Thúc đẩy phát triển thị trường giám sát, bảo vệ, kiểm tra, đánh giá an toàn, an ninh mạng

9/26/2020 10:13:00 AM

Trong bối cảnh Việt Nam đang thực hiện chỉ đạo của Thủ tướng Chính phủ (TTCP) về việc thực thi Chiến lược chuyển đổi số toàn bộ nền kinh tế - xã hội, nhằm phấn đấu đưa Việt Nam trở thành trung tâm an ninh mạng khu vực ASEAN, cuộc đua nâng cao chỉ số đảm bảo an ninh mạng của chúng ta với các nước trong khu vực đang ngày càng trở nên khốc liệt. Do đó, việc xây dựng một thị trường an toàn thông tin (ATTT) phát triển mạnh, vững chắc, đồng đều là vấn đề trọng yếu mà chúng ta cần thận trọng xem xét.


20200806-attt-ta6.jpg

Thị trường an toàn thông tin Việt Nam: quy mô nhỏ, tăng trưởng “to”

Trong các mục tiêu để trở thành trung tâm An ninh mạng của ASEAN, rất nhiều mục tiêu nhỏ được Bộ Thông tin và Truyền thông (TT&TT) đặt ra trong năm 2019, trong đó trọng tâm là “Nâng cao thứ hạng Việt Nam”, đây cũng chính là thông điệp hành động của Bộ TT&TT trong năm nay. Khi nhắc đến nâng cao thứ hạng ATTT của Việt Nam, nhiều vấn đề được lưu ý, quan tâm và đang được và Bộ TT&TT triển khai như nâng cao chỉ số GCI (Global Cybersecurity Index) của Việt Nam, đưa Việt Nam khỏi các quốc gia nhiễm mã độc, spam mail nhiều nhất thế giới, nâng cao chất lượng đội ngũ, nhân lực ATTT… Tuy nhiên, có một yếu tố chưa được đề cập nhiều đó là thứ hạng về dung lượng thị trường ATTT của Việt Nam trong khu vực, nó thể hiện qua tổng doanh thu của các đơn vị cung cấp giải pháp, dịch vụ hay tổng chi cho ATTT tại Việt Nam. Một quốc gia có thứ hạng cao thì phải có thị trường lớn, nhiều doanh nghiệp xuất sắc, doanh thu cao.
 
Dưới đây là một vài con số thống kê về xếp hạng quy mô, hay dung lượng thị trường ATTT ở Việt Nam theo báo cáo của Frost and Sullivan, công ty tư vấn hàng đầu thế giới về Công nghệ thông tin:
 
- Về tổng dung lượng thị trường thiết bị, giải pháp ATTT (Firewall, IPS, DDoS, Email Security, WAF, APT), Việt Nam chỉ chiếm 1% trong tổng thị trường khoảng 6 – 7 tỷ USD của khu vực Châu Á - Thái Bình Dương, bằng 1/2 so với các nước như Malaysia, Indonesia, Thái Lan và bằng 1/4 so với Singapore.
 
- Về dịch vụ ATTT (Managed Security Service) năm 2017, Việt Nam chiếm 0,1% trong tổng số khoảng 2 tỷ USD thị trường về dịch vụ tại khu vực APAC, bằng 1/30 Thái Lan và Malaysia, chưa đến 1/100 của Singapore, chỉ hơn các nước Campuchia, Lào, Myanmar.
 
- Về dịch vụ kiểm định đánh giá ATTT, tổng giá trị thị trường của Việt Nam hiện khoảng 15 - 20 triệu USD, chưa bằng 1/2 so với Singapore, nước đứng đầu khu vực ASEAN.
 
Ngoài ra, theo thống kê của Viettel, doanh thu về dịch vụ ATTT tại Việt Nam hiện chỉ chiếm khoảng 5% hoặc ít hơn trong tổng số doanh thu của các doanh nghiệp, trong khi tỷ lệ này của thế giới là khoảng 20 - 25%.
 
Từ các số liệu trên cho thấy, Việt Nam vẫn đứng thấp trên bảng xếp hạng thế giới về thị trường ATTT nói chung cũng như dịch vụ ATTT nói riêng. Tuy nhiên, “trong cái khó ló cái…nhanh”, trong các thống kê này, bên cạnh giá trị Net (Net Value) về giá trị thị trường, luôn có kèm thêm 1 cột thống kê về tỷ lệ tăng trưởng: Growth Rate. Điểm sáng là Việt Nam luôn có tỷ lệ tăng trưởng ở mức rất cao so với mặt bằng chung của khu vực. Tăng trưởng về dịch vụ thuê ngoài bảo mật (MSS) của Việt Nam xấp xỉ 35% 1 năm, cao hơn Thái Lan và Singapore lần lượt là 25% và 15%; tăng trưởng về dịch vụ đánh giá, kiểm định ATTT còn mạnh mẽ hơn; 40 - 50% so với mức trung bình 10% - 20% của ASEAN.
 
Với tốc độ tăng trưởng này, nếu phấn đấu tốt, trong vòng 1 - 2 năm nữa chúng ta sẽ vượt Singapore về dịch vụ kiểm định, đánh giá ATTT.
Cơ hội của doanh nghiệp Việt Nam
 
Hơn thế nữa, việc chuyển hướng đầu tư sang dịch vụ là xu hướng chung của thế giới, với những ưu điểm rõ rệt đã được đúc kết như giảm thiểu chi phí đầu tư, chỉ chi trả cho những thứ thực sự cần thiết và luôn chú trọng đầu tư sử dụng các công nghệ mới nhất.
 
Chúng ta đã có đà phát triển nhanh, thêm vào đó mới đây, TTCP đã ra Chỉ thị số 14/CT-TTG về tăng cường bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của Việt Nam; trong đó nêu rõ quy định việc tự giám sát hoặc lựa chọn đơn vị giám sát, kiểm tra, đánh giá ATTT của doanh nghiệp phải có ít nhất từ 1 - 2 lần trong năm. Với cơ hội này, Nhà nước và Doanh nghiệp sẽ cùng tăng tốc để đẩy mạnh, tăng xếp hạng thị trường dịch vụ kiểm tra, đánh giá nói riêng và dịch vụ ATTT nói chung, phấn đấu đạt được 20% - 30% tổng số doanh thu của các doanh nghiệp trong lĩnh vực BM&ATTT như xu hướng của thế giới.
Thành lập Câu lạc bộ VSAC – hướng đi mới đầy triển vọng cho thị trường ATTT Việt Nam
 
Hiệp hội ATTT Việt Nam đã quyết định thành lập Câu lạc bộ Kiểm tra, Đánh giá và Kiểm định ATTT Việt Nam (VSAC – www.vsac.vn) để thực hiện quyết tâm tăng xếp hạng thị trường kiểm tra, đánh giá an toàn, an ninh mạng. VSAC ra đời với 8 thành viên sáng lập là Viettel, VNCS, CyRadar, BKAV, HPT, CMC, FPT, Misoft. Nhiệm vụ chính của VSAC là phân tích, nghiên cứu và đề xuất các biện pháp để xây dựng, phát triển thị trường dịch vụ kiểm tra, đánh giá và kiểm định ATTT tại Việt Nam. Ngoài ra, CLB còn là cầu nối giúp xây dựng chính sách của nhà nước và xây dựng các tiêu chuẩn chung về Dịch vụ kiểm tra, đánh giá và kiểm định ATTT.
 
Với phương châm “Nếu muốn đi nhanh hãy đi một mình, nhưng nếu muốn đi xa hãy đi cùng nhau”, VSAC đặt ra các phương án hành động cụ thể và ngắn gọn như sau:
 
Thứ nhất, VSAC sẽ đưa ra khung tiêu chuẩn cơ sở (TCCS) về các yêu cầu, tiêu chí đối với dịch vụ kiểm tra đánh giá ATTT dựa trên cơ sở các “Best practice” và các tiêu chuẩn về dịch vụ “pentest” của thế giới như OWASP, SANS, CIS… Điều này nhằm giải quyết thực trạng hiện nay có rất nhiều đơn vị mong muốn tham gia vào thị trường ATTT này, nhưng không có một khung quy định dịch vụ rõ ràng nào để căn cứ làm phương án đầu tư. Về cơ bản, VSAC cố gắng sẽ công bố Tiêu chuẩn cho tổ chức thực hiện dịch vụ kiểm tra, kiểm định ATTT, tiêu chuẩn cho cá nhân thực hiện dịch vụ và tiêu chuẩn cơ sở của dịch vụ. 
 
Thứ hai, VSAC cân nhắc sẽ đưa ra khung giá sàn dịch vụ ATTT. Điều này để hạn chế tình trạng bán dịch vụ pentest phá giá một cách tràn lan như hiện nay: có những doanh nghiệp không có đội ngũ làm ATTT nhưng vẫn trúng thầu các dự án kiểm tra, đánh giá tính bảo mật với mức giá thấp.
 
Việc thực hiện được hai điều trên sẽ hiệu quả nhất nếu được sự ủng hộ của các đơn vị sử dụng, tham khảo khung dịch vụ mà Hiệp hội ATTT và câu lạc bộ VSAC đưa ra. Đồng thời đề nghị Bộ TT&TT phối hợp thực hiện một số nội dung: xem xét công bố và ban hành danh mục dịch vụ ATTT mạng đáp ứng được yêu cầu sử dụng trong các cơ quan, tổ chức nhà nước dựa trên bộ tiêu chuẩn, tiêu chí mà VSAC đề xuất; Ngoài ra, Bộ TT&TT cần phải giám sát chặt chẽ trong quá trình triển khai, thực hiện Chỉ thị 14/CT-TTG.
 
Kết luận
 
Thị trường giám sát, bảo vệ, kiểm tra đánh giá an toàn, an ninh mạng của Việt Nam đang có sự phát triển mạnh mẽ. Trước những thách thức đặt ra, thì vẫn còn nhiều cơ hội cho các doanh nghiệp ATTT của Việt Nam. Đặc biệt, Chính phủ, TTCP đã rất quan tâm đến việc bảo đảm ATTT cho các hệ thống bằng việc ban hành Chỉ thị 14. Nhiệm vụ mà TTCP đưa ra cho các tổ chức, doanh nghiệp trong tăng cường bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của Việt Nam tuy khả thi nhưng không hề đơn giản. Vì vậy, cần có sự chung tay xây dựng của các đơn vị trong ngành, cùng sự quan tâm tạo điều kiện của Bộ TT&TT để sớm hiện thực hóa nó, đưa ngành ATTT của Việt Nam vươn tầm khu vực, trở thành trung tâm an ninh mạng của ASEAN.

TS. Khổng Huy Hùng