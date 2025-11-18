Giới chuyên gia nhận định, đây là một động lực kinh tế được "thiết kế" để phá vỡ vòng luẩn quẩn của doanh nghiệp nội, kiến tạo một thị trường an ninh mạng trị giá hàng nghìn tỷ đồng thông qua các quy định đột phá như quy định kinh phí bảo vệ an ninh mạng của cơ quan, tổ chức, doanh nghiệp nhà nước và tổ chức chính trị phải bảo đảm tối thiểu 10% trong tổng kinh phí triển khai các dự án công nghệ thông tin và khuyến khích lớp phòng thủ nội địa.

Không gian mạng đã và đang trở thành "môi trường sống, môi trường kinh doanh" và một mặt trận an ninh phi truyền thống. Trong bối cảnh đó, việc hoàn thiện hành lang pháp lý là yêu cầu cấp thiết.

Tại Toạ đàm “Luật An ninh mạng 2025: Thúc đẩy năng lực tự chủ công nghệ” do Hiệp hội An ninh mạng Quốc gia tổ chức chiều 17/11, các chuyên gia đã nhìn thẳng vào dự thảo Luật, đưa ra những phân tích, những điểm cần thay đổi và những kiến nghị mang tính bước ngoặt.

Một trong những thay đổi cốt lõi của dự thảo là việc hợp nhất Luật An ninh mạng 2018 và Luật An toàn thông tin mạng 2015. Động thái này được đánh giá cao, nhằm giải quyết triệt để những vướng mắc, chồng chéo trong quản lý nhà nước, vốn đã gây không ít khó khăn cho cả cơ quan quản lý và doanh nghiệp.

Bối cảnh cấp thiết

Phác hoạ bức tranh toàn cảnh về các mối đe dọa, Thượng tá Nguyễn Đình Đỗ Thi – Phó Trưởng phòng An ninh thông tin mạng, Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (Cục A05 - Bộ Công an) cho biết, các công nghệ mới như trí tuệ nhân tạo (AI), Internet vệ tinh, máy tính lượng tử đang phát triển vũ bão, tiềm ẩn nguy cơ khôn lường.

"Nhóm tội phạm đóng giả cơ quan chức năng, công an, viện kiểm soát để chiếm đoạt, dọa nạt nạn nhân dính đến đường dây ma túy, thao túng tâm lý. Gần nhất là tháng 9, khi xảy ra vụ việc, công an, cảnh sát đến tận nơi thuyết phục nhưng nạn nhân không nghe lời công an thật mà chuyển tiền cho công an giả.

Ngoài ra, một số loại hình tấn công khác phải kể đến như tạo lập website mạo danh để lừa đảo, hack email doanh nghiệp, cắt ghép hình ảnh nhạy cảm để tống tiền, huy động đầu tư tài chính đa cấp, xâm phạm bí mật đời tư", Thượng tá Nguyễn Đình Đỗ Thi dẫn chứng.

Ông cũng chỉ rõ, tội phạm mạng, lừa đảo trực tuyến, tấn công ransomware (mã độc tống tiền) đang diễn ra muôn hình vạn trạng, gây thiệt hại thực tế lớn hơn rất nhiều so với tội phạm truyền thống.

Thượng tá Nguyễn Đình Đỗ Thi, Phó Trưởng phòng An ninh thông tin mạng, Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (Ảnh: NCA).

Đại diện Cục A05 nhấn mạnh, một trong những nguy cơ lớn nhất chính là sự lệ thuộc vào công nghệ của nước ngoài. Đây được cho là một trong ba nhóm nguy cơ có thể tác động đến an ninh quốc gia.

Dự thảo Luật An ninh mạng 2025, được xây dựng trên tinh thần kế thừa và bám sát Nghị quyết 66 của Bộ Chính trị với mục tiêu loại bỏ sự chồng chéo về thẩm quyền, triệt để thực hiện nguyên tắc một việc chỉ do một cơ quan chủ trì mà chịu trách nhiệm.

Dự thảo luật đã thống nhất đầu mối quản lý nhà nước khi chức năng đảm bảo an toàn thông tin mạng trước đây thuộc Bộ Thông tin và Truyền thông (nay là Bộ Khoa học và Công nghệ) được chuyển giao hoàn toàn cho Bộ Công an.

Đồng thời, đưa ra các chính sách rõ ràng để thúc đẩy tự chủ như khuyến khích các cơ quan tổ chức, cá nhân sử dụng sản phẩm dịch vụ Việt Nam và xây dựng tiêu chuẩn quy chuẩn kỹ thuật đối với sản phẩm.

Phá bỏ tâm lý sính ngoại

Một trong những góc nhìn thẳng thắn tại tọa đàm đến từ PGS.TS Nguyễn Ái Việt, Viện trưởng Viện Công nghệ và Giáo dục Trí tuệ mới tạo sinh (IGNITE). Ông bày tỏ sự phấn khởi với dự thảo luật mới vì có thể giải quyết những điểm “không thực sự phù hợp” đã tồn tại nhiều năm.

Theo PGS.TS Việt, rào cản lớn nhất cho doanh nghiệp an ninh mạng Việt Nam không hoàn toàn nằm ở công nghệ, mà ở tâm lý của các ngân hàng, tập đoàn, tổ chức lớn. Đó là sùng bái hàng ngoại và coi thường hàng nội.

Ông phân tích sâu nguyên nhân của tâm lý này, không phải vì chất lượng, mà là nguyên nhân chính vẫn là sợ trách nhiệm.

Ông Việt đặt vấn đề: "Khi một sản phẩm nước ngoài đắt tiền bị chọc thủng (tấn công - PV), người ta dễ dàng cho rằng đó là rủi ro không thể tránh khỏi vì đã mua thứ tốt nhất. Nhưng nếu một sản phẩm trong nước gặp sự cố tương tự, câu hỏi lập tức là tại sao lại dùng hàng nội?".

Từ thực tế này, PGS.TS Nguyễn Ái Việt nhấn mạnh sự cần thiết phải có "lớp phòng thủ nội địa". Ông cho rằng, giải pháp nước ngoài, dù mạnh vẫn có điểm yếu cố hữu như hỗ trợ và tư vấn tại chỗ rất là kém, thời gian vá lỗi kéo dài và nguy cơ tiềm ẩn từ "backdoor" (cửa hậu).

PGS.TS Nguyễn Ái Việt, Viện trưởng Viện Công nghệ và Giáo dục Trí tuệ mới tạo sinh (Ảnh: NCA).

“Quan điểm phòng thủ là phải có phòng thủ nhiều lớp”, ông nêu quan điểm.

Do đó, PGS.TS Nguyễn Ái Việt đề xuất Luật An ninh mạng 2025 cần có "quy định về lớp phòng thủ nội địa trong kiến trúc an ninh mạng".

Ông kiến nghị cần xây dựng Khung Kiến trúc An ninh mạng quốc gia, trong đó bắt buộc các tổ chức, đặc biệt là hạ tầng quan trọng, phải có một lớp phòng thủ bằng công nghệ nội địa bên cạnh giải pháp quốc tế.

Luật là động lực kinh tế

Nhìn từ góc độ doanh nghiệp, Ông Nguyễn Minh Đức - Chủ nhiệm CLB Dịch vụ An ninh mạng (Hiệp hội An ninh mạng Quốc gia), Giám đốc điều hành CyRadar - nhận định: Luật An ninh mạng 2025 không chỉ là công cụ bảo vệ chủ quyền số mà còn là động lực kinh tế quan trọng.

Ông Đức chỉ ra thực trạng vòng luẩn quẩn mà các doanh nghiệp công nghệ Việt đang mắc kẹt. Một khảo sát cho thấy trong 10 sản phẩm, dịch vụ an ninh mạng một doanh nghiệp Việt Nam sử dụng, chỉ có một hoặc hai sản phẩm đến từ Việt Nam và "có thể là không phải sản phẩm dịch vụ quan trọng".

Doanh nghiệp nội địa, theo ông Đức, thường xuyên bị hỏi “có gì hay hơn Tây không?". Vấn đề là, sản phẩm không được sử dụng thì không có doanh thu, không có phản hồi thực tế để nâng cấp và do đó không thể cạnh tranh với nước ngoài.

Dự thảo luật mới, theo ông Đức, đang giải quyết bài toán này từ gốc rễ bằng cách tạo ra thị trường.

Thứ nhất, Điều 5 của dự thảo đề xuất khuyến khích các cơ quan, tổ chức, cá nhân sử dụng sản phẩm, dịch vụ an ninh mạng do Việt Nam phát triển, nhằm định hướng thị trường và xây dựng công nghiệp an ninh mạng thành ngành kinh tế chiến lược.

Thứ hai và là điểm mấu chốt, luật quy định rõ kinh phí dành cho bảo vệ an ninh mạng tại các cơ quan nhà nước và tổ chức chính trị phải đạt tối thiểu 10% tổng kinh phí của các đề án, dự án công nghệ thông tin.

"Trước kia là không có", ông Đức nhấn mạnh. Ông giải thích rằng việc luật hóa điều khoản 10% này đã tạo ra một thị trường thực sự. Thay vì các doanh nghiệp an ninh mạng phải đi thuyết phục từng đơn vị, bây giờ họ đã phải có ngân sách nhất định.

Theo ông Đức, quy định mang tính cách mạng này sẽ kiến tạo một thị trường ổn định, có ngân sách được đảm bảo hàng năm. Điều này giúp các doanh nghiệp an ninh mạng Việt Nam đỡ vất vả trong quá trình thuyết phục, từ đó có nguồn lực để tái đầu tư, nghiên cứu - phát triển (R&D) và thực sự nâng cao chất lượng sản phẩm.

Phải có tiêu chuẩn, nếu không "cỏ lúa nó sẽ như nhau"

Mở cửa thị trường là điều kiện cần, nhưng chưa đủ. Ông Trần Quốc Chính - Phó Chủ Tịch Tập đoàn CMC, Tổng Giám đốc CMC Cyber Security - nhấn mạnh rằng, để thị trường phát triển lành mạnh, cần sớm ban hành các tiêu chuẩn, quy chuẩn kỹ thuật và bộ tiêu chí đánh giá.

Ông Trần Quốc Chính - Phó Chủ Tịch Tập đoàn CMC, Tổng Giám đốc CMC Cyber Security chia sẻ tại toạ đàm (Ảnh: NCA).

Ông Chính đồng tình việc hợp nhất luật là bước đi cần thiết để bắt kịp tốc độ phát triển của Big Data, AI, Cloud, vốn đã thay đổi hoàn toàn các khái niệm về hệ thống thông tin.

"Nếu không có những tiêu chuẩn, những quy chuẩn kỹ thuật thì cỏ lúa nó sẽ như nhau", ông Chính ví von.

Ông giải thích thêm, nếu không có thang đo chuẩn, cả cơ quan quản lý và người dùng (doanh nghiệp) sẽ không thể phân biệt được đâu là sản phẩm nội địa tốt, đâu là sản phẩm làm đối phó. Việc tuân thủ chỉ mang tính "hình thức".

Từ đó, đại diện CMC đưa ra ba đề xuất cụ thể để luật hóa các tiêu chuẩn:

Sớm ban hành tiêu chuẩn và quy chuẩn quốc gia cho từng nhóm sản phẩm, dịch vụ an ninh mạng. Đây là cơ sở pháp lý cho hoạt động thử nghiệm, chứng nhận hợp chuẩn/hợp quy.

Xây dựng bộ tiêu chí đánh giá và xếp hạng về an ninh mạng cho các tổ chức, doanh nghiệp (tương tự mô hình CMMI quốc tế). Điều này giúp doanh nghiệp tự đánh giá mức độ trưởng thành về an ninh mạng của mình và giúp cơ quan nhà nước giám sát, phân loại năng lực.

Bổ sung cơ chế linh hoạt cho đánh giá cấp độ an toàn thông tin. Cụ thể, cho phép các doanh nghiệp được cấp phép tham gia đánh giá và xác nhận độc lập cho các hệ thống cấp độ 1, 2, 3, nhằm giảm tải cho cơ quan quản lý nhà nước và nâng cao chất lượng thực chất, tránh tình trạng đối phó như hiện nay.

Hợp pháp hóa hacker mũ trắng, quản lý AI

Bên cạnh các trụ cột chính về thị trường và tiêu chuẩn, các chuyên gia cũng đưa ra nhiều đề xuất cụ thể, mang tính đột phá để đưa vào luật hoặc các văn bản dưới luật.

PGS.TS Nguyễn Ái Việt đề xuất một loạt giải pháp nhằm nâng cao năng lực phòng thủ thực chiến như:

Cho phép thu thập dữ liệu mạng: Để tạo ra các "rule" (luật) cho tường lửa hay hệ thống phòng thủ phù hợp với bối cảnh Việt Nam, cần có biện pháp và điều khoản cho phép thu thập dữ liệu mạng để tìm lỗ hổng tấn công.

Hợp pháp hóa hacker mũ trắng (chuyên gia an ninh mạng): Ông đề nghị luật cho phép hacker mũ trắng hoạt động, tổ chức diễn tập tấn công/phòng thủ... để tăng khả năng "miễn dịch".

Quy định về sử dụng AI trong cơ quan nhà nước: Một vấn đề thời sự được ông Việt chỉ ra là việc đưa văn bản nhà nước, quốc hội tải lên nền tảng AI như ChatGPT mà hết sức nhạy cảm và cần có quy định quản lý chặt chẽ việc này.

Trả lời câu hỏi của phóng viên báo Dân trí về việc dự thảo luật đặt an ninh dữ liệu làm trọng tâm sẽ giúp nâng cao năng lực phòng thủ quốc gia ra sao, ông Trần Quốc Chính cho biết: "Dữ liệu là trung tâm cần phải được bảo vệ".

Ông giải thích, luật an ninh mạng ra đời sẽ tạo ra một hành lang pháp lý thống nhất, yêu cầu các đơn vị cung cấp giải pháp bảo vệ từ hạ tầng đến dữ liệu, phải tuân thủ những chuẩn mực và tiêu chuẩn của Việt Nam, cũng như quốc tế".

Theo ông Chính, việc buộc những giải pháp, phần mềm phải tuân thủ tiêu chuẩn cao hơn này sẽ "gián tiếp làm cho dữ liệu của người dùng được đảm bảo hơn".

Tổng kết ý kiến tại tọa đàm, Ông Vũ Ngọc Sơn - Trưởng Ban Nghiên cứu, Tư vấn, Phát triển Công nghệ và Hợp tác Quốc tế, Hiệp hội An ninh mạng Quốc gia nhận định, dự thảo Luật An ninh mạng 2025 là một bước tiến lớn.

Ông Vũ Ngọc Sơn, Trưởng Ban Nghiên cứu, Tư vấn, Phát triển công nghệ và Hợp tác quốc tế, Hiệp hội An ninh mạng Quốc gia (Ảnh: NCA).

Ông Sơn chỉ ra sự thay đổi trong tư duy lập pháp: "Trước đây chúng ta quen với khái niệm là an toàn thông tin nhưng hiện tại đa phần các quốc gia (bao gồm Việt Nam) đã chuyển sang khái niệm an ninh mạng, vốn bao trùm hơn. Sự hợp nhất này, cùng với việc thống nhất đầu mối quản lý, sẽ giúp giảm những “vùng xám” về trách nhiệm trong xử lý sự cố".

Có thể thấy, tinh thần cốt lõi của Luật An ninh mạng 2025 không chỉ dừng ở việc phòng thủ hay bảo vệ. Bằng cách giải quyết các vấn đề căn cơ như "tâm lý sính ngoại", "nỗi sợ trách nhiệm", dự thảo luật đang kiến tạo một không gian mới: Một thị trường để thúc đẩy kinh tế và được chuẩn hóa bằng các quy chuẩn, nơi các doanh nghiệp công nghệ nội địa có "sân chơi" để phát triển, cạnh tranh và trưởng thành.

Đây là bước đi chiến lược để Việt Nam hiện thực hóa khát vọng từ một quốc gia tự chủ về công nghệ an ninh mạng trở thành một quốc gia dẫn dắt trong lĩnh vực này.