TRONG BỐI CẢNH “CHỦ NGHĨA TƯ BẢN SỐ & GIÁM SÁT”

1. Bối cảnh mới – Rủi ro mới

Chuyển đổi số đang tạo ra một mô hình kinh tế mới được gọi là “Chủ nghĩa tư bản số và giám sát”, trong đó dữ liệu trở thành tài nguyên chiến lược quan trọng nhất. Trên không gian số, ranh giới giữa người dùng, đối tác và kẻ tấn công ngày càng mờ nhạt, làm gia tăng rủi ro an ninh mạng, rủi ro dữ liệu và rủi ro hệ thống ở quy mô lớn.

Trong bối cảnh này, quản lý rủi ro CNTT & An ninh mạng không còn là vấn đề kỹ thuật thuần túy, mà đã trở thành vấn đề chiến lược gắn với khả năng tồn tại và phát triển bền vững của tổ chức tài chính.

2. Dữ liệu – Tài sản sống còn cần được bảo vệ ở cấp chiến lược

Dữ liệu tài chính, dữ liệu khách hàng và dữ liệu vận hành hiện nay đang tập trung tại một số trung tâm lớn (ngân hàng, nhà cung cấp hạ tầng, trung tâm dữ liệu). Điều này làm phát sinh rủi ro tập trung, đặc biệt trong các kịch bản cực đoan như tấn công có chủ đích, thảm họa hoặc xung đột địa chính trị.

Kinh nghiệm quốc tế cho thấy, nhiều quốc gia đã phân tán và bảo vệ dữ liệu chiến lược theo tư duy khả năng phục hồi (resilience) thay vì chỉ tập trung vào phòng ngừa sự cố.

➡️ Thông điệp quản trị:

Dữ liệu cần được quản lý như tài sản chiến lược, gắn với BCP/DRP, khả năng phục hồi và an ninh quốc gia – không chỉ là vấn đề lưu trữ hay bảo mật kỹ thuật.

3. AI & Big Data – Công cụ mạnh nhưng không thay thế quản trị

AI và Big Data đang được ứng dụng rộng rãi trong phát hiện gian lận, giám sát giao dịch và an ninh tài chính:

• Big Data giúp thu thập dữ liệu đa chiều (giao dịch, hành vi, thiết bị, vị trí…);
• AI giúp phát hiện bất thường và hỗ trợ ra quyết định sớm.

Tuy nhiên, AI không tự hiểu rủi ro nếu không được định hướng đúng. Ngược lại, chuyên gia quản lý rủi ro có kinh nghiệm nhưng không thể xử lý khối lượng dữ liệu lớn 24/7.

➡️ Nguyên tắc cốt lõi:

AI là động cơ, con người là người lái. Công nghệ là công cụ; quản trị, chính sách và con người mới quyết định hiệu quả quản lý rủi ro.

4. Quản trị rủi ro trong hệ sinh thái số & xuyên biên giới

Các sáng kiến xây dựng trung tâm giao dịch tài chính quốc tế cho thấy:

Muốn thu hút dòng vốn quốc tế, hệ thống CNTT – ANM – pháp lý phải:

• Sẵn sàng cho giao dịch xuyên biên giới;
• Tuân thủ chuẩn mực và luật quốc tế;
• Đảm bảo an ninh, minh bạch và khả năng xử lý tranh chấp.

Các hiệp định và sáng kiến quốc tế gần đây cũng nhấn mạnh:

• Chuẩn hóa hồ sơ, dữ liệu xuyên biên giới;
• Truy vết dòng tiền số;
• Phối hợp liên ngành giữa ngân hàng, cơ quan quản lý và lực lượng chuyên trách.

5. Thông điệp chính việc QLRR

• Quản lý rủi ro CNTT & An ninh mạng là năng lực cốt lõi, không phải chức năng hỗ trợ.
• Phòng ngừa là chưa đủ – cần tư duy khả năng phục hồi, giả định sự cố sẽ xảy ra.
• Đổi mới và quản trị phải song hành: áp dụng AI nhanh nhưng phải có “hàng rào bảo vệ”.
• Con người – Chính sách – Công nghệ tạo thành “kiềng ba chân” cho quản lý rủi ro hiệu quả trong kỷ nguyên số.

QUẢN LÝ RỦI RO CNTT & ANM VỚI DỮ LIỆU

Hiện nay rất nhiều tổ chức đã thành lập phòng/Trung tâm /Khối về Dữ liệu (Dữ liệu ra quyết định, dữ liệu tài sản của mọi tổ chức ) Vậy rủi ro nào về dữ liệu cần được lưu ý và quản lý . Tôi xin đưa bạn những rủi ro chính liên quan dữ liệu và chốt kiểm soát tương:

Bảo mật dữ liệu (Data Security)

• Rủi ro:
  
• Rò rỉ dữ liệu nhạy cảm (PII, PCI, dữ liệu tài chính) ra ngoài.
• Truy cập không đúng thẩm quyền do quản lý IAM lỏng lẻo.
• Chốt kiểm soát:
  
• Áp dụng cơ chế IAM chi tiết (RBAC/ABAC, principle of least privilege).
• Mã hóa dữ liệu ở trạng thái nghỉ (at-rest) và khi truyền (in-transit).
• Triển khai Data Loss Prevention (DLP), Data Masking/Tokenization cho dữ liệu nhạy cảm.

Chất lượng dữ liệu & Data Governance

• Rủi ro:
  
• Dữ liệu “rác” hoặc sai lệch ảnh hưởng đến phân tích, AI/ML.
• Thiếu kiểm soát metadata, lineage gây khó truy xuất nguồn gốc.
• Chốt kiểm soát:
  
• Thiết lập Data Governance Framework (theo DAMA-DMBOK, DCAM).
• Tích hợp công cụ Data Catalog, Metadata Management.
• Định nghĩa Data Owner, Data Steward rõ ràng.

Tuân thủ & Pháp lý

• Rủi ro:
  
• Vi phạm quy định bảo vệ dữ liệu cá nhân (VD: Nghị định 13/2023 Việt Nam, GDPR EU).
• Lưu trữ vượt phạm vi, không xóa khi hết thời hạn pháp lý.
• Chốt kiểm soát:
  
• Thiết lập Data Retention Policy và cơ chế xóa dữ liệu tự động.
• Phân loại dữ liệu theo mức độ nhạy cảm.
• Định kỳ kiểm toán tuân thủ về dữ liệu.

Truy cập & Giám sát

• Rủi ro:
  
• Người dùng nội bộ lạm dụng dữ liệu (insider threat).
• Không phát hiện kịp thời hành vi truy cập bất thường.
• Chốt kiểm soát:
  
• Triển khai UEBA (User and Entity Behavior Analytics) để giám sát hành vi.
• Ghi log toàn bộ truy cập, lưu trữ trên hệ thống immutable logging (SIEM).
• Nguyên tắc Zero Trust: xác thực đa yếu tố (MFA), segmentation.

Hạ tầng & Vận hành

• Rủi ro:
  
• Tấn công DDoS hoặc ransomware nhắm vào hạ tầng Data Lake.
• Mất tính sẵn sàng do sự cố cloud/on-premise.
• Chốt kiểm soát:
  
• Kiến trúc multi-zone, multi-region để tăng tính khả dụng.
• Kế hoạch Backup & Disaster Recovery (3-2-1 backup rule).
• Giám sát bảo mật hạ tầng bằng CSPM (Cloud Security Posture Management) hoặc tương đương

AI/Analytics trên Data Lake

• Rủi ro:
  
• Mô hình AI/ML học từ dữ liệu sai → ra quyết định sai lệch.
• Rủi ro “model leakage” khi dữ liệu nhạy cảm bị huấn luyện và lộ ra ngoài.
• Chốt kiểm soát:
  
• Quản lý Model Risk Management (MRM): giám sát chất lượng dữ liệu đầu vào.
• Kiểm soát dữ liệu huấn luyện bằng sandbox tách biệt.
• Chính sách Responsible AI để giảm thiên vị (bias).

Quản lý rủi ro CNTT & An ninh mạng - Đặc Thù và Tách bạch

Với sự cố CNTT & ANM đã xảy ra gần đây Việt Nam (Tấn công vndirect, các công ty tài chính ….) hoặc gần đây nhất là sự cố rò rỉ dữ liệu tại Trung tâm Thông tin Tín dụng Quốc gia (CIC) gần đây, được Bloomberg (12/9/2025) và Resecurity đưa tin, là một trong những vụ tấn công mạng nghiêm trọng nhất từng xảy ra trong lĩnh vực tài chính Việt Nam. Hơn 160 triệu bản ghi dữ liệu nhạy cảm bị phát tán, ảnh hưởng đến ngân hàng, tổ chức tín dụng và hàng chục triệu người dân.

Điều này khẳng định một thực tế: rủi ro CNTT và an ninh mạng không thể chỉ được quản lý như một phần của rủi ro hoạt động truyền thống, mà cần được xem là một trụ cột quản trị độc lập.

Vì sao cần tách bạch Quản lý rủi ro CNTT&ANM là mảng riêng biệt , độc lập?

1. Khác biệt về bản chất
   Rủi ro CNTT & an ninh mạng mang tính kỹ thuật, biến đổi nhanh, và có thể gây tê liệt hệ thống ngay lập tức – khác hẳn với các rủi ro hoạt động thông thường (quy trình, con người, gian lận).
2. Tác động hệ thống
   Nếu CIC ngừng hoạt động, toàn bộ quy trình cấp tín dụng của ngân hàng sẽ bị đình trệ, kéo theo tác động lan rộng đến nền kinh tế. Đây không còn là rủi ro “nội bộ” mà là rủi ro quốc gia.
3. Xu hướng quốc tế
   Các cơ quan quản lý tài chính lớn (EBA châu Âu, MAS Singapore, Basel Committee) đều đã coi QLRR CNTT & An ninh mạng là một mảng rủi ro riêng, với báo cáo và quy định tách biệt khỏi rủi ro hoạt động.

Bài học từ sự cố CIC

• Giám sát chưa hiệu quả: Sự cố chỉ được phát hiện khi dữ liệu đã bị rao bán công khai.
• Thiếu minh bạch báo cáo: Thông tin phản hồi chậm, gây khó khăn cho xử lý khủng hoảng.
• Nguồn lực chưa chuyên sâu: Quản lý rủi ro CNTT &ANM  vẫn gộp chung vào rủi ro hoạt động/ nhân sự chưa được tách bạch chuyên xâu,, khiến thiếu nhân sự có năng lực kỹ thuật để đánh giá và phản biện.

Khuyến nghị 

1. Tổ chức & Quản trị

• Thành lập bộ phận Quản lý rủi ro CNTT & An ninh mạng độc lập, báo cáo trực tiếp cho CRO/HĐQT.
• Áp dụng 3 Lines of Defense riêng biệt cho CNTT & ANM (vận hành – giám sát – kiểm toán).

2. Phương pháp & Công cụ

• Áp dụng khung quốc tế: ISO 27001, NIST, EBA ICT Guidelines.
• Đưa vào KRI đặc thù như: % lỗ hổng chưa xử lý, downtime hệ thống lõi, số vụ vi phạm truy cập dữ liệu.

3. Con người

• Bổ sung nhân sự chuyên trách có chứng chỉ quốc tế (CISSP, CISM, CRISC, CEH, ISO 27K) chuyên về quản trị rủi ro CNTT & ANM.
• Đào tạo lãnh đạo cấp cao để nâng cao nhận thức và khả năng ra quyết định trong các sự cố mạng/ risk 

4. Giám sát & Báo cáo

• Xây dựng báo cáo rủi ro CNTT & ANM riêng biệt.
• Thực hiện kịch bản diễn tập (simulation) và stress test với các tình huống như ransomware hoặc tấn công chuỗi cung ứng.

Định hướng chiến lược

• Tách bạch rõ ràng: Xem rủi ro CNTT & an ninh mạng là một trụ cột độc lập trong khung quản trị rủi ro.
• Đầu tư chiều sâu: Cần công cụ chuyên biệt và nhân sự chuyên môn cao, không thể dựa vào cách tiếp cận truyền thống.
• Tăng khả năng chống chịu số (digital resilience): Đây sẽ là lợi thế cạnh tranh dài hạn và điều kiện để đáp ứng yêu cầu quản lý trong tương lai.

Hiện nay các tổ chức tài chính lớn đã đi đầu việc tách bạch và tuyển nhân sự chuyên biệt chuyên môn cho việc quản lý rủi ro CNTT&ANM: BIDV , TechcomBank, MBBank, VPBank, MSB … . Những ngân hàng khác trong lộ trình tách bạch: VietinBank, SHB, PVcomBank ….

=> Sự cố CIC cho thấy, một sự cố an ninh mạng có thể vượt xa phạm vi tổ chức, trở thành rủi ro hệ thống. Để bảo vệ doanh nghiệp và niềm tin thị trường, lãnh đạo cần nhìn nhận rủi ro CNTT & an ninh mạng như một mảng rủi ro riêng biệt, được quản trị độc lập, có nguồn lực chuyên biệt. Đây không chỉ là bài học, mà còn là yêu cầu cấp thiết trong kỷ nguyên số.

Sự kiện rò rỉ dữ liệu CIC – Bài học về quản lý rủi ro CNTT & An ninh mạng

Vụ tấn công của nhóm ShinyHunters vào Trung tâm Thông tin Tín dụng Quốc gia Việt Nam (CIC) được công bố thông tin 8/9/2025, đã phơi bày hơn 160 triệu bản ghi dữ liệu nhạy cảm, từ thông tin cá nhân đến dữ liệu phân tích tín dụng (ReSecurity, Bloomberg, BeyondMachines). Sự kiện này nhấn mạnh rằng quản lý rủi ro CNTT và an ninh mạng là lĩnh vực đặc thù, chiến lược và không thể phụ thuộc vào bộ phận quản lý rủi ro hoạt động chung.

1. Phân tích kỹ thuật và rủi ro đặc thù

• Phương thức tấn công: Lỗ hổng trong hệ thống ứng dụng web và cơ sở dữ liệu chưa mã hóa đã bị khai thác, cho thấy sự cần thiết của việc áp dụng bảo mật đa lớp, giám sát truy cập và phân quyền chặt chẽ.
• Hậu quả: Không chỉ dữ liệu cá nhân bị lộ, mà cả dữ liệu phân tích tín dụng, làm tăng nguy cơ gian lận tài chính và mất niềm tin vào hệ thống tài chính quốc gia.
• Rủi ro đặc thù CNTT&ANM: Tập trung dữ liệu nhạy cảm tại một điểm mà thiếu kiểm soát chuyên sâu khiến hệ thống trở thành mục tiêu hấp dẫn, yêu cầu phương pháp quản lý rủi ro riêng biệt so với rủi ro hoạt động thông thường.

2. Khung quản lý rủi ro CNTT và an ninh mạng hiệu quả

• Phương pháp luận và công cụ:

• Áp dụng quy trình đánh giá rủi ro CNTT định kỳ, bao gồm penetration testing, vulnerability scanning, audit dữ liệu nhạy cảm, RCSA, LDC….
• Sử dụng công nghệ giám sát thời gian thực, threat intelligence, SIEM/SOAR để phát hiện và ứng phó nhanh các mối đe dọa.
• Triển khai mã hóa dữ liệu end-to-end, quản lý phân quyền nghiêm ngặt, sao lưu và phục hồi dữ liệu định kỳ.

• Nhiệm vụ và trách nhiệm tách bạch nhiều lớp (nhân sự chuyên môn cao):

• Thiết lập 3 lớp kiểm soát: Tuyến bảo vệ 1: Đơn vị vận hành, xây dựng sản phẩm, Tuyến bảo vệ 2: Phòng quản lý rủi ro CNTT& ANM , Tuyến bảo vệ 3: Kiênm toán nội bộ.
• Đội ngũ CNTT và an ninh mạng chuyên biệt (Tuyến bảo vệ 1), Tuyến bảo vệ 2: Đơn vị quản lý rủi ro CNTT&ANM (độc lập và khác với Quản lý rủi ro hoạt động). Hiện nay quản lý rủi ro CNTT&ANM là mảng lớn, chuyên biệt và đặc biệt quan trọng, nhưng một mảng đặc thù hơn cả rủi ro Tín dụng của cơ quan tài chính. Vì vậy các tổ chức tài chính thế giới gần như tách độc lập việc quản lý rủi ro CNTT & ANM độc lập và theo ngành dọc 3 tuyến bảo vệ phòng thủ .
• Nhân sự cần có trình độ kỹ thuật sâu, kinh nghiệm thực chiến, thường xuyên cập nhật các mối đe dọa mới và công nghệ bảo mật tiên tiến.
• Đào tạo liên tục, xây dựng văn hoá quản lý rủi ro CNTT&ANM.

• Quy trình và chính sách quản lý rủi ro:

• Thiết lập SOP phản ứng sự cố rõ ràng, kịch bản khôi phục dữ liệu và liên lạc khẩn cấp.
• Áp dụng chuẩn mực quốc tế: ISO 27001, NIST Cybersecurity Framework, EBA Guidelines, đảm bảo tuân thủ và chuẩn hóa quản lý rủi ro.

3. Bài học chiến lược và định hướng tương lai (Dữ liệu, QLRR CNTT&ANM và Nhân sự) 

• Phân tán và bảo vệ dữ liệu: Tránh tập trung dữ liệu tại một điểm; áp dụng kiến trúc hybrid cloud an toàn, bảo mật dữ liệu phân tán.
• Tách bạch quản lý rủi ro: Quản lý rủi ro CNTT và an ninh mạng cần độc lập với rủi ro hoạt động, do đặc thù kỹ thuật, tốc độ thay đổi công nghệ và tính chất mối đe dọa chuyên biệt.
• Xây dựng đội ngũ chuyên trách: Nhân sự chuyên môn cao là trụ cột, kết hợp với phương pháp quản lý rủi ro hiện đại để bảo vệ hệ thống tài chính và quyền lợi người dân.

Kết luận:

Sự cố CIC là lời cảnh báo mạnh mẽ: quản lý rủi ro CNTT và an ninh mạng không chỉ là vấn đề kỹ thuật, mà là chiến lược sống còn, đòi hỏi công nghệ, phương pháp luận và nhân sự chuyên môn cao phối hợp nhịp nhàng. Chỉ bằng cách này, tổ chức mới có thể duy trì niềm tin, chống chịu các mối đe dọa ngày càng tinh vi và đảm bảo an toàn cho hệ thống tài chính quốc gia.