Doanh nghiệp cần chuẩn bị gì trước tiêu chuẩn toàn cầu mới về an ninh mạng?

Việt Nam khẳng định vai trò dẫn dắt trong không gian mạng toàn cầu

Liên Hợp quốc sẽ mở ký Công ước về chống tội phạm mạng tên chính thức là Công ước Hà Nội tại Hà Nội vào 25-26/10/2025. Sau đó, các quốc gia thành viên Liên Hợp quốc sẽ tiếp tục có thể tham gia ký kết tại Trụ sở Liên Hợp quốc ở New York (Hoa Kỳ) cho đến hết ngày 31/12/2026. Theo ông Nguyễn Hữu Phú - Phó Vụ trưởng Vụ Luật pháp và Điều ước quốc tế, Bộ Ngoại giao, việc chọn Hà Nội làm nơi khởi động công ước thể hiện sự ghi nhận quốc tế với nỗ lực và vai trò ngày càng rõ nét của Việt Nam trong quản trị không gian mạng. Đồng thời, đây cũng là dấu mốc thể hiện sự tự tin của Việt Nam trong việc thúc đẩy và thực thi một khuôn khổ pháp lý toàn diện nhằm phòng chống tội phạm mạng xuyên biên giới.

Được thông qua bởi Đại hội đồng Liên Hợp quốc 24/12/2024, Công ước Hà Nội là hiệp ước quốc tế đầu tiên về tội phạm mạng, gồm 9 chương và 71 điều khoản, nhấn mạnh ba mục tiêu chính: tăng cường phòng ngừa đấu tranh chống tội phạm mạng, thúc đẩy hợp tác quốc tế và hỗ trợ kỹ thuật xây dựng năng lực cho các quốc gia, đặc biệt là các nước đang phát triển. Công ước này quy định cụ thể việc điều tra, truy tố các hành vi như lừa đảo trực tuyến, phát tán mã độc, lạm dụng trẻ em trên mạng hay rửa tiền điện tử, đồng thời khuyến khích chia sẻ bằng chứng số giữa các quốc gia thành viên.

Toàn cảnh phiên họp thông qua Công ước Liên Hợp quốc về Tội phạm mạng. Ảnh: TTTXVN

Việt Nam được đánh giá là hình mẫu tích cực trong nỗ lực cải thiện năng lực an toàn thông tin. Theo xếp hạng mới nhất của Liên minh Viễn thông quốc tế (ITU), năm 2024, Việt Nam đứng thứ 17/194 quốc gia và vùng lãnh thổ toàn cầu về Chỉ số An toàn thông tin mạng (GCI), tăng 8 bậc so với năm trước, và xếp trong Nhóm 1 - nhóm có năng lực an toàn thông tin cao nhất thế giới. Đáng chú ý, Việt Nam đạt điểm tuyệt đối 20/20 ở bốn trụ cột pháp lý, hợp tác, kỹ thuật và tổ chức - phản ánh nỗ lực đáng kể của các cơ quan quản lý và cộng đồng doanh nghiệp trong xây dựng môi trường số an toàn.

Tuy vậy, thách thức vẫn rất lớn. Theo Báo cáo Tổng hợp An ninh mạng 2024 của Công ty Cổ phần An ninh mạng Việt Nam (VSEC), có đến 20,06% doanh nghiệp tại Việt Nam chưa có nhân sự chuyên trách về an ninh mạng và 35,56% chỉ có tối đa 5 người phụ trách. 46,15% tổ chức từng bị tấn công mạng, trong đó 14,59% là nạn nhân của ransomware. Các cuộc tấn công có chủ đích (APT) tập trung vào lĩnh vực tài chính - ngân hàng (42%) và y tế (28%), khiến nhiều dữ liệu nhạy cảm bị rò rỉ.

Trước tình hình đó, Công ước Hà Nội được kỳ vọng sẽ tạo ra một khung pháp lý thống nhất, thúc đẩy chia sẻ thông tin giữa các quốc gia và nâng cao chuẩn bảo mật toàn cầu. Các doanh nghiệp Việt đặc biệt trong lĩnh vực xử lý dữ liệu như ngân hàng, y tế, logistic sẽ phải đáp ứng yêu cầu bảo vệ hệ thống, cung cấp dữ liệu số khi có yêu cầu hợp pháp từ cơ quan điều tra nước ngoài và đảm bảo việc chia sẻ bằng chứng điện tử được kiểm soát nghiêm ngặt.

Thách thức pháp lý và nghĩa vụ quốc tế mới cho doanh nghiệp

Ông Phan Hoàng Giáp - Phó Tổng Giám đốc VSEC cảnh báo rằng thời gian “ẩn náu” trung bình của tin tặc trong hệ thống doanh nghiệp tại Việt Nam có thể cao gấp 5-6 lần mức trung bình toàn cầu là 11 ngày (theo Mandiant M-Trends 2025). Con số này cho thấy các tổ chức trong nước vẫn còn nhiều lỗ hổng trong phát hiện và phản ứng với tấn công mạng. Đặc biệt trong bối cảnh Công ước Hà Nội yêu cầu chia sẻ bằng chứng điện tử, các doanh nghiệp cần nhanh chóng đánh giá xem hệ thống của mình có bị xâm nhập hay không trước khi chia sẻ dữ liệu, nếu không sẽ đối mặt rủi ro lộ lọt thông tin và bị tấn công tiếp theo.

Thống kê năm 2024 trên VSEC Threat Intelligence.

Trước yêu cầu mới, các chuyên gia khuyến nghị doanh nghiệp Việt cần sớm áp dụng các biện pháp bảo mật chủ động thay vì chỉ phòng thủ thụ động. Một số biện pháp cấp thiết bao gồm: Triển khai kiểm thử xâm nhập (Pentest) định kỳ để phát hiện lỗ hổng hệ thống; Thực hiện đánh giá xâm phạm (Compromise Assessment) để xác minh hệ thống không bị chiếm quyền kiểm soát; Đào tạo nhận thức bảo mật cho nhân sự - mắt xích yếu nhất trong hệ thống phòng thủ mạng; Lựa chọn đối tác bảo mật đạt chuẩn quốc tế như CREST hoặc có bảo hiểm cho dịch vụ cung cấp; Chuyển dần sang các mô hình bảo mật dịch vụ như Pentest-as-a-Service (PTaaS) để tiết kiệm chi phí và triển khai linh hoạt hơn.

Ngoài ra, doanh nghiệp cần chuẩn bị đáp ứng các tiêu chuẩn quốc tế gắn với từng lĩnh vực: PCI-DSS trong tài chính, HIPAA trong y tế, ISO/IEC 27001 cho quản trị an toàn thông tin. Việc tuân thủ các bộ tiêu chuẩn này không chỉ giúp doanh nghiệp phòng chống tội phạm mạng hiệu quả mà còn nâng cao uy tín và khả năng tham gia vào chuỗi cung ứng toàn cầu nơi ngày càng coi trọng bảo mật thông tin như một yếu tố sống còn.

Theo báo cáo của VSEC, tỷ lệ thiếu hụt nhân lực an ninh mạng có kỹ năng cao tại Việt Nam đã tăng từ 42% năm 2023 lên 53% năm 2024. Điều này đòi hỏi nhà nước cần có chính sách phát triển nguồn nhân lực chuyên sâu, đồng thời doanh nghiệp cũng cần đầu tư đào tạo, giữ chân nhân tài và kết hợp sử dụng dịch vụ chuyên gia từ bên ngoài để giảm thiểu rủi ro.

Phát biểu tại Đại hội đồng Liên Hợp quốc, Tổng Thư ký Antonio Guterres nhấn mạnh, Công ước sẽ thiết lập nền tảng hợp tác quốc tế chưa từng có, với mục tiêu không chỉ trao đổi thông tin và bảo vệ nạn nhân mà còn phòng ngừa tội phạm ngay từ gốc rễ.

Trong khi đó, Chủ tịch Đại hội đồng Liên Hợp quốc Philémon Yang khẳng định công ước đặt nền móng pháp lý đầu tiên nhằm xử lý loại tội phạm không biên giới, với thiệt hại kinh tế toàn cầu ước đạt 10.500 tỷ USD vào năm 2025. Bên cạnh việc tạo dựng nền móng pháp lý, Công ước còn thiết lập cơ chế hợp tác liên tục 24/7 giữa các quốc gia, bao gồm việc chia sẻ thông tin tình báo, phối hợp điều tra xuyên biên giới và xây dựng các tiêu chuẩn chung nhằm thu hẹp khoảng cách pháp luật. 

Duy Trinh