Quản lý rủi ro CNTT & An ninh mạng - Đặc Thù và Tách bạch

Với sự cố CNTT & ANM đã xảy ra gần đây Việt Nam (Tấn công vndirect, các công ty tài chính ….) hoặc gần đây nhất là sự cố rò rỉ dữ liệu tại Trung tâm Thông tin Tín dụng Quốc gia (CIC) gần đây, được Bloomberg (12/9/2025) và Resecurity đưa tin, là một trong những vụ tấn công mạng nghiêm trọng nhất từng xảy ra trong lĩnh vực tài chính Việt Nam. Hơn 160 triệu bản ghi dữ liệu nhạy cảm bị phát tán, ảnh hưởng đến ngân hàng, tổ chức tín dụng và hàng chục triệu người dân.

Điều này khẳng định một thực tế: rủi ro CNTT và an ninh mạng không thể chỉ được quản lý như một phần của rủi ro hoạt động truyền thống, mà cần được xem là một trụ cột quản trị độc lập.

Vì sao cần tách bạch Quản lý rủi ro CNTT&ANM là mảng riêng biệt , độc lập?

1. Khác biệt về bản chất
   Rủi ro CNTT & an ninh mạng mang tính kỹ thuật, biến đổi nhanh, và có thể gây tê liệt hệ thống ngay lập tức – khác hẳn với các rủi ro hoạt động thông thường (quy trình, con người, gian lận).
2. Tác động hệ thống
   Nếu CIC ngừng hoạt động, toàn bộ quy trình cấp tín dụng của ngân hàng sẽ bị đình trệ, kéo theo tác động lan rộng đến nền kinh tế. Đây không còn là rủi ro “nội bộ” mà là rủi ro quốc gia.
3. Xu hướng quốc tế
   Các cơ quan quản lý tài chính lớn (EBA châu Âu, MAS Singapore, Basel Committee) đều đã coi QLRR CNTT & An ninh mạng là một mảng rủi ro riêng, với báo cáo và quy định tách biệt khỏi rủi ro hoạt động.

Bài học từ sự cố CIC

• Giám sát chưa hiệu quả: Sự cố chỉ được phát hiện khi dữ liệu đã bị rao bán công khai.
• Thiếu minh bạch báo cáo: Thông tin phản hồi chậm, gây khó khăn cho xử lý khủng hoảng.
• Nguồn lực chưa chuyên sâu: Quản lý rủi ro CNTT &ANM  vẫn gộp chung vào rủi ro hoạt động/ nhân sự chưa được tách bạch chuyên xâu,, khiến thiếu nhân sự có năng lực kỹ thuật để đánh giá và phản biện.

Khuyến nghị 

1. Tổ chức & Quản trị

• Thành lập bộ phận Quản lý rủi ro CNTT & An ninh mạng độc lập, báo cáo trực tiếp cho CRO/HĐQT.
• Áp dụng 3 Lines of Defense riêng biệt cho CNTT & ANM (vận hành – giám sát – kiểm toán).

2. Phương pháp & Công cụ

• Áp dụng khung quốc tế: ISO 27001, NIST, EBA ICT Guidelines.
• Đưa vào KRI đặc thù như: % lỗ hổng chưa xử lý, downtime hệ thống lõi, số vụ vi phạm truy cập dữ liệu.

3. Con người

• Bổ sung nhân sự chuyên trách có chứng chỉ quốc tế (CISSP, CISM, CRISC, CEH, ISO 27K) chuyên về quản trị rủi ro CNTT & ANM.
• Đào tạo lãnh đạo cấp cao để nâng cao nhận thức và khả năng ra quyết định trong các sự cố mạng/ risk 

4. Giám sát & Báo cáo

• Xây dựng báo cáo rủi ro CNTT & ANM riêng biệt.
• Thực hiện kịch bản diễn tập (simulation) và stress test với các tình huống như ransomware hoặc tấn công chuỗi cung ứng.

Định hướng chiến lược

• Tách bạch rõ ràng: Xem rủi ro CNTT & an ninh mạng là một trụ cột độc lập trong khung quản trị rủi ro.
• Đầu tư chiều sâu: Cần công cụ chuyên biệt và nhân sự chuyên môn cao, không thể dựa vào cách tiếp cận truyền thống.
• Tăng khả năng chống chịu số (digital resilience): Đây sẽ là lợi thế cạnh tranh dài hạn và điều kiện để đáp ứng yêu cầu quản lý trong tương lai.

Hiện nay các tổ chức tài chính lớn đã đi đầu việc tách bạch và tuyển nhân sự chuyên biệt chuyên môn cho việc quản lý rủi ro CNTT&ANM: BIDV , Techcom, VPBank, MSB … . Những ngân hàng khác trong lộ trình tách bạch: VietinBank, SHB, MB, ….

=> Sự cố CIC cho thấy, một sự cố an ninh mạng có thể vượt xa phạm vi tổ chức, trở thành rủi ro hệ thống. Để bảo vệ doanh nghiệp và niềm tin thị trường, lãnh đạo cần nhìn nhận rủi ro CNTT & an ninh mạng như một mảng rủi ro riêng biệt, được quản trị độc lập, có nguồn lực chuyên biệt. Đây không chỉ là bài học, mà còn là yêu cầu cấp thiết trong kỷ nguyên số.