Ba thay đổi lớn trong Luật An ninh mạng 2025, doanh nghiệp cần chú ý
Có hiệu lực từ ngày 1/7/2026, Luật An ninh mạng mới có những thay đổi quan trọng đối với các doanh nghiệp Việt Nam. Luật mở rộng phạm vi dữ liệu được bảo vệ và mở rộng các yêu cầu về an ninh mạng. Bài viết đề cập một số thay đổi này và cách đáp ứng các yêu cầu mới để tránh các khoản phạt tiềm ẩn.
Mở rộng phạm vi thông tin được bảo vệ
Điểm sửa đổi quan trọng là Điều 15 của Luật An ninh mạng 2025 mở rộng các loại thông tin cần được bảo vệ. Danh sách này bao gồm: bí mật nhà nước, bí mật công tác, bí mật cá nhân, bí mật gia đình và đời sống riêng tư.
Điều này có nghĩa là dữ liệu nhạy cảm có thể tồn tại không chỉ trong các cơ sở dữ liệu và bảng dữ liệu có cấu trúc, mà còn ở các định dạng phi cấu trúc, chẳng hạn như hình ảnh, bản quét (scan) hợp đồng hoặc giấy tờ tùy thân, cùng nhiều loại tệp khác. Trong nhiều trường hợp, các giải pháp bảo vệ dữ liệu truyền thống không thể bảo vệ nội dung phi cấu trúc một cách đáng tin cậy.
Để thích ứng với việc mở rộng phạm vi dữ liệu được bảo vệ, cần triển khai các giải pháp kiểm toán và bảo vệ dữ liệu lấy dữ liệu làm trung tâm (Data-Centric Audit and Protection - DCAP). Các hệ thống như SearchInform FileAuditor quét hạ tầng công nghệ thông tin (CNTT) của doanh nghiệp (DN), bao gồm kho lưu trữ tệp tại chỗ và dịch vụ đám mây, đồng thời phân tích nội dung tệp, bao gồm cả dữ liệu phi cấu trúc như ảnh chụp màn hình và bản scan tài liệu, có thể được xem xét.
Với hệ thống DCAP, đội ngũ an ninh có thể tự động hóa việc quản lý quyền truy cập của người dùng đối với tệp, từ đó giảm rủi ro lạm dụng dữ liệu trong cả dữ liệu có cấu trúc và phi cấu trúc. Những giải pháp như vậy giúp DN dễ dàng bổ sung các loại tệp mới vào danh sách dữ liệu cần bảo vệ và đáp ứng các thay đổi pháp lý.
Phát triển các biện pháp bảo vệ dữ liệu
Một thay đổi lớn khác là sự chuyển đổi trong khái niệm an toàn dữ liệu. Điều 26 của Luật An ninh mạng 2025 quy định không chỉ cần áp dụng các biện pháp và tiêu chuẩn theo quy định của pháp luật về an ninh mạng, mà còn cần áp dụng các cơ chế kiểm soát nhân sự tham gia vào quá trình xử lý dữ liệu.
Điều này rất quan trọng vì dữ liệu nhạy cảm không tự rò rỉ một cách riêng lẻ. Trước khi thông tin bị lộ, thông tin đó thường đã được truy cập, sử dụng, sao chép, chuyển tiếp hoặc xử lý bởi một người nào đó trong tổ chức - hoặc bởi một hệ thống nội bộ hoạt động như một phần của quy trình kinh doanh.
Vì vậy, bảo vệ dữ liệu hiệu quả đòi hỏi khả năng hiển thị ở cả hai phía: những tệp nào chứa thông tin nhạy cảm và ai, hoặc hệ thống nào, đang tương tác với chúng. Chỉ kiểm soát tệp không thể cho thấy đầy đủ bối cảnh rủi ro, trong khi việc giám sát hoạt động của người dùng và hệ thống mà không hiểu giá trị của dữ liệu liên quan cũng là chưa đủ.
Bảo vệ hiệu quả bắt đầu từ điểm giao nhau của các yếu tố này: dữ liệu nào đang được truy cập, ai đang sử dụng dữ liệu đó, những hành động nào đang được thực hiện và liệu các hoạt động này có lệch khỏi hành vi bình thường hay không. Theo đó, cần xây dựng quản lý rủi ro hiệu quả.
Ngày nay, an ninh mạng không còn chỉ là chặn các hoạt động truyền dữ liệu đáng ngờ. Các công cụ hiện đại, chẳng hạn như SearchInform Next-Gen DLP, kết hợp nhiều lớp bảo vệ: ngăn chặn các hoạt động truyền dữ liệu rủi ro, giám sát hoạt động của nhân viên và phát hiện bất thường bằng các công cụ phân tích.
Một trường hợp từ thực tế đã minh họa rõ điểm này. Một nhân viên có quyền truy cập vào dữ liệu nhạy cảm, bao gồm thông tin định danh cá nhân của khách hàng.
Giải pháp Next-Gen DLP đã phát hiện rằng nhân viên này đã đăng ký trên một số trang web giải trí và diễn đàn trực tuyến bằng máy tính làm việc. Người này sử dụng địa chỉ email công ty làm tên đăng nhập và dùng lại cùng một mật khẩu cho tất cả các tài khoản đó, chỉ để không phải ghi nhớ nhiều mật khẩu khác nhau.
Phần lớn các công cụ bảo mật sẽ không đánh dấu những hành động này là rủi ro tiềm ẩn. Xét cho cùng, chưa có thông tin mật nào thực sự rời khỏi công ty. Tuy nhiên, mối đe dọa là có thật: nếu bất kỳ dịch vụ bên ngoài nào trong số này bị xâm phạm, kẻ tấn công có thể lấy được thông tin xác thực của nhân viên và có khả năng truy cập vào dữ liệu doanh nghiệp mật.
Đây chính là loại rủi ro tiềm ẩn mà các công cụ bảo mật tiên tiến có thể phát hiện trước khi nó trở thành một sự cố nghiêm trọng.
Trường hợp này cho thấy rõ vì sao bảo vệ dữ liệu phải vượt ra ngoài kiểm soát kỹ thuật thuần túy. Ngay cả những hoạt động nhìn bề ngoài có vẻ vô hại cũng có thể là dấu hiệu của các rủi ro kinh doanh nghiêm trọng, bao gồm: gian lận, xung đột lợi ích và lạm dụng thông tin DN. Sự chuyển dịch này được phản ánh trong Luật An ninh mạng 2025 mới: các công ty được kỳ vọng xây dựng một cách tiếp cận rộng hơn và thực tiễn hơn đối với bảo vệ dữ liệu.
Để hỗ trợ sự phát triển này, Luật đưa ra các chế tài mạnh hơn. Các thất bại trong bảo vệ dữ liệu giờ đây có thể không chỉ dẫn đến các khoản phạt hành chính cố định, mà còn dẫn đến các khoản phạt gắn với doanh thu của công ty và quy mô sự cố.
Chế tài mạnh hơn, rủi ro kinh doanh cao hơn
Bộ Công an đã công bố dự thảo nghị định về xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân. Dự thảo này sẽ đưa ra các mức phạt nghiêm khắc hơn đối với các vi phạm Luật An ninh mạng 2025 và Luật Bảo vệ dữ liệu cá nhân 2025.
Đối với hành vi thu thập, chuyển giao hoặc mua bán dữ liệu cá nhân trái phép, các công ty có thể bị phạt từ 50-70 triệu đồng. Trong trường hợp tái phạm, tổ chức có thể bị phạt tới 5% tổng doanh thu.
Các mức phạt tương tự cũng có thể áp dụng cho nhiều vi phạm khác về bảo vệ dữ liệu, bao gồm việc không triển khai các biện pháp bảo vệ dữ liệu cá nhân. Các công ty có thể bị phạt từ 70-100 triệu đồng đối với các vi phạm liên quan đến chuyển dữ liệu xuyên biên giới.
Một khía cạnh quan trọng khác là mối tương quan giữa quy mô của vụ rò rỉ dữ liệu và mức phạt. Mức phạt có thể tăng gấp đôi nếu hơn 100.000 nhưng dưới 1.000.000 người bị ảnh hưởng. Nếu số lượng cá nhân bị ảnh hưởng dao động từ 1.000.000 đến 5.000.000 người, mức phạt có thể tăng gấp năm lần. Đối với các vi phạm liên quan đến hơn 5.000.000 người, mức phạt tính theo tỷ lệ phần trăm doanh thu có thể được áp dụng.
Các chế tài được đề xuất tại Việt Nam cho thấy an ninh mạng và bảo vệ dữ liệu cá nhân đang trở thành những rủi ro kinh doanh thực tế và có thể đo lường được.
Tương lai của bảo vệ dữ liệu tại Việt Nam
Để đảm bảo phù hợp với Luật An ninh mạng, các DN Việt Nam cần thực hiện các bước sau:
Thực hiện kiểm toán dữ liệu
Kiểm toán dữ liệu giúp DN xác định tất cả các tệp chứa thông tin nhạy cảm thuộc danh sách mở rộng của dữ liệu được bảo vệ. Đây là bước thiết yếu vì dữ liệu mật đôi khi có thể được lưu trữ bên ngoài các kho lưu trữ được bảo vệ, chẳng hạn như trên máy trạm của nhân viên.
Phân loại dữ liệu đã phát hiện và gắn nhãn tệp
Nhãn bảo mật thường bị đánh giá thấp, nhưng đây là một biện pháp bảo vệ hiệu quả. Nhiều vụ rò rỉ dữ liệu xảy ra do vô ý, và các dấu hiệu phân loại trực quan giúp nhân viên tuân thủ chính sách bảo mật, qua đó giảm rủi ro bị lộ dữ liệu. Công cụ DCAP cho phép DN gắn nhãn phân loại tệp theo cách thủ công hoặc tự động hóa quy trình này.
Triển khai chính sách chặn
Công cụ phù hợp nhất cho nhiệm vụ này là hệ thống DLP. Hệ thống này cho phép đội ngũ an ninh thiết lập các quy tắc bảo mật linh hoạt và quản lý quá trình xử lý dữ liệu ở cấp độ chi tiết. Các chính sách bảo mật dựa trên nội dung và ngữ cảnh giúp đảm bảo khả năng bảo vệ đáng tin cậy.
Tổ chức các khóa đào tạo
Luật mới đã tăng mức phạt đối với các vi phạm về bảo vệ dữ liệu. Để giảm rủi ro vi phạm, các công ty nên đào tạo nhân viên về những thay đổi quan trọng được đưa ra trong Luật An ninh mạng 2025, bao gồm các yêu cầu mới và chế tài đối với hành vi không tuân thủ.
Sau khi hoàn thành các bước cơ bản này, DN sẽ được chuẩn bị tốt hơn cho những thay đổi được đưa ra trong Luật An ninh mạng 2025./.
