Chỉ cần một điểm yếu trong chuỗi cung ứng cũng có thể gây gián đoạn diện rộng, nguy cơ này đòi hỏi Việt Nam phải sớm có giải pháp bảo vệ chuỗi cung ứng số từ gốc.
Mục tiêu tấn công mới
Trong bài giảng dành cho lớp bồi dưỡng ngắn hạn của Đoàn cán bộ Trung ương và các ban, ngành, địa phương của Việt Nam tại Trường đại học Công nghệ Sydney (UTS), Phó Giáo sư Priyadarsi Nanda, chuyên gia về an ninh mạng và khả năng phục hồi hệ thống, đưa ra nhận định đáng chú ý: Các cuộc tấn công mạng nhằm vào chính phủ ngày nay không còn đi trực diện, mà thường "đi vòng" qua nhà cung cấp dịch vụ công nghệ. Một lỗ hổng nhỏ trong phần mềm, một bản cập nhật độc hại hay một điểm yếu trên nền tảng đám mây... đều có thể trở thành cánh cửa để kẻ tấn công xâm nhập vào hệ thống Nhà nước.
Nhận định này phản ánh đúng thực tế tại Việt Nam. Thông tin mới nhất, tính đến thời điểm hiện tại, trong năm 2023, có 13.900 cuộc tấn công mạng gây ảnh hưởng tới hệ thống thông tin của các cơ quan, tổ chức, tăng 9,5% so năm 2022. Đây là con số thống kê từ Cục An toàn thông tin thuộc Bộ Thông tin và Truyền thông (kể từ ngày 1/3/2025, thẩm quyền, chức năng, nhiệm vụ của Cục An toàn thông tin được chuyển giao sang Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an). Bên cạnh đó, chỉ riêng tháng 1/2022, Trung tâm Giám sát an toàn không gian mạng quốc gia (một đơn vị trực thuộc Cục An toàn thông tin, đã dừng hoạt động sau ngày 28/2/2025) đã xử lý 1.383 sự cố an ninh mạng, trong đó, có nhiều vụ liên quan đến lỗ hổng của phần mềm bên thứ ba hoặc hệ thống quản trị không được cập nhật.
Thực tế những năm gần đây cho thấy, không ít sự cố an ninh mạng trong nước bắt nguồn từ các "điểm yếu ngoại vi": website của cơ quan nhà nước bị chèn mã độc vì đơn vị quản trị hosting bị tấn công; phần mềm quản lý của một đơn vị cung ứng bị lợi dụng để phát tán mã độc; hay các lỗ hổng từ thư viện mã nguồn mở chưa được cập nhật. Do đó, sự phức tạp còn tăng lên khi Việt Nam đang vận hành nhiều nền tảng quy mô lớn như Cơ sở dữ liệu quốc gia về dân cư, căn cước công dân gắn chip, hóa đơn điện tử, thuế điện tử, hải quan số, hồ sơ sức khỏe điện tử, Cổng dịch vụ công quốc gia... Những hệ thống này có cấu trúc đa tầng, tích hợp nhiều dịch vụ khác nhau. Điều đó đồng nghĩa, chỉ một thành phần trong chuỗi cung ứng gặp vấn đề cũng có thể kéo theo sự cố cho toàn bộ hệ thống.
Lỗ hổng không nằm ở một nơi
Một trong những vấn đề đáng quan ngại nhất hiện nay là thiếu minh bạch trong thành phần phần mềm. Nhiều hệ thống sử dụng hàng chục, thậm chí hàng trăm thư viện mã nguồn mở khác nhau, nhưng không có bản kê khai chi tiết.
Theo phân tích của Phó Giáo sư Priyadarsi Nanda, việc không nắm được "mình đang dùng cái gì" khiến cơ quan vận hành bị động trước các lỗ hổng toàn cầu. Khi một thư viện bị cảnh báo, phải mất rất lâu mới biết hệ thống có bị ảnh hưởng hay không?
Bất cập thứ hai nằm ở hợp đồng dịch vụ công nghệ thông tin. Ở nhiều nước, hợp đồng là công cụ pháp lý quan trọng để ràng buộc trách nhiệm bảo mật của nhà cung cấp. Nhưng trong thực tế tại Việt Nam, nhiều hợp đồng chủ yếu chú trọng tính năng và chi phí, trong khi các điều khoản trọng yếu như thời gian khắc phục sự cố, quyền kiểm toán an ninh, nghĩa vụ báo cáo lỗ hổng, hay cơ chế ngắt kết nối khẩn cấp lại chưa được quy định đầy đủ. Điều này dẫn đến tình trạng "khó truy trách nhiệm" khi có sự cố và việc khắc phục bị kéo dài.
Thứ ba, giám sát nhà cung cấp chưa được thực hiện thường xuyên. Nhiều cơ quan vẫn phụ thuộc hoàn toàn vào cam kết của nhà thầu, trong khi không có công cụ đánh giá độc lập. Trong nhiều vụ việc, hệ thống bị tấn công từ những lỗ hổng đã được cảnh báo từ lâu, nhưng đơn vị vận hành và nhà cung cấp chưa có phối hợp kịp thời.
Một vấn đề khác cần phải nói thẳng: Khả năng phục hồi hệ thống sau sự cố của chúng ta còn hạn chế. Theo số liệu thống kê trong năm 2023 từ Bộ Thông tin và Truyền thông (cơ quan này đã hợp nhất với Bộ Khoa học và Công nghệ từ ngày 1/7/2025), có hơn 83 nghìn máy tính và máy chủ bị mã độc mã hóa dữ liệu, cho thấy nhiều đơn vị chưa phân tách hệ thống đúng chuẩn, thiếu cơ chế sao lưu và không diễn tập khôi phục định kỳ. Khi một thành phần bị tấn công, cả hệ thống phải dừng lại, kéo theo ảnh hưởng lớn tới người dân và doanh nghiệp.
Ngoài ra, yêu cầu về nhân lực cũng đặt ra thách thức lớn. Chuyển đổi số đang diễn ra mạnh mẽ nhưng năng lực kỹ thuật của một bộ phận cán bộ còn hạn chế. Sự lệ thuộc vào nhà cung cấp trở nên lớn hơn, vậy nên khi nhà cung cấp gặp vấn đề, cơ quan nhà nước chưa thể xử lý độc lập những hệ lụy đối với hệ thống của mình.
Bảo vệ từ gốc chuỗi cung ứng
Để hạn chế những rủi ro đến từ chuỗi cung ứng, cần bắt đầu bằng việc minh bạch hóa toàn bộ thành phần công nghệ. Những hệ thống quan trọng phải có bản kê thành phần phần mềm (SBOM), cập nhật thường xuyên. Theo khuyến nghị của Phó Giáo sư Priyadarsi Nanda, đây là điều kiện đầu tiên để nhận diện rủi ro và xử lý nhanh khi xuất hiện lỗ hổng mới. Khi cơ quan vận hành biết rõ hệ thống gồm những gì, việc ứng phó trở nên chủ động hơn rất nhiều.
Bên cạnh đó, Việt Nam cần đưa yêu cầu an ninh vào ngay từ khâu đấu thầu. Hợp đồng công nghệ thông tin phải được xây dựng lại theo hướng bảo vệ lợi ích của Nhà nước: phải có quy định về tiêu chuẩn an ninh tối thiểu, trách nhiệm của nhà cung cấp khi xảy ra sự cố, quyền kiểm toán độc lập, thời gian xử lý bắt buộc và cơ chế phối hợp trong tình huống khẩn cấp. Khi các điều khoản này được chuẩn hóa, thị trường công nghệ cũng phải tự nâng chất lượng dịch vụ lên mức tương ứng.
Một nội dung quan trọng khác là tăng cường giám sát nhà cung cấp một cách có hệ thống. Đây không chỉ là trách nhiệm của từng cơ quan, mà cần một cơ chế tập trung ở cấp quốc gia, với sự điều phối của Bộ Công an và các cơ quan liên quan. Việt Nam có thể xây dựng hệ thống theo dõi, đánh giá, cảnh báo sớm rủi ro từ nhà cung cấp; đồng thời tiến hành kiểm toán đột xuất đối với các nền tảng có ảnh hưởng rộng tới xã hội.
Việc nâng cao khả năng phục hồi sau sự cố cũng là trụ cột quan trọng. Các cơ quan nhà nước cần thường xuyên diễn tập an ninh mạng, xây dựng kịch bản khôi phục dữ liệu, phân đoạn hệ thống để giảm mức độ lan truyền nếu có sự cố. Một hệ thống mạnh không phải là hệ thống không bao giờ bị tấn công, mà là hệ thống có thể đứng dậy nhanh nhất khi bị tấn công.
Cuối cùng, phải nhấn mạnh vai trò của nguồn nhân lực. Cán bộ vận hành phải hiểu rõ quy trình bảo mật, nắm được cách phối hợp với nhà cung cấp và cơ quan chức năng. Chuyển đổi số không thể thành công nếu người trực tiếp vận hành không được trang bị đầy đủ kiến thức và công cụ.
Trong thời đại số, chuỗi cung ứng công nghệ là "huyết mạch" của chính phủ số. Huyết mạch càng dài, càng nhiều nhánh thì nguy cơ càng lớn. Những cảnh báo từ chuyên gia quốc tế và những số liệu thực tế trong nước cho thấy Việt Nam phải bảo vệ chuỗi cung ứng ngay từ bây giờ. Nếu không, một mắt xích nhỏ cũng có thể tạo ra hệ quả lớn. Nếu kiểm soát được chuỗi cung ứng, Việt Nam sẽ có nền tảng vững chắc để xây dựng một Chính phủ số an toàn, tin cậy và phục vụ người dân tốt hơn ■
Bài toán bảo vệ chính phủ số không chỉ là câu chuyện nội bộ của cơ quan nhà nước, mà phải mở rộng ra toàn bộ chuỗi cung ứng công nghệ.
