Có báo cáo, có công cụ, có dashboard chưa chắc đồng nghĩa với kiểm soát được rủi ro. Trước thời điểm Luật An ninh mạng số 116/2025/QH15 bắt đầu có hiệu lực từ 1/7/2026, điều doanh nghiệp cần không chỉ là đầu tư thêm về bảo mật, mà là xác định đúng điểm yếu nào phải xử lý trước để tránh một sự cố nhỏ kịp biến thành tổn thất lớn.
Luật mới đang khiến doanh nghiệp rà soát rủi ro theo thứ tự ưu tiên
Khi Luật An ninh mạng mới có hiệu lực, doanh nghiệp sẽ phải tăng cường bảo vệ hệ thống, giám sát và ứng phó sự cố. Từ góc độ thực thi, điều đó đồng nghĩa với việc doanh nghiệp cần xác định rõ tài sản trọng yếu, điểm yếu nên xử lý trước và những khu vực cần tăng cường giám sát.
Trước mốc Luật an ninh mạng mới có hiệu lực, điều doanh nghiệp cần không chỉ là tăng đầu tư, mà là rà soát đúng tài sản trọng yếu và đúng thứ tự ưu tiên.
Áp lực này càng rõ trong bối cảnh rủi ro hiện nay. Theo khảo sát của Hiệp hội An ninh mạng quốc gia trên hơn 5.300 cơ quan, doanh nghiệp và tổ chức, năm 2025, Việt Nam ghi nhận khoảng 552.000 cuộc tấn công mạng. Dù số vụ giảm, mức độ tổn hại lại tăng: 52,30% đơn vị được khảo sát cho biết đã chịu tổn hại do tấn công mạng, cao hơn mức 46,15% của năm 2024.
Trên thế giới, phương thức tấn công cũng đang thay đổi nhanh: 82% phát tán tệp độc hại đi qua email (theo Check Point), còn 82% phát hiện trong năm 2025 là malware-free (theo CrowdStrike). Điều đó cho thấy đối thủ ngày càng ít “phá cửa”, mà chuyển sang khai thác tài khoản hợp lệ và các luồng truy cập có vẻ bình thường.
Chậm một nhịp rà soát, doanh nghiệp có thể mất nhiều hơn một hệ thống
Điều đáng ngại nhất không phải là “có bị tấn công hay không”, mà là doanh nghiệp phát hiện quá muộn, ưu tiên sai và xử lý chậm.
Trước hết là gián đoạn vận hành. Nếu điểm yếu bị khai thác rơi vào email, VPN, tài khoản quản trị, ứng dụng public-facing hay hệ thống lõi, doanh nghiệp có thể đối mặt với việc dừng dịch vụ, nghẽn giao dịch hoặc đứt mạch vận hành nội bộ.
Kế đến là rò rỉ dữ liệu và hệ quả kéo dài. Khi dữ liệu ngày càng trở thành mục tiêu hấp dẫn, tổn thất không chỉ là mất thông tin, mà còn là mất niềm tin của khách hàng, đối tác và thị trường.
Cuối cùng là chi phí khắc phục tăng mạnh vì mất thời gian phát hiện. Khi đối thủ đi bằng tài khoản hợp lệ và hành vi có vẻ bình thường, doanh nghiệp rất dễ rơi vào tình trạng bên ngoài vẫn vận hành, nhưng bên trong đã bị khai thác.
Ông Trần Quốc Chính, Phó Chủ tịch Tập đoàn Công nghệ CMC, Tổng giám đốc CMC Cyber Security, nhận định: “Điểm nghẽn lớn nhất của nhiều doanh nghiệp hiện nay không phải là thiếu báo cáo, mà là thiếu một thứ tự ưu tiên đủ rõ để hành động. Nếu rủi ro không được đặt trong tương quan với vận hành, dữ liệu, uy tín và yêu cầu tuân thủ, doanh nghiệp có thể xử lý rất nhiều nhưng vẫn bỏ sót đúng điểm nguy hiểm nhất.”
Ông Trần Quốc Chính cho rằng doanh nghiệp chỉ thực sự giảm rủi ro khi biết rõ đâu là điểm yếu cần ưu tiên xử lý trước.
Trong vài tuần còn lại, doanh nghiệp nên bắt đầu từ đâu?
Điều doanh nghiệp cần làm lúc này không phải là mở thêm thật nhiều đầu việc về bảo mật, mà là xác định một phạm vi tối thiểu nhưng đủ trọng yếu để có thể hành động ngay.
Từ góc độ thực thi, nếu ngân sách và thời gian đều hạn chế, ưu tiên rà soát nên bắt đầu từ các khu vực có xác suất bị khai thác cao và có khả năng gây tác động trực tiếp nhất đến vận hành, dữ liệu và uy tín, gồm: email, VPN/remote access, tài khoản đặc quyền, ứng dụng web public-facing, cùng dữ liệu khách hàng và dữ liệu giao dịch.
Việc rà soát trong giai đoạn này nên tạo ra được ít nhất bốn đầu ra quan trọng: bản đồ rủi ro theo tài sản trọng yếu, đường đi tấn công thực tế cần ưu tiên chặn, danh sách xử lý theo thứ tự ưu tiên, và những khu vực phải được đưa vào giám sát liên tục.
Vì sao Pentest và SOC cần được ưu tiên?
Trong bối cảnh hiện nay, kiểm thử xâm nhập (Pentest) không còn là dịch vụ “nên có cho đủ”, mà là cách để doanh nghiệp biết điểm yếu nào có thể nối thành chuỗi khai thác dẫn tới dữ liệu, đặc quyền hay hệ thống lõi.
Ông Vũ Xuân Bình, Giám đốc Trung tâm kiểm thử xâm nhập CMC Cyber Security, nhấn mạnh: “Điều doanh nghiệp cần không phải là một danh sách lỗ hổng dài hơn, mà là hiểu rõ từ một điểm yếu cụ thể, đối thủ có thể xâm nhập đến đâu, chiếm được gì và tác động tới hoạt động kinh doanh ở mức nào.”
Cùng với đó, năng lực SOC 24/7 là một lớp phòng thủ rất quan trọng nếu doanh nghiệp muốn giảm khoảng mù phát hiện trong giai đoạn này. Khi đối thủ ngày càng “đăng nhập” thay vì “phá cửa”, giá trị của SOC nằm ở khả năng theo dõi liên tục các hành vi bất thường để phát hiện sớm trước khi sự cố chuyển thành tổn thất lớn.
Nếu Pentest giúp doanh nghiệp nhìn rõ đường đi tấn công thực tế, thì SOC 24/7 giúp theo dõi liên tục các dấu hiệu bất thường để phát hiện sớm trước khi sự cố chuyển thành tổn thất lớn.
Điều doanh nghiệp cần lúc này là một kế hoạch hành động đủ rõ
Ở điểm này, CMC Cyber Security cho thấy lợi thế ở khả năng kết nối đánh giá an ninh mạng, Pentest, rà quét lỗ hổng bảo mật (VA) và SOC 24/7 thành một chuỗi hành động liền mạch. Cách tiếp cận đó giúp doanh nghiệp không chỉ nhìn thấy điểm yếu, mà còn xác định được điểm nào cần xử lý trước, đường đi tấn công nào cần chặn trước và khu vực nào phải giám sát liên tục.
Năng lực này được xây trên nền tảng gần 20 năm kinh nghiệm trong lĩnh vực an ninh mạng. Ở lớp giám sát, CMC Cyber Security triển khai SOC theo hướng đa nền tảng, kết hợp công nghệ tự phát triển cùng các giải pháp tiên tiến từ các đối tác hàng đầu thế giới. Ở lớp kiểm thử, việc là thành viên của CREST trong lĩnh vực Pentest tiếp tục củng cố năng lực thực chiến trong mô phỏng kịch bản tấn công và đánh giá các điểm yếu, bao gồm cả các môi trường OT và IoT — những nhóm hệ thống ngày càng trở thành mục tiêu tấn công rõ nét.
Tìm hiểu thêm tại https://cmccybersecurity.com/.
