Quản lý rủi ro an toàn thông tin mạng trong thương mại xuyên biên giới
An toàn thông tin - Ngày đăng : 18:00, 03/12/2021
Thương mại xuyên biên giới rất quan trọng đối với hầu hết mọi công ty, nhưng nó cũng tạo ra những phức tạp mới. Khi các sản phẩm hoặc dịch vụ kết nối với internet, các rủi ro về an ninh mạng sẽ xuất hiện. Nhiều người lo ngại các quốc gia hoặc tập đoàn nước ngoài có thể lạm dụng sản phẩm số để thu thập dữ liệu riêng tư, cấy lỗ hổng bảo mật …. Có nghĩa là, các chính phủ sẽ tăng cường giám sát các sản phẩm số bán xuyên biên giới, thậm chí cấm những sản phẩm nước ngoài đó bán ở nước sở tại. Để dễ hình dung, chúng ta có thể liên tưởng đến việc Đức đã cấm bán và cấm người dân sở hữu con búp bê “My Friend, Cayla” được kích hoạt bằng giọng nói do Mỹ sản xuất vào năm 2017, do lo ngại nó chứa một thiết bị giám sát được che giấu bên trong, vi phạm các quy định về quyền riêng tư của liên bang Đức và có thể được sử dụng để do thám và thu thập dữ liệu cá nhân. Hay trường hợp thiết bị 5G của Huawei bị nhiều chính phủ lo ngại, nghi ngờ thiết bị có thể thiết lập cửa hậu để giám sát các mạng viễn thông quan trọng. Điều hướng và giảm thiểu những rủi ro này là một phần chiến lược số hóa của mọi công ty xuyên quốc gia.
Trong bài viết trên Harvard Business Review, các tác giả đã xem xét 75 trường hợp cho thấy đó là một hiện tượng toàn cầu liên quan đến hơn 31 quốc gia, bao gồm tất cả các nền kinh tế lớn, chẳng hạn như các thành viên G20 và OECD. Theo quan sát, các vụ việc liên quan (nhưng không giới hạn) đến mọi thiết bị như máy tính và thiết bị mạng, thiết bị y tế, dịch vụ hội nghị truyền hình, phần mềm bảo mật, mạng xã hội, camera an ninh, hệ thống CNTT ngân hàng, máy bay không người lái, điện thoại thông minh, đồ chơi thông minh, phần mềm AI và hệ thống thanh toán. Lo ngại về ATTTM không phải là vấn đề với các công ty xuyên quốc gia nữa, mà là khi nào và như thế nào.
Những quy tắc chắp vá và liên tục thay đổi
Về mặt kỹ thuật, mọi rủi ro ATTTM trong các sản phẩm kỹ thuật số xuyên quốc gia là như nhau đối với tất cả các quốc gia. Nhưng các chính phủ thực hiện các chiến lược khác nhau để giải quyết những lo ngại này, chẳng hạn như giới hạn nhập khẩu, đặt ra các yêu cầu tiếp cận thị trường và các yêu cầu về dịch vụ sau bán hàng để quản lý các rủi ro an ninh mạng tiềm ẩn. Do đó, các doanh nghiệp quốc tế phải tuân thủ một hệ thống quy tắc và yêu cầu rời rạc thay đổi theo từng quốc gia và thay đổi hàng ngày - điều này gây rủi ro đáng kể cho các công ty đang tìm cách phát triển thị trường điều hướng các mối lo ngại.
Do đó, các cân nhắc kỹ thuật không phải là những cân nhắc duy nhất định hình chính sách. Các công ty nên xem xét những yếu tố quan trọng này khi nghĩ về chiến lược kỹ thuật số quốc tế của họ.
Năng lực của chính phủ trong quản lý rủi ro ATTTM
Mỗi chính phủ thường có cách phản ứng tùy thuộc vào khả năng quản lý rủi ro an ninh mạng của họ. Các khả năng này bao gồm luật và quy định về an ninh mạng; các khả năng kỹ thuật của các cơ quan quốc gia và ngành cụ thể; các tổ chức đảm bảo ATTTM; và các chiến dịch nâng cao nhận thức, đào tạo, giáo dục; quan hệ đối tác giữa các cơ quan, công ty và quốc gia. Các chính phủ có năng lực ATTTM cao có thể coi rủi ro an ninh mạng dễ quản lý hơn, vì vậy họ có nhiều khả năng áp dụng các chính sách ít hạn chế hơn đối với nền thương mại kỹ thuật số.
Mối tin cậy giữa chính phủ và doanh nghiệp
Về mặt chức năng, chính phủ không thể kiểm tra hàng triệu phần mềm hoặc chương trình trong mỗi sản phẩm và dịch vụ kỹ thuật số được bán qua biên giới của mình. Các quyết định đưa ra thường dựa trên nhận thức về rủi ro, và điều đó sẽ bị ảnh hưởng đáng kể bởi mối tin tưởng giữa chính phủ và các doanh nghiệp, cũng như trong các mối quan hệ kinh doanh với doanh nghiệp. Sự tin tưởng và lòng trung thành của doanh nghiệp được phát triển theo thời gian có thể khuyến khích các chính quyền địa phương áp dụng phương pháp tiếp cận theo định hướng quản lý rủi ro mạng và phi chính trị hóa các rủi ro trên mạng.
Nghiên cứu cho thấy sự tin tưởng và lòng trung thành của doanh nghiệp nâng cao khả năng thương lượng của một công ty với chính quyền địa phương. Các công ty sẽ có nhiều cơ hội đàm phán với chính phủ để tránh, hoặc ít nhất là giảm bớt tác động của các hạn chế tiềm ẩn liên quan đến những lo ngại về an ninh mạng.
Đáng chú ý, việc dự đoán từng quốc gia sẽ phản ứng như thế nào với các rủi ro ATTTM từ thương mại kỹ thuật số là một thách thức đối với các công ty, nhưng các doanh nghiệp cần hiểu và chấp nhận thực tế mới này. Trong nghiên cứu của mình, Harvard Business Review đã phát triển một phương pháp giúp các công ty giảm thiểu các kết quả bất lợi.
Phát triển một chiến lược tích cực
Theo Harvard Business Review, hệ thống quản trị ATTTM toàn cầu bị phân tán, mỗi quốc gia có những chính sách đặc thù khác nhau, nên các tập đoàn cần phải có cách tiếp cận tích cực để hoàn thiện chiến lược kỹ thuật số toàn cầu của họ. Mặc dù những nỗ lực này có thể không phải lúc nào cũng thành công, nhưng chúng sẽ chuẩn bị giúp các công ty giải quyết những lo ngại về an ninh mạng. Một số hành động bao gồm:
Xây dựng văn hóa quản trị ATTTM hiệu quả. Việc xây dựng các tính năng đảm bảo ATTTM vào các sản phẩm số là yêu cầu trước tiên khi tiếp cận thị trường, đặc biệt là đối với các cơ sở hạ tầng quan trọng như hệ thống CNTT tài chính hoặc mạng 5G. Các công ty nên nuôi dưỡng văn hóa an ninh mạng trong tổ chức của họ, bao gồm cả ban lãnh đạo và nhóm phát triển sản phẩm, để thúc đẩy nhận thức về tầm quan trọng của an ninh mạng đối với thành công trên thị trường của họ. Ngoài việc tuân theo các tiêu chuẩn quốc tế, các công ty nên phát triển một hệ thống quản trị an ninh mạng linh hoạt có thể thích ứng và tuân thủ một cách hiệu quả các chính sách và quy định về an ninh mạng khác nhau trong các thị trường mục tiêu.
Tạo hình ảnh tốt về ATTTM. Vì việc kiểm tra kỹ lưỡng từng phần mềm, chương trình cơ sở hoặc phần cứng của từng sản phẩm là điều không khả thi, nên danh tiếng trở thành điều quan trọng để xóa bỏ các mối lo ngại ATTTM. Khách hàng sẽ tin tưởng một công ty có uy tín cao, luôn cố gắng hết sức nâng cao các tính năng an ninh mạng trong một sản phẩm kỹ thuật số, không gây hại cho khách hàng của họ bằng cách khai thác lỗ hổng và sẽ xử lý sự cố an ninh mạng một cách có trách nhiệm nếu nó xảy ra. Do đó, các công ty nên tích cực bảo vệ danh tiếng thị trường của họ bằng cách thể hiện cam kết đối với ATTTM. Không ai muốn “mất an toàn” trở thành một phần của các thương hiệu doanh nghiệp trong thời đại kỹ thuật số. Quan trọng là, danh tiếng tốt có thể giúp các công ty tránh bị chính trị hóa các mối lo ngại về an ninh mạng.
Sẵn sàng bước ra và chuẩn bị quay lại. Trong một thị trường mà những lo ngại về an ninh mạng đã bị chính trị hóa và việc các công ty phải tuân thủ mọi yêu cầu về an ninh mạng trở nên quá tốn kém, thì việc công ty tạm thời thoát ra khỏi thị trường có thể là một lựa chọn tốt. Nhưng ngay cả khi một công ty phải thoát ra, chẳng hạn như Huawei bị Mỹ đưa vào “danh sách đen”, hay Google phải rút khỏi Trung Quốc, thì việc bảo vệ danh tiếng có thể giúp duy trì quan hệ đối tác của họ với các quốc gia khác.
Ngoài ra, các tập đoàn nên chú ý chiến lược gia nhập sau khi đã rút khỏi thị trường, đặc biệt khi lệnh cấm chỉ nhằm vào một số hoạt động kinh doanh của tập đoàn hoặc bị thúc đẩy bởi các ảnh hưởng chính trị bên ngoài. Việc các công ty toàn cầu tái nhập thị trường nước ngoài ngày càng phổ biến, vì vậy, các công ty cần sẵn sàng chiến lược tái nhập hiệu quả, như duy trì học hỏi kiến thức về thị trường, chuẩn bị mô hình tái nhập với các sản phẩm an ninh mạng mới và giám sát môi trường chính trị hóa…
Hướng dẫn các chính phủ cách phòng tránh rủi ro. Vì rủi ro ATTTM từ các dịch vụ số là không thể tránh khỏi, các công ty nên có cách tiếp cận tích cực để giúp chính phủ sở tại xây dựng khả năng quản lý các rủi ro tiềm ẩn. Ví dụ, thành lập một trung tâm minh bạch cho khách hàng, bao gồm cả các chính phủ, để xác minh rằng giảm thiểu rủi ro an ninh mạng là phương pháp hay nhất. Điều này vừa thể hiện sự tự tin của doanh nghiệp vừa nâng cao lòng tin của khách hàng với tính năng bảo mật mạng tích hợp trong các sản phẩm.
Điều quan trọng là, năng lực về an ninh mạng của công ty có thể giúp chính phủ nước sở tại thực hiện các chính sách giảm thiểu rủi ro về an ninh mạng và không đưa ra các rào cản bất hợp lý. Ví dụ, với cam kết an ninh mạng cao, Đức sẵn sàng chấp nhận một số rủi ro khi triển khai mạng 5G, nhưng giảm thiểu những rủi ro đó bằng cách cung cấp “danh mục bảo mật được xác định rõ ràng” để chỉ định các yêu cầu bảo mật cho tất cả các nhà cung cấp.
Xây dựng năng lực thương lượng. Với tình hình quản trị an ninh mạng phân tán như vậy, cùng một mối quan tâm về ATTTM có thể dẫn đến những kết quả hoàn toàn khác nhau ở các quốc gia khác nhau. Do đó, việc phát triển và duy trì niềm tin và các cơ chế cộng tác rất quan trọng. Có nhiều cách tiếp cận, chẳng hạn như tăng cường các nhóm vận động hành lang, cam kết tham gia các hoạt động an ninh mạng tại địa phương và hành động như một doanh nghiệp có trách nhiệm…
Kết luận
Mọi công ty có sản phẩm kỹ thuật số xuyên biên giới cần có kế hoạch quản trị ATTTM hiệu quả cân bằng giữa công nghệ, các mối quan hệ địa chính trị, năng lực của chính phủ, uy tín thị trường và sự hợp tác giữa công và tư. Nếu không có khả năng đó, các giám đốc điều hành nên tự đào tạo để chuẩn bị hoặc tìm kiếm các lãnh đạo mới có năng lực như vậy để bổ sung vào hội đồng quản trị. Tất cả các công ty kinh doanh sản phẩm số xuyên quốc gia có thể sớm muộn gì cũng phải đối mặt với những lo ngại về ATTTM. Và mặc dù mọi sự chuẩn bị cũng không thể giúp họ tránh được “ghế nóng”, nhưng điều đó có thể tạo nên sự khác biệt khi họ có mặt tại một thị trường nước ngoài.