Bảo mật dữ liệu: Nền tảng cho kinh tế số
Trong kỷ nguyên số, dữ liệu đã trở thành “nguồn tài nguyên mới”, là động lực then chốt để thúc đẩy đổi mới sáng tạo, phát triển kinh tế số, xã hội số và xây dựng Chính phủ số. Nhưng đi cùng với đó, nguy cơ mất an toàn thông tin cũng đang hiện hữu và ngày càng phức tạp.
Chuyển từ tư duy phòng thủ sang chủ động
Nghị quyết số 57/NQ-TW của Bộ Chính trị về đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia nhằm khai thác tối đa tiềm năng của dữ liệu, đưa dữ liệu thành tư liệu sản xuất chính, thúc đẩy phát triển nhanh cơ sở dữ liệu lớn, công nghiệp dữ liệu, kinh tế dữ liệu.
Nghị quyết 57 cũng khẳng định, bảo đảm chủ quyền quốc gia trên không gian mạng; bảo đảm an ninh mạng, an ninh dữ liệu, an toàn thông tin của tổ chức và cá nhân là yêu cầu xuyên suốt, không thể tách rời trong quá trình phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia.
Trong kỷ nguyên số, dữ liệu đã trở thành “nguồn tài nguyên mới”, là động lực then chốt để thúc đẩy đổi mới sáng tạo, phát triển kinh tế số, xã hội số và xây dựng Chính phủ số. Nhưng đi cùng với đó, nguy cơ mất an toàn thông tin, rò rỉ dữ liệu cá nhân, tấn công mạng và xâm phạm chủ quyền số quốc gia đang hiện hữu và ngày càng phức tạp.
Ông Phạm Đại Dương - Phó Trưởng ban Chính sách, Chiến lược Trung ương cho biết, an ninh mạng là bộ phận hữu cơ của an ninh quốc gia và cũng là trụ cột của an ninh kinh tế. Không gian mạng giờ đây chính là “không gian sống mới” cho hoạt động sản xuất, kinh doanh.
Theo ông Dương, bảo vệ dữ liệu không chỉ là xử lý kỹ thuật, mà là bảo vệ nguồn lực kinh tế. Chính sách, pháp luật và cơ chế quản trị an ninh mạng vì thế phải chủ động đi trước, tạo niềm tin thị trường, bảo vệ lợi ích kinh tế quốc gia.
Trung tướng Nguyễn Minh Chính - Phó Chủ tịch Hiệp hội an ninh mạng Việt Nam cho biết, Nghị quyết 57-NQ/TW là Nghị quyết dẫn đường trong kỷ nguyên mới, an ninh mạng có vị trí hết sức quan trọng, gắn chặt với an ninh quốc gia khi quá trình chuyển đổi số được đẩy mạnh. Khó có thể chỉ ra một rủi ro duy nhất vì bất kỳ lỗ hổng nào trong an ninh mạng đều nguy hiểm, hậu quá khó lường. Nước ta trong những năm qua là một trong những quốc gia chịu nhiều cuộc tấn công mạng. Các đối tượng tấn công đánh cắp dữ liệu, đánh cắp bí mật nhà nước, sau đó có thể mã hóa, vô hiệu hóa, phá hoại hệ thống thông tin, gây hậu quả lớn cho an toàn quốc gia và đời sống xã hội. Tiếp đến, chúng ta đang phải đối mặt với thông tin giả, thông tin sai sự thật và thông tin xấu độc tấn công vào nền tảng tư tưởng của Đảng, bôi xấu lãnh đạo, phá hoại chia rẽ đoàn kết nhân dân.
Đến nay, đặc biệt khi có sự hỗ trợ của công nghệ mới trên các nền tảng số, tin giả có thể được lan truyền nhanh chóng, dẫn tới khó kiểm soát. Ngoài ra, một số cá nhân có lợi ích kinh tế, những người có ảnh hưởng (KOLs) tạo ra tin giả vì mục đích thương mại hoặc do thiếu hiểu biết cũng phát tán thông tin sai lệch, gây nhiễu loạn dư luận.
Nhận diện những lỗ hổng
Thiếu tướng Hồ Văn Hương - Phó trưởng Ban Cơ yếu Chính phủ đã phân tích, có 3 nhóm lỗ hổng thường nhật liên quan đến mã hóa, phân quyền và truy vết. Nhóm thứ nhất là không mã hóa dữ liệu nhạy cảm, sử dụng các thuật toán mật mã dữ liệu lỗi thời hoặc suy yếu liên quan việc sử dụng các tham số, thuật toán giao thức mật mã mặc định, hay là lạc hậu, lỗi thời, dẫn đến nguy cơ sử dụng các mật mã yếu, dễ bị phá vỡ. Tiếp theo là lỗi về triển khai trong quá trình mã hóa cũng như quản lý mật khẩu không an toàn.
Nhóm thứ hai là lỗ hổng về phân quyền truy cập. Nguyên tắc cơ bản của phân quyền truy cập là người dùng chỉ được làm trong phạm vi, quyền hạn. Nhưng thực tế cho thấy, rất nhiều sự cố an ninh lại bắt nguồn từ cơ chế phân quyền không được kiểm soát chặt chẽ.
Nhóm thứ ba là lỗ hổng về ghi vết và giám sát dữ liệu. Nếu thiếu cơ chế này, không nhìn thấy kẻ tấn công đang làm gì và cũng không thể phản ứng kịp thời. Điểm đặc biệt nhất là lỗ hổng ghi vết không trực tiếp mở cửa cho hacker nhưng nó khiến cho các cuộc tấn công diễn ra trong im lặng, không bị phát hiện, từ đó gây ra thiệt hại nghiêm trọng hơn rất nhiều.
Ông Ngô Tuấn Anh - Trưởng Ban An ninh dữ liệu, Hiệp hội Dữ liệu quốc gia cho rằng, dữ liệu nằm trong một “ngôi nhà” nhưng lại không khóa cẩn thận. Có hệ thống chứa thông tin rất quan trọng nhưng lại dùng mật khẩu yếu, cấu hình mặc định hoặc để tiếp xúc trực tiếp với internet. Khi một dịch vụ được đưa lên internet, sau vài phút sẽ có các công cụ quét và khai thác tự động trên toàn cầu. Đó là lý do nhiều hệ thống, chỉ cần sơ hở nhỏ là bị truy cập trái phép. Một rủi ro nữa là lưu trữ tràn lan. Nhiều đơn vị lưu giữ quá nhiều biểu mẫu, dữ liệu không cần thiết, dẫn tới chi phí lưu trữ tăng và mở rộng bề mặt rủi ro. Khi hệ thống lưu trữ bị xâm phạm, toàn bộ khối dữ liệu có thể bị lộ. Trong bối cảnh pháp luật về bảo vệ dữ liệu cá nhân vừa được hoàn thiện, đơn vị lưu trữ sẽ phải chịu trách nhiệm pháp lý khi xảy ra rủi ro.
Hướng tới một môi trường số an toàn
Ở góc độ doanh nghiệp, ông Nguyễn Lê Thành - Nhà sáng lập, Chủ tịch điều hành Công ty bảo mật Verichains cho rằng cách cần thay đổi tiếp cận theo hướng không chỉ xây dựng hệ thống rồi mới bảo vệ, mà phải thiết kế an toàn ngay từ đầu.
Hệ thống nào cũng có vòng đời, hôm nay an toàn nhưng 1 - 2 năm sau có thể xuất hiện lỗ hổng mới. Do đó cần giả định sự cố sẽ xảy ra và thiết kế sao cho thiệt hại là nhỏ nhất, ông Thành khẳng định.
Ông Thành nhấn mạnh nguyên tắc: Không lưu trữ dữ liệu nhạy cảm không cần thiết, phân tách dữ liệu phục vụ bên ngoài với dữ liệu quan trọng lưu trữ nội bộ. Khi buộc phải chia sẻ, chỉ cung cấp ở mức tối thiểu. Trên hết, phải thay đổi tư duy thiết kế hệ thống an toàn ngay từ đầu, thay vì chỉ tìm cách bảo vệ sau khi đã vận hành.
Từ góc độ nghiên cứu, GS. TS Trần Tuấn Anh - Phó Chủ tịch Viện Hàn lâm Khoa học và Công nghệ Việt Nam đề xuất mô hình bảo vệ dữ liệu dựa trên công nghệ nội địa với các trụ cột chính. Đó là xây dựng nền tảng pháp lý - quy chuẩn trong nước.
Bên cạnh đó bảo đảm tập trung phát triển hạ tầng và công nghệ bản địa. Hạ tầng điện toán đám mây trong nước, đặt máy chủ tại Việt Nam (khuyến khích dùng dịch vụ cloud của các công ty trong nước như Viettel, VNPT, CMC, FPT thay vì phụ thuộc AWS/Azure, bảo đảm dữ liệu công dân được lưu tại Việt Nam); các tiêu chuẩn, giải thuật mã hóa đầu cuối end-to-end bằng giải pháp mật mã do Ban Cơ yếu/Viện Công nghệ thông tin nghiên cứu phát triển; tăng cường khả năng xác thực đối tượng thông qua các hệ thống xác thực đa yếu tố tích hợp với VNeID, chữ ký số công dân...
Ông Phạm Đại Dương - Phó Trưởng Ban Chính sách, Chiến lược trung ương cho rằng, có thể chia thành hai mảng chính để bảo vệ chủ quyền số, an ninh số: Thứ nhất là các phương pháp kỹ thuật; thứ hai là các quy định của pháp luật. Về mặt kỹ thuật, phải làm chủ hạ tầng, làm chủ công nghệ, đặc biệt là công nghệ bảo mật và hệ thống thông tin. Đồng thời, phải xây dựng được những quy chuẩn phù hợp với tiêu chuẩn quốc tế. Về mặt luật pháp, trong thời gian qua, nhiều văn bản pháp luật đã được ban hành nhằm bảo vệ an ninh, an toàn dữ liệu như Luật An ninh mạng, Luật An toàn thông tin mạng, Luật Bảo vệ dữ liệu cá nhân, Luật Dữ liệu… Tới đây, Quốc hội sẽ tiếp tục rà soát, bổ sung các quy định này, cùng với các luật khác như Luật Bảo vệ bí mật nhà nước. Công nghệ phát triển rất nhanh, nên pháp luật cũng phải được điều chỉnh, hoàn thiện kịp thời để theo kịp với xu thế phát triển của công nghệ, đáp ứng yêu cầu thực tiễn.
