Theo Báo cáo Rủi ro Toàn cầu 2025 của Diễn đàn Kinh tế Thế giới – WEF, ba trong số mười rủi ro lớn nhất hành tinh hiện nay đều liên quan đến công nghệ. Và điểm nóng nhất, không gì khác ngoài an ninh mạng.
Ngày 30/1, Diễn đàn Kinh tế Thế giới (WEF) công bố Báo cáo Rủi ro Toàn cầu 2025, chỉ ra rằng công nghệ đang trở thành một trong những nguồn gốc rủi ro chủ đạo của thế giới. Trong 10 mối đe dọa hàng đầu, ba rủi ro liên quan trực tiếp đến công nghệ, gồm: thông tin sai lệch và xuyên tạc, hậu quả tiêu cực từ trí tuệ nhân tạo (AI), cùng nguy cơ gián điệp và chiến tranh mạng.
Tại Hội nghị WEF 2025 ở Davos (Thụy Sĩ), an ninh mạng tiếp tục là chủ đề trọng tâm. Ông Akshay Joshi, Giám đốc Trung tâm An ninh mạng của WEF, nhấn mạnh: “Không gian mạng đã trở nên vô cùng phức tạp. Các tổ chức vừa tận dụng công nghệ mới như AI, vừa đối diện với những rủi ro chưa từng có.”
Ông Akshay Joshi, Giám đốc Trung tâm An ninh mạng của WEF. Ảnh minh hoạ
Căng thẳng địa chính trị và bối cảnh tấn công mạng leo thang
Báo cáo “Triển vọng An ninh mạng Toàn cầu 2025” của WEF cho thấy, các cuộc tấn công mạng ngày càng tinh vi và có tính chính trị rõ rệt. Căng thẳng giữa các quốc gia đã biến không gian mạng thành mặt trận mới, nơi các thế lực quốc gia, nhóm tội phạm và cá nhân cùng tham gia khai thác lỗ hổng hệ thống.
WEF nhận định, chuỗi cung ứng toàn cầu ngày càng phức tạp, khiến việc kiểm soát rủi ro trở nên khó khăn hơn. Tin tặc khai thác công nghệ mới, từ AI tạo sinh đến Internet vạn vật (IoT), để mở rộng quy mô và tinh vi hóa phương thức tấn công. Các vụ tấn công vào chuỗi cung ứng phần mềm – tương tự vụ SolarWinds năm 2020 – vẫn là bài học đắt giá mà thế giới chưa thể khắc phục triệt để.
Doanh nghiệp tài chính, y tế: “mục tiêu vàng” của tin tặc
Theo bà Caroline Escott, Giám đốc đầu tư cấp cao tại quỹ hưu trí Railpen (Anh), an ninh mạng đã trở thành mối quan tâm hàng đầu của giới đầu tư:
“Những lĩnh vực chứa thông tin nhạy cảm – như y tế, tài chính, năng lượng – là mục tiêu tấn công phổ biến. Tuy nhiên, không tổ chức nào có thể nói rằng họ hoàn toàn miễn nhiễm.”
Railpen hiện tham gia liên minh do Royal London Asset Management dẫn dắt, nhằm thúc đẩy doanh nghiệp niêm yết công khai chính sách và năng lực bảo mật. Theo WEF, có 29% tổ chức từng chịu thiệt hại đáng kể do sự cố mạng trong 12 tháng qua, song phần lớn chưa đầu tư tương xứng vào khả năng phục hồi.
Khi hacker quốc gia tấn công hạ tầng trọng yếu
Ông Paul Webber, Giám đốc cấp cao phụ trách sản phẩm tại BlackBerry, cho biết tin tặc do nhà nước bảo trợ đang chủ đích nhắm vào thiết bị phần cứng phổ biến như bộ định tuyến (router) – mắt xích yếu nhất trong mạng lưới quốc gia. “Trung Quốc và Nga đều được ghi nhận là khai thác các lỗ hổng chưa được vá, để xâm nhập vào hệ thống thông tin chiến lược của các nước,” ông Webber nói, dựa theo dẫn chứng từ dữ liệu phân tích nội bộ của BlackBerry Threat Research 2024.
Cùng quan điểm, ông Evgeny Goncharov, Trưởng nhóm phản ứng khẩn cấp hệ thống điều khiển công nghiệp tại Kaspersky, cảnh báo rằng các nhà sản xuất công nghiệp thường chậm cập nhật phần mềm, khiến công nghệ vận hành (OT) trở thành “miếng mồi ngon” cho tội phạm mạng. “Việc bổ sung cảm biến và thiết bị IoT có thể khiến toàn bộ hạ tầng công nghiệp trở nên mong manh hơn nếu không có lớp bảo mật từ khâu thiết kế.”
AI – con dao hai lưỡi của thời đại số
Một chủ đề nóng khác tại Davos là tác động hai mặt của trí tuệ nhân tạo. Theo BlackBerry, tốc độ ứng dụng AI tạo sinh vượt xa năng lực quản trị và kiểm soát rủi ro.
“Các doanh nghiệp đang lao vào thị trường AI mà chưa có biện pháp bảo mật đủ mạnh,” ông Webber cảnh báo. “Không ai biết dữ liệu huấn luyện mô hình được lưu ở đâu, được xử lý ra sao – và đó chính là điểm yếu.”
AI không chỉ giúp doanh nghiệp tự động hóa, mà còn mở rộng “bề mặt tấn công”. Các công cụ tạo nội dung giả (deepfake) đang được sử dụng trong các vụ lừa đảo doanh nghiệp quy mô lớn. Năm 2024, một nhân viên tại tập đoàn kỹ thuật Anh đã chuyển 25 triệu USD sau khi tham gia cuộc họp video với những người mà anh tin là lãnh đạo công ty – tất cả đều là deepfake được dựng bằng AI.
Khung pháp lý: Châu Âu đi đầu, thế giới chạy theo
Các chuyên gia cho rằng pháp lý vẫn đang chạy sau công nghệ. Dù vậy, Liên minh châu Âu đang cho thấy vai trò dẫn đầu trong việc ban hành khung quản trị mạng thống nhất.
-
Chỉ thị NIS2 (Network and Information Systems Directive) – có hiệu lực từ tháng 10/2024 – yêu cầu các tổ chức trong 18 lĩnh vực trọng yếu phải tăng cường khả năng phục hồi, bảo mật chuỗi cung ứng và có kế hoạch ứng phó khẩn cấp.
-
Đạo luật DORA (Digital Operational Resilience Act), có hiệu lực ngày 13/1/2025, tập trung riêng cho lĩnh vực tài chính, yêu cầu ngân hàng và tổ chức tín dụng phải báo cáo sự cố mạng trong vòng 24 giờ.
Anh, Mỹ và Nhật Bản đang tham khảo các quy định này để soạn thảo luật tương tự. Tại Anh, Dự luật Phục hồi An ninh mạng dự kiến được trình trong năm 2025. Ở châu Á, Singapore và Hàn Quốc đã đi trước một bước khi thiết lập khung đánh giá mức độ trưởng thành an ninh mạng quốc gia (CMM).
Khoảng cách kỹ năng: Rào cản lớn nhất
Một phát hiện đáng chú ý trong báo cáo WEF là thiếu hụt nhân lực an ninh mạng toàn cầu – khoảng 4 triệu chuyên gia, theo ước tính của ISC² (2024).
Ông Webber nhận định: “Các cuộc tấn công đang tăng theo cấp số nhân, trong khi kỹ năng phòng thủ không theo kịp. Khoảng cách kỹ năng là vấn đề cấp bách nhất.”
Giải pháp, theo giới chuyên gia, là đào tạo theo triết lý “zero trust” (không tin tưởng mặc định) – mô hình bảo mật đặt giả định rằng mọi kết nối đều có thể bị xâm nhập.
Ông Jay Chaudhry, nhà sáng lập công ty bảo mật đám mây Zscaler. Ảnh minh hoạ
Ông Jay Chaudhry, nhà sáng lập công ty bảo mật đám mây Zscaler, ví von: “Chúng ta vẫn dùng tường lửa như xây hào quanh lâu đài. Nhưng nếu kẻ xấu đã lọt vào bên trong, bức tường không còn tác dụng. Zero-trust chính là cách đảm bảo không ai được phép đi lại tự do trong hệ thống.”
Từ Davos đến châu Á – Thái Bình Dương: Vai trò của Việt Nam và doanh nghiệp công nghệ bản địa
Từ những cảnh báo tại Davos, có thể thấy rằng an ninh mạng không còn là câu chuyện của riêng ngành CNTT, mà là yếu tố sống còn với mọi doanh nghiệp. Các quốc gia đang đẩy mạnh đào tạo nhân lực bảo mật và quản trị rủi ro số – trong đó có Việt Nam.
Tại Việt Nam, Bộ Thông tin và Truyền thông đã nhiều lần nhấn mạnh yêu cầu chuẩn hóa kỹ năng số và bảo mật hệ thống. Một số doanh nghiệp công nghệ trong nước, như APAC, đã sớm triển khai đào tạo kỹ sư theo chuẩn quốc tế, đạt chứng nhận Fundamental IT Engineer (FE) và Applied Information Technology Engineer (AP) thuộc hệ thống ITPEC do Nhật Bản sáng lập.
Các kỹ sư của APAC phải vượt qua các kỳ thi sát hạch gắt gao, được công nhận tương đương tại nhiều quốc gia trong khu vực. Đây là cơ sở quan trọng để doanh nghiệp không chỉ cung cấp giải pháp an ninh mạng và phân tích dữ liệu nội địa, mà còn đủ năng lực tham gia vào chuỗi cung ứng công nghệ toàn cầu, đáp ứng tiêu chuẩn quốc tế về an toàn thông tin.
Trong bối cảnh thế giới chuyển mình mạnh mẽ sang kinh tế dữ liệu và trí tuệ nhân tạo, sự xuất hiện của những doanh nghiệp như APAC cho thấy năng lực công nghệ Việt Nam đang vươn lên, đóng góp vào mục tiêu chung: xây dựng không gian mạng an toàn, tin cậy và bền vững cho toàn khu vực châu Á – Thái Bình Dương.
Theo: Reuters; Diễn đàn Kinh tế Thế giới (WEF) – Davos; Zscaler – Mỹ; World Economic Forum – Global Cybersecurity Outlook 2025…cùng nhiều nguồn khác – APAC tổng hợp và đưa tin
