Nhiều lỗ hổng an ninh mạng tồn tại nhiều năm
Tại tọa đàm “Bảo mật dữ liệu và an ninh mạng trong kỷ nguyên vươn mình của dân tộc”, ông Ngô Tuấn Anh, Trưởng Ban An ninh dữ liệu (Hiệp hội Dữ liệu Quốc gia) nhấn mạnh dữ liệu như “tài sản quý giá nhất” của tổ chức, nhưng cũng là mục tiêu dễ tổn thương nhất nếu không được bảo vệ đúng cách.
“Trước hết là vấn đề cấu hình. Chúng ta hình dung dữ liệu nằm trong một ngôi nhà nhưng lại không khóa cẩn thận. Có hệ thống chứa thông tin rất quan trọng nhưng lại dùng mật khẩu yếu, cấu hình mặc định hoặc để tiếp xúc trực tiếp với Internet”, ông Ngô Tuấn Anh nói.
Trong môi trường số, chỉ vài phút sau khi dịch vụ mở công khai, các công cụ quét và khai thác tự động có thể tìm thấy điểm yếu để tấn công.
Thực tế cho thấy, nhiều vụ tấn công mạng gần đây khai thác chính những lỗ hổng đã được công bố từ lâu. Nguyên nhân chủ yếu xuất phát từ việc chuẩn hóa và tuân thủ an toàn thông tin chưa nghiêm. Dù điểm yếu đã được cảnh báo, nhiều hệ thống vẫn để lộ sơ hở do cấu hình sai hoặc thiếu cập nhật.
Ông Ngô Tuấn Anh, Trưởng Ban An ninh dữ liệu (Hiệp hội Dữ liệu Quốc gia)
Vụ tấn công nổi tiếng WannaCry là ví dụ điển hình. Lỗ hổng tồn tại trong kết nối giữa các máy tính, khiến mã độc dễ dàng lây lan trong cùng mạng.
Theo ông Tuấn Anh, khảo sát của Hiệp hội Dữ liệu quốc gia cho thấy, có lỗ hổng phát hiện gần 10 năm trước nhưng hiện vẫn tồn tại trên khoảng 40% máy tính. Điều này đồng nghĩa, chỉ cần một máy bị xâm nhập, mã độc có thể lan ra hàng chục máy khác; nếu trúng máy quản trị, toàn bộ hệ thống có nguy cơ bị chiếm quyền kiểm soát.
Một rủi ro khác đến từ việc lưu trữ tràn lan. Nhiều đơn vị giữ lại quá nhiều biểu mẫu, dữ liệu không cần thiết, vừa tăng chi phí vừa mở rộng bề mặt tấn công. Khi bị xâm phạm, toàn bộ dữ liệu có thể rơi vào tay kẻ xấu.
Một sai sót nhỏ từ người dùng có thể mở cửa cho tin tặc xâm nhập
Nói về thực tế nguy cơ về tấn công mạng với ngành Kiểm toán – ngành mà bảo vệ dữ liệu không chỉ là vấn đề an ninh mạng mà còn gắn liền với uy tín của cơ quan, Phó Tổng Kiểm toán Nhà nước Bùi Quốc Dũng cho rằng, không có hệ thống nào có thể bảo mật tuyệt đối. Yếu tố con người vẫn giữ vai trò then chốt khi một sai sót nhỏ từ người dùng có thể mở cửa cho tin tặc xâm nhập.
Chỉ trong 8 tháng đầu năm 2025, Kiểm toán Nhà nước đã ghi nhận hàng triệu lượt tấn công mạng. Tất cả đều được ngăn chặn kịp thời, bảo vệ máy chủ và ngăn mã độc lây lan trong hệ thống.
Phó Tổng Kiểm toán Nhà nước Bùi Quốc Dũng
Theo ông Bùi Quốc Dũng, việc ứng dụng trí tuệ nhân tạo (AI) giúp hoạt động kiểm toán trở nên minh bạch, hiệu quả hơn. Tuy nhiên, công nghệ cũng đặt ra thách thức mới khi dữ liệu được xem là tài sản vô cùng quan trọng. Nguy cơ bị tấn công mạng có thể gây ra tổn thất lớn.
Nhận thức rõ điều này, Kiểm toán Nhà nước đã đầu tư mạnh mẽ để bảo đảm an toàn, an ninh hệ thống. Hiện hệ thống kiểm toán đang được bảo vệ ở cấp độ 3, với 4 lớp an ninh theo quy định của Nhà nước, gồm theo dõi – truy vết, sao lưu dữ liệu dự phòng, cùng các biện pháp khôi phục nhanh khi xảy ra sự cố.
Nói thêm về giải pháp giải pháp bảo vệ dữ liệu, Trưởng Ban An ninh dữ liệu (Hiệp hội Dữ liệu Quốc gia) Ngô Tuấn Anh khuyến nghị ba nhóm giải pháp: siết chặt cấu hình an toàn trước khi đưa dịch vụ lên Internet; phân loại, hạn chế lưu trữ dữ liệu không cần thiết; xây dựng quy trình phát hiện – cách ly – khôi phục kết hợp với cơ quan chức năng. Đây là những bước thiết yếu để bảo vệ dữ liệu – tài sản quan trọng nhất của mọi tổ chức.
Theo ông Tuấn Anh, Hiệp hội Dữ liệu quốc gia đang xây dựng bộ tiêu chuẩn cơ sở về an ninh dữ liệu, dự kiến sẽ lấy ý kiến các ban ngành trước khi áp dụng rộng rãi. Bên cạnh đó, các doanh nghiệp trong nước cùng Hiệp hội An ninh mạng quốc gia đang phát triển hệ sinh thái sản phẩm an ninh mạng nội địa.
Đây là hướng đi quan trọng khi nhiều giải pháp nước ngoài tiềm ẩn rủi ro, thậm chí vô tình để dữ liệu đi qua hạ tầng ngoài lãnh thổ, gia tăng nguy cơ rò rỉ.
Cần một “kiến trúc sư trưởng”
Phát biểu tại tọa đàm, Trung tướng Nguyễn Minh Chính, Phó Chủ tịch thường trực Hiệp hội An ninh mạng Quốc gia cho rằng, Việt Nam đang triển khai lộ trình chuyển đổi số nhanh, với nhiều nguồn lực được đầu tư. Tuy nhiên, còn một số hạn chế. Thứ nhất, chúng ta thiếu một “kiến trúc sư trưởng” để thiết kế tổng thể. Bên cạnh đó, hệ thống đầu tư qua nhiều năm, qua nhiều giai đoạn, dẫn đến chồng chéo, phức tạp, khó bảo đảm tính tương thích. Sự phức tạp này lại vô tình tạo ra nhiều lỗ hổng, khiến các đối tượng có thể lợi dụng để tấn công.
Ngoài ra, sự phối hợp giữa các cơ quan, ban ngành, doanh nghiệp và cả người sử dụng vẫn thiếu chặt chẽ, còn phân mảnh. Ví dụ như khi xảy ra tấn công mạng, các cơ quan, doanh nghiệp thường mời một doanh nghiệp về an ninh mạng vào khắc xử lý sự cố ngay lập tức. Tuy nhiên, nếu không có sự phối hợp với lực lượng công an – vốn có quy trình điều tra để xác định nguyên nhân, đối tượng và thực hiện các bước tố tụng pháp lý – thì việc xử lý sẽ thiếu tính toàn diện. Trong nhiều trường hợp, dấu vết bị xóa sạch, gây khó khăn cho công tác điều tra.