2026.03.05 08:06

Đánh giá bảo mật 10 doanh nghiệp Việt thì 8 đơn vị mắc lỗi quản trị danh tính

Báo cáo an ninh mạng năm 2025 cho thấy công tác phòng thủ của nhiều doanh nghiệp Việt Nam vẫn tồn tại không ít “khoảng trống”, đặc biệt ở khâu quản trị danh tính và truy cập. Theo thống kê của Hiệp hội An ninh mạng quốc gia (NCA), gần một nửa tổ chức vẫn thiếu nhân sự an ninh mạng, khoảng 28% chưa áp dụng bất kỳ tiêu chuẩn bảo mật nào và hơn 9% chưa triển khai các biện pháp kiểm soát truy cập Internet cơ bản như tường lửa.

Những đánh giá này tiếp tục được củng cố trong báo cáo “An ninh mạng 2025 - Dự báo xu hướng 2026” do VSEC công bố. Theo các chuyên gia, dù ngân sách dành cho bảo mật đã tăng, hiệu quả phòng thủ tại nhiều doanh nghiệp vẫn chưa tương xứng. Nguyên nhân chủ yếu nằm ở khoảng cách giữa việc triển khai công nghệ và khả năng vận hành thực tế.

Nhiều tổ chức đã trang bị các giải pháp như firewall, EDR, SIEM hay SOC nhưng các hệ thống này hoạt động rời rạc, thiếu sự kết nối và vẫn phụ thuộc nhiều vào thao tác thủ công. Trong khi đó, các cuộc tấn công mạng hiện nay được tự động hóa cao, khiến tốc độ tấn công nhanh hơn rất nhiều so với khả năng phản ứng của con người.

Đáng chú ý, theo ông Phan Hoàng Giáp, Phó Tổng Giám đốc kiêm CTO của VSEC, quản trị danh tính và truy cập (IAM) đang là điểm yếu phổ biến nhất của doanh nghiệp Việt Nam. Thống kê từ khoảng 100 cuộc đánh giá bảo mật trong năm 2025 cho thấy cứ 10 doanh nghiệp được kiểm tra thì có tới 8 đơn vị tồn tại lỗ hổng ở lĩnh vực này, tỷ lệ thậm chí lên tới 90–100% ở các doanh nghiệp vừa và nhỏ.

Các vấn đề thường gặp bao gồm phân quyền truy cập dư thừa, thiếu giám sát tài khoản đặc quyền, quản lý kém tài khoản dịch vụ và thiếu kiểm soát đăng nhập bất thường. Đây chính là những điểm dễ bị khai thác ngay từ giai đoạn đầu của các cuộc tấn công mạng.

Trước thực trạng này, các chuyên gia khuyến nghị doanh nghiệp cần chuyển từ mô hình phòng thủ thụ động sang phòng thủ chủ động, đồng thời xây dựng văn hóa bảo mật trong tổ chức, bởi hành vi của người dùng vẫn là yếu tố quyết định hiệu quả của hệ thống an ninh mạng.

Cập Nhật Công Nghệ