Tạp chí An ninh mạng Việt Nam Về trang chủ
.

“Cần sớm có khung chính sách rõ ràng để thị trường blockchain phát triển đúng hướng”

03:18, 01/08/2025

Nếu các hệ thống blockchain cốt lõi, ví lưu ký, hay hệ thống xác thực người dùng đều nằm ngoài lãnh thổ hoặc do bên thứ ba vận hành, chúng ta sẽ rất khó kiểm soát khi xảy ra sự cố. Vì vậy, Việt Nam cần có một hệ sinh thái hạ tầng số nội địa – không phải để đóng cửa, mà để tạo sự chủ động.

Thách thức lớn nhất về an ninh mạng cho blockchain hiện nay tại Việt Nam là gì – và nó khác gì so với các thị trường phát triển, thưa ông?

Trong quá trình xây dựng các nền tảng tài sản số, một trong những thách thức lớn nhất hiện nay tại Việt Nam là sự thiếu đồng bộ giữa năng lực bảo mật, cơ chế vận hành và hệ sinh thái pháp lý hỗ trợ.

Ở các quốc gia phát triển, doanh nghiệp hoạt động trong lĩnh vực tài sản số thường được hỗ trợ bởi một loạt tiêu chuẩn rõ ràng: về lưu trữ dữ liệu, kiểm toán độc lập, kiểm soát truy cập, định danh số, xử lý sự cố, bảo hiểm rủi ro. Họ không cần phát minh lại bánh xe – mà vận hành trong khuôn khổ đã được xây dựng từ trước.

Còn ở Việt Nam, đa phần các đơn vị – đặc biệt là startup – phải tự xoay sở, vừa phát triển sản phẩm vừa tìm cách đảm bảo an toàn trong một môi trường thiếu chuẩn hóa. Điều này khiến họ dễ gặp khó khăn khi có sự cố xảy ra.

Ngoài ra, nhân lực bảo mật chuyên sâu trong lĩnh vực blockchain cũng chưa nhiều. Chúng ta thiếu các chuyên gia hiểu sâu cả về tài chính truyền thống lẫn công nghệ Web3, trong khi các cuộc tấn công ngày nay thường diễn ra trên cả hai mặt trận.

Vậy, Kiến trúc an toàn thông tin của SSID đang được xây dựng theo hướng nào?

V

ới đặc thù là một doanh nghiệp nằm ở giao điểm giữa tài chính truyền thống và công nghệ blockchain, SSID lựa chọn hướng tiếp cận kết hợp: vừa đảm bảo tiêu chuẩn khắt khe của tài chính, vừa linh hoạt để thích ứng với các đổi mới công nghệ liên tục của Web3.

Chúng tôi áp dụng hệ thống phân lớp bảo mật đa tầng. Ở tầng thấp là các tiêu chuẩn bảo mật truyền thống như ISO/IEC 27001, PCI DSS, SOC2. Ở tầng ứng dụng và blockchain, chúng tôi sử dụng các cơ chế lưu ký nhiều tầng, xác thực đa yếu tố, multisig, và công cụ kiểm soát bất thường dựa trên hành vi người dùng.

Quan trọng hơn, toàn bộ hệ thống được thiết kế theo nguyên tắc “có thể kiểm toán và phục hồi”, nghĩa là mọi thay đổi đều được ghi lại, truy vết được và có phương án khôi phục trong tình huống khẩn cấp. Đó là cách để chúng tôi đảm bảo rằng tốc độ đổi mới không đi trước mức độ an toàn.

Làm thế nào để duy trì niềm tin người dùng trong một lĩnh vực dễ bị tấn công như tài sản số, thưa ông?

Tôi cho rằng niềm tin không đến từ việc cam kết, mà đến từ cách chúng ta hành xử mỗi ngày.

Tại SSID, chúng tôi minh bạch về cách mình làm bảo mật. Người dùng có quyền truy cập thông tin về hệ thống kiểm thử, có thể chủ động quản lý tài sản của mình và luôn được cập nhật khi có rủi ro tiềm ẩn.

Ngoài ra, chúng tôi cũng đang trong quá trình làm việc với một số đối tác bảo hiểm để từng bước đưa mô hình bảo hiểm bảo mật tài sản số vào thực tế. Nếu làm được điều này, người dùng Việt sẽ lần đầu tiên có cảm giác rằng tài sản số của mình được bảo vệ một cách tương đương như tài sản gửi trong ngân hàng.

Đặc biệt, chúng tôi xây dựng đội ngũ vận hành có kinh nghiệm trong cả tài chính và công nghệ – vì chỉ khi hiểu rõ đặc điểm của cả hai thế giới, chúng ta mới có thể phản ứng chính xác trong thời điểm quan trọng.

Ông có thể cho biết triết lý bảo mật cốt lõi mà SSID theo đuổi là gì?

Triết lý của chúng tôi là: không có hệ thống nào an toàn tuyệt đối, nhưng có thể xây dựng hệ thống đủ thông minh để nhận diện rủi ro sớm và phản ứng đúng lúc.

Chúng tôi không mặc định tin tưởng bất kỳ ai hay bất kỳ hệ thống nào – kể cả nội bộ. Mọi truy cập đều được giám sát, xác thực, và ghi nhận lại. Đó là nguyên tắc zero trust.

Nhưng chỉ zero trust thôi là chưa đủ. Hạ tầng của SSID còn được thiết kế để phòng thủ theo chiều sâu – nghĩa là nếu một lớp bị xâm nhập, các lớp còn lại vẫn giữ được sự độc lập và khả năng bảo vệ tổng thể.

Quan trọng nhất, là yếu tố con người: Chúng tôi huấn luyện đội ngũ không chỉ xử lý sự cố kỹ thuật, mà còn có khả năng truyền đạt thông tin minh bạch, đúng lúc cho người dùng, để tránh mất niềm tin ngay cả khi có vấn đề xảy ra.

SSID đang hợp tác thế nào với các cơ quan quản lý để xây dựng hành lang pháp lý an toàn cho tài sản số? 

SSID luôn chủ động trao đổi và đóng góp trong quá trình xây dựng chính sách, đặc biệt ở những chủ đề mới như sandbox tài sản số, quản lý rủi ro hệ thống, hay xác thực người dùng số.

Chúng tôi đã và đang phối hợp với các cơ quan như Bộ Tài chính, Ủy ban Chứng khoán Nhà nước và một số nhóm nghiên cứu chuyên đề để chia sẻ dữ liệu, kinh nghiệm vận hành và các góc nhìn kỹ thuật.

Riêng với Hiệp hội An ninh mạng quốc gia, chúng tôi hiện đang chuẩn bị một số đề xuất hợp tác cụ thể – tập trung vào việc chia sẻ cảnh báo sớm, hỗ trợ xây dựng tiêu chuẩn kỹ thuật, và tổ chức các chương trình tập huấn cho doanh nghiệp trong ngành.

Mọi thứ vẫn đang ở giai đoạn khởi đầu, nhưng tôi tin rằng khi doanh nghiệp công nghệ và các tổ chức quản lý cùng nhìn về một hướng, chúng ta sẽ xây được nền tảng bền vững cho toàn ngành.

Khoảng trống chính sách lớn nhất hiện nay về an ninh tài sản số là gì, thưa ông? 

Khoảng trống lớn nhất theo tôi là thiếu bộ tiêu chuẩn thống nhất để đánh giá mức độ an toàn của một nền tảng tài sản số.

Hiện nay, một số sàn, ví điện tử, ứng dụng blockchain hoạt động tại Việt Nam nhưng không có tiêu chí rõ ràng về mức độ an toàn hệ thống, khả năng kiểm soát truy cập hay cơ chế phản ứng sự cố. Người dùng vì thế cũng khó biết đâu là đơn vị đáng tin.

Tôi cho rằng, cần sớm xây dựng một bộ tiêu chí kỹ thuật – không cần quá chi tiết như chuẩn quốc tế, nhưng đủ để các bên cùng tuân theo. Có thể triển khai thử với các doanh nghiệp đang trong sandbox trước, sau đó mở rộng dần.

Đây sẽ là bước quan trọng để đưa tài sản số vào quản lý, mà vẫn giữ được tính đổi mới.

SSID có đề xuất gì để kết nối cộng đồng doanh nghiệp với các tổ chức như Hiệp hội An ninh mạng?

Chúng tôi đang nghiên cứu một số hình thức phối hợp, trong đó có đề xuất thiết lập một cơ chế chia sẻ thông tin về rủi ro an ninh mạng trong ngành tài sản số – với sự tham gia của các doanh nghiệp lớn, startup, và Hiệp hội An ninh mạng quốc gia.

Ngoài ra, SSID cũng mong muốn hỗ trợ tổ chức các buổi tập huấn về bảo mật cơ bản cho các đội ngũ kỹ thuật trong ngành. Rất nhiều startup blockchain có ý tưởng tốt nhưng lại thiếu kiến thức nền về vận hành an toàn.

Tôi tin nếu làm được điều này, chúng ta sẽ nâng mặt bằng an toàn chung của cả hệ sinh thái, thay vì chỉ phụ thuộc vào từng đơn vị riêng lẻ.

Xin ông cho biết, đâu là yếu tố sống còn để phát triển tài sản số an toàn và có chủ quyền tại Việt Nam?

Theo tôi, yếu tố sống còn là khả năng làm chủ hạ tầng – hiểu cả dữ liệu, vận hành, lẫn quy trình ra quyết định.

Nếu các hệ thống blockchain cốt lõi, ví lưu ký, hay hệ thống xác thực người dùng đều nằm ngoài lãnh thổ hoặc do bên thứ ba vận hành, chúng ta sẽ rất khó kiểm soát khi xảy ra sự cố.

Vì vậy, Việt Nam cần có một hệ sinh thái hạ tầng số nội địa – không phải để đóng cửa, mà để tạo sự chủ động. Từ đó, khi làm việc với các đối tác quốc tế, chúng ta ở vị thế bình đẳng và có khả năng bảo vệ người dùng trong nước một cách thực chất.

Nếu xây chiến lược quốc gia về an ninh tài sản số, ông sẽ chọn ưu tiên gì?

Tôi chọn ba trụ cột, theo thứ tự: Thể chế – Công nghệ – Con người.

Thể chế tạo ra luật chơi, công nghệ là công cụ để thực thi, còn con người là người đảm bảo luật chơi được áp dụng đúng.

Chúng ta cần một khung chính sách rõ ràng để hướng dẫn thị trường phát triển đúng hướng. Đồng thời, phải đầu tư vào hạ tầng đủ mạnh để vận hành được các tiêu chuẩn đó. Và cuối cùng, là đào tạo nhân lực – không chỉ kỹ thuật, mà cả những người làm chính sách, giám sát và truyền thông.

Ba yếu tố này phải song hành thì chiến lược mới có thể đi xa và bền vững.

 
Chúng ta cần một khung chính sách rõ ràng để hướng dẫn thị trường phát triển đúng hướng
 

Vai trò của Việt Nam trong việc định hình tiêu chuẩn an ninh tài sản số ở Đông Nam Á là gì, thưa ông?

Việt Nam có vị trí rất đặc biệt. Chúng ta không đi quá sớm, nên có thể học hỏi từ kinh nghiệm quốc tế. Nhưng cũng không đi quá muộn, nên còn nhiều cơ hội để chủ động đề xuất cách làm phù hợp với khu vực.

Nếu chúng ta xây dựng được các chuẩn mực thực tiễn – dễ áp dụng, dễ mở rộng – thì hoàn toàn có thể trở thành quốc gia tiên phong trong việc đề xuất khung tiêu chuẩn an ninh số ở Đông Nam Á.

Đây không chỉ là lợi thế cho doanh nghiệp Việt Nam, mà còn là cơ hội để nâng vị thế quốc gia trong lĩnh vực công nghệ tài chính toàn cầu.

Xin cám ơn ông!

Lam Nguyên (thực hiện)

Xem thêm bình luận

Thông tin bạn đọc

Tên hiển thị và địa chỉ email liên hệ (địa chỉ email sẽ không hiển thị và chỉ được sử dụng để tòa soạn liên hệ khi cần thêm thông tin).

Đóng Lưu thông tin

Cùng chuyên mục
Kỳ 1: AI - Công cụ hữu hiệu nhất để bảo vệ an ninh mạng Kỳ 1: AI - Công cụ hữu hiệu nhất để bảo vệ an ninh mạng
Tin tặc nhắm mục tiêu vào các nhà phát triển Python trong các cuộc tấn công lừa đảo Tin tặc nhắm mục tiêu vào các nhà phát triển Python trong các cuộc tấn công lừa đảo
Aeroflot và bài học đắt giá từ vụ tấn công mạng làm tê liệt hệ thống bay Aeroflot và bài học đắt giá từ vụ tấn công mạng làm tê liệt hệ thống bay
Lumma Stealer: Mã độc đánh cắp thông tin cực kỳ nguy hiểm Lumma Stealer: Mã độc đánh cắp thông tin cực kỳ nguy hiểm
FBI thu giữ 2,4 triệu đô la Bitcoin từ chiến dịch chống mã độc tống tiền mới FBI thu giữ 2,4 triệu đô la Bitcoin từ chiến dịch chống mã độc tống tiền mới
Tập đoàn Viễn thông hàng đầu của Pháp bị tấn công mạng Tập đoàn Viễn thông hàng đầu của Pháp bị tấn công mạng
Luật Bảo vệ dữ liệu cá nhân: Không còn vùng xám cho hành vi lạm dụng dữ liệu cá nhân Luật Bảo vệ dữ liệu cá nhân: Không còn vùng xám cho hành vi lạm dụng dữ liệu cá nhân
“Đu trend” trên mạng xã hội - Cảnh giác với bẫy đánh cắp dữ liệu cá nhân! “Đu trend” trên mạng xã hội - Cảnh giác với bẫy đánh cắp dữ liệu cá nhân!