Vụ tấn công của nhóm ShinyHunters vào Trung tâm Thông tin Tín dụng Quốc gia Việt Nam (CIC) được công bố thông tin 8/9/2025, đã phơi bày hơn 160 triệu bản ghi dữ liệu nhạy cảm, từ thông tin cá nhân đến dữ liệu phân tích tín dụng (ReSecurity, Bloomberg, BeyondMachines). Sự kiện này nhấn mạnh rằng quản lý rủi ro CNTT và an ninh mạng là lĩnh vực đặc thù, chiến lược và không thể phụ thuộc vào bộ phận quản lý rủi ro hoạt động chung.
1. Phân tích kỹ thuật và rủi ro đặc thù
- Phương thức tấn công: Lỗ hổng trong hệ thống ứng dụng web và cơ sở dữ liệu chưa mã hóa đã bị khai thác, cho thấy sự cần thiết của việc áp dụng bảo mật đa lớp, giám sát truy cập và phân quyền chặt chẽ.
- Hậu quả: Không chỉ dữ liệu cá nhân bị lộ, mà cả dữ liệu phân tích tín dụng, làm tăng nguy cơ gian lận tài chính và mất niềm tin vào hệ thống tài chính quốc gia.
- Rủi ro đặc thù CNTT&ANM: Tập trung dữ liệu nhạy cảm tại một điểm mà thiếu kiểm soát chuyên sâu khiến hệ thống trở thành mục tiêu hấp dẫn, yêu cầu phương pháp quản lý rủi ro riêng biệt so với rủi ro hoạt động thông thường.
2. Khung quản lý rủi ro CNTT và an ninh mạng hiệu quả
- Phương pháp luận và công cụ:
- Áp dụng quy trình đánh giá rủi ro CNTT định kỳ, bao gồm penetration testing, vulnerability scanning, audit dữ liệu nhạy cảm, RCSA, LDC….
- Sử dụng công nghệ giám sát thời gian thực, threat intelligence, SIEM/SOAR để phát hiện và ứng phó nhanh các mối đe dọa.
- Triển khai mã hóa dữ liệu end-to-end, quản lý phân quyền nghiêm ngặt, sao lưu và phục hồi dữ liệu định kỳ.
- Nhiệm vụ và trách nhiệm tách bạch nhiều lớp (nhân sự chuyên môn cao):
- Thiết lập 3 lớp kiểm soát: Tuyến bảo vệ 1: Đơn vị vận hành, xây dựng sản phẩm, Tuyến bảo vệ 2: Phòng quản lý rủi ro CNTT& ANM , Tuyến bảo vệ 3: Kiênm toán nội bộ.
- Đội ngũ CNTT và an ninh mạng chuyên biệt (Tuyến bảo vệ 1), Tuyến bảo vệ 2: Đơn vị quản lý rủi ro CNTT&ANM (độc lập và khác với Quản lý rủi ro hoạt động). Hiện nay quản lý rủi ro CNTT&ANM là mảng lớn, chuyên biệt và đặc biệt quan trọng, nhưng một mảng đặc thù hơn cả rủi ro Tín dụng của cơ quan tài chính. Vì vậy các tổ chức tài chính thế giới gần như tách độc lập việc quản lý rủi ro CNTT & ANM độc lập và theo ngành dọc 3 tuyến bảo vệ phòng thủ .
- Nhân sự cần có trình độ kỹ thuật sâu, kinh nghiệm thực chiến, thường xuyên cập nhật các mối đe dọa mới và công nghệ bảo mật tiên tiến.
- Đào tạo liên tục, xây dựng văn hoá quản lý rủi ro CNTT&ANM.
- Quy trình và chính sách quản lý rủi ro:
- Thiết lập SOP phản ứng sự cố rõ ràng, kịch bản khôi phục dữ liệu và liên lạc khẩn cấp.
- Áp dụng chuẩn mực quốc tế: ISO 27001, NIST Cybersecurity Framework, EBA Guidelines, đảm bảo tuân thủ và chuẩn hóa quản lý rủi ro.
3. Bài học chiến lược và định hướng tương lai (Dữ liệu, QLRR CNTT&ANM và Nhân sự)
- Phân tán và bảo vệ dữ liệu: Tránh tập trung dữ liệu tại một điểm; áp dụng kiến trúc hybrid cloud an toàn, bảo mật dữ liệu phân tán.
- Tách bạch quản lý rủi ro: Quản lý rủi ro CNTT và an ninh mạng cần độc lập với rủi ro hoạt động, do đặc thù kỹ thuật, tốc độ thay đổi công nghệ và tính chất mối đe dọa chuyên biệt.
- Xây dựng đội ngũ chuyên trách: Nhân sự chuyên môn cao là trụ cột, kết hợp với phương pháp quản lý rủi ro hiện đại để bảo vệ hệ thống tài chính và quyền lợi người dân.
Kết luận:
Sự cố CIC là lời cảnh báo mạnh mẽ: quản lý rủi ro CNTT và an ninh mạng không chỉ là vấn đề kỹ thuật, mà là chiến lược sống còn, đòi hỏi công nghệ, phương pháp luận và nhân sự chuyên môn cao phối hợp nhịp nhàng. Chỉ bằng cách này, tổ chức mới có thể duy trì niềm tin, chống chịu các mối đe dọa ngày càng tinh vi và đảm bảo an toàn cho hệ thống tài chính quốc gia.