Sẽ có 'thước đo' Việt Nam để đánh giá mức độ trưởng thành về an ninh mạng

Thông tin trên vừa được thiếu tá Trần Trung Hiếu, Phó Giám đốc Trung tâm An ninh mạng quốc gia, đơn vị nghiệp vụ thuộc Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao – A05 (Bộ Công an) chia sẻ trong phần thảo luận mở trong khuôn khổ tọa đàm “Mức độ trưởng thành của doanh nghiệp, tổ chức Việt Nam trong việc sẵn sàng ứng phó các sự cố” diễn ra ngày 21/5 tại Hà Nội.

Thiếu tá Trần Trung Hiếu, Phó Giám đốc Trung tâm An ninh mạng quốc gia - A05 trao đổi tại tọa đàm ngày 21/5. Ảnh: L.Q

Bàn về mức độ trưởng thành của các tổ chức tại Việt Nam, ông Vũ Ngọc Sơn, Trưởng ban Nghiên cứu, tư vấn, phát triển công nghệ và Hợp tác quốc tế, Hiệp hội An ninh mạng quốc gia – NCA cho rằng: Năng lực của các cơ quan, doanh nghiệp còn khá xa so với yêu cầu về đảm bảo an ninh mạng theo các tiêu chuẩn quốc tế.

Minh chứng cho đánh giá trên, ông Vũ Ngọc Sơn dẫn số liệu khảo sát được Cisco công bố hồi đầu tháng 5 cho thấy chỉ có 11% doanh nghiệp, tổ chức tại Việt Nam đạt cấp độ “trưởng thành”, có thể ứng phó hiệu quả với các mối đe dọa an ninh mạng, tăng 5% so với năm 2024.

Mặc dù chỉ ra rằng tỷ lệ 11% đơn vị trưởng thành về an ninh mạng của Việt Nam cũng chưa phải là ‘vùng trũng’ khi so sánh với con số trung bình thế giới 4%, song chuyên gia Vũ Ngọc Sơn cũng khẳng định: Cần có những hành động quyết liệt, cụ thể hơn để cải thiện năng lực ứng phó sự cố của các đơn vị tại Việt Nam.

Bởi lẽ, theo khảo sát của NCA thực hiện hồi cuối năm ngoái, cả về công nghệ, quy trình và nhân sự, các số liệu thống kê đều cho thấy sự hạn chế về năng lực bảo vệ hệ thống và ứng phó sự cố của nhiều doanh nghiệp, tổ chức Việt Nam.

Cụ thể, 35,87% doanh nghiệp không có giải pháp sao lưu, phục hồi dữ liệu; 52,89% không có Trung tâm giám sát, điều hành an ninh mạng - SOC; 46,2% chưa triển khai ISO; 20,6% chưa có nhân sự chuyên trách an ninh mạng; và 35,56% chỉ bố trí được chưa quá 5 nhân sự an ninh mạng, trong khi để trực SOC 24/7 với mô hình 3 ca 4 kíp thì cần tối thiểu từ 8 – 10 vị trí.

Theo đại diện NCA, có tới 35,56% chỉ bố trí được chưa quá 5 nhân sự an ninh mạng, trong khi để trực SOC 24/7 với mô hình 3 ca 4 kíp thì cần tối thiểu từ 8 – 10 vị trí. Ảnh minh họa: P.L

Trao đổi tại phiên tọa đàm mở, đại diện A05, thiếu tá Trần Trung Hiếu cho biết, cơ quan này đã và đang triển khai nhiều giải pháp để hỗ trợ các cơ quan, tổ chức, doanh nghiệp, bao gồm cả các doanh nghiệp nhỏ và vừa cải thiện khả năng phòng vệ trước các cuộc tấn công mạng.

Ngoài việc trước đây đã tham mưu để Bộ Chính trị ban hành Chiến lược an ninh mạng quốc gia, Bộ Công an, trực tiếp là A05 gần đây cũng tham mưu Chính phủ đề xuất Quốc hội về kiện toàn hệ thống văn bản quy phạm pháp luật lĩnh vực an ninh mạng, trong đó có việc hợp nhất Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018 thành Luật An ninh mạng năm 2025, sẽ trình tại kỳ họp Quốc hội tháng 10/2025.

Đáng chú ý, A05 cũng đang dự thảo và chuẩn bị ban hành Tiêu chuẩn quốc gia về đảm bảo an ninh mạng cho các hệ thống CNTT trọng yếu của cơ quan nhà nước. Đây chính là khuôn khổ mà các cơ quan, tổ chức, doanh nghiệp có thể tham chiếu khi xây dựng chiến lược an ninh mạng của đơn vị mình.

Bộ Công an thời gian tới còn xây dựng và ban hành bộ chỉ số về an ninh quốc gia, trong đó có bộ chỉ số an ninh mạng. Bộ chỉ số an ninh mạng dự kiến sẽ đánh giá các đơn vị theo thang điểm 100. Khi áp bộ tiêu chí này vào cơ quan, doanh nghiệp được đánh giá định kỳ, sẽ biết được mức độ trưởng thành về an ninh mạng của đơn vị.

Nhấn mạnh sự cần thiết của việc có khung đánh giá của Việt Nam để xác định mức độ trưởng thành về an ninh mạng, chuyên gia Vũ Ngọc Sơn cho rằng Tiêu chuẩn quốc gia về đảm bảo an ninh mạng cho các hệ thống CNTT trọng yếu sắp được Bộ Công an ban hành, sẽ giúp các đơn vị có công cụ để nhìn lại xem năng lực của mình đến đâu, hoặc so sánh năng lực của các đơn vị với nhau.

“Việc A05 đưa ra tiêu chuẩn này là rất cần thiết, thay vì chúng ta áp dụng các tiêu chuẩn của thế giới đâu đó không phù hợp với tình hình thực tiễn Việt Nam”, chuyên gia Vũ Ngọc Sơn bình luận.

Chuyên gia Vũ Ngọc Sơn trao đổi tại tọa đàm “Mức độ trưởng thành của doanh nghiệp, tổ chức Việt Nam trong việc sẵn sàng ứng phó các sự cố”. Ảnh: N.P

Chỉ rõ không đơn vị nào có thể tự tin rằng mình không bị tấn công, đại diện NCA khuyến nghị, trong bối cảnh các mối đe dọa an ninh mạng ngày càng gia tăng, các cơ quan, tổ chức và doanh nghiệp tại Việt Nam cần phải chuyển dịch mạnh mẽ sang tư thế chủ động, bao gồm chủ động phòng vệ cũng như chủ động trong phương án phản ứng sự cố.

“Với hành lang pháp lý chặt chẽ, các tiêu chuẩn, quy chuẩn mới, cùng liên minh ứng phó sự cố, các chuyên gia hoạt động gắn kết với nhau trong hiệp hội, chúng tôi hy vọng rằng nhiệm vụ đảm bảo an toàn, an ninh mạng sắp tới sẽ được triển khai nhuần nhuyễn, giảm nhẹ hậu quả khi xảy ra tấn công mạng”, đại diện NCA chia sẻ.

Đồng quan điểm với chuyên gia NCA, từ thực tế khắc phục nhanh sự cố tấn công ransomware hồi tháng 4/2025, Tổng Giám đốc CMC Cyber Security Trần Quốc Chính cho hay, là một đơn vị cung cấp các dịch vụ, giải pháp an ninh mạng, CMC Cyber Security rất chú trọng tuân thủ các quy trình, tiêu chuẩn.

Theo đó, đã rất quan tâm đến hồ sơ mô tả về hệ thống, xác định rõ các thành phần của hệ thống, các tài liệu có sơ đồ tổng quan và sơ đồ chi tiết của hệ thống. “Những tài liệu này đã góp phần để CMC Cyber Security rút ngắn được quá trình khôi phục hệ thống sau tấn công”, ông Trần Quốc Chính nói.

Vân Anh