nối với nhau. Đây là vấn đề tích hợp càng nhiều thì càng gặp những nhiều vấn đề rủi ro. Hiện nay khi kiểm tra chuyển đổi số trên môi trường số chúng tôi thấy rằng việc liên kết giữa khu vực Nhà nước và khu vực tư nhân khi tích hợp dữ liệu gặp nhiều khó khăn và rủi ro. Hiện nay rủi ro của việc liên thông dữ liệu giữa hệ thống công và tư nhân xảy ra ở những điểm sau:

Thứ nhất là về kỹ thuật. Chuyển đổi số hiện nay có 3 phần. Thứ nhất là Chính phủ số, chúng ta có thể thấy rõ, đó là Đề án 06 do Bộ Công an quản lý, liên kết với các bộ ngành - đó là liên kết giữa quản lý nhà nước khu vực công với nhau thì chất lượng tương đối tốt.

Thứ hai là kinh tế số, như đồng chí Ngô Đại Dương có nói là chiếm khoảng 30-40% trong giai đoạn tới. Ở phần này, việc chuyển đổi dữ liệu không đồng đều giữa doanh nghiệp nhà nước và doanh nghiệp tư nhân. Mỗi doanh nghiệp lại có một cách đầu tư riêng, thí dụ như các doanh nghiệp lớn đầu tư mạnh về an ninh mạng, tốt hơn các doanh nghiệp khách. Việc đồng bộ hóa, chuẩn dữ liệu ngay bản thân trong các doanh nghiệp tư nhân đã có rồi. Vì vậy, tiêu chuẩn và khung tiêu chuẩn để các khu vực khác kết nối vào khu vực Nhà nước thì trách nhiệm thuộc về phía Nhà nước, trong đó Bộ Công an đóng vai trò quan trọng. Vì không phải ai cũng có thể tích hợp được và nếu chỉ cần một kẻ tấn công, xâm nhập vào, thì rủi ro, ảnh hưởng đến nền kinh tế của chúng ta rất nghiêm trọng.

Thứ hai là chất lượng dữ liệu. Vừa rồi Chính phủ số đã làm rất tốt, nhanh và làm sạch dữ liệu như trong dữ liệu dân cư, dữ liệu đất đai. Đó là nguồn lực Nhà nước đầu tư vào, chất lượng dữ liệu sẽ tốt hơn. Ở khu vực tư nhân, tùy vào đầu tư của doanh nghiệp, nếu doanh nghiệp có nhận thức lãnh đạo cao và có nguồn lực mạnh thì họ sẽ đầu tư và làm sạch dữ liệu. Những dữ liệu chưa sạch khi khai thác sẽ nảy sinh vấn đề như tin giả lẫn lộn trong dữ liệu. Đó là về mặt khoa học công nghệ, về tiêu chuẩn dữ liệu kết nối giữa công và tư

Khó khăn thứ hai về chính sách, là liên quan đến xây dựng nền tảng dữ liệu số quốc gia, Bộ Công an phải chịu trách nhiệm chính về vấn đề này, phải có những quy định về mặt pháp lý rõ ràng về tiêu chuẩn về việc liên thông giữa công và tư.

Thứ nhất là phối hợp quản trị dữ liệu đó, vì quá trình khu vực công và tư nhân chia sẻ dữ liệu việc dữ liệu có sự phát sinh. Như chúng ta đã biết, dữ liệu không phải dạng tĩnh, mà liên tục thay đổi. Việc dữ liệu phát sinh cần phải có sự quản trị và phối hợp nhịp nhàng, để cho dữ liệu đó không bị đưa vào khu vực rủi ro, có sự phân quyền, mã hóa chuẩn chỉnh, chính xác để bảo đảm rằng quản trị và phối hợp dữ liệu giữa các bên liên quan trên tổng thể dữ liệu quốc hết sức cẩn thận. Chúng ta phải có một tổng công trình sư, một khung dữ liệu chuẩn, một tiêu chuẩn tốt thì chúng ta mới có để bảo đảm tương tác an toàn, hiệu quả.

Để trả lời câu hỏi này, xin nhấn mạnh, trong bảo mật dữ liệu có ba nhóm lỗ hổng: Lỗ hổng về mã hóa, về phân quyền truy cập và truy vết dữ liệu.

Về lỗ hổng phổ biến trong mã hóa, tập trung những nội dung chính như sau:

Nhóm thứ nhất là không mã hóa dữ liệu nhạy cảm, sử dụng các thuật toán mật mã dữ liệu lỗi thời hoặc suy yếu liên quan việc sử dụng các tham số, thuật thoán giao thức mật mã mặc định, hay là lạc hậu, lỗi thời, dẫn đến nguy cơ sử dụng các mật mã yếu, dễ bị phá vỡ.

Tiếp đó là mã hóa yếu, dùng lại hoặc là lỗ hổng liên quan đến lưu trữ và sử dụng việc mã hóa các biện pháp nghiệp vụ an toàn, như có nơi dùng khóa mặc định đã cài sẵn, hoặc dùng tạo khóa không thay đổi.

Tiếp theo là lỗi về triển khai trong quá trình mã hóa cũng như quản lý mật khẩu không an toàn. Đó là nội dung thứ nhất liên quan tới lỗ hổng trong mã hóa.

Nhóm thứ hai là lỗ hổng về phân quyền truy cập. Nguyên tắc cơ bản của phân quyền truy cập là người dùng chỉ được làm trong phạm vi, quyền hạn. Nhưng thực tế cho thấy, rất nhiều sự cố an ninh lại bắt nguồn từ cơ chế phân quyền không được kiểm soát chặt chẽ. Cụ thể, phạm vi, nguyên tắc đặc quyền tối thiểu, trong đó, vi phạm nguyên tắc đặc quyền tối thiểu.

Thứ hai là bỏ sót kiểm tra quyền trên tham số đầu vào.

Thứ ba là liên quan việc ẩn, chặn kiểm tra phân quyền.

Thứ tư là leo thang đặc quyền.

Thứ năm là cấu hình sai chính sách chia sẻ tài nguyên. Đó là về lỗ hổng về phân quyền.

Nhóm thứ ba là lỗ hổng về ghi vết và giám sát dữ liệu. Bên cạnh mã hóa và phân quyền còn có một cơ chế rất quan trọng nhưng lại dễ bị bỏ qua là ghi vết và giám sát, hay còn gọi là logging và monitoring. Nếu thiếu cơ chế này, chúng ta không nhìn thấy kẻ tấn công đang làm gì và cũng không thể phản ứng kịp thời. Điểm đặc biệt nhất là lỗ hổng ghi vết không trực tiếp mở cửa cho hacker nhưng nó khiến cho các cuộc tấn công diễn ra trong im lặng, không bị phát hiện, từ đó gây ra thiệt hại nghiêm trọng hơn rất nhiều.

Khi nói về ghi vết và giám sát có mấy vấn đề phổ biến mà nhiều hệ thống đang mắc phải: (1) Không ghi log đầy đủ; (2) Có log nhưng không giám sát, (3) Thiếu cảnh báo và phản ứng nhanh; (4) Log lưu trữ không an toàn.

Tóm lại, có ba nhóm lỗ hổng thường nhật liên quan đến mã hóa, phân quyền và truy vết.

Trước tiên, xin cảm ơn Báo Nhân Dân tổ chức Tọa đàm hôm nay. Nghị quyết 57-NQ/TW là Nghị quyết dẫn đường trong kỷ nguyên mới, an ninh mạng có vị trí hết sức quan trọng, gắn chặt với an ninh quốc gia khi quá trình chuyển đổi số được đẩy mạnh.

Về rủi ro lớn nhất trong lĩnh vực này, tôi cho rằng khó có thể chỉ ra một rủi ro duy nhất vì bất kỳ lỗ hổng nào trong an ninh mạng đều nguy hiểm, hậu quá khó lường. Tuy nhiên, theo kinh nghiệm nhiều năm làm việc trong lĩnh vực, có một số thách thức nổi bật mà chúng ta đang phải đối mặt như sau:

Thứ nhất, hiện nay khoa học công nghệ phát triển mạnh với nhiều công nghệ mới như trí tuệ nhân tạo, năng lượng nguyên tử, dữ liệu lớn… Tuy nhiên, nước ta trong những năm qua là một trong những quốc gia chịu nhiều cuộc tấn công mạng. Các đối tượng tấn công đánh cắp dữ liệu, đánh cắp bí mật Nhà nước, sau đó có thể mã hóa, vô hiệu hóa, phá hoại hệ thống thông tin, gây hậu quả lớn cho an toàn quốc gia và đời sống xã hội. Bên cạnh đó, các đối tượng cũng tấn công để mã hóa dữ liệu, đòi tiền chuộc.

Thứ hai, chúng ta đang phải đối mặt với thông tin giả, thông tin sai sự thật và thông tin xấu độc tấn công vào nền tảng tư tưởng của Đảng, bôi xấu lãnh đạo, phá hoại chia rẽ đoàn kết nhân dân.

Đến nay, đặc biệt khi có sự hỗ trợ của công nghệ mới trên các nền tảng số, tin giả có thể được lan truyền nhanh chóng, dẫn tới khó kiểm soát. Ngoài ra, một số cá nhân có lợi ích kinh tế, những người có ảnh hưởng (KOLs) tạo ra tin giả vì mục đích thương mại hoặc do thiếu hiểu biết cũng phát tán thông tin sai lệch, gây nhiễu loạn dư luận.

Thứ ba, hoạt động tội phạm công nghệ cao diễn biến phức tạp: đánh cắp dữ liệu cá nhân, lừa đảo chiếm đoạt tài sản, mua bán vũ khí, vật liệu nổ, mua bán ma túy. Tội phạm tạo ra các hội nhóm kín trên không gian mạng.

Những vấn đề đặt ra hiện nay không chỉ đến từ yếu tố bên ngoài, mà còn xuất phát từ chính nội tại của chúng ta.

Trước hết là vấn đề thể chế, pháp luật. Dù đã có khung pháp lý, song vẫn còn nhiều điểm chưa hoàn thiện. Chẳng hạn, với trí tuệ nhân tạo (AI) đang được sử dụng rộng rãi, chúng ta chưa có quy định cụ thể về phạm vi, cách thức sử dụng, hay biện pháp ngăn chặn nguy cơ công nghệ này bị lợi dụng để đánh cắp dữ liệu, đặc biệt trong hệ thống chính trị, cơ quan nhà nước và doanh nghiệp.

Bên cạnh đó, còn thiếu các quy định, tiêu chuẩn và cơ chế kiểm soát chất lượng phần mềm được đưa vào sử dụng. Khi xảy ra sự cố, hậu quả để lại có thể rất nghiêm trọng. Vì vậy, dù thời gian qua chúng ta đã xây dựng nhiều văn bản pháp lý, nhưng vẫn cần tiếp tục hoàn thiện.

Về công nghệ, Việt Nam đang triển khai lộ trình chuyển đổi số nhanh, với nhiều nguồn lực được đầu tư. Tuy nhiên, còn một số hạn chế. Thứ nhất, chúng ta thiếu một “kiến trúc sư trưởng” để thiết kế tổng thể. Bên cạnh đó, hệ thống đầu tư qua nhiều năm, qua nhiều giai đoạn, dẫn đến chồng chéo, phức tạp, khó bảo đảm tính tương thích. Sự phức tạp này lại vô tình tạo ra nhiều lỗ hổng, khiến các đối tượng có thể lợi dụng để tấn công.

Vấn đề quan trọng khác là nguồn nhân lực. Mặc dù chúng ta đã có quy chuẩn, quy trình, nhưng trong thực tế người sử dụng thường bỏ qua một số bước vì cho rằng phức tạp hoặc mất thời gian, từ đó vô tình tạo cơ hội cho đối tượng tấn công. Lực lượng chuyên trách trong lĩnh vực này hiện cũng còn mỏng, chưa đáp ứng được yêu cầu.

Ngoài ra, sự phối hợp giữa các cơ quan, ban ngành, doanh nghiệp và cả người sử dụng vẫn thiếu chặt chẽ, còn phân mảnh, cát cứ. Thí dụ, khi xảy ra tấn công mạng, các cơ quan, doanh nghiệp thường mời một doanh nghiệp về an ninh mạng vào khắc xử lý sự cố ngay lập tức. Tuy nhiên, nếu không có sự phối hợp với lực lượng công an - vốn có quy trình điều tra để xác định nguyên nhân, đối tượng và thực hiện các bước tố tụng pháp lý - thì việc xử lý sẽ thiếu tính toàn diện. Trong nhiều trường hợp, dấu vết bị xóa sạch, gây khó khăn cho công tác điều tra.

Một thách thức khác không kém phần quan trọng là sự phụ thuộc rất nhiều vào công nghệ nước ngoài. Phần lớn hệ thống kỹ thuật hiện nay chưa do Việt Nam làm chủ, dẫn đến nguy cơ mất an ninh, an toàn mạng.

Thay mặt Ban Chính sách, Chiến lược Trung ương, tôi trân trọng cảm ơn Báo Nhân Dân đã có sáng kiến tổ chức tọa đàm về chủ đề bảo mật dữ liệu và an ninh mạng - một vấn đề vừa cấp thiết vừa mang tính chiến lược.

Ngày nay, chuyển đổi số đã hiện diện ở mọi nơi, trở thành xu thế tất yếu của thời đại. Các quốc gia trên thế giới đều đặc biệt quan tâm đến vấn đề này. Ở Việt Nam, Đảng và Nhà nước đã có chủ trương rõ ràng, lâu dài về đổi mới sáng tạo và chuyển đổi số. Đặc biệt, thời gian qua Bộ Chính trị đã ban hành Nghị quyết số 57/NQ-TW đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia. Tôi cho rằng, đây là yếu tố tất yếu cho sự phát triển của mỗi quốc gia.

Nghị quyết 57/NQ-TW xác định phát triển khoa học, công nghệ và chuyển đổi số trên tinh thần tự lực, tự chủ, tự cường, là nhân tố then chốt bảo đảm quốc phòng, an ninh và tạo động lực bứt phá trong kỷ nguyên mới - kỷ nguyên vươn mình của dân tộc.

Chuyển đổi số gắn bó mật thiết với nhiều lĩnh vực như chính phủ số, kinh tế số… Trong đó, dữ liệu là yếu tố rất quan trọng, được ví như tài sản quốc gia; bảo mật dữ liệu có ý nghĩa tương tự với bảo vệ chủ quyền lãnh thổ trên biển và đất liền. Trung ương luôn coi trọng bảo vệ chủ quyền trên không gian mạng, coi đây là nhiệm vụ xuyên suốt, không thể tách rời trong bảo đảm an ninh quốc gia.

Dữ liệu được xem là tài sản chiến lược quốc gia, do vậy, chúng ta cần có những chiến lược để bảo đảm an ninh dữ liệu, an ninh mạng. Chúng ta cũng thấy rằng công nghệ số luôn phát triển liên tục với tính kết nối cao.

Do vậy, quan điểm của Đảng, Nhà nước trong bảo đảm an ninh mạng, an ninh dữ liệu là trong hoạch định chính sách, cần chuyển từ tư duy phòng thủ bị động sang chủ động và tích cực nhận diện sớm những rủi ro và chủ động các biện pháp.

Đây là yếu tố rất quan trọng trong bảo vệ an ninh dữ liệu, đồng thời là trách nhiệm không chỉ của các cơ quan nhà nước, mà còn của doanh nghiệp và người dân - những chủ thể trực tiếp sử dụng, khai thác dữ liệu. Nếu trước đây pháp luật mới dừng ở mức phòng ngừa, thì với sự phát triển nhanh chóng của công nghệ hiện nay, cần nhấn mạnh vai trò dẫn dắt, chủ động định hướng.

Để bảo vệ dữ liệu, cần kết hợp hai thành tố: Thứ nhất là bảo vệ bằng công nghệ, hạ tầng, quy trình - tức giải pháp kỹ thuật; thứ hai là bảo vệ bằng hệ thống pháp luật. Chúng ta đã có nhiều luật như Luật An ninh mạng, Luật Bảo vệ dữ liệu cá nhân…, và trong thời gian tới Quốc hội sẽ tiếp tục rà soát, hoàn thiện các luật liên quan.

Bên cạnh đó, Nghị quyết 57/NQ-TW cũng đề ra kế hoạch triển khai, trong đó có Kế hoạch số 01 về các công nghệ chiến lược, nhằm tăng cường tính tự chủ, làm chủ công nghệ lõi để bảo mật dữ liệu. Quan điểm xuyên suốt là phải chuyển từ thế phòng thủ bị động sang chủ động nhận diện sớm rủi ro, chủ động phòng ngừa và ứng phó.

Cuối cùng, tôi đánh giá rất cao Báo Nhân Dân đã lựa chọn chủ đề này gắn với “bộ tứ trụ cột” như Tổng Bí thư Tô Lâm đã nêu. Đây là diễn đàn thiết thực, góp phần nâng cao nhận thức, thúc đẩy hành động chung trong bảo đảm an ninh mạng và an toàn dữ liệu quốc gia.