Chuyển đổi số những năm gần đây diễn ra với tốc độ chưa từng có, tạo ra cơ hội phát triển mạnh mẽ song cũng đặt Việt Nam trước những thách thức an ninh mạng chưa từng xuất hiện trong lịch sử. Không gian mạng ngày nay không chỉ là nơi trao đổi thông tin, mà đã trở thành môi trường sống, môi trường kinh doanh, môi trường vận hành quốc gia.

Do vậy, nhu cầu có một đạo luật đủ năng lực dẫn dắt, đồng bộ và mang tính chiến lược dài hạn là vô cùng cấp thiết. Tinh thần chung của thời đại là tư duy và hành động theo hệ sinh thái. An ninh mạng không còn là trách nhiệm đơn lẻ của cơ quan quản lý, mà là nhiệm vụ được chia sẻ từ cấp quốc gia tới quốc tế, từ doanh nghiệp tới từng cá nhân.

Thách thức từ phụ thuộc công nghệ và yêu cầu kiến tạo năng lực tự chủ

PGS.TS Nguyễn Ái Việt - Viện trưởng Viện Công nghệ và Giáo dục Trí tuệ mới tạo sinh (IGNITE) chia sẻ tại tọa đàm.

Dự thảo Luật An ninh mạng 2025 được xây dựng trên cơ sở hợp nhất hai văn bản hiện hành: Luật An ninh mạng 2018 và Luật An toàn thông tin mạng 2015. Tại Tọa đàm “Luật An ninh mạng 2025: Thúc đẩy năng lực tự chủ công nghệ” do Hiệp hội An ninh mạng Quốc gia tổ chức ngày 17/11, PGS.TS Nguyễn Ái Việt - Viện trưởng Viện Công nghệ và Giáo dục Trí tuệ mới tạo sinh (IGNITE) cho rằng, thị trường an ninh mạng trong nước đang tồn tại nghịch lý: nhu cầu bảo vệ hệ thống thông tin của các ngân hàng, tập đoàn, doanh nghiệp lớn ngày càng tăng, nhưng tâm lý sử dụng giải pháp nước ngoài vẫn chiếm ưu thế.

Ông phân tích, một bộ phận tổ chức có xu hướng dùng sản phẩm nước ngoài, cho rằng sản phẩm quốc tế mới đủ tin cậy hoặc mang lại sự “yên tâm trách nhiệm”. Điều này dẫn tới tình trạng dù giải pháp nội địa có chi phí hợp lý và phù hợp yêu cầu thực tế, nhiều đơn vị vẫn ưu tiên mua thiết bị, phần mềm đắt tiền từ các hãng nước ngoài.

PGS.TS Nguyễn Ái Việt cho biết, nguyên nhân không chỉ đến từ nhận thức mà còn từ tâm lý e ngại rủi ro trong quản trị: “Nếu sử dụng sản phẩm nước ngoài mà vẫn bị tấn công, nhiều lãnh đạo cho rằng mình đã lựa chọn giải pháp tốt nhất. Nhưng nếu dùng sản phẩm trong nước mà gặp sự cố, họ sợ bị quy trách nhiệm”.

Bên cạnh đó, theo ông, năng lực đánh giá kỹ thuật của lãnh đạo tại nhiều cơ quan, doanh nghiệp còn hạn chế, khiến họ hoàn toàn phụ thuộc vào báo cáo từ cấp dưới hoặc tư vấn từ các hãng lớn. Đây là một trong những rào cản khiến thị trường an ninh mạng Việt Nam chưa phát triển đúng tiềm năng.

Trong khi các hãng quốc tế có ưu thế về công nghệ và kinh nghiệm, PGS.TS Nguyễn Ái Việt chỉ ra năm điểm bất lợi khi phụ thuộc hoàn toàn vào sản phẩm nước ngoài. Thứ nhất, hỗ trợ kỹ thuật chậm và kém linh hoạt. Nhiều hãng không đặt văn phòng tại Việt Nam, việc xử lý sự cố có thể kéo dài từ vài tuần đến vài tháng; Thứ hai, chậm vá lỗi, quy trình xác minh và cập nhật phức tạp, khiến hệ thống trong nước có thời gian dài bị “phơi nhiễm”; Thứ ba, khó điều chỉnh theo chuẩn, chính sách của Việt Nam, đặc biệt trong các lĩnh vực đòi hỏi tuân thủ quy định nội địa; Thứ tư, nguy cơ tồn tại backdoor do yêu cầu pháp lý của quốc gia sản xuất; Thứ năm, tốc độ nâng cấp chức năng mới chậm, khó đáp ứng sự thay đổi nhanh của môi trường tấn công.

Những hạn chế nêu trên cho thấy việc phụ thuộc hoàn toàn vào giải pháp nước ngoài không thể bảo đảm an toàn tuyệt đối cho các hệ thống thông tin quan trọng của Việt Nam. Theo PGS.TS Nguyễn Ái Việt, yêu cầu đặt ra hiện nay không chỉ là mua sắm giải pháp mạnh, mà là phải xây dựng năng lực tự chủ để chủ động phòng thủ, xử lý nhanh và đáp ứng đúng đặc thù hạ tầng trong nước. Đây cũng là tiền đề để hình thành “lớp phòng thủ nội địa”, một cấu phần mà ông cho rằng cần được bổ sung rõ ràng trong kiến trúc an ninh mạng quốc gia. 

Đề xuất hình thành 'lớp phòng thủ nội địa' trong kiến trúc an ninh mạng quốc gia

Một trong những điểm trọng tâm PGS.TS Nguyễn Ái Việt đưa ra là cần bổ sung lớp phòng thủ nội địa như một cấu phần bắt buộc trong kiến trúc an ninh mạng. Theo ông, đây là cách tiếp cận tương tự tư duy phòng thủ nhiều tầng trong quốc phòng: “Một hệ thống an ninh mạng phải có nhiều lớp. Lực lượng chính quy có vai trò của lực lượng chính quy, nhưng không thể thiếu vai trò của lực lượng dự bị - tương tự lớp phòng thủ nội địa trong an ninh mạng”.

Theo phân tích của ông, nhiều cuộc tấn công không xuất phát từ lỗ hổng phức tạp mà đến từ những điểm yếu cơ bản trong cấu hình hay quản trị. Đây là nhóm vấn đề mà sản phẩm nội địa có thể xử lý hiệu quả hơn nhờ hiểu biết sâu về hạ tầng Việt Nam.

PGS.TS Nguyễn Ái Việt đưa ra những điểm nổi bật của lớp phòng thủ nội địa: Phát hiện và ngăn chặn các lỗ hổng “hiển nhiên”, phản ứng nhanh khi hệ thống có dấu hiệu bất thường, tăng độ bao phủ của hệ thống phòng thủ nhiều tầng, tạo áp lực cạnh tranh để doanh nghiệp trong nước cải tiến công nghệ.

Ông nhấn mạnh rằng nếu chỉ sử dụng giải pháp quốc tế, nhiều trường hợp không nằm trong kịch bản chuẩn của hãng sẽ bị bỏ ngỏ. Ngược lại, doanh nghiệp nội địa có đủ điều kiện để tùy biến và xử lý những tình huống đặc thù của Việt Nam.

PGS.TS Nguyễn Ái Việt cho rằng nếu không có quy định pháp lý rõ ràng, thị trường sẽ tiếp tục khép kín và doanh nghiệp nội địa khó có cơ hội thử nghiệm, hoàn thiện sản phẩm. Ông đề xuất các tiêu chí sản phẩm tốt: 

Về quy định tỷ lệ hợp lý sản phẩm nội địa trong các dự án CNTT, viễn thông và an ninh mạng.

Xây dựng mô hình kiến trúc tham chiếu để các cơ quan, doanh nghiệp áp dụng thống nhất.

Ban hành bộ tiêu chí đánh giá sản phẩm an ninh mạng, gồm: bằng sáng chế, sở hữu trí tuệ, phòng lab POC, chứng nhận hợp chuẩn - hợp quy.

Thiết lập hệ thống quản trị an ninh mạng quốc gia, tương thích chuẩn quốc tế nhưng phù hợp với năng lực người dùng Việt Nam.

Theo ông, hiện nhiều sản phẩm quản trị mạng tại Việt Nam chỉ là các module phụ hoặc giải pháp “cây nhà lá vườn”, thiếu tính chuyên nghiệp. Việc đưa ra tiêu chí và chuẩn hóa sẽ giúp thị trường minh bạch hơn, đồng thời thúc đẩy doanh nghiệp đầu tư nghiêm túc vào nghiên cứu.

Ngoài ra, để xây dựng năng lực tự chủ, Việt Nam cần mở rộng không gian thử nghiệm thực tế, tương tự các quốc gia phát triển. Ông đề xuất về quy định trong Luật An ninh mạng 2025:

Thứ nhất, các biện pháp và điều khoản cho phép thu thập dữ liệu mạng để tìm ra các mẫu hình tấn công, tạo ra các rule.

Thứ hai, cho phép các Hacker mũ trắng hoạt động, tổ chức tấn công thử, để tăng khả năng miễn dịch. Cho phép sản xuất các sản phẩm công cụ phục vụ hacker mũ trắng.

Thứ ba, cho phép tổ chức triển khai các Hũ mật cho các mạng khác nhau từ IoT đến Viễn thông, WAN, LAN, Cloud.

Thứ tư, quy định sử dụng AI trong cơ quan nhà nước (Kiến trúc tương tự như V-AZUR của VIEGRID và 2IA của IGNITE).

Những phân tích và đề xuất của PGS.TS Nguyễn Ái Việt cho thấy yêu cầu cấp thiết phải xây dựng một hệ sinh thái an ninh mạng tự chủ, trong đó lớp phòng thủ nội địa đóng vai trò then chốt. Để giải quyết những điểm yếu hiện hữu của thị trường thì tâm lý lệ thuộc công nghệ đến hạn chế trong thử nghiệm và chuẩn hóa, Việt Nam cần một khung pháp lý đủ mạnh, đủ cụ thể và có khả năng dẫn dắt.

Việc đưa các quy định về tỷ lệ sử dụng sản phẩm nội địa, mô hình kiến trúc tham chiếu, tiêu chí đánh giá chất lượng, cùng cơ chế thử nghiệm thực tế vào Luật An ninh mạng 2025 sẽ tạo nền tảng để doanh nghiệp Việt Nam tham gia sâu hơn vào các dự án trọng yếu, qua đó nâng cao năng lực công nghệ, nâng chất lượng sản phẩm và tăng tính cạnh tranh.

Ở cấp độ quốc gia, việc bổ sung lớp phòng thủ nội địa vào kiến trúc an ninh mạng không chỉ là biện pháp kỹ thuật, mà còn là chiến lược nhằm củng cố chủ quyền số, giảm phụ thuộc và tăng khả năng phản ứng trước các mối đe dọa ngày càng tinh vi. Khi doanh nghiệp trong nước có cơ hội tiếp cận thực tiễn, phát triển sản phẩm “may đo” theo nhu cầu Việt Nam và cạnh tranh sòng phẳng với giải pháp quốc tế, năng lực tự chủ công nghệ sẽ được nâng lên một cách thực chất.

Dự án Luật An ninh mạng 2025, với những điều chỉnh mang tính định hướng, nếu được hoàn thiện theo hướng mà các chuyên gia đề xuất, sẽ không chỉ tạo ra hành lang pháp lý đồng bộ, mà còn trở thành “đòn bẩy” chiến lược giúp Việt Nam xây dựng không gian mạng an toàn, tin cậy và bền vững, đáp ứng yêu cầu phát triển kinh tế số, xã hội số và Nhà nước số trong giai đoạn mới.

Thu Uyên