Theo khảo sát của Hiệp hội An ninh mạng Quốc gia Việt Nam, năm 2024 ghi nhận khoảng 14,5 triệu tài khoản tại Việt Nam bị lộ lọt dữ liệu, chiếm khoảng 12% tổng số tài khoản bị rò rỉ trên toàn cầu. Đến năm 2025, đã xảy ra khoảng 552.000 cuộc tấn công mạng, với hơn 52% doanh nghiệp và tổ chức tại Việt Nam cho biết đã chịu thiệt hại từ các sự cố an ninh mạng.
Thực trạng này được đặt ra tại hội thảo chuyên đề "Đồng thuận kiểm soát & bồi thường trong quản trị rủi ro an ninh mạng" do Công ty TNHH Môi giới Bảo hiểm Willis Towers Watson Việt Nam (WTW) phối hợp cùng Tập đoàn Bảo hiểm DBV, Tập đoàn Bảo hiểm QBE, Tập đoàn Beazley và Công ty Luật Tilleke & Gibbins vừa tổ chức tại TP.HCM và Hà Nội.
Tại hội thảo, Đại tá Nguyễn Tường Quân - Giám đốc Trung tâm 1, Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công An - nhấn mạnh, việc Quốc hội thông qua Luật Bảo vệ Dữ liệu Cá nhân và đưa vào áp dụng từ ngày 01/01/2026 đã chính thức khẳng định dữ liệu cá nhân là một loại tài sản được pháp luật bảo vệ. Các điểm mới đáng chú ý của hành lang pháp lý bao gồm: hợp nhất đầu mối quản lý, bảo vệ chủ quyền dữ liệu, siết chặt quản lý dữ liệu và danh tính số, kiểm soát công nghệ mới và chống tin giả.
Theo Đại tá Nguyễn Tường Quân, khung pháp lý đang ngày càng được hoàn thiện, phù hợp với tiến trình chuyển đổi số quốc gia và thông lệ quốc tế.
Các chuyên gia từ QBE và Beazley cũng nhận định rằng sự phát triển nhanh chóng của trí tuệ nhân tạo (AI) đang làm gia tăng cả tốc độ lẫn quy mô của các cuộc tấn công mạng. Bức tranh đe dọa đang thay đổi nhanh chóng, trong đó nhiều vụ tấn công ransomware hiện nay bắt nguồn từ việc thông tin đăng nhập hoặc danh tính số bị xâm phạm. Sau khi xâm nhập hệ thống, tin tặc có thể đánh cắp dữ liệu, vô hiệu hóa các biện pháp bảo mật và triển khai mã hóa trên diện rộng - gây gián đoạn hoạt động kinh doanh trong thời gian dài, kéo theo thiệt hại tài chính và uy tín khó lường.
Trong khi đó, các chuyên gia từ WTW khuyến cáo, rủi ro an ninh mạng không còn đơn thuần là vấn đề công nghệ mà đã trở thành rủi ro mang tính chiến lược, ảnh hưởng trực tiếp đến hoạt động, doanh thu và uy tín doanh nghiệp. Để hỗ trợ doanh nghiệp ứng phó chủ động hơn, WTW giới thiệu công cụ lượng hóa rủi ro an ninh mạng Cyber Quantified - cho phép đánh giá và quy đổi các kịch bản rủi ro thành tác động tài chính cụ thể, dựa trên tần suất và mức độ thiệt hại. Cách tiếp cận này giúp doanh nghiệp hiểu rõ hơn rủi ro tiềm ẩn, từ đó nâng cao hiệu quả trong việc ra quyết định, phân bổ nguồn lực và chuyển giao rủi ro.
Về khía cạnh pháp lý, các chuyên gia từ Tilleke & Gibbins cho biết, doanh nghiệp sẽ phải tuân thủ nhiều nghĩa vụ mới liên quan đến thu thập, xử lý và bảo vệ dữ liệu cá nhân. Các yêu cầu bao gồm xin sự đồng ý của chủ thể dữ liệu, thực hiện đánh giá tác động xử lý dữ liệu, đánh giá tác động chuyển dữ liệu xuyên biên giới và đặc biệt là nghĩa vụ thông báo vi phạm dữ liệu trong vòng 72 giờ kể từ khi phát hiện sự cố.
Các tình huống thực tế được chia sẻ tại hội thảo cũng cho thấy chi phí của một vụ tấn công mạng có thể rất lớn, bao gồm chi phí khôi phục hệ thống, điều tra số, tư vấn pháp lý, truyền thông khủng hoảng, gián đoạn kinh doanh cũng như các nghĩa vụ bồi thường đối với bên thứ ba.
Điều này cho thấy doanh nghiệp cần chuyển từ tư duy bảo vệ hệ thống truyền thống sang một cách tiếp cận toàn diện hơn trong quản trị rủi ro dữ liệu - trước khi sự cố xảy ra, chứ không phải sau.
