Đây là khẳng định của đại diện MISA tại Tọa đàm “Thực thi quy định bảo vệ dữ liệu, tạo lập môi trường số an toàn, minh bạch” do Báo Lao động tổ chức.
Tọa đàm phác họa bức tranh an ninh dữ liệu tại Việt Nam qua các số liệu cập nhật, phân tích điểm mới trong quy định bảo vệ dữ liệu cá nhân, nhận diện thách thức thực tiễn và đề xuất giải pháp khả thi. Tham dự Tọa đàm có Thượng tá, TS. Đào Trung Hiếu – thành viên Hiệp hội An ninh mạng Quốc gia, chuyên gia tội phạm học; cùng ông Nguyễn Quang Hoàng – Giám đốc An ninh thông tin Tập đoàn MISA, Trưởng ban tổ chức Tập trận Liên minh An toàn thông tin (CYSEEX).
Dữ liệu cá nhân – “mỏ vàng” mới của tội phạm mạng
Phát biểu tại Tọa đàm, đại diện MISA cho biết, năm 2025, thiệt hại do các hình thức lừa đảo trực tuyến liên quan đến khai thác dữ liệu cá nhân tại Việt Nam ước tính vượt 6.000 tỷ đồng, cho thấy hệ lụy nghiêm trọng từ tình trạng lộ lọt và lạm dụng thông tin người dùng. Bên cạnh đó, hơn 550.000 cuộc tấn công mạng đã được ghi nhận, với chi phí khắc phục trung bình mỗi sự cố dao động từ 3–4 triệu USD (khoảng 78–104 tỷ đồng). Đáng chú ý, sự phát triển của trí tuệ nhân tạo (AI) đang rút ngắn đáng kể thời gian thực hiện tấn công – từ vài tuần xuống chỉ còn vài giờ. Ngay cả những người không chuyên cũng có thể tận dụng AI để tạo công cụ Phishing (tấn công giả mạo) và trục lợi từ việc mua bán dữ liệu cá nhân.
Theo TS. Đào Trung Hiếu, tội phạm công nghệ cao đang dịch chuyển rõ rệt từ tấn công hệ thống sang chiếm đoạt tài nguyên dữ liệu cá nhân. Các đối tượng khai thác thông tin qua Phishing, mua bán dữ liệu trên chợ đen và lợi dụng Deepfake/AI để giả danh cơ quan công quyền, tạo lòng tin và dẫn dụ nạn nhân vào bẫy.
Lỗ hổng đến từ người dùng và doanh nghiệp
Nguyên nhân lộ lọt dữ liệu tại Việt Nam xuất phát từ nhiều phía. Về phía người dùng, tâm lý chủ quan khiến mạng xã hội trở thành “dây phơi” thông tin riêng tư, cùng thói quen dùng chung một mật khẩu cho nhiều tài khoản tạo điều kiện cho tội phạm “bẻ khóa” hàng loạt.
Về phía doanh nghiệp, nhiều đơn vị – đặc biệt là doanh nghiệp vừa và nhỏ (SME) – vẫn vận hành trên hệ thống công nghệ lạc hậu, thiếu bảo trì. Rủi ro nội bộ cũng đáng lo ngại khi quy trình quản trị còn hạn chế.
Luật Bảo vệ dữ liệu cá nhân: Tuân thủ và cơ hội thay đổi tư duy cho người dùng và doanh nghiệp
Ông Nguyễn Quang Hoàng – Đại diện MISA cho biết, từ ngày 01/01/2026, Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực, các chế tài xử phạt được quy định nghiêm khắc với mức phạt tối đa là 5% doanh thu của năm gần nhất, áp dụng cho các vi phạm nghiêm trọng và tái phạm. Quy định này tạo ra áp lực đáng kể đối với doanh nghiệp, đặc biệt là nhóm doanh nghiệp SME có biên lợi nhuận thấp, đặc biệt là trong bối cảnh chi phí đầu tư, nâng cấp hệ thống bảo mật như triển khai mã hóa dữ liệu AES 256-bit có thể làm yêu cầu tài nguyên xử lý tăng lên từ 5-10 lần.
Việc tuân thủ quy định mở ra cơ hội giúp doanh nghiệp nâng cao lợi thế cạnh tranh, đặc biệt đối với những đơn vị chủ động đảm bảo an toàn dữ liệu so với các đơn vị chưa đáp ứng đầy đủ yêu cầu. Và đây cũng là động lực để doanh nghiệp thay đổi tư duy, chuyển từ việc coi bảo mật là chi phí, sang việc xem đây là yếu tố cốt lõi, góp phần tạo lập môi trường số an toàn, minh bạch.
Là đơn vị cung cấp nền tảng quản trị doanh nghiệp phục vụ hàng trăm nghìn đơn vị, tổ chức và hàng triệu người dùng cá nhân, MISA xác định bảo vệ dữ liệu là trách nhiệm được đặt lên hàng đầu. MISA chủ động đầu tư vào hạ tầng bảo mật, áp dụng các tiêu chuẩn quốc tế và chuẩn bị sẵn sàng cho tuân thủ Luật Bảo vệ dữ liệu cá nhân từ xa và từ sớm.
Từ kinh nghiệm thực tiễn, các chuyên gia đưa ra 4 khuyến nghị. Thứ nhất, đối với các doanh nghiệp lớn, , cần xây dựng bộ phận bảo vệ dữ liệu độc lập nhằm chủ động kiểm soát rủi ro và đảm bảo tuân thủ. Thứ hai, đối với doanh nhiệp vừa và nhỏ, việc sử dụng dịch vụ từ các nhà cung cấp bảo mật chuyên nghiệp (MSSP – Managed Security Service Provider) được xem là giải pháp hiệu quả để tối ưu chi phí và nguồn lực. Thứ ba, đối với doanh nghiệp nhỏ, có thể lựa chọn mô hình sử dụng chung chuyên gia bảo vệ dữ liệu DPO để vẫn đáp ứng yêu cầu pháp lý với chi phí hợp lý. Thứ tư, thay đổi nhận thức – xem dữ liệu là tài sản quý giá cần được bảo vệ chủ động ngay từ đầu, thay vì chỉ ứng phó khi sự cố đã xảy ra.
Chủ động phòng bị và ứng phó với rủi ro dữ liệu
Tinh thần “phòng bị từ xa” cũng là lý do MISA khởi xướng Liên minh Tập trận An toàn thông tin (CYSEEX), dưới sự bảo trợ của Hiệp hội An ninh mạng Quốc gia Việt Nam (NCA). CYSEEX quy tụ các doanh nghiệp công nghệ cùng rèn luyện kỹ năng thực chiến và chia sẻ kinh nghiệm phòng, chống tội phạm mạng.
Hiệu quả của mô hình này được minh chứng bằng những con số cụ thể: năm 2025, Liên minh đã tổ chức 9 đợt diễn tập trên 17 hệ thống mục tiêu, phát hiện và xử lý thành công 412 lỗ hổng. Đà tăng trưởng tiếp tục trong Quý I/2026, với số lượng lỗ hổng đặc biệt nghiêm trọng giảm gần 50% so với cùng kỳ năm trước.
“Cuộc chiến an ninh dữ liệu là hành trình dài hạn, đòi hỏi sự phối hợp chặt chẽ giữa cơ quan quản lý, doanh nghiệp và nhận thức của mỗi cá nhân. Chỉ khi nhận thức đúng giá trị của dữ liệu – được ví như ‘vàng đen’ – chúng ta mới có thể xây dựng môi trường số an toàn và bền vững”, ông Nguyễn Quang Hoàng nhấn mạnh.
