Trong bối cảnh Việt Nam đang thúc đẩy chuyển đổi số, xây dựng các kho lưu trữ điện tử và tăng cường bảo vệ chủ quyền dữ liệu, các yêu cầu về an toàn thông tin và an ninh mạng trở thành một trong những vấn đề trọng tâm.
Trong bối cảnh Việt Nam đang thúc đẩy chuyển đổi số, xây dựng các kho lưu trữ điện tử và tăng cường bảo vệ chủ quyền dữ liệu, các yêu cầu về an toàn thông tin và an ninh mạng trở thành một trong những vấn đề trọng tâm.
Phó Giáo sư, Tiến sĩ Saaidal Razalli Azzuhri, Phó Khoa Khoa học máy tính và Công nghệ thông tin, Đại học Malaya (Malaysia), nhận định trong quá trình chuyển đổi từ lưu trữ giấy sang lưu trữ điện tử, các cơ quan công quyền cần coi đây là một bài toán về an ninh thông tin quốc gia, thay vì chỉ là hoạt động số hóa tài liệu đơn thuần.
Chuyên gia Malaysia nhận định một trong những rủi ro lớn nhất khi xây dựng các kho lưu trữ số là việc đánh giá thấp những nguy cơ phát sinh trong quá trình chuyển đổi dữ liệu. Theo ông, khi tài liệu giấy được đưa lên môi trường số, tính chất rủi ro thay đổi đáng kể bởi dữ liệu điện tử có thể bị sao chép, tìm kiếm, làm rò rỉ, chỉnh sửa hoặc phá hủy với tốc độ rất nhanh nếu hệ thống bảo vệ không đủ mạnh.

Phó Giáo sư, Tiến sĩ Saaidal Razalli Azzuhri trả lời phỏng vấn của phóng viên TTXVN. Ảnh: Viên Luyến - PV TTXVN tại Malaysia
Ông Azzuhri cho rằng những lỗ hổng dễ bị bỏ qua thường không nằm ở tệp dữ liệu chính mà ở các thành phần phụ trợ như văn bản nhận dạng ký tự quang học (OCR), siêu dữ liệu, chỉ mục tìm kiếm, tập tin tạm thời, bản sao lưu, nhật ký truy cập hoặc các bản sao do nhà cung cấp dịch vụ lưu trữ tạo ra. Ngay cả khi tài liệu gốc được bảo vệ, những bản sao này vẫn có thể trở thành điểm rò rỉ thông tin nhạy cảm.
Bên cạnh đó, chuyên gia Đại học Malaya lưu ý vấn đề kiểm soát quyền truy cập là một thách thức quan trọng trong môi trường số. Nếu trong hệ thống lưu trữ truyền thống, quyền tiếp cận tài liệu bị giới hạn do yếu tố vật lý, thì trong môi trường điện tử, chỉ một tài khoản quản trị bị xâm nhập hoặc một mật khẩu yếu cũng có thể khiến lượng lớn dữ liệu bị lộ. Vì vậy, các cơ quan cần triển khai đồng bộ nhiều biện pháp như quản lý danh tính chặt chẽ, xác thực đa yếu tố, phân quyền truy cập tối thiểu, mã hóa, giám sát liên tục và lưu trữ nhật ký kiểm toán.
Về bảo đảm tính toàn vẹn của dữ liệu, ông Azzuhri nhấn mạnh tài liệu được số hóa cần có cơ chế chứng minh tính xác thực và khả năng phát hiện mọi thay đổi trái phép. Điều này đòi hỏi áp dụng các công nghệ như giá trị băm - chuỗi ký tự có độ dài cố định được tạo ra khi áp dụng thuật toán (hàm băm) lên một tập dữ liệu bất kỳ, chữ ký số, dấu thời gian và cơ chế theo dõi lịch sử xử lý dữ liệu. Theo ông, bảo mật không nên được xem là bước thực hiện sau khi hoàn tất số hóa mà phải được tích hợp ngay từ giai đoạn quét, lưu trữ, khai thác cho đến khi dữ liệu được xử lý hoặc xóa bỏ.

Ảnh minh hoạ
Đề cập vấn đề chủ quyền dữ liệu trong xây dựng các kho lưu trữ số quan trọng của cơ quan nhà nước, chuyên gia Malaysia cho rằng việc đặt máy chủ trong lãnh thổ quốc gia là yếu tố cần thiết nhưng chưa đủ để bảo đảm toàn quyền kiểm soát dữ liệu. Theo ông, câu hỏi cốt lõi không chỉ nằm ở vị trí đặt máy chủ mà còn liên quan đến việc ai kiểm soát dữ liệu, ai nắm giữ khóa mã hóa, ai có quyền truy cập hệ thống và nhà cung cấp chịu sự chi phối của hệ thống pháp luật nào.
Ông Azzuhri cho rằng đối với các kho lưu trữ có mức độ nhạy cảm cao, Việt Nam không nên phụ thuộc hoàn toàn vào các nhà cung cấp dịch vụ đám mây do nước ngoài kiểm soát. Tuy nhiên, điều này không đồng nghĩa với việc từ chối công nghệ quốc tế, bởi các doanh nghiệp công nghệ lớn vẫn có thể hỗ trợ về năng lực tính toán, trí tuệ nhân tạo, phân tích dữ liệu và các dịch vụ có mức độ nhạy cảm thấp hơn.
Theo chuyên gia này, một mô hình phù hợp là cách tiếp cận phân tầng, trong đó các dữ liệu chính phủ đặc biệt nhạy cảm được lưu trữ trong nước, vận hành dưới quyền tài phán của Việt Nam và sử dụng các khóa mã hóa do Chính phủ Việt Nam quản lý. Các nhà cung cấp nước ngoài không nên có quyền truy cập trực tiếp vào dữ liệu gốc hoặc nắm quyền quản trị cốt lõi đối với hệ thống.
Đối với các loại dữ liệu ít nhạy cảm hơn, Việt Nam có thể hợp tác với các nhà cung cấp dịch vụ đám mây quốc tế nhưng cần đặt ra các yêu cầu nghiêm ngặt về nơi lưu trữ dữ liệu, quyền kiểm soát khóa mã hóa, khả năng kiểm toán, giới hạn truy cập từ xa và cơ chế thông báo sự cố. Chuyên gia Azzuhri nhấn mạnh trong lĩnh vực an ninh mạng không tồn tại khái niệm bảo mật tuyệt đối. Mục tiêu quan trọng hơn là xây dựng năng lực bảo vệ và phục hồi chủ quyền dữ liệu, trong đó các quốc gia có thể tận dụng công nghệ toàn cầu nhưng vẫn phải duy trì quyền kiểm soát đối với những dữ liệu có ý nghĩa chiến lược.