Dự thảo Luật An ninh mạng chấm dứt tình trạng thu thập dữ liệu dễ dãi
(Dân trí) - Dự thảo Luật An ninh mạng 2025 đánh dấu bước ngoặt pháp lý quan trọng khi lần đầu tiên định nghĩa "An ninh dữ liệu" là một cấu phần trọng yếu của an ninh quốc gia.
Thay đổi này không chỉ lấp đầy các khoảng trống pháp lý mà còn đặt ra những rào cản kỹ thuật khắt khe, buộc người đứng đầu tổ chức phải có chứng chỉ an ninh mạng và chấm dứt kỷ nguyên thu thập dữ liệu "dễ dãi" của doanh nghiệp.
Dữ liệu trở thành vấn đề sinh tồn quốc gia
Tại Tọa đàm "Luật An ninh mạng 2025: Bước tiến bảo vệ an ninh dữ liệu" do Hiệp hội An ninh mạng Quốc gia tổ chức chiều 24/11, các chuyên gia thống nhất nhận định rằng khung pháp lý cũ đã hoàn thành sứ mệnh giai đoạn đầu nhưng chưa đủ bao quát trước tốc độ chuyển đổi số hiện tại.
Thượng tá Nguyễn Đình Đỗ Thi, Phó Trưởng phòng An ninh thông tin mạng (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an) nhấn mạnh sự thay đổi trong tư duy quản lý nhà nước khi coi dữ liệu như "máu" của nền kinh tế số và xác định các chính sách trọng tâm của Nhà nước về đảm bảo an ninh mạng và an ninh dữ liệu.
Thứ nhất, ưu tiên bảo vệ an ninh mạng trong quốc phòng, an ninh, kinh tế - xã hội, khoa học - công nghệ và đối ngoại. Thứ hai, xây dựng không gian mạng an toàn, không gây phương hại tới an ninh quốc gia và trật tự xã hội.
Thứ ba, tập trung nguồn lực xây dựng lực lượng chuyên trách, phát triển nhân lực chất lượng cao, đẩy mạnh nghiên cứu - phát triển công nghệ an ninh mạng. Thứ tư, khuyến khích tổ chức, cá nhân tham gia xử lý nguy cơ, phối hợp với cơ quan chức năng. Thứ năm, ưu tiên sử dụng sản phẩm, dịch vụ công nghiệp an ninh mạng của Việt Nam. Thứ sáu, tăng cường hợp tác quốc tế bảo vệ an ninh mạng.
Thượng tá Nguyễn Đình Đỗ Thi, Phó Trưởng phòng An ninh thông tin mạng, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Ảnh: NCA).
Sự cấp thiết của việc luật hóa an ninh dữ liệu xuất phát từ thực tế nguy cơ mất an toàn ngày càng nghiêm trọng.
Thượng tá Thi chỉ ra, riêng năm 2024, Việt Nam ghi nhận hơn 600.000 cuộc tấn công mạng, trong đó hàng chục ngàn cuộc nhắm vào hệ thống cơ quan nhà nước.
Bên cạnh đó, tấn công ransomware (mã độc) khiến nhiều doanh nghiệp Việt Nam đã phải trả hàng triệu USD tiền chuộc dữ liệu, tương tự các vụ việc tại Mỹ lên tới 40 triệu USD. Tình trạng mua bán dữ liệu diễn ra công khai, điển hình là vụ án triệt phá nhóm đối tượng mua bán trái phép tới 6 triệu dữ liệu cá nhân vào tháng 2.
Đồng quan điểm, ông Vũ Ngọc Sơn - Trưởng Ban Nghiên cứu, Tư vấn, Phát triển công nghệ và Hợp tác quốc tế (Hiệp hội An ninh mạng Quốc gia), đánh giá việc bổ sung khái niệm "an ninh dữ liệu" là một thành công lớn của dự luật, đặt dữ liệu vào vị trí trung tâm của công tác bảo đảm an ninh.
Ông Vũ Ngọc Sơn, Trưởng Ban Nghiên cứu, Tư vấn, Phát triển công nghệ và Hợp tác quốc tế, Hiệp hội An ninh mạng Quốc gia (Ảnh: NCA).
Theo ông Sơn, quy định mới sẽ tạo ra một cuộc sàng lọc khắt khe, phân tách thị trường thành hai nhóm rõ rệt: Những đơn vị "làm thật" và những đơn vị "đối phó".
Trước đây, các đơn vị có thể thoải mái thu thập và lưu trữ dữ liệu mà không cần đầu tư bảo mật. Tuy nhiên, dự luật kỳ vọng sẽ chấm dứt tình trạng này. Những đơn vị không đảm bảo hạ tầng và giải pháp an ninh mạng sẽ không được phép thu thập và lưu trữ dữ liệu.
Ông Sơn ví von, dữ liệu giống như tiền bạc, người dân chỉ gửi tiền vào ngân hàng đủ tiêu chuẩn bảo vệ và tương tự, họ sẽ không cung cấp dữ liệu cho các tổ chức thiếu năng lực bảo đảm an ninh.
“Sự thay đổi này sẽ thúc đẩy sự ra đời của một ngành kinh tế mới: Ngành công nghiệp dữ liệu, song hành cùng ngành công nghiệp an ninh mạng. Các doanh nghiệp không đủ điều kiện tự bảo vệ dữ liệu sẽ phải chuyển sang mua dịch vụ, kết nối với cơ sở dữ liệu quốc gia hoặc tham gia các sàn giao dịch dữ liệu uy tín thay vì tự thu thập.
Điều này giúp tối ưu hóa nguồn lực xã hội, giảm chi phí đầu tư phân tán và hạn chế rủi ro rò rỉ”, ông Sơn cho biết thêm.
Xác thực khuôn mặt là chưa đủ để chống lại Deepfake
Ông Trần Công Quỳnh Lân - Phó Tổng giám đốc Ngân hàng TMCP Công thương Việt Nam (Vietinbank) cho biết hiện nay 99% giao dịch tại ngân hàng này đã thực hiện qua kênh số.
Để đáp ứng yêu cầu mới, VietinBank đã triển khai mô hình bảo mật đa lớp, áp dụng trình xác thực 4 lớp đang được áp dụng:
Lớp 1 và 2: Tên đăng nhập/mật khẩu và mã OTP.
Lớp 3: Sinh trắc học (khuôn mặt).
Lớp 4: Xác thực qua thẻ Căn cước công dân gắn chip sử dụng công nghệ NFC (công nghệ giao tiếp không dây tầm ngắn).
Ông Lân nhấn mạnh vai trò của lớp bảo vệ thứ 4 trong việc chống lại các thủ đoạn giả mạo danh tính (Deepfake). Ví dụ, với các giao dịch chuyển tiền trên 1 tỷ đồng, hệ thống bắt buộc người dùng phải quét thẻ căn cước công dân gắn chip để đối chiếu thực tế, thay vì chỉ dựa vào khuôn mặt.
Ông Trần Công Quỳnh Lân, Phó Tổng giám đốc Ngân hàng VietinBank chia sẻ tại toạ đàm (Ảnh: NCA).
Đặc biệt, khi khách hàng thay đổi thiết bị điện thoại - một hành vi có rủi ro cao - ngân hàng cũng áp dụng xác thực NFC để đảm bảo chính chủ.
Bên cạnh giải pháp kỹ thuật, ông Lân chỉ ra những thách thức lớn về vận hành mà dự luật đặt ra:
Phân loại dữ liệu: Ngân hàng phải thực hiện phân loại và dán nhãn dữ liệu (Data Classification) cho hàng triệu giao dịch mỗi ngày. Dữ liệu sinh trắc học, dữ liệu tài chính và dữ liệu hành vi phải có cơ chế bảo vệ và phân quyền truy cập khác nhau.
Báo cáo sự cố 24h: Quy định yêu cầu báo cáo sự cố an ninh mạng trong vòng 24 giờ kèm theo phương án xử lý là một áp lực rất lớn về quy trình ứng cứu.
"Không tin bất kỳ ai" là cách bảo vệ an toàn nhất
Đối với hạ tầng mạng lưới, ông Lê Công Trung, Trưởng BU An ninh mạng (MobiFone), trình bày về việc áp dụng kiến trúc Zero Trust - không tin tưởng bất cứ ai - để đáp ứng chuẩn an ninh mạng mới.
Mô hình này kiểm soát dựa trên 5 trụ cột: Định danh, thiết bị, mạng lưới, ứng dụng và dữ liệu. Mọi truy cập đều phải được xác thực lại liên tục.
Một điểm trọng yếu khác là kiểm soát rủi ro từ chuỗi cung ứng.
"MobiFone đang đẩy mạnh chiến lược tự chủ công nghệ, tự sản xuất các thiết bị an ninh mạng như tường lửa và giải pháp định danh "Make in Vietnam" để tránh phụ thuộc vào bên thứ ba", ông Trung chia sẻ.
Đại diện MobiFone cũng đánh giá cao việc Dự luật An ninh mạng bám sát bộ tiêu chuẩn TCVN 11423 về an ninh mạng, giúp doanh nghiệp có thước đo định lượng cụ thể (15 yêu cầu cho hệ thống cơ quan nhà nước, 18 yêu cầu cho hệ thống quan trọng quốc gia) để triển khai giải pháp kỹ thuật.
Ông Lê Công Trung, Trưởng BU An ninh mạng MobiFone (Ảnh: NCA).
Một điểm mới mang tính đột phá trong Luật An ninh mạng 2025 được ông Vũ Ngọc Sơn đặc biệt nhấn mạnh là yêu cầu đối với người đứng đầu.
Khác với luật cũ chỉ quy định trách nhiệm chung chung, dự luật yêu cầu người đứng đầu tổ chức phải có kiến thức và chứng chỉ về quản trị an ninh mạng. Ông Sơn cho rằng đây là bước tiến quan trọng để thay đổi văn hóa tổ chức, bởi nếu lãnh đạo không hiểu biết thì không thể đưa ra quyết sách đầu tư hiệu quả.
“Người dùng Internet cũng cần thay đổi tư duy từ "hưởng thụ" sang "có trách nhiệm". Việc chia sẻ dữ liệu cá nhân hớ hênh, thiếu kiểm soát được ví như việc để tài sản không có hàng rào bảo vệ, gián tiếp kích thích tội phạm hoạt động”, ông Sơn cho biết thêm.
Chia sẻ kinh nghiệm quốc tế, ông Sơn dẫn chứng mô hình của Hàn Quốc - quốc gia từng bị tấn công mạng nhiều nhất thế giới. Hàn Quốc đã xây dựng hệ thống chứng chỉ an ninh mạng phổ cập từ cấp tiểu học lên đến sau đại học.
“Nhờ sự đào tạo bài bản này, người dân và nhân sự Hàn Quốc có kỹ năng phòng vệ rất tốt, tạo nên một "lá chắn" vững chắc cho quốc gia khi tất cả các bên cùng có kiến thức và đầu tư cho an ninh mạng”, ông Sơn nêu dẫn chứng.
