Về trang chủ |
Trao đổi với Tạp chí An ninh mạng Việt Nam, ông Phan Hoàng Giáp, Phó Tổng giám đốc Công ty Cổ phần An ninh mạng Việt Nam (VSEC, thuộc Tập đoàn Công nghệ G-Group), chia sẻ góc nhìn từ thực tiễn doanh nghiệp về sự cần thiết của Nghị định, vai trò của khối tư nhân cũng như những kỳ vọng đặt ra đối với văn bản quan trọng này.
 |
Ông đánh giá như thế nào về sự cần thiết của việc ban hành Nghị định về lực lượng bảo vệ an ninh mạng trong giai đoạn hiện nay?
Ông Phan Hoàng Giáp: Thực sự, chúng tôi đã chờ đợi một văn bản như thế này từ lâu. Ai làm trong ngành an toàn thông tin vài năm trở lại đây đều thấy một thực tế: khi xảy ra sự cố, nhiều khi không biết ai chịu trách nhiệm chính, ai phối hợp, quy trình ra sao. Mỗi đơn vị một kiểu, chồng chéo có, bỏ sót cũng có. Dự thảo lần này giải quyết được điểm đó khi phân định rõ ba nhóm: chuyên trách, thường trực, dự bị, mỗi nhóm có nhiệm vụ và thẩm quyền cụ thể. Nghe thì đơn giản, nhưng đây là thứ mà thực tế thiếu rất nhiều năm rồi.
Điểm mà cá nhân tôi tâm đắc nhất là chính sách giữ chân người giỏi. Ngành an ninh mạng mất người liên tục, ra nước ngoài, sang khối tư nhân, hoặc đơn giản là chuyển nghề vì áp lực quá lớn mà đãi ngộ không tương xứng. Dự thảo đưa ra mức hỗ trợ thu nhập lên tới 300% lương cho lực lượng chuyên trách, thậm chí 500% cho các trường hợp đặc biệt. Con số đó đủ cạnh tranh để người ta cân nhắc ở lại phục vụ Nhà nước, chứ không phải chỉ là động viên tinh thần.
 |
Nhưng cái hay hơn cả tiền lương là cơ chế bảo vệ pháp lý. Anh em làm an ninh mạng rất sợ một chuyện: làm đúng quy trình mà vẫn bị xem xét trách nhiệm khi sự cố vượt ngoài tầm kiểm soát. Tâm lý đó khiến nhiều người không dám quyết, không dám làm những nhiệm vụ rủi ro cao. Dự thảo lần này nói rõ: nếu anh làm đúng thẩm quyền, đúng quy trình, không vụ lợi thì rủi ro ngoài ý muốn sẽ không bị truy cứu. Điều này nghe nhỏ mà ý nghĩa rất lớn với người trong cuộc.
Ông đánh giá thế nào về việc Dự thảo Nghị định mở rộng cánh cửa cho khối tư nhân?
Tôi đánh giá cao việc dự thảo mở rộng cánh cửa cho khu vực tư nhân. Thay vì coi an ninh mạng là việc riêng của Nhà nước, Nghị định cho phép huy động chuyên gia, doanh nghiệp ngoài Nhà nước vào lực lượng dự bị, khuyến khích cơ chế báo cáo lỗ hổng có thưởng, và thành lập Quỹ hỗ trợ phát triển. Đặc biệt, việc cho phép áp dụng cơ chế rút gọn trong mua sắm khi tình huống khẩn cấp là một bước tháo gỡ quan trọng. Trước đây, có những sự cố mà bên cung cấp dịch vụ đã sẵn sàng triển khai, nhưng thủ tục mua sắm thì phải chờ hàng tuần, thậm chí hàng tháng. Trong an ninh mạng, chậm một ngày có thể là mất tất cả.
Tóm lại, tôi cho rằng Nghị định này đến đúng lúc, và nếu được thực thi nghiêm túc thì sẽ giúp chúng ta chuyển từ kiểu ứng phó “nước đến chân mới nhảy” sang một hệ thống bài bản, chủ động hơn nhiều.
 |
Theo ông, doanh nghiệp an ninh mạng có thể đóng vai trò gì trong lực lượng bảo vệ an ninh mạng quốc gia?
Câu hỏi này tôi muốn trả lời từ thực tế mà chúng tôi chứng kiến hằng ngày. Rất nhiều cơ quan, tổ chức, kể cả những đơn vị lớn, đã không thể tự xây dựng và duy trì một đội ngũ an ninh mạng đủ mạnh. Lý do đơn giản: chi phí cao, nguồn nhân lực khan hiếm, và công nghệ thay đổi quá nhanh. Một đội SOC vận hành 24/7 cần ít nhất 8 đến 10 người chuyên trách, chưa kể đầu tư công cụ, không phải tổ chức nào cũng kham nổi.
Dự thảo lần này đã nhìn thấy thực tế đó. Lực lượng thuộc các doanh nghiệp cung cấp dịch vụ an ninh mạng được xếp vào nhóm lực lượng thường trực, tức là doanh nghiệp không còn chỉ là “nhà thầu phụ” mà đã trở thành một phần chính thức trong hệ thống phòng thủ quốc gia. Theo mô hình MSSP, doanh nghiệp trực tiếp đảm nhận việc giám sát, phát hiện mối đe dọa, quản lý rủi ro và ứng cứu sự cố cho các tổ chức khách hàng. Đây là sự công nhận rất có ý nghĩa.
 |
Bên cạnh đó, khi có sự cố lớn vượt quá năng lực xử lý của lực lượng thường trực, doanh nghiệp an ninh mạng còn là nguồn lực dự bị được huy động. Trong thực tế, chúng tôi đã nhiều lần tham gia hỗ trợ ứng cứu sự cố cho các đơn vị ngoài danh sách khách hàng, nhưng trước đây cơ chế pháp lý cho việc này còn mờ nhạt. Bây giờ có hành lang pháp lý rõ ràng, mọi thứ sẽ thuận lợi hơn cho cả hai bên.
Theo ông thì doanh nghiệp có thể đóng vai trò sâu hơn nữa trong an toàn thông tin?
Một vai trò nữa mà tôi thấy doanh nghiệp có thể đóng góp lớn là tham gia cơ chế tiếp nhận, xử lý báo cáo lỗ hổng. Đội ngũ kỹ thuật của các công ty an ninh mạng vốn thường xuyên phát hiện lỗ hổng qua quá trình làm pentest, nghiên cứu. Giờ có cơ chế chính thức để báo cáo và được ghi nhận thì sẽ khuyến khích cộng đồng kỹ thuật tham gia nhiều hơn. Cộng thêm Quỹ hỗ trợ phát triển sẽ tạo thêm nguồn lực cho doanh nghiệp nghiên cứu, thử nghiệm giải pháp mới. Đây là những chính sách thiết thực, không chỉ nằm trên giấy.
Nói ngắn gọn, doanh nghiệp an ninh mạng giờ đây vừa là đơn vị bảo vệ khách hàng trong vận hành hằng ngày, vừa sẵn sàng tham gia cùng lực lượng chức năng khi đất nước cần. Vai trò kép đó, nếu được vận hành tốt, sẽ tạo ra sức mạnh tổng hợp lớn hơn nhiều so với kiểu “ai lo việc nấy” như trước.
 |
Doanh nghiệp kỳ vọng gì từ Dự thảo Nghị định lần này?
Nói về kỳ vọng thì nhiều, nhưng tôi xin chia sẻ những điều mà VSEC - doanh nghiệp với hơn 20 năm trong nghề an ninh mạng thực sự chờ đợi.
Đầu tiên là chuyện thị trường. Lâu nay, rất nhiều tổ chức vẫn giữ tư duy “an ninh mạng là mua thiết bị”. Mua tường lửa, mua phần mềm diệt virus, rồi coi như xong. Nhưng thiết bị không tự vận hành, không tự phân tích cảnh báo lúc 2 giờ sáng. Dự thảo lần này xếp doanh nghiệp cung cấp dịch vụ vào lực lượng thường trực. Điều đó gián tiếp nói với thị trường rằng: thuê dịch vụ giám sát SOC, pentest chuyên nghiệp là cách làm được Nhà nước công nhận và khuyến khích, chứ không phải giải pháp tạm bợ. Chúng tôi kỳ vọng đây sẽ là cú hích để các tổ chức thay đổi cách nghĩ, chuyển từ mua phần cứng sang đầu tư vào dịch vụ và con người một cách bài bản.
Tiếp theo là câu chuyện nghiên cứu phát triển. VSEC hiện đang đổ khá nhiều nguồn lực vào việc ứng dụng AI trong quy trình cung cấp dịch vụ, từ phân tích log, phát hiện bất thường đến tối ưu vận hành nội bộ. Làm R&D trong ngành này rất tốn kém và rủi ro cao, vì không phải nghiên cứu nào cũng ra kết quả thương mại được. Việc dự thảo đề cập đến Quỹ hỗ trợ phát triển lực lượng bảo vệ an ninh mạng là một tín hiệu rất tích cực. Nếu Quỹ này hoạt động đúng như kỳ vọng, nó sẽ giúp các doanh nghiệp tư nhân bớt đơn độc trong hành trình phát triển công nghệ lõi thay vì phải tự bỏ tiền túi hoàn toàn.
Và cuối cùng, điều mà có lẽ dân trong nghề ai cũng đồng cảm: thủ tục mua sắm khi khẩn cấp. Tôi không nói quá khi bảo rằng đã có những trường hợp sự cố đang diễn ra, giải pháp đã sẵn sàng, nhưng phải chờ quy trình phê duyệt, đấu thầu… rồi khi xong thủ tục thì thiệt hại đã xảy ra rồi. Dự thảo cho phép áp dụng cơ chế rút gọn trong tình huống khẩn cấp. Chúng tôi hoan nghênh điều này. Nhưng kỳ vọng thật sự của chúng tôi nằm ở khâu thực thi: “rút gọn” phải thực sự rút gọn trên thực tế, chứ không chỉ rút gọn trên văn bản rồi ở dưới vẫn phải qua đủ các bước như cũ. Nếu làm được điều đó, ngành an ninh mạng Việt Nam sẽ nhanh nhạy hơn rất nhiều trong khả năng ứng phó.
Xem thêm: