Trong khi các chuỗi cung ứng toàn cầu cho chính lĩnh vực ICT (ví dụ: chuỗi cung ứng các thành phần phần mềm và phần cứng cho các sản phẩm và dịch vụ ICT) đi đầu trong phát triển công nghệ, thì những thách thức do yếu tố ICT đặt ra đối với tính bảo mật, tính toàn vẹn và tính sẵn sàng của chuỗi cung ứng ngày nay đã vượt xa lĩnh vực ICT.
Sự phụ thuộc ngày càng tăng của chuỗi cung ứng vào ICT đã được Tổ chức Thương mại Thế giới (WTO) mô tả là “Chuỗi cung ứng 4.0”: tổ chức lại chuỗi cung ứng (thiết kế và lập kế hoạch, sản xuất, phân phối, tiêu dùng và bảo trì) bằng cách sử dụng các công nghệ được gọi là “Công nghiệp 4.0”. Xu hướng này đang diễn ra trên toàn cầu, tiên phong là các DN lớn trong lĩnh vực công nghệ của các nước phát triển nhằm tăng hiệu quả quản lý chuỗi cung ứng thông qua việc sử dụng các công nghệ ICT sáng tạo (ví dụ Cloud computing, AI, Blockchain, Big Data,...).
Hơn nữa, sự ra đời của 5G, Internet of Things (IoT) và IoT công nghiệp (IIoT), cũng như quá trình CĐS tại các ngành, ICT đã tăng cường sự thâm nhập vào quy trình kinh doanh và công nghệ trong nhiều lĩnh vực, làm sâu sắc thêm sự phụ thuộc vào ICT của các chuỗi cung ứng.
Rủi ro trên không gian mạng do sự tham gia của ICT vào chuỗi cung ứng
Chuỗi cung ứng được hiểu theo cách truyền thống là một hệ thống các tổ chức, con người, công nghệ, hoạt động, thông tin và nguồn lực liên quan đến việc vận chuyển một sản phẩm hoặc dịch vụ từ nhà cung cấp (nhà sản xuất) đến khách hàng.
Trái ngược với mô hình chuỗi cung ứng truyền thống, với sự hỗ trợ của ICT và quá trình CĐS của các ngành và lĩnh vực, các quy trình trực tuyến (trên không gian mạng) đã được tích hợp sâu và tham gia trong suốt chu trình của chuỗi cung ứng. ICT là thành phần quan trọng và không thể thay thế đối với hoạt động của chuỗi cung ứng và đối với việc quản lý chuỗi cung ứng, bao gồm việc giám sát liên tục tính toàn vẹn và rủi ro của chuỗi cung ứng thông qua các quy trình dựa trên dữ liệu.
Phạm vi rủi ro của các chuỗi cung ứng mở rộng hơn - liên quan an ninh mạng đến từ những nhà cung cấp dịch vụ hoặc cơ sở hạ tầng ICT. Đó là quá trình tương tác ICT với các đối tác trong chuỗi cung ứng, có thể xảy ra từ bất kỳ bộ phận nào của DN, tạo nên thách thức trong toàn DN, đòi hỏi phải quản lý những rủi ro thực sự mà chúng gây ra.
Ví dụ: giả sử Công ty A quyết định thực hiện một dự án CĐS. Bộ phận tiếp thị của họ thuê một nhà cung cấp dịch vụ bên thứ ba (nhà cung cấp cấp 1) để hỗ trợ việc chuyển đổi. Nhà cung cấp dịch vụ này tận dụng nền tảng khách hàng dựa trên đám mây (nhà cung cấp cấp 2) được phân phối dưới dạng dịch vụ.
Là một phần của quá trình chuyển đổi, tất cả thông tin chi tiết về khách hàng của Công ty A được chuyển sang dịch vụ đám mây này. Nhưng nhà cung cấp dịch vụ (cấp 1) không bảo mật được các tài khoản quản trị mà họ đang sử dụng để định cấu hình nền tảng đám mây (cấp 2), có đối tượng giành quyền truy cập bằng cách sử dụng tài khoản của họ và trích xuất các tệp chứa thông tin chi tiết về khách hàng của Công ty A. Nhà cung cấp dịch vụ (cấp 1) vẫn không biết rằng tài khoản quản trị của họ đã bị xâm phạm cho đến khi bộ phận tiếp thị của Công ty A bị đối tượng trên mạng tiếp cận, đối tượng này đòi tiền chuộc để xóa dữ liệu khách hàng hoặc họ sẽ công khai dữ liệu đó.
CĐS đã đưa sản phẩm, dịch vụ ICT tham gia vào chuỗi cung ứng của DN mà trước đây không bao gồm các thành phần ICT như phần mềm hoặc phần cứng, hình thành phân khúc mới của quản lý chuỗi cung ứng thông qua ICT. Thị trường phần mềm quản lý chuỗi cung ứng toàn cầu đang phát triển nhanh chóng và dự kiến sẽ đạt 22,7 tỷ USD vào năm 2024. Phân khúc thị trường này được thúc đẩy bởi các chuyên gia CNTT tại các Tập đoàn công nghệ như IBM, Oracle, SAP,... bao gồm một loạt các sản phẩm, dịch vụ dựa trên ICT nhằm tăng hiệu quả và tính linh hoạt trong quản lý chuỗi cung ứng là:
- Quản lý chuỗi cung ứng và hỗ trợ ra quyết định với sự trợ giúp của máy học và phân tích dự đoán dựa trên trí tuệ nhân tạo (AI);
- Khả năng kiểm soát từ đầu đến cuối của chuỗi cung ứng - từ địa điểm sản xuất đến mạng lưới hậu cần và phân phối - thông qua tổng hợp, phân tích và trực quan hóa dữ liệu;
- Các dịch vụ dựa trên đám mây và nền tảng điện toán đám mây nhằm cho phép truy cập vào hệ sinh thái quản lý chuỗi cung ứng kỹ thuật số cho các tổ chức nhỏ hơn với nguồn lực ICT hạn chế, không bị giới hạn bởi phạm vi địa lý;
- Quản lý kho và hàng tồn kho tự động như một thành phần của quản lý hậu cần trong chuỗi cung ứng: các công nghệ áp dụng bao gồm các dịch vụ dựa trên IoT cho phép theo dõi thời gian thực và phân tích dữ liệu về công suất sử dụng của kho;
- Thông qua ICT đưa ra các giải pháp quản lý rủi ro chuỗi cung ứng nhằm giải quyết các thách thức, bao gồm các giải pháp dựa trên tổng hợp, xử lý và phân tích dữ liệu lớn.
Trong những năm gần đây, DN ngày càng phụ thuộc vào các dịch vụ đám mây do nhà cung cấp quản lý thay cho phần mềm DN tại chỗ truyền thống, điều này thể hiện các nhà cung cấp sản phẩm, dịch vụ ICT đã hiện diện trực tiếp và gián tiếp trong chuỗi cung ứng. Với các dịch vụ ICT, nhà cung cấp có thể cung cấp quyền truy cập hệ thống cho đối tác quyền để quản lý dịch vụ, thiết bị hoặc cung cấp luôn dịch vụ quản lý, điều hành. Ngoài ra còn có sự tham gia của các nhà cung cấp ứng dụng và dịch vụ bổ sung để triển khai, quản lý và bảo mật hệ thống an ninh mạng.
Các quy trình và dịch vụ sản xuất phức tạp được kết nối với nhau không giới hạn về mặt địa lý đã tạo ra chuỗi cung ứng phần cứng ngày càng phức tạp: ví dụ, việc sản xuất một mặt hàng phần cứng có thể liên quan đến hàng chục nhà sản xuất linh kiện và nhà thầu phụ, một số trong số đó có thể tách biệt với nhà sản xuất chính. Thống kê về số lượng các nhà cung cấp của các DN lớn trên thế giới:
- Apple có hơn 200 nhà cung cấp từ hơn một chục quốc gia;
- Samsung hoạt động với hơn 2.000 nhà cung cấp trên toàn cầu;
- Google làm việc với hơn 500 nhà cung cấp đang hoạt động tại hơn 60 quốc gia;
- Huawei có hơn 1000 nhà cung cấp từ nhiều quốc gia;
- IBM đã hoạt động với hơn 13.000 nhà cung cấp cấp một tại hơn 100 quốc gia.
Điều nghịch lý là trong khi những phát triển công nghệ này mang lại những lợi ích to lớn bằng cách cung cấp cho các DN một phương tiện mạnh mẽ để tăng hiệu quả hoạt động chuỗi cung ứng của họ, đồng thời chúng cũng tạo ra những rủi ro mới cho chuỗi cung ứng. Những rủi ro này có thể bao gồm:
- Lỗ hổng trong các hệ thống ICT của chuỗi cung ứng;
- Phần cứng hoặc máy tính được phân phối với phần mềm độc hại đã được cài đặt sẵn trên đó;
- Phần cứng máy tính giả, sản xuất trái phép;
- Phần cứng, phần mềm không rõ nguồn gốc;
- Cấp quyền truy cập hệ thống cho đối tác chưa được thẩm tra.
- Tấn công mạng;
- ...
Mặc dù rủi ro an toàn, an ninh mạng liên quan đến chuỗi cung ứng ngày càng cao, nhưng có nhiều DN đang cung cấp sản phẩm, dịch vụ ICT chưa nhận thức đầy đủ về các rủi ro này. Trong nền kinh tế số ngày nay, xác định, đánh giá và giảm thiểu rủi ro chuỗi cung ứng trên không gian mạng là một giải pháp quan trọng để đảm bảo khả năng phát triển của DN.
Quản lý rủi ro đối với chuỗi cung ứng trên không gian mạng
Quản lý rủi ro chuỗi cung ứng trên không gian mạng (C-SCRM) là quá trình xác định, đánh giá và giảm thiểu rủi ro liên quan đến bản chất phân tán và kết nối với nhau của chuỗi cung ứng thông qua sản phẩm và dịch vụ ICT. Quá trình này bao gồm toàn bộ chu trình của hệ thống (bao gồm thiết kế, phát triển, phân phối, triển khai, mua lại, bảo trì) vì các mối đe dọa và lỗ hổng của chuỗi cung ứng do khách quan hoặc chủ quan có thể làm tổn hại đến sản phẩm hoặc dịch vụ ICT ở bất kỳ giai đoạn nào của chuỗi cung ứng.
C-SCRM đã phát triển từ sự tập trung hẹp vào chuỗi cung ứng ICT sang giải quyết mọi rủi ro của chuỗi cung ứng liên quan đến an toàn, an ninh mạng. Cùng với vai trò ngày càng mở rộng của không gian mạng trong hoạt động kinh tế, xã hội của tổ chức, cá nhân, C-SCRM đối với các sản phẩm và dịch vụ ICT càng trở nên cần thiết.
Với việc ngày càng nhiều DN sử dụng sản phẩm và dịch vụ ICT và chuyển khối lượng công việc của họ lên không gian mạng, vấn đề giảm thiểu rủi ro trên không gian mạng càng quan trọng hơn bao giờ hết. Các rủi ro của chuỗi cung ứng trên không gian mạng có thể xuất phát từ tất cả quá trình trong chuỗi cung ứng, thường chúng từ các nhà cung cấp của bên thứ ba để tận dụng quá trình liên kết yếu nhất. Các tổ chức không còn có thể tự bảo vệ mình bằng cách đơn giản là bảo vệ cơ sở hạ tầng của chính họ vì quá trình hoạt động của tổ chức không giới hạn trong một mạng đơn lẻ mà là không gian mạng toàn cầu.
Không giống như an ninh mạng đơn thuần, quản lý rủi ro chuỗi cung ứng không gian mạng tập trung vào việc đạt được khả năng xuyên suốt và kiểm soát không chỉ đối với tổ chức đầu mối mà còn đối với các đối tác DN mở rộng, chẳng hạn như các nhà cung cấp và khách hàng cấp 1, cấp 2. Ngoài ra, trong khi an ninh mạng nhấn mạnh đến các phương tiện kiểm soát thuần túy về mặt kỹ thuật, thì C-SCRM tìm cách thu hút sự tham gia của cả kỹ thuật về yếu tố quản lý và con người trong việc ngăn ngừa rủi ro làm gián đoạn hoạt động của hệ thống ICT. Cũng không giống như quản lý rủi ro DN đơn thuần, C-SCRM không tập trung vào cơ chế kiểm soát từ trên xuống đối với các môi trường kinh doanh tương đối tĩnh, mà tìm cách giải quyết tính năng động trong thời gian thực, ở quy mô nhiều hệ thống ICT kết nối với nhau.
Cuối cùng, không giống như quản lý chuỗi cung ứng đơn thuần, C-SCRM phải đối phó với các nhà cung cấp trên phạm vi toàn cầu, liên tục thay đổi và danh tính một số nhà cung cấp trong chuỗi cung ứng có thể là ẩn danh.
Trong thực tế, giải quyết các rủi ro trên không gian mạng trong chuỗi cung ứng có thể là một thách thức phức tạp và khó khăn, nhưng với DN áp dụng cách tiếp cận có hệ thống, sẵn sàng hợp tác sẽ có khả năng để giảm thiểu các mối đe dọa, thích ứng nhanh chóng với những thay đổi trong môi trường kinh doanh và phản ứng nhanh chóng nếu có sự cố xảy ra.
Chính sách của một số nước trên thế giới
a. Chính phủ Mỹ
Từ năm 2008, Chính phủ Mỹ đã đưa ra Sáng kiến An ninh mạng quốc gia toàn diện, cung cấp khung chính sách tổng thể, nêu rõ rằng: Rủi ro xuất phát từ cả chuỗi cung ứng trong nước và toàn cầu hóa phải được quản lý một cách chiến lược và toàn diện trong toàn bộ chu trình của sản phẩm, hệ thống và dịch vụ. Việc quản lý rủi ro này sẽ đòi hỏi nhận thức rõ ràng hơn về các mối đe dọa, lỗ hổng và hậu quả liên quan đến các quyết định; phát triển và sử dụng các công cụ và nguồn lực để giảm thiểu rủi ro về mặt kỹ thuật và vận hành trong suốt vòng đời của sản phẩm.
Quốc hội Mỹ ban hành chính sách để thúc đẩy an ninh chuỗi cung ứng mạng: Mục 806 của Đạo luật Ủy quyền Quốc phòng cho phép Bộ trưởng Quốc phòng loại trừ các nhà cung cấp hoặc sản phẩm nếu có thể gây ra rủi ro chuỗi cung ứng. Các đề xuất tương tự nhằm sửa đổi Quy định mua sắm liên bang rộng hơn để giải quyết rủi ro chuỗi cung ứng trong bối cảnh các hoạt động mua sắm của chính phủ cũng được đưa vào Luật An ninh mạng.
Năm 2017, Bộ An ninh Nội địa Hoa Kỳ (DHS) đã ra lệnh cho các cơ quan liên bang xóa các sản phẩm bảo mật của Kaspersky khỏi mạng của họ vì rủi ro mà chúng có thể gây ra.
Sắc lệnh Hành pháp gần đây của chính quyền Biden về Cải thiện an ninh mạng của Quốc gia yêu cầu Bộ Thương mại phát triển các tiêu chuẩn và thủ tục cho Hóa đơn nguyên liệu phần mềm - về cơ bản là một danh sách các thành phần kỹ thuật số. Loại ghi nhãn này có thể cho phép các nhà phân tích theo dõi các bit mã dễ bị tấn công để sử dụng cuối cùng trong phần mềm. Chính quyền Tổng thống Biden cũng yêu cầu các DN phối hợp cùng chính phủ đưa ra các giải pháp quản lý rủi ro chuỗi cung ứng trên không gian mạng.
b. Chính phủ Anh
Trung tâm An ninh mạng Quốc gia của Vương quốc Anh cung cấp một loạt các hỗ trợ để giúp các tổ chức đánh giá rủi ro bảo mật của các nhà cung cấp của họ, bao gồm lời khuyên về việc xác định các rủi ro và lỗ hổng bảo mật mạng cho toàn DN như Khung đánh giá không gian mạng và cung cấp Hướng dẫn cụ thể về bảo mật chuỗi cung ứng.
Chính phủ cũng đã hỗ trợ các tổ chức cải thiện quản lý rủi ro mạng của họ trong thời kỳ đại dịch, bao gồm việc cung cấp khoản tài trợ 500.000 bảng Anh để cho phép các nhà cung cấp quan trọng trong các phân ngành chăm sóc sức khỏe đạt được tiêu chuẩn chuẩn bị tối thiểu thông qua chương trình Cyber Essentials do chính phủ lãnh đạo.
Bộ Kỹ thuật số, Văn hóa, Truyền thông & Thể thao (DCMS) của Vương quốc Anh đang lấy ý kiến về an ninh mạng chuỗi cung ứng để xem xét đưa vào Chiến lược An ninh mạng Quốc gia mới. Bộ trưởng Cơ sở hạ tầng Kỹ thuật số Vương quốc Anh Matt Warman tuyên bố rằng “các tổ chức thiết yếu tự bảo vệ mình và đảm bảo các chuỗi cung ứng quan trọng trong sứ mệnh của họ” vì họ “không thể thuê ngoài rủi ro”.
c. Chính phủ Trung Quốc
Trung Quốc đã tìm đến sự phát triển sản phẩm nội địa để giúp quản lý rủi ro chuỗi cung ứng. Nằm trong kế hoạch 5 năm lần thứ 11, Trung Quốc đã khởi động một nỗ lực đổi mới sản phẩm nội địa, trong đó đặt ưu tiên cao đầu tư vào nghiên cứu và phát triển trong nước, bao gồm trong tất cả các phân khúc của lĩnh vực ICT từ chip đến phần cứng và phần mềm. Nhất quán với quan điểm này, Trung Quốc ban đầu yêu cầu sử dụng danh mục sản phẩm đổi mới bản địa cho hoạt động mua sắm của chính phủ và thông qua các biện pháp hành chính để bảo vệ các cấp độ an ninh thông tin. Biện pháp này áp đặt một số các yêu cầu đối với các sản phẩm bảo mật được sử dụng trong các hệ thống thông tin cấp 3 trở lên, bao gồm các yêu cầu sau:
- Đơn vị nghiên cứu, phát triển và sản xuất sản phẩm phải được đầu tư hoặc kiểm soát bởi công dân, pháp nhân hoặc nhà nước Trung Quốc và có đại diện pháp lý độc lập tại Trung Quốc;
- Công nghệ cốt lõi và các thành phần chính của sản phẩm phải có quyền sở hữu trí tuệ độc lập của TrungQuốc; - Đơn vị phát triển và sản xuất sản phẩm phải xác nhận rằng sản phẩm không chứa các chức năng hoặc chương trình được cố ý thiết kế như một lỗ hổng, cửa hậu hoặc Trojan;
- Các sản phẩm đã được liệt kê trong danh mục sản phẩm an toàn thông tin (ATTT) của Cơ quan Chứng nhận (CNCA) phải có chứng chỉ do Trung tâm Chứng nhận ATTT Trung Quốc (ISCCC) cấp;
- Đối với các sản phẩm có chứa công nghệ mã hóa, yêu cầu sự chấp thuận của Văn phòng Quản lý mật mã thương mại Nhà nước (OSCCA) và không sản phẩm nhập khẩu nào có chức năng mã hóa có thể được sử dụng mà không có sự chấp thuận.
Đề xuất chính sách đối với Việt Nam
Các chính sách pháp luật kịp thời, phù hợp thực tế cho phép chính phủ phát triển và thực hiện quản lý rủi ro chuỗi cung ứng không gian mạng (C-SCRM) toàn diện, tổng thể và hiệu quả hơn giữa các tổ chức khu vực nhà nước và tư nhân.
a. Phát triển các sản phẩm, dịch vụ ICT trong nước, đặc biệt là sản phẩm, dịch vụ an toàn, an ninh mạng
Hệ thống pháp luật về lĩnh vực CNTTT-TT đang thiếu các quy định cho việc phát triển và thương mại hoá sản phẩm công nghệ mới như lĩnh vực Cloud computing, AI, Blockchain, Big Data,... dẫn đến các DN nghiên cứu, phát triển các sản phẩm, dịch vụ công nghệ mới gặp nhiều khó khăn do chưa được đặt tên, phân loại, chưa có chính sách để hỗ trợ. DN có thể gặp rủi ro khi đưa ra thị trường các sản phẩm, dịch vụ công nghệ mới nếu thiếu các quy định pháp lý. Ngay cả việc thử nghiệm các sản phẩm, dịch vụ công nghệ số mới cũng có thể gặp nhiều khó khăn.
Hiện tại, Bộ TT&TT đang xây dựng chính sách về lĩnh vực công nghiệp công nghệ số. Các chính sách được xây dựng cần hỗ trợ:
- Thúc đẩy phát triển sản phẩm, dịch vụ công nghệ số; thúc đẩy quản trị rủi ro an toàn, an ninh mạng trên toàn nền kinh tế và xã hội, bao gồm thông qua các chính sách mua sắm công và tuyển dụng các chuyên gia có trình độ quản trị rủi ro phù hợp;
- Bảo đảm một hệ thống cơ sở hạ tầng băng thông rộng, giá rẻ; Phát triển hệ thống trung tâm dữ liệu (data centers) và điện toán đám mây để triển khai nhanh và toàn diện mô hình thuê dịch vụ CNTT; Sẵn sàng để đón nhận xu hướng công nghệ mới như Blockchain, AI, IoT, Big Data...;
- Huy động được sức mạnh của cả hệ thống trong công tác bảo đảm an toàn, an ninh mạng trong xã hội;
- Chính sách phát triển đội ngũ chuyên gia, các nhà khoa học về CNTT nói chung và lĩnh vực an toàn, an ninh mạng nói riêng. Thúc đẩy hoạt động nghiên cứu và phát triển về quản trị rủi ro an toàn, an ninh mạng trong toàn xã hội nhằm thúc đẩy đổi mới.
b. Kiểm định sản phẩm ICT, tập trung vào sản phẩm an toàn, an ninh mạng
Khi nói đến các thiết bị ICT, người ta thường tập trung vào an toàn phần mềm hoặc an toàn trong quá trình xử lý thông tin, còn phần cứng thì luôn được coi là “tin cậy”. Tuy nhiên, trong những năm gần đây, các vấn đề liên quan đến an toàn phần cứng nhằm đảm bảo sự tin cậy của thiết bị đã được các nhà khoa học công nghệ tập trung nghiên cứu. Nguyên nhân do nhiều linh kiện của một thiết bị được sản xuất chế tạo bởi đối tác thứ ba, phần lớn được nhập khẩu từ các nước khác nhau, nên rất khó kiểm soát việc sửa đổi phần cứng độc hại trong quá trình thiết kế hoặc chế tạo. Mã độc phần cứng (Hardware Trojan - HT) làm cho thiết bị thay đổi về chức năng và gây hậu quả nghiêm trọng đối với các hệ thống thông tin. Quá trình kiểm tra thông thường rất khó phát hiện các HT, bởi bản chất “tiềm ẩn” trong chính quá trình thiết kế, chế tạo sản phẩm.
Do vậy, để đánh giá một sản phẩm ICT thì phải có một hệ thống các tiêu chí đánh giá, kiểm định tốt để dựa vào đó kiểm định xem sản phẩm được sản xuất ra có đáp ứng các yêu cầu an toàn của khách hàng hay không.
c. Tăng cường hợp tác quốc tế và tương trợ lẫn nhau
- Tham gia các diễn đàn khu vực và quốc tế, thiết lập các mối quan hệ song phương và đa phương để chia sẻ kinh nghiệm và thực tiễn tốt nhất.
- Thúc đẩy cách tiếp cận để quản trị rủi ro an toàn, an ninh mạng quốc gia không làm tăng rủi ro cho các quốc gia khác.
- Hỗ trợ cho các quốc gia khác và thiết lập các đầu mối liên hệ quốc gia để giải quyết các yêu cầu xuyên biên giới liên quan đến các vấn đề quản trị rủi ro an ninh số một cách kịp thời.
d. Thắt chặt hợp tác công tư để chia sẻ thông tin liên quan các rủi ro
- Tăng cường quan hệ tương tác giữa chính phủ và doanh nghiệp trong việc hỗ trợ lẫn nhau.
- Xác định và giải quyết các tác động tiêu cực tiềm ẩn do chính sách của chính phủ ban hành.
- Ban hành và phổ biến rộng rãi các quy định, quy trình, thủ tục quản lý rủi ro an toàn, an ninh mạng.
- Khuyến khích mọi thành phần xã hội phát hiện, báo cáo, sửa chữa các lỗ hổng an toàn, an ninh mạng một cách có trách nhiệm.
- Nâng cao nhận thức, trình độ, kỹ năng và trao quyền cho toàn xã hội để cùng quản lý rủi ro an toàn, an ninh mạng thông qua các sáng kiến công nghệ phù hợp với nhu cầu cụ thể trong từng lĩnh vực kinh tế xã hội.