7 sai lầm khiến doanh nghiệp tưởng đã tuân thủ Luật An ninh mạng

Nhiều doanh nghiệp nghĩ mình đã tuân thủ Luật an ninh mạng Việt Nam, nhưng vẫn mắc 7 sai lầm phổ biến về bảo mật thông tin, dữ liệu và quy trình vận hành. 

Vì sao dễ “tưởng đã tuân thủ” Luật an ninh mạng Việt Nam? 

Nhiều doanh nghiệp vừa và nhỏ (SME) nghe đến Luật an ninh mạng Việt Nam là nghĩ ngay đến chuyện “không đăng bài phản động, không vi phạm nội dung”. Thực tế, luật và các quy định liên quan còn chạm tới rất nhiềuthứ quen thuộc hàng ngày: cách bảo vệ hệ thống, quản lý log, dữ liệu người dùng, quy trình làm việc với cơ quan nhà nước, v.v. 

Kết quả là: doanh nghiệp có vài biện pháp cơ bản, tưởng thế là đủ, nhưng khi soi kỹ theo quy định về bảo mật thông tin và an ninh mạng, vẫn còn nhiều lỗ hổng. Dưới đây là 7 sai lầm điển hình. 

1. Nghĩ rằng “cài antivirus là đã xong bảo mật hệ thống” 

Lỗi tuân thủ an ninh mạng phổ biến #1: 
Doanh nghiệp chỉ cài một phần mềm diệt virus miễn phí trên vài máy, rồi tin rằng hệ thống đã “ổn”. 

Trong khi Luật an ninh mạng và các văn bản hướng dẫn yêu cầu doanh nghiệp: 

• Có biện pháp bảo vệ hệ thống thông tin phù hợp với cấp độ rủi ro. 
• Chủ động phòng ngừa, phát hiện, ngăn chặn, ứng phó với hành vi xâm nhập, tấn công, phát tán mã độc… chứ không chỉ “quét virus”. 

Vì sao nguy hiểm cho SME? 

• Antivirus không thay thế cho quản lý truy cập, backup, log, giám sát bất thường… 
• Một cú tấn công ransomware có thể vượt qua lớp bảo vệ cơ bản, mã hóa dữ liệu, làm gián đoạn hoạt động nhiều ngày. 

Điều nên làm: 

• Xem antivirus là một trong nhiều lớp bảo vệ, chứ không phải “lá chắn duy nhất”. 
• Tối thiểu bổ sung: backup định kỳ, phân quyền truy cập, giám sát đăng nhập, cập nhật hệ điều hành và phần mềm thường xuyên. 

2. Chỉ tập trung vào nội dung trên mạng, bỏ quên hệ thống và dữ liệu 

Nhiều doanh nghiệp hiểu Luật an ninh mạng Việt Nam chỉ là “không đăng nội dung vi phạm”, nên: 

• Quan tâm đến fanpage, website, nội dung truyền thông. 
• Nhưng ít hoặc không để ý đến chuyện dữ liệu khách hàng được lưu thế nào, log hệ thống có ghi không, ai được truy cập vào đâu. 

Rủi ro doanh nghiệp vừa và nhỏ: 

• Dữ liệu khách hàng, hợp đồng, giao dịch bị lộ hoặc bị chỉnh sửa trái phép. 
• Không có nhật ký hệ thống (log) để truy vết, chứng minh mình đã làm đúng khi cần làm việc với cơ quan chức năng. 

Điều nên làm: 

• Xem lại toàn bộ “hành trình dữ liệu”: thu thập – lưu trữ – sử dụng – chia sẻ – xóa. 
• Đảm bảo có quy trình bảo mật thông tin rõ ràng: ai được xem gì, ai được sửa gì, log được lưu bao lâu. 

3. Có quy định bảo mật… nhưng chỉ nằm trên giấy 

Một lỗi tuân thủ an ninh mạng khác rất hay gặp: 

• Công ty có “Quy chế bảo mật thông tin”, “Nội quy sử dụng email, internet”… 
• Nhưng nhân viên không được đọc, không được training, cũng không bị nhắc lại định kỳ. 

Khi xảy ra sự cố: 

• Nhân viên mở file lạ từ email, dùng USB không rõ nguồn, chia sẻ dữ liệu qua ứng dụng cá nhân… 
• Cả công ty bất ngờ, dù trên giấy “đã có quy định”. 

Điều nên làm: 

• Rút ngắn tài liệu, chuyển thành checklist dễ hiểu (2–3 trang) cho nhân viên. 
• Onboarding: bắt buộc nhân viên mới phải đọc và ký xác nhận. 
• Mỗi 6–12 tháng, tổ chức 1 buổi chia sẻ ngắn về an ninh mạng nội bộ, cập nhật thêm ví dụ thực tế. 

4. Chưa phân quyền truy cập, còn dùng chung một tài khoản cho nhiều người 

Rất nhiều SME vẫn dùng chung: 

• Một tài khoản email cho phòng kế toán. 
• Một tài khoản để quản trị website, fanpage, tài khoản quảng cáo. 
• Một tài khoản đăng nhập hệ thống nội bộ. 

Vấn đề: 

• Không biết chính xác ai đã làm gì, từ đâu, lúc nào. 
• Khi một người nghỉ việc, khó thu hồi quyền truy cập vì tài khoản gắn với nhiều người. 

Điều này trái với tinh thần của các quy định về bảo mật thông tin: 

• Truy cập hệ thống và dữ liệu phải được kiểm soát, phân quyền, ghi nhận, để khi có sự cố có thể truy vết. 

Điều nên làm: 

• Mỗi người một tài khoản, không dùng chung với hệ thống quan trọng. 
• Chính sách rõ: khi nhân viên nghỉ hoặc đổi vị trí, phải thu hồi/điều chỉnh quyền trong vòng 24–48 giờ. 

5. Không có kế hoạch backup & khôi phục dữ liệu rõ ràng 

Một sai lầm phổ biến: 

• Có thể có backup, nhưng không đều, không kiểm tra khôi phục. 
• Tất cả file quan trọng nằm trên một server hoặc một NAS, không có bản ở nơi khác. 

Khi gặp tấn công mạng (ví dụ ransomware): 

• File bị mã hóa, hệ thống tê liệt. 
• Doanh nghiệp không có bản sao sạch để khôi phục, hoặc backup quá cũ. 

Trong khi yêu cầu về an ninh thông tin theo luật và chuẩn quốc tế đều nhấn mạnh: 

• Phải có kế hoạch duy trì hoạt động liên tục, trong đó backup & khôi phục dữ liệu là trọng tâm. 

Điều nên làm: 

• Xây policy backup đơn giản: backup những gì, tần suất, lưu ở đâu, ai chịu trách nhiệm. 
• Kiểm tra khôi phục thử ít nhất 1–2 lần/năm để chắc rằng backup không chỉ “để cho có”. 

6. Không ghi log, không giám sát, “có chuyện mới tìm” 

Một số doanh nghiệp chỉ bật log mặc định, không tập trung quản lý: 

• Không biết có ai đăng nhập từ IP lạ, quốc gia lạ. 
• Không biết lúc nào có lượng truy cập bất thường vào hệ thống quan trọng. 
• Khi có sự cố, không có bằng chứng để xem lại chuyện gì đã xảy ra. 

Đây là lỗi tuân thủ an ninh mạng khá nghiêm trọng, vì: 

• Luật và chuẩn bảo mật đều yêu cầu có khả năng giám sát, phát hiện và xử lý sự cố an ninh thông tin. 
• Không có log = khó chứng minh với khách hàng, đối tác, cơ quan nhà nước rằng doanh nghiệp đã làm đúng và chủ động. 

Điều nên làm: 

• Tập trung log về một nơi (dù là giải pháp đơn giản). 
• Thiết lập báo cáo định kỳ và cảnh báo cơ bản cho đăng nhập, thay đổi quan trọng. 
• Xem xét dùng nền tảng như ShieldNet Defense để tự động thu thập, phân tích log và cảnh báo bất thường cho SME. 

7. Không có quy trình ứng phó khi bị tấn công – chỉ “chữa cháy” 

Sai lầm cuối cùng – và có thể là lớn nhất: 

• Không có runbook / playbook cho các sự cố: bị ransomware, lộ dữ liệu, tài khoản bị chiếm, website bị tấn công… 
• Khi bị tấn công, mọi người hoảng loạn: tắt máy bừa bãi, xóa log, trả lời khách hàng không thống nhất, không biết có cần báo cơ quan có thẩm quyền hay không. 

Trong khi đó, tuân thủ tốt Luật an ninh mạng Việt Nam không chỉ là phòng ngừa, mà còn là: 

• Phát hiện kịp thời. 
• Ứng phó đúng quy trình, giảm thiểu thiệt hại. 
• Phối hợp với cơ quan nhà nước khi cần, có dữ liệu và hồ sơ đầy đủ. 

Điều nên làm: 

• Viết quy trình ứng phó sự cố đơn giản cho 3–4 kịch bản chính: 
• Bị nghi nhiễm mã độc. 
• Bị khóa dữ liệu / ransomware. 
• Tài khoản hệ thống bị chiếm quyền. 
• Nghi ngờ lộ dữ liệu khách hàng. 
• Chỉ định rõ: ai quyết định, ai liên lạc với khách hàng, ai liên hệ đối tác/nhà cung cấp và (nếu cần) cơ quan chức năng. 

Kết luận: “Tưởng đã tuân thủ” là rủi ro lớn nhất 

Nhiều rủi ro doanh nghiệp vừa và nhỏ đến từ việc: 

• Chỉ làm một vài việc bề mặt (cài antivirus, có nội quy), 
• Nhưng thiếu hệ thống rõ ràng cho dữ liệu, log, phân quyền, backup và ứng phó sự cố. 

Để thực sự tiệm cận tinh thần Luật an ninh mạng Việt Nam, doanh nghiệp nên: 

1. Xem lại 7 sai lầm ở trên, đánh dấu xem mình đang vướng ở đâu. 
2. Chuyển từng phần thành quy trình tối thiểu, dễ hiểu cho nhân viên. 
3. Cân nhắc sử dụng các nền tảng bảo mật cho SME như ShieldNet Defense để: 

• Giám sát hệ thống, phát hiện sớm tấn công. 
• Ghi log tập trung, làm bằng chứng khi cần. 
• Hỗ trợ xây dựng và vận hành quy trình ứng phó sự cố một cách bài bản. 

Khi đó, bạn không chỉ “nghĩ rằng mình đã tuân thủ”, mà thực sự giảm được rủi ro, đứng vững trước các yêu cầu pháp lý và áp lực từ khách hàng, đối tác trong kỷ nguyên số.