Cuộc khủng hoảng kỹ thuật số tiếp theo của châu Á sẽ ở trên đám mây

Trên khắp khu vực châu Á – Thái Bình Dương, các chính phủ và doanh nghiệp đang đẩy mạnh đầu tư vào điện toán đám mây nhằm thúc đẩy tăng trưởng kinh tế, đổi mới sáng tạo và thu hẹp khoảng cách số.

Ở Jakarta, nền tảng đám mây đang thay đổi cách thức thanh toán và ngành hậu cần. Tại Manila, dịch vụ công dịch chuyển mạnh lên môi trường số để tiếp cận cộng đồng. Còn Singapore, một số trung tâm phát triển trí tuệ nhân tạo (AI) được xây dựng hoàn toàn trên nền tảng hạ tầng đám mây, theo Tech Node Global.

Trong khi tốc độ ứng dụng công nghệ đám mây ngày càng mở rộng, vấn đề an ninh lại chưa được quan tâm đúng mức. Nghiên cứu mới của hãng bảo mật Tenable cho thấy chính những hệ thống đang thúc đẩy tham vọng số của châu Á lại tiềm ẩn rủi ro bảo mật ở mức đáng báo động. Dữ liệu nhạy cảm bị lưu trữ công khai, khóa truy cập bị cài trong mã nguồn, còn tác vụ AI thì vận hành trên hạ tầng có nhiều lỗ hổng chưa được vá.

LỖ HỔNG HỆ THỐNG KHIẾN RỦI RO LAN RỘNG

Vấn đề này không chỉ nằm ở một vài hệ thống quản lý yếu kém hay những sai sót đơn lẻ. Theo Báo cáo Rủi ro An ninh Đám mây 2025 của Tenable, có tới 9% tài nguyên lưu trữ đám mây công khai chứa dữ liệu nhạy cảm. Nghe có vẻ nhỏ, nhưng trong bối cảnh quy mô dữ liệu khổng lồ hiện nay, chỉ một chút dữ liệu bị lộ cũng có thể làm rò rỉ hàng nghìn, thậm chí hàng triệu bản ghi.

Phần lớn thông tin bị lộ đều được xếp loại “mật” hoặc “hạn chế”, bao gồm dữ liệu cá nhân, hồ sơ tài chính, tài sản trí tuệ và cả thông tin đăng nhập hệ thống. Đây không phải là nguy cơ giả định, mà là lỗ hổng thực tế có thể bị tin tặc khai thác để xâm nhập vào hạ tầng quan trọng.

Một báo cáo khác của Verizon về vi phạm dữ liệu năm 2025 cho thấy 4 trong 5 vụ tấn công mạng tại khu vực châu Á – Thái Bình Dương liên quan đến xâm nhập hệ thống, tăng mạnh so với chỉ 38% của năm trước. Sự bùng nổ này phản ánh việc tội phạm mạng ngày càng sử dụng kỹ thuật tự động hóa để khai thác chính những lỗi cấu hình sai hoặc thông tin đăng nhập bị rò rỉ mà Tenable chỉ ra.

“BỘ BA ĐỘC HẠI” VÀ BÀI TOÁN BẢO MẬT BỊ XEM NHẸ

Một trong những mối nguy lớn nhất là các “bí mật số” như API key, token hay chứng chỉ mã hóa. Chúng thường được lập trình viên nhúng thẳng vào mã nguồn hoặc lưu trong file cấu hình để vận hành quy trình tự động. Nếu bị lộ, chúng có thể trở thành “cánh tay nối dài” cho tin tặc truy cập thẳng vào hệ thống mà không cần xác thực, gây ra vụ tấn công quy mô lớn.

Theo Tenable, hơn một nửa tổ chức dùng dịch vụ AWS Elastic Container Service thì có ít nhất một bí mật bị cài trong bản triển khai. Các trường hợp tương tự cũng được phát hiện ở môi trường của Google Cloud và Microsoft Azure. Vấn đề nằm ở chỗ nhiều lập trình viên tưởng rằng đó là vùng lưu trữ nội bộ, trong khi thực tế bất kỳ ai có quyền truy cập hoặc chiếm quyền điều khiển ban đầu đều có thể đọc được.

Mối nguy càng trầm trọng hơn bởi thứ mà Tenable gọi là “bộ ba độc hại trên đám mây” – khi có tới 30% tổ chức để ít nhất một tác vụ điện toán đám mây vừa công khai, vừa có lỗ hổng nghiêm trọng, lại được cấp quyền vượt mức cần thiết. Đây là “mảnh đất vàng” cho tin tặc, cho phép chúng chỉ cần một điểm yếu duy nhất để xâm nhập và lan rộng toàn hệ thống.

Sự tăng tốc của nền kinh tế số Đông Nam Á mang đến nhiều vấn đề cấp bách. Ở một vài quốc gia, dịch vụ số mới mọc lên nhanh chóng, không bị ràng buộc bởi hệ thống cũ. Điều này thúc đẩy đổi mới, nhưng đồng thời khiến bảo mật thường bị đặt sau tốc độ. Startup cần tăng trưởng nhanh, còn các dự án công phải đạt chỉ tiêu triển khai — và trong cả hai trường hợp, an ninh thường chỉ được bổ sung sau cùng, khi rủi ro đã hiện hữu.

Sự bùng nổ của nền kinh tế số Đông Nam Á đang đặt ra những thách thức mới. Ở nhiều quốc gia, dịch vụ số mọc lên nhanh chóng, tốc độ ấy giúp thúc đẩy đổi mới, nhưng cũng khiến vấn đề bảo mật bị xem nhẹ. Các startup mải chạy đua tăng trưởng, còn những dự án công lại phải gấp rút hoàn thành chỉ tiêu. Và trong cả hai trường hợp trên, an ninh thường được nhắc đến khi rủi ro đã cận kề.

AI – CƠ HỘI TĂNG TỐC, NHƯNG CŨNG LÀ MỐI NGUY MỚI

Một xu hướng khác đang làm tăng độ phức tạp của bảo mật đám mây là AI. Theo báo cáo của Tenable, 70% tác vụ AI lưu trữ trên đám mây có ít nhất một lỗ hổng nghiêm trọng chưa được vá. Nhiều mô hình AI còn được triển khai bằng tài khoản dịch vụ có quyền truy cập quá rộng, cho phép tin tặc nếu xâm nhập được sẽ có khả năng kiểm soát cả hệ thống.

Điều này không chỉ gây rủi ro an ninh, mà còn tiềm ẩn nguy cơ vi phạm quy định và mất uy tín doanh nghiệp - đặc biệt khi AI ngày càng hiện diện sâu vào mọi hoạt động của cơ quan, tài chính và y tế trong khu vực.

Hơn một nửa số doanh nghiệp đã sử dụng AWS để nhận diện tập trung nhằm quản lý truy cập. Tuy nhiên, rủi ro vẫn còn vì phần lớn hệ thống chỉ dùng quyền cố định hoặc cấu hình mặc định quá rộng. Dù xác thực đa lớp (MFA) đã được chứng minh hiệu quả, nhưng vẫn chưa được sử dụng rộng rãi do lo ngại ảnh hưởng đến trải nghiệm người dùng hoặc làm phức tạp quá trình vận hành.

Trước thực tế này, nhiều chính phủ trong khu vực đã bắt đầu siết chặt quy định. Singapore sửa đổi Luật An ninh mạng, mở rộng giám sát tới các nhà cung cấp dịch vụ đám mây và trung tâm dữ liệu, đồng thời trao quyền kiểm tra cho Cơ quan An ninh mạng quốc gia.

Ấn Độ cũng đã thông qua Luật Bảo vệ Dữ liệu Cá nhân Kỹ thuật số, quy định rõ hơn về việc xử lý và báo cáo vi phạm dữ liệu. Còn tại Úc, các nhà lập pháp đã tăng mức phạt và mở rộng định nghĩa “hạ tầng quan trọng” bao gồm thêm dịch vụ kỹ thuật số.

Dù vậy, quy định cũng chỉ là bước đầu. Theo Tenable, điều mà châu Á thực sự cần là thay đổi tư duy – xem bảo mật đám mây không phải là “bước kiểm tra tuân thủ”, mà là ưu tiên cốt lõi trong chiến lược kinh doanh. Lãnh đạo doanh nghiệp cần chủ động đặt câu hỏi: dữ liệu nhạy cảm đang ở đâu, ai có quyền truy cập, và liệu lỗi cấu hình có được phát hiện - khắc phục kịp thời hay không.

Sự chuyển đổi lên đám mây vẫn là một trong những câu chuyện thành công lớn nhất của nền kinh tế số châu Á. Những tổ chức và chính phủ thành công trong thập kỷ tới sẽ là những bên hiểu rõ tầm quan trọng của bảo mật đám mây, đầu tư đúng vào công cụ, con người, quy trình, và coi bảo mật không phải là chi phí, mà là nền tảng tạo dựng niềm tin.