Kiểm soát rủi ro chuỗi cung ứng tại châu Á - Thái Bình Dương gặp trở ngại lớn

Tấn công chuỗi cung ứng là mối đe dọa hàng đầu đối với doanh nghiệp

Nghiên cứu mới nhất của Kaspersky về rủi ro chuỗi cung ứng và các mối quan hệ tin cậy chỉ ra rằng tấn công chuỗi cung ứng đã trở thành một trong những mối đe dọa hàng đầu đối với doanh nghiệp, với 1/3 tổ chức bị ảnh hưởng trong vòng một năm qua.

Trước mức độ nghiêm trọng và tần suất ngày càng gia tăng, việc làm rõ các nguyên nhân cốt lõi khiến doanh nghiệp (DN) chưa thể kiểm soát hiệu quả các rủi ro này trở nên cấp thiết hơn bao giờ hết.

Bài toán nhân lực: Rào cản lớn nhất

Việc thiếu hụt nguồn nhân lực có chuyên môn đang trở thành một trong những rào cản lớn trong nỗ lực giảm thiểu rủi ro chuỗi cung ứng và rủi ro từ các mối quan hệ tin cậy. Điều này khiến các tổ chức không đủ năng lực để liên tục phát hiện và giám sát các lỗ hổng tiềm ẩn từ bên thứ ba trong hệ sinh thái của mình.

Theo khảo sát tại khu vực châu Á - Thái Bình Dương, tỷ lệ DN gặp phải tình trạng thiếu nhân sự an ninh CNTT có chuyên môn dao động từ 34% tại Singapore đến 57% tại Việt Nam.

Tại Malaysia, bài toán nhân lực an ninh mạng đang ngày càng trở nên rõ rệt khi nhu cầu về các chuyên gia có kỹ năng tiếp tục gia tăng, trong bối cảnh quốc gia này đẩy mạnh các nỗ lực củng cố năng lực an ninh mạng theo Chiến lược An ninh mạng Malaysia 2025 - 2030.

Theo Bộ Kỹ thuật số Malaysia, đến năm 2026, nước này dự kiến cần 28.068 chuyên gia an ninh mạng, trong khi quy mô lực lượng hiện tại, theo các ước tính trước đó, chỉ khoảng 16.765 người.

Khi đội ngũ bảo mật phải phân bổ nguồn lực cho quá nhiều nhiệm vụ cùng lúc, các mối đe dọa từ chuỗi cung ứng có nguy cơ bị bỏ sót. Đây cũng là thực trạng được nhiều DN chỉ ra, khi nhu cầu cân đối giữa nhiều ưu tiên an ninh mạng khác nhau trở thành một trong những rào cản chính.

Theo khảo sát, vấn đề này đặc biệt nổi bật tại các quốc gia như Ấn Độ (54%), Việt Nam (48%) và Singapore (47%).

Thiếu các yêu cầu bảo mật rõ ràng đối với bên thứ ba

Không chỉ dừng lại ở hạn chế về nguồn lực, các vấn đề mang tính cấu trúc cũng được nhiều DN chỉ ra. Tại khu vực châu Á - Thái Bình Dương, từ 30% - 61% DN cho biết hợp đồng với các nhà thầu chưa bao gồm các nghĩa vụ an ninh CNTT, phản ánh thực tế nhiều tổ chức vẫn thiếu các yêu cầu bảo mật rõ ràng đối với bên thứ ba.

Đồng thời, từ 25% - 38% DN cũng thừa nhận rằng đội ngũ không chuyên về an ninh CNTT thường chưa hiểu đầy đủ các rủi ro này.

Khoảng cách lớn giữa nhu cầu và năng lực bảo mật đang được thể hiện rõ qua khảo sát toàn cầu. Chỉ 15% DN cho rằng các biện pháp bảo mật hiện tại của mình là hiệu quả, trong khi tới 85% thừa nhận cần nâng cấp năng lực bảo vệ trước các rủi ro từ chuỗi cung ứng và các mối quan hệ tin cậy.

Mức độ tự tin này còn sụt giảm mạnh tại các nền kinh tế trọng điểm như Đức (6%), Thổ Nhĩ Kỳ (7%), Italy (8%), Brazil (8%), Nga (8%) và Ả Rập Xê Út (9%).

Không giống xu hướng đồng đều trên toàn cầu, mức độ tự tin tại khu vực châu Á - Thái Bình Dương cho thấy sự phân hóa đáng kể giữa các thị trường.

Trong khi các quốc gia như Ấn Độ (11%), Indonesia (14%) và Singapore (14%) ghi nhận mức độ tự tin thấp tương tự xu hướng toàn cầu, thì một số thị trường khác như Việt Nam (21%) và Trung Quốc (34%) lại cho thấy mức độ tự tin cao hơn vào các biện pháp bảo mật hiện có.

Tính rời rạc trong việc triển khai các biện pháp giảm thiểu rủi ro từ bên thứ ba đang là một vấn đề đáng chú ý. Theo khảo sát, ngay cả xác thực hai yếu tố, vốn là biện pháp bảo mật phổ biến nhất, cũng có mức độ áp dụng không đồng đều trên toàn khu vực. Singapore ghi nhận tỷ lệ áp dụng thấp đáng báo động, chỉ 28%, trong khi các thị trường khác đạt trên 35%, nhưng vẫn chưa tiệm cận mức trung bình toàn cầu.

Sự thiếu nhất quán trong việc đánh giá và duy trì trạng thái an ninh mạng tại châu Á - Thái Bình Dương đang làm suy giảm khả năng giám sát của các tổ chức đối với mức độ bảo mật của các đối tác, qua đó gia tăng nguy cơ phơi bày trước các lỗ hổng đang liên tục phát sinh trong hệ sinh thái.

Trải nghiệm thực tế từ các cuộc tấn công chuỗi cung ứng và tấn công thông qua mối quan hệ tin cậy đang thúc đẩy doanh nghiệp siết chặt các biện pháp bảo mật.

Trên phạm vi toàn cầu, các DN từng bị tấn công chuỗi cung ứng có xu hướng yêu cầu kết quả kiểm thử xâm nhập (penetration testing) nhiều hơn (56%). Trong khi đó, những DN từng bị xâm phạm thông qua mối quan hệ tin cậy lại ưu tiên đánh giá mức độ tuân thủ tiêu chuẩn ngành (56%) cũng như chính sách chuỗi cung ứng của các nhà thầu (53%).

Cần áp dụng các chiến lược giảm thiểu rủi ro một cách thống nhất

Đánh giá về những thiếu hụt trên, ông Sergey Soldatov, Trưởng trung tâm điều hành an ninh (SOC) tại Kaspersky nhận định: “Khi các đội ngũ bảo mật rơi vào tình trạng quá tải, thiếu nhân lực và xử lý các nhiệm vụ cấp bách thay vì tập trung vào khả năng chống chịu dài hạn, DN sẽ đứng trước nguy cơ bị các mối đe dọa âm thầm xâm nhập và lan rộng trong hệ sinh thái đối tác. Để thay đổi thực trạng này, toàn ngành cần áp dụng các chiến lược giảm thiểu rủi ro một cách thống nhất và nhất quán hơn, từ việc chuẩn hóa quy trình đánh giá nhà thầu đến tăng cường nhận thức giữa các bộ phận. An ninh chuỗi cung ứng cần được xem là trách nhiệm chung, có tính bắt buộc, trên toàn bộ mạng lưới DN”.

Trong bối cảnh các tổ chức tại châu Á - Thái Bình Dương không ngừng mở rộng hệ sinh thái số, an ninh chuỗi cung ứng cần được quản lý với cùng mức độ kỷ luật như vận hành nội bộ.

Việc này được ông Adrian Hia, Giám đốc điều hành Kaspersky khu vực châu Á - Thái Bình Dương cho rằng đòi hỏi phải thiết lập các yêu cầu bảo mật rõ ràng đối với đối tác, duy trì kiểm tra và xác thực các tiêu chuẩn này một cách nhất quán, đồng thời đảm bảo trách nhiệm giải trình được tích hợp vào các quy trình vận hành hằng ngày. Với cách tiếp cận có hệ thống, các tổ chức có thể xây dựng một hệ sinh thái đối tác đáng tin cậy hơn, đồng thời giảm thiểu các rủi ro có thể tránh được./.

Hạnh Tâm