Để chủ động ứng phó với các vấn đề an ninh mạng, các thành viên hội đồng quản trị (HĐQT) cần ưu tiên đánh giá các rủi ro này như một loại rủi ro trong hệ thống quản trị rủi ro của doanh nghiệp chứ không đơn thuần là một mối quan tâm về công nghệ thông tin như trước đây.

Hình ảnh tại Hội thảo. Ảnh: VGP/Thu Lê

Nhận định trên đã được nêu ra trong buổi Hội thảo “Phản ứng linh hoạt với an ninh mạng dành cho Hội đồng quản trị” do Công ty Cổ phần doanh nghiệp xã hội Viện Thành viên Hội đồng quản trị Việt Nam (VIOD) và Hội Kế toán Công chứng Anh (ACCA) đồng tổ chức ngày 16/8, tại Hà Nội.

Sự kiện nhằm giúp các thành viên HĐQT hiểu biết về vai trò của mình trong việc quản trị các vấn đề an ninh mạng một cách hiệu quả.

Trong những năm gần đây, thành phần của giá trị tài sản doanh nghiệp đã chuyển dịch đáng kể từ vật thể sang phi vật thể. Theo S&P, gần 90% tổng tài sản của các công ty nằm trong S&P 500 (500 công ty có vốn hóa thị trường lớn nhất niêm yết trên NYSE hoặc NASDAQ) là tài sản trí tuệ và những tài sản vô hình khác. Doanh nghiệp có nguy cơ mất quyền sở hữu trí tuệ, dữ liệu bị phá huỷ hoặc bị thay đổi, theo đó làm giảm sự tin cậy của công chúng, gián đoạn cơ sở hạ tầng quan trọng, lạm dụng dữ liệu…

Theo thống kê, trong năm 2017, 80% tin tặc có xu hướng tấn công các tổ chức ở châu Á, gây tổn thất ước tính khoảng 1.750 tỷ USD, tương đương 7% GDP của khu vực châu Á-Thái Bình Dương. Trong khi, các tổ chức châu Á mất 1,7 lần thời gian để phát hiện có xâm phạm và 78% người sử dụng internet ở khu vực này không được giáo dục về an ninh mạng.

Tại Việt Nam, sự cố tin tặc chiếm quyền sử dụng một số màn hình hiển thị thông tin chuyến bay tại khu vực làm thủ tục chuyến bay của các sân bay Tân Sơn Nhất, Nội Bài, Đà Nẵng, Phú Quốc năm 2016 là cuộc tấn công lớn nhất từ trước đến nay vào hệ thống thông tin hàng không của Việt Nam.

Hành khách phải check-in bằng tay do tất cả các màn hình và loa phát thanh tạm thời ngưng hoạt động để ngăn chặn hacker phát thông tin giả mạo. Sự việc khiến hơn 100 chuyến bay bị ảnh hưởng, trong đó hàng chục chuyến bay bị chậm giờ từ 15 phút cho đến hơn 1 tiếng. Nhiều hành khách bày tỏ nghi ngại vấn đề an toàn bay cũng như mức độ bảo mật thông tin khách hàng của các hãng hàng không.

Còn theo Hãng bảo mật Kaspersky, trong cuộc tấn công mạng bằng virus tống tiền Wanna cry làm chao đảo thế giới năm 2017, Việt Nam thuộc tốp 20 quốc gia bị thiệt hại nặng nhất, với 200 doanh nghiệp bị ảnh hưởng chỉ sau vài giờ virus lây lan.

Ngoài cuộc tấn công này, Việt Nam là quốc gia có tỷ lệ máy tính hệ thống công nghiệp bị tấn công cao nhất thế giới với 69.6% và là quốc gia có tỷ lệ tấn công có chủ đích xếp thứ hạng cao trên thế giới.

Theo ông Sharath Martin, Chuyên viên tư vấn về chính sách của ACCA, rủi ro an ninh mạng có thể bắt nguồn từ các gian lận tài chính, các kênh bán hàng trực tuyến không sử dụng được hoặc giả mạo… với mục đích xâm phạm, đánh cắp dữ liệu khách hàng, thông tin bảo mật, gây tổn hại danh tiếng doanh nghiệp, suy giảm niềm tin khách hàng, mất doanh thu…

“Điều đáng lo ngại nhất là các rủi ro an ninh mạng có tác động lớn nhất và thời gian phục hồi chậm nhất trong các loại rủi ro đối với hoạt động kinh doanh của doanh nghiệp”, ông Sharath Martin khẳng định.

Do đó, ông Sharath Martin cho rằng HĐQT của các công ty đang phải đối mặt với thách thức lớn trong giám sát, quản trị rủi ro liên quan đến an ninh mạng, làm sao để biến nó trở thành một nhiệm vụ cơ bản trong bảo vệ an toàn và bền vững cho doanh nghiệp, nhất là trong bối cảnh hiện nay, khó có thể dựa vào các biện pháp kiểm soát truyền thống để quản lý các rủi ro về an ninh mạng.

Tuy nhiên, theo ông Nguyễn Viết Thịnh, Phó Chủ tịch Ủy ban Hội viện ACCA Việt Nam, nhiều doanh nghiệp Việt Nam mà cụ thể là thành viên HĐQT còn chưa hiểu biết đầy đủ, thấu đáo về các rủi ro của an ninh mạng với các hoạt động của mình.

“Mối quan tâm hiện tại của HĐQT các công ty hướng nhiều đến các rủi ro kinh doanh, các thành viên HĐQT cũng ít khi được trang bị nền tảng về công nghệ thông tin nên thông thường họ coi rủi ro an ninh mạng là vấn đề của ban điều hành, các giám đốc công nghệ và không chủ động xây dựng cơ chế để quản trị, nên đến khi có sự cố xảy ra lại không kịp trở tay”, ông Thịnh cho biết.

Đồng tình với quan điểm này, bà Hà Thị Thu Thanh, Chủ tịch Hội đồng quản trị VIOD cho rằng: “Để chủ động ứng phó với các vấn đề về an ninh mạng theo xu hướng toàn cầu, các thành viên HĐQT cần ưu tiên đánh giá các rủi ro về an ninh mạng như một loại rủi ro trong hệ thống quản trị rủi ro của doanh nghiệp chứ không đơn thuần là một mối quan tâm về công nghệ thông tin như trước đây”.

Từ đó, HĐQT nên đóng vai trò chủ chốt trong việc tìm hiểu về các rủi ro an ninh mạng có liên quan đến doanh nghiệp của mình và nên xác nhận việc phòng ngừa, phát hiện rủi ro này đã được kiểm soát trong hệ thống quản trị rủi ro của doanh nghiệp mình hay chưa.

“Để phản ứng linh hoạt với an ninh mạng, các doanh nghiệp cần bảo đảm các khoản đầu tư vào bảo mật thông tin bắt kịp với việc áp dụng công nghệ. HĐQT và các quản lý cấp cao nên đưa các nội dung liên quan đến an ninh mạng vào tất cả các hoạt động chiến lược của công ty, có thể là hoạt động sáp nhập hoặc mua lại, hay ra mắt dự án mới, sản phẩm mới. Đối với các công ty tiên tiến hơn trong lộ trình chuyển đổi kỹ thuật số, một chiến lược an ninh mạng toàn diện cần được phát triển”, ông Sharath Martin đưa lời khuyên.

Còn theo ông Nguyễn Quang Đồng, Giám đốc Viện Nghiên cứu Chính sách và Phát triển Truyền thông, Luật An ninh mạng ra đời đã quy định cụ thể nhiều nội dung liên quan đến thông tin cá nhân, bảo mật thông tin và những vấn đề mà doanh nghiệp cần quan tâm và tuân thủ. Các lãnh đạo doanh nghiệp cần nghiên cứu để biết được mình nằm trong phạm vi điều chỉnh nào của Luật. Đồng thời, việc cung cấp thêm thông tin, ý kiến đóng góp cho các cơ quan quản lý, soạn thảo nghị định hướng dẫn cũng là cách để đưa ra các quy định hài hòa giữa lợi ích của Nhà nước, doanh nghiệp và người dùng.