Doanh nghiệp thiếu kịch bản ứng phó khi hệ thống thông tin bị xâm nhập

Ngày 23/4, Tạp chí Đầu tư Tài chính (VietnamFinance) phối hợp cùng Công ty Cổ phần Đầu tư Thương mại và Phát triển Công nghệ FSI tổ chức hội thảo "An toàn dữ liệu tài chính trong kỷ nguyên AI”.

PHÁT TRIỂN AI SONG HÀNH ĐẢM BẢO AN TOÀN DỮ LIỆU, HỆ THỐNG

Tại hội thảo, TS Nguyễn Đức Hiển, Phó trưởng Ban Chính sách, Chiến lược Trung ương, cho biết thời gian qua Ban Chính sách, Chiến lược Trung ương đã tham mưu ban hành hai nghị quyết quan trọng: Nghị quyết 52-NQ/TW (2019) về một số chủ trương, chính sách chủ động tham gia cuộc Cách mạng công nghiệp lần thứ tư, và Nghị quyết 57-NQ/TW (2024) về đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số.

Hiện các định hướng này đang được tích hợp vào kế hoạch phát triển kinh tế - xã hội giai đoạn 2026–2030, với trọng tâm thúc đẩy tăng trưởng.

Đáng chú ý, trong hệ thống nhiệm vụ được đề ra, lần đầu tiên xuất hiện nội dung xây dựng chiến lược chuyển đổi AI quốc gia (AIX), được xác định là một bước đi tiếp theo sau chuyển đổi số.

TS Nguyễn Đức Hiển chỉ ra thực tế AI đang tác động mạnh mẽ đến mọi lĩnh vực, từ kinh tế đến quản trị. 

Ông Nguyễn Đức Hiển trích dẫn các nghiên cứu gần đây cho thấy AI có thể đóng góp 2.600 - 4.400 tỷ USD mỗi năm cho nền kinh tế toàn cầu, nâng GDP thế giới thêm khoảng 7% trong vòng 10 năm tới và có thể đạt mức đóng góp khoảng 15.700 tỷ USD vào năm 2030.

Tại khu vực châu Á – Thái Bình Dương, AI được dự báo có thể đóng góp khoảng 26% tăng trưởng. 

“Đối với Việt Nam, ước tính đến năm 2040, AI có thể đóng góp 120 - 130 tỷ USD cho nền kinh tế, tương đương khoảng 25% GDP hiện tại. Trên cơ sở đó, lần đầu tiên nhiệm vụ xây dựng chiến lược chuyển đổi AI quốc gia được đặt ra, với yêu cầu trình Chính phủ trong thời gian tới”, ông Hiển cho biết.

Theo ông Hiển, nếu như các cuộc cách mạng công nghiệp trước đây tạo ra nền tảng công nghệ và dữ liệu cho phát triển kinh tế số, thì AI sẽ mở ra một ngành kinh tế mới, một cấu trúc kinh tế mới với vai trò trung tâm. 

“Đây sẽ là động lực tăng trưởng quan trọng trong tương lai”, ông nhấn mạnh.

Tuy nhiên, cùng với cơ hội là những rủi ro lớn, đặc biệt là các nguy cơ tấn công vào hệ thống công nghệ và dữ liệu. Trong lĩnh vực tài chính – ngân hàng, hệ thống có vai trò huyết mạch của nền kinh tế, hoạt động dựa trên dữ liệu và phụ thuộc rất lớn vào dữ liệu, đồng thời tạo ra dữ liệu được tạo ra trong lĩnh vực này là vô cùng lớn, tạo nền tảng cho phát triển kinh tế số và kinh tế AI.

Chỉ riêng thanh toán không dùng tiền mặt năm 2025 đã đạt quy mô gấp khoảng 28 lần GDP, với tốc độ tăng trưởng mạnh cả về số lượng và giá trị giao dịch. Thanh toán qua điện thoại di động tăng trưởng đặc biệt nhanh, cho thấy quy mô dữ liệu phát sinh ngày càng lớn.

“Tuy nhiên, rủi ro an ninh mạng cũng gia tăng tương ứng. Việt Nam nằm trong nhóm các quốc gia bị tấn công mạng nhiều, với hàng trăm triệu bản ghi dữ liệu bị xâm phạm và hàng triệu tài khoản bị đánh cắp trong thời gian gần đây. Các cuộc tấn công gây thiệt hại lớn về tài chính và làm rò rỉ dữ liệu với quy mô ngày càng gia tăng”, ông Nguyễn Đức Hiển cảnh báo.

Trong bối cảnh đó, ông Hiển nhấn mạnh, việc phát triển AI cần đi đôi với bảo đảm an toàn dữ liệu và an ninh hệ thống, đặc biệt trong các lĩnh vực trọng yếu như tài chính – ngân hàng, nhằm bảo đảm sự phát triển bền vững của nền kinh tế.

Về hành lang pháp lý, Việt Nam đã có nhiều bước tiến trong việc hoàn thiện khung khổ, với các luật và quy định liên quan đến an ninh thông tin, bảo vệ người tiêu dùng, cũng như các quy định về bảo vệ dữ liệu cá nhân.

Tuy nhiên, nhiều chuyên gia cho rằng cần có cách tiếp cận tổng thể hơn trong thời gian tới, vừa bảo đảm an toàn dữ liệu và an ninh thông tin, vừa tạo điều kiện cho thị trường phát triển. 

“Đây là bài toán không đơn giản, nhất là khi sắp tới sẽ tiếp tục sửa đổi, bổ sung các luật liên quan đến dữ liệu và AI”, ông Hiển đánh giá.

Ông cũng nói thêm trong quá trình xây dựng đề án, khi trao đổi với doanh nghiệp, có những ý kiến rất thẳng thắn. Một số doanh nghiệp cho rằng trước khi có các quy định mới, họ có thể triển khai hoạt động một cách linh hoạt, nhưng khi khung pháp lý dần hoàn thiện thì lại phát sinh những rào cản nhất định.

Những ý kiến này cho thấy cần cân nhắc kỹ cách thiết kế chính sách, để vừa kiểm soát rủi ro, vừa không kìm hãm sự phát triển của lĩnh vực mới.

CHỈ DƯỚI 10% DOANH NGHIỆP THIẾT LẬP BÀI BẢN HỆ THỐNG THÔNG TIN 

Từ thực tế làm việc với các doanh nghiệp, ông Nguyễn Ích Vinh, Phó tổng giám đốc FSI, cũng cho biết dữ liệu trong ngành tài chính – ngân hàng đang tăng trưởng với tốc độ rất nhanh, không chỉ về khối lượng mà còn ở tần suất giao dịch. 

Chỉ trong ba năm, khối lượng giao dịch số tại Việt Nam đã tăng tới 300%, tạo áp lực chưa từng có lên hạ tầng dữ liệu. Các giao dịch diễn ra đồng thời trên nhiều kênh, với mức độ phức tạp ngày càng cao, khiến dữ liệu trở nên đặc biệt “nhạy cảm” và trở thành mục tiêu ưu tiên của các cuộc tấn công mạng. 

Một điểm đáng chú ý khác là sự phát triển của AI đang làm thay đổi hoàn toàn cục diện an ninh mạng. AI không chỉ được sử dụng để phòng thủ mà còn bị khai thác để tạo ra các hình thức tấn công tinh vi hơn, khó dự đoán hơn và đặc biệt là tốc độ triển khai nhanh hơn rất nhiều so với trước đây.

Ông Vinh lấy ví dụ, trong lĩnh vực phần mềm, luôn tồn tại một khoảng thời gian gọi là “cửa sổ dễ bị tấn công” (vulnerability window). Đây là giai đoạn từ khi một lỗ hổng bảo mật được phát hiện cho đến khi nhà phát triển phát hành bản vá.

Trước đây, khoảng thời gian này có thể kéo dài vài ngày, thậm chí vài tuần. Nhưng hiện nay, với sự hỗ trợ của AI, các cuộc tấn công có thể khai thác lỗ hổng chỉ trong vài giờ, thậm chí gần như ngay lập tức sau khi lỗ hổng xuất hiện.

“Điều này đặt ra một áp lực rất lớn đối với doanh nghiệp. Theo quan sát của chúng tôi, hiện nay chỉ khoảng dưới 10% doanh nghiệp, kể cả doanh nghiệp lớn, thực sự đầu tư bài bản vào hệ thống an toàn thông tin. Các tổ chức tài chính có thể là nhóm làm tốt nhất trong số này, nhưng phần lớn các doanh nghiệp khác vẫn chưa dành đủ nguồn lực cho vấn đề này”, Phó tổng giám đốc FSI cho biết.

Ông cũng đề cập tới một thực tế đáng suy nghĩ rằng, khi nói đến an ninh mạng, nhiều doanh nghiệp vẫn chỉ tập trung vào phòng ngừa, ngăn chặn kẻ tấn công từ bên ngoài. Nhưng lại rất ít đơn vị chuẩn bị cho kịch bản “nếu đã bị xâm nhập thì phải làm gì”.

“Nói một cách hình ảnh, chúng ta đang cố gắng xây thật chắc cánh cửa để không cho “trộm” vào nhà, nhưng lại không chuẩn bị phương án nếu kẻ trộm đã lọt vào bên trong”, ông Nguyễn Ích Vinh nói. 

Từ góc độ của một doanh nghiệp công nghệ, đại diện FSI cho rằng cách tiếp cận cần phải thay đổi: an ninh mạng không chỉ là phòng thủ, mà phải là khả năng chống chịu và phục hồi. Điều này đòi hỏi một chiến lược tổng thể, từ công nghệ, quy trình cho đến nhận thức và ngân sách đầu tư.

Thực tế, nhiều tổ chức chỉ phát hiện sự cố khi dữ liệu đã bị đánh cắp hoặc hệ thống đã bị kiểm soát. Khi đó, mọi phản ứng đều mang tính bị động và muộn màng, chuyển từ phòng ngừa sang xử lý khủng hoảng.

Từ góc độ của một doanh nghiệp công nghệ, đại diện FSI cho rằng cách tiếp cận cần phải thay đổi: an ninh mạng không chỉ là phòng thủ, mà phải là khả năng chống chịu và phục hồi. Điều này đòi hỏi một chiến lược tổng thể, từ công nghệ, quy trình cho đến nhận thức và ngân sách đầu tư.

Từ ngày 15/1/2026, các quy định mới về bảo vệ dữ liệu cá nhân chính thức có hiệu lực với yêu cầu nghiêm ngặt hơn, buộc doanh nghiệp không chỉ xử lý nội bộ khi xảy ra sự cố mà còn phải thực hiện nghĩa vụ báo cáo, thông báo theo quy định. Nếu không tuân thủ, mức phạt có thể lên tới khoảng 5 tỷ đồng, thậm chí tính theo tỷ lệ doanh thu.

Tuy nhiên, theo ông Vinh, “rủi ro không chỉ nằm ở tiền phạt, mà còn ở niềm tin thị trường”. Thực tế cho thấy, sau các sự cố rò rỉ dữ liệu quy mô lớn, doanh nghiệp có thể mất một lượng lớn khách hàng chỉ trong thời gian ngắn. Có trường hợp, chỉ sau hơn một tuần khôi phục hệ thống, doanh nghiệp đã mất khoảng 15% khách hàng cá nhân – kéo theo sự sụt giảm đáng kể về tài sản quản lý và giá trị thương hiệu.

“Một cuộc tấn công thành công, dù chỉ kéo dài vài ngày, cũng có thể xóa đi thành quả tích lũy nhiều năm”, ông Vinh nhận định.