Trong kỷ nguyên số hóa mạnh mẽ, hạ tầng công nghệ trở thành xương sống vận hành của mọi tổ chức. Tuy nhiên, sự phụ thuộc ngày càng tăng vào dữ liệu cũng kéo theo những rủi ro hiện hữu. Tấn công có chủ đích, lừa đảo công nghệ cao, mã độc tống tiền và gián đoạn hệ thống đang khiến chi phí khắc phục thiệt hại của doanh nghiệp Việt Nam và cơ quan công quyền tăng theo cấp số nhân.

Trước thực tế này, điểm mới đáng chú ý nhất trong dự thảo Luật an ninh mạng hiện nay là việc luật hóa quy định tối thiểu 10% tổng kinh phí của các dự án CNTT phải dành cho bảo vệ hệ thống và dữ liệu. Đây là lần đầu tiên Việt Nam đưa ra một định mức đầu tư cứng theo tỷ lệ, áp dụng trực tiếp đối với cơ quan nhà nước, tổ chức chính trị và các doanh nghiệp có hệ thống thông tin quan trọng.

Tại tọa đàm “Luật An ninh mạng: Bước tiến bảo vệ an ninh dữ liệu, yêu cầu triển khai đúng nội dung” chiều 24/11 do Hiệp hội An ninh mạng Quốc gia tổ chức, câu chuyện “10% có khả thi không?” đã trở thành tâm điểm trao đổi giữa các chuyên công nghệ, ngân hàng và chuyên gia an ninh mạng.

Ông Trần Công Quỳnh Lân - Phó Tổng giám đốc VietinBank.

Để trả lời câu hỏi “10% có triển khai được không?”, ông Trần Công Quỳnh Lân - Phó Tổng giám đốc VietinBank cho biết hệ thống ngân hàng này tuy không nằm trong diện bắt buộc, nhưng vẫn lấy nguyên tắc 10% làm kim chỉ nam cho chiến lược đầu tư an toàn thông tin.

Ông cho rằng, VietinBank hiện đầu tư trên 10% tổng chi phí công nghệ cho an toàn bảo mật. Con số 10% này giúp nhiều CEO thuyết phục được lãnh đạo đầu tư. Đầu tư an toàn dữ liệu không giống đầu tư tài chính, nhưng rủi ro là hiện hữu. Một khi xảy ra sự cố, hậu quả là vô cùng lớn.

Theo ông Trần Công Quỳnh Lân, “10%” không chỉ là quy định hành chính, mà là ngưỡng tham chiếu cần thiết để lãnh đạo các cơ quan hiểu rằng an ninh mạng không còn là hạng mục tùy nghi cắt giảm.

Không có một chuẩn tối thiểu, các bộ phận công nghệ rất khó giải trình trước lãnh đạo, nhất là trong bối cảnh nhiều tổ chức vẫn xem an toàn thông tin như “chi phí không tạo ra doanh thu”.

Với VietinBank là một đơn vị chịu áp lực rủi ro cao và yêu cầu an ninh đặc biệt việc giữ mức chi trên 10% cho thấy khả năng áp dụng con số này vào thực tiễn là hoàn toàn có thể, nếu coi an ninh mạng là trụ cột chứ không phải phụ trợ.

Là đơn vị vận hành hạ tầng viễn thông quan trọng, MobiFone từng phải đối mặt với bài toán khó, cân đối chi phí giữa đầu tư hạ tầng, sản phẩm mới và đảm bảo an ninh mạng.

Thạc sĩ Lê Công Trung - Trưởng BU An ninh mạng, Tổng công ty Viễn thông MobiFone

Cùng vấn đề đó, Thạc sĩ Lê Công Trung - Trưởng BU An ninh mạng, Tổng công ty Viễn thông MobiFone chia sẻ rằng trước đây, bài toán lợi nhuận luôn khiến các dự án an ninh mạng đứng trước nguy cơ bị thu hẹp ngân sách, nhất là khi doanh nghiệp phải cạnh tranh giá, doanh thu và mức độ hoàn vốn.

Ông Trung nói: “Doanh nghiệp từng phải cân đối rất nhiều dịch vụ và sản phẩm để giữ lợi nhuận. Việc đặt ra mức 10% là kim chỉ nam để đảm bảo an ninh mạng về sau, giúp không còn tình trạng an ninh bị xếp sau các ưu tiên kinh doanh”.

Theo ông, chỉ khi có quy định cứng, các đơn vị mới:

Thứ nhất, tránh được việc cắt giảm chi phí bảo mật trong thời điểm khó khăn.

Thứ hai, tạo động lực để đầu tư vào nhân sự an ninh mạng - vốn là lĩnh vực khan hiếm và tốn kém.

Thứ ba, tăng tính đồng đều trong mô hình bảo vệ của các cơ quan và doanh nghiệp nhà nước.

MobiFone cho rằng mức đầu tư này không chỉ khả thi, mà còn cần thiết để bảo vệ hạ tầng viễn thông quốc gia mục tiêu thường xuyên bị tấn công nhất.

Ông Vũ Ngọc Sơn - Trưởng Ban Nghiên cứu, Tư vấn, Phát triển công nghệ và Hợp tác quốc tế, Hiệp hội An ninh mạng Quốc gia.

Thảo luận thêm về vấn đề đó, ông Vũ Ngọc Sơn - Trưởng Ban Nghiên cứu, Tư vấn, Phát triển công nghệ và Hợp tác quốc tế, Hiệp hội An ninh mạng Quốc gia nhận định mức đầu tư tối thiểu 10% cho an ninh mạng không phải là gánh nặng tài chính, mà là ngưỡng đầu tư mang tính “bảo hiểm” nhằm giảm thiểu rủi ro cho hệ thống.

Ông Sơn nhấn mạnh: “Nếu sự cố an ninh mạng xảy ra, thì 10% là quá nhỏ. Thiệt hại luôn lớn gấp nhiều lần bất kỳ khoản đầu tư phòng ngừa nào”.

Theo ông, mặc dù quy định này chủ yếu áp dụng cho khối cơ quan nhà nước, nhưng nó đóng vai trò như định mức tham chiếu quan trọng cho cả doanh nghiệp, đặc biệt là những đơn vị cung cấp dịch vụ số quy mô lớn. Việc luật hóa tỷ lệ đầu tư giúp các đơn vị có cơ sở rõ ràng để xây dựng dự toán và thuyết phục lãnh đạo phê duyệt ngân sách.

Ông Vũ Ngọc Sơn cũng chỉ ra rằng cơ chế giám sát việc tuân thủ 10% không hề phức tạp, bởi hệ thống pháp lý hiện hành đã có quy trình kiểm tra dự toán và thẩm định đầu tư trong Luật Đấu thầu. Khi một dự án CNTT được lập, phần chi cho an ninh mạng sẽ được kiểm tra cùng với các hạng mục khác, nhờ đó đảm bảo minh bạch và đúng quy định.

Ông khẳng định: “Khi có tỷ lệ đầu tư được lượng hóa, các cơ quan thẩm định và các tổ chức triển khai sẽ dễ dàng thực hiện. Điều này giúp quá trình triển khai đồng bộ hơn và tránh tình trạng đầu tư manh mún”.

Nhìn tổng thể, việc luật hóa mức đầu tư tối thiểu 10% cho an ninh mạng đánh dấu bước chuyển quan trọng trong tư duy bảo vệ dữ liệu quốc gia. Thực tiễn, đây là cơ hội mở ra một khuôn khổ hợp lý, giúp các cơ quan và doanh nghiệp nhìn nhận rõ hơn giá trị của phòng ngừa so với chi phí khắc phục. Những ý kiến cho thấy sự đồng thuận lớn giữa các lãnh đạo công nghệ: đầu tư cho an toàn thông tin không phải gánh nặng, mà là điều kiện tiên quyết để bảo đảm vận hành liên tục, ổn định và an toàn trong bối cảnh tấn công mạng ngày càng tinh vi.

Khi dữ liệu trở thành tài sản trọng yếu và nền kinh tế số phụ thuộc ngày càng nhiều vào hạ tầng thông tin, khoản đầu tư cho an ninh mạng cần được xem như “chi phí bắt buộc”, thay vì tùy nghi điều chỉnh theo tình hình tài chính. Chỉ với một mức chuẩn chung, Việt Nam mới có thể tiến tới xây dựng một môi trường số tin cậy, bền vững, nơi mọi tổ chức từ khu vực công đến doanh nghiệp đều đủ năng lực tự vệ trước các mối đe dọa mới. Đây không chỉ là yêu cầu của hiện tại, mà còn là nền tảng để bảo vệ tương lai số của quốc gia.

Thu Uyên