Doanh nghiệp Việt cần chuẩn bị gì trước thềm Công ước LHQ về tội phạm mạng?

Năm 2024, Việt Nam tăng 8 bậc trong Chỉ số An toàn thông tin mạng toàn cầu (GCI), đứng thứ 17/194 quốc gia và vùng lãnh thổ trên toàn thế giới, thuộc Nhóm 1 – Nhóm các quốc gia co năng lực an toàn thông tin cao nhất thế giới. Con số này thể hiện cho nỗ lực rất lớn của Việt Nam trong 1 hành trình dài 4 năm liên tiếp để cải thiện về nhận thức và hành động của các tổ chức trong nước trong kỳ đánh giá thứ 5 của ITU (Liên minh Viễn thông quốc tế). Đáng chú ý, Việt Nam được đánh giá điểm số tuyệt đối 20/20 ở 4 trụ cột chính là Pháp lý, Hợp tác, Kỹ thuật và Tổ chức. Đây là những chỉ số quan trọng và chỉ ra thực tế việc hành pháp và thực hiện các biện pháp bảo mật đang được duy trì và đẩy mạnh trong các doanh nghiệp, tổ chức tại Việt Nam.

Tuy nhiên, cũng chính tại Việt Nam hiện có tới 20,06% doanh nghiệp chưa có nhân sự chuyên trách về an ninh mạng và 35,56% doanh nghiệp chỉ có tối đa 5 thành viên phụ trách lĩnh vực này - Theo báo cáo Tổng hợp An ninh mạng 2024 từ Công ty Cổ phần An ninh mạng Việt Nam (VSEC). Cũng trong báo cáo này tổng hợp thông tin từ Hiệp hội An ninh mạng Việt Nam có tới 46,15% cơ quan/doanh nghiệp đã từng bị tấn công ít nhất 1 lần trong năm 2024, 6,77% thường xuyên bị tấn công, 14,59% đã bị tấn công bằng mã độc ransomware và 659,000 vụ tấn công mạng ước tính đã xảy ra. Các nhóm ngành được tin tặc đặc biệt quan tâm và chiếm tỷ trọng lớn trong các cuộc tấn công mạng tại Việt Nam có 42% là tấn công có chủ đích (APT) vào các ngành Tài chính – Ngân hàng, 28% nhóm ngành Y tế với các vụ rò rỉ dữ liệu nhạy cảm. Trước bối cảnh này việc Công ước Liên hợp quốc về Tội phạm mạng (Hanoi Convention) diễn ra tại Hà Nội trong tháng 10 tới đây có thể sẽ đặt ra những thách thức và cơ hội mới cho doanh nghiệp trong việc cần triển khai sớm các biện pháp bảo vệ hệ thống và nâng cao uy tín.

Bước ngoặt trong trong An ninh mạng toàn cầu từ Hanoi Convention

Được Đại hiện đồng Liên hợp quốc thông qua vào ngày 24/12/2024, đây là hiệp ước quốc tế đầu tiên về tội phạm mạng, bao gồm 9 chương và 71 điều khoản. Theo Điều 1, Chương 1, Công ước có mục đích là thúc đẩy và tăng cường các biện pháp phòng ngừa và đấu tranh chống lại tội phạm mạng một cách hiệu quả và triệt để hơn; thúc đẩy, tạo thuận lợi và củng cố hợp tác quốc tế trong việc phòng ngừa và đấu tranh chống tội phạm mạng; thúc đẩy, tạo thuận lợi và hỗ trợ kỹ thuật, xây dựng năng lực để phòng ngừa và đấu tranh chống tội phạm mạng, đặc biệt vì lợi ích của các quốc gia đang phát triển. Chi tiết trong công ước này còn có các quy định cụ thể liên quan đến việc ngăn chặn, điều tra và truy tố các tội phạm như lừa đảo trực tuyến, lạm dụng trẻ em qua mạng, ransomware và rửa tiền. Theo UNODC, công ước sẽ có hiệu lực sau khi 40 quốc gia phê chuẩn, thúc đẩy chia sẻ các bằng chứng điện tử, hỗ trợ pháp lý lẫn nhau và xây dựng năng lực cho các quốc gia đang phát triển.

Cũng theo UNODC, các quốc gia sẽ tiến hành các thủ tục trong nội bộ để phê chuẩn công ước, qua đó chính thức trở thành quốc gia thành viên từ năm 2025 trở đi. Sau khi công ước có hiệu lực, Hội nghị các quốc gia thành viên sẽ được triệu tập định kỳ nhằm nâng cao năng lực và thúc đẩy hợp tác giữa các quốc gia trong việc thực hiện các mục tiêu của công ước cũng như giám sát việc triển khai công ước. Trong thời gian này, các doanh nghiệp tại Việt Nam sẽ cần nâng cấp hệ thống bảo mật để đáp ứng được các tiêu chuẩn quốc tế về chia sẻ dữ liệu và phòng chống tội phạm mạng. Đây cũng là giai đoạn nhạy cảm với nhiều cuộc tấn công leo thang trên môi trường số có thể gây ra những thiệt hại lớn về tài chính, gián đoạn hoạt động kinh doanh và tác động lớn đến tâm lý - niềm tin của khách hàng. Đặc biệt trong lĩnh vực tài chính, y tế, logistic, …

Tác động của Hanoi Convention đến doanh nghiệp Việt

Hanoi Convention yêu cầu các quốc gia thành viên thiết lập cơ chế báo cáo và chia sẻ bằng chứng diện tử cho các tội phạm nghiêm trọng (phạt tù từ 4 năm trở lên). Các doanh nghiệp đặc biệt trong lĩnh vực tài chính (xử lý dữ liệu giao dịch) và y tế (lưu trữ hồ sơ bệnh nhân), phải đảm bảo hệ thống đủ an toán để ngăn chặn xâm nhập và cung cấp dữ liệu khi được yêu cầu.

Trích lời Ông Phan Hoàng Giáp, Phó Tổng giám đốc VSEC trong Hội nghị VN Security Summit 2025 “Thời gian ẩn nấu trung bình toàn cầu năm 2025 (Median Dwell Time) theo Báo cáo của Mandiant M-Trends 2025 là 11 ngày tương ứng 264 giờ tin tặc ẩn náu trong hệ thống của doanh nghiệp. Nhưng tại Việt Nam, với khoảng cách lớn về áp dụng công nghệ và năng lực của đội ngũ cũng như thực tế khi tiến hành thực hiện các biện pháp đánh giá xâm nhập trên hàng trăm khách hàng, chúng tôi nhận thấy con số này có thể cao gấp 5-6 lần.”

Bên cạnh việc khuyến khích chia sẻ dữ liệu xuyên biên giới, Hanoi Convention cũng đặt ra áp lực trong việc tuân thủ và thách thức làm thế nào để giảm thiểu nguy cơ lạm dụng nếu hệ thống của doanh nghiệp không đủ an toàn. Các tổ chức có tập dữ liệu lớn và nhạy cảm cần rà soát và đẩy mạnh đầu tư vào công nghệ bảo mật để phát hiện và khắc phục nhanh chóng các vụ xâm nhập. Bên cạnh đó, các tiêu chuẩn bắt buộc như PCIDSS (lĩnh vực tài chính), HIPAA (lĩnh vực y tế) vốn có liên hệ chặt chẽ với công ước gần như là tiêu chuẩn bắt buộc các tổ chức cần đáp ứng.

Tuân thủ công ước là một chuyện, bài toán thực tế của Việt Nam và nhiều quốc gia hiện nay đang gặp phải nằm ở 3 yếu tố chính là Nguồn lực nhân sự, Chi phí đầu tư và Quy trình bảo mật. Cũng trong Báo cáo Tổng hợp An ninh mạng 2024 - Dự báo 2025 của VSEC, số lượng các tổ chức đối mặt với tình trạng thiếu hụt nghiêm trọng nhân lực an ninh mạng có kỹ năng đã tăng mạnh lên 53% trong năm 2024 so với 42% trong năm 2023.

Nhưng chính IBM cũng chỉ ra rằng, các tổ chức sử dụng biện pháp bảo mật chủ động như kiểm thử xâm nhập sâu (Red Team) có thể tiết kiệm trung bình đến 3,5 triệu USD chi phí khắc phục hậu quả của các cuộc tấn công mạng. Trong khi các doanh nghiệp lớn có kế hoạch và chi phí đầu tư cho bảo mật, các doanh nghiệp vừa và nhỏ có thể gặp phải khó khăn trong việc đầu tư chi phí ban đầu.

Doanh nghiệp cần làm gì trước thềm Công ước Hanoi Convention?

Theo Allianz, phần lớn ngân sách bảo mật CNTT được chi cho việc phòng thủ và chỉ 35% là dành cho việc phát hiện và ứng phó. “Để đối phó với sự phát triển mạnh mẽ của công nghệ trong thời gian tới, chính phủ và các quốc gia sẽ có xu hướng thắt chặt luật bảo mật, đòi hỏi doanh nghiệp phải có chiến lược dài hạn để thích ứng và đảm bảo tuân thủ nghiêm ngặt các quy định này. Hanoi Convention là lời nhắc nhở quan trọng cho việc đặt bảo mật trở thành yếu tố sống còn trong kỷ nguyên số cho doanh nghiệp” – Ông Phan Hoàng Giáp, DCEO VSEC nhấn mạnh.

Là đại diện của CREST tại Việt Nam, 22 năm kinh nghiệm trong việc cung cấp các giải pháp bảo mật cho các doanh nghiệp trong lĩnh vực tài chính và tổ chức lớn trong và ngoài nước; chuyên gia VSEC tư vấn doanh nghiệp cần thực hiện sớm các biện pháp bảo mật chủ động thay vì chỉ thụ động trong phòng thủ.

1. Sử dụng Pentest – Dịch vụ kiểm thử để sớm phát hiện các lỗ hổng trong hệ thống mạng, ứng dụng web, mobile app, … liên tục. Việc này có thể giúp doanh nghiệp giảm thiểu tới 45% khả năng bị tấn công và tiết kiệm 30% chi phí bảo mật. Đây là công cụ thiết yêu và không thể thiếu đối với các tổ chức. Bên cạnh hình thức Pentest truyền thống, ngày nay doanh nghiệp cũng có thể lựa chọn dịch vụ PTaaS (Pentest as a Service) để thực hiện hoạt động kiểm thử với chi phí tiết kiệm hơn, nhanh hơn, linh hoạt hơn và hoàn toàn trên nền tảng online.
2. Thực hiện đánh giá xâm phạm (CA – Compromise Assessment) càng sớm càng tốt. Đây là giải pháp tiên quyết và tác động lớn trực tiếp đến Hanoi Convention bởi việc doanh nghiệp cần đảm bảo hệ thống không bị xâm phạm trước khi cung cấp dữ liệu theo yêu cầu chia sẻ bằng chứng điện tử của Công ước. Hơn hết, việc phát hiện ra các dấu hiệu xâm phạm nằm sâu trong hệ thống sẽ giúp doanh nghiệp giảm nguy cơ bị tấn công lặp lại lên tới 80%.
3. Đào tạo nhận thức và Kiểm tra năng lực đội ngũ thông qua Red Team (Kiểm thử xâm nhập sâu). Không có giải pháp nào đủ hoàn hảo hoặc công nghệ nào đủ toàn diện trước các cuộc tấn công, đặc biệt yếu tố con người – luôn là mắt xích quan trọng và là điểm yếu nếu doanh nghiệp không có đào tạo đủ sâu về bảo mật trong nội bộ.
4. Lựa chọn các đơn vị cung cấp dịch vụ đảm bảo tiêu chuẩn quốc tế về bảo mật. Các tiêu chuẩn như CREST đang ngày được áp dụng rộng rãi tại Việt Nam là điểm sáng và là xương sống giúp doanh nghiệp dễ dàng hơn trong việc lựa chọn nhà cung cấp an toàn cho hệ thống. Bên cạnh đó, các tổ chức cũng cần xác định rõ các nguyên tắc và quy chuẩn riêng khi tiến hành các dịch vụ chuyên sâu, xâm nhập trực tiếp vào hệ thống dữ liệu quan trọng. Một gợi ý khác là việc nhà cung cấp có cung cấp bảo hiểm cho chính dịch vụ bảo mật là một điểm giúp doanh nghiệp có được sự an toàn cho chính bản thân và khách hàng của tổ chức.