Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

An toàn và bảo mật mạng - Yêu cầu tiên quyết cho thị trường tài sản mã hóa thí điểm tại Việt Nam

11:02 | 04/12/2025
TS. Nguyễn Như Tuấn (Tạp chí An toàn thông tin)

[ATTT số 5 (087) 2025] - Thực tế về tình hình an toàn, an ninh mạng trên các sàn giao dịch tài chính trong thời gian gần đây cho thấy các cuộc tấn công mạng ngày càng có độ phức tạp và tinh vi cao, gây thiệt hại lớn và ảnh hưởng trực tiếp đến niềm tin của người dùng. Trong khoảng 5 năm trở lại đây, thế giới đã ghi nhận gần 700 cuộc tấn công lên các sàn giao dịch tiền mã hoá, gây thiệt hại gần 13 tỷ USD. Điển hình như vụ tấn công vào các sàn giao dịch tiền mã hóa như: Binance năm 2019, tin tặc đã lấy đi 7.000 Bitcoin, vụ tấn công vào sàn Bybit đầu năm 2025 gây thiệt hại gần 1,5 tỷ USD, hay gần đây nhất là vụ tấn công vào sàn Upbit tin tặc đã lấy hơn 35 triệu USD.   

Vì vậy, việc đảm bảo an toàn, an ninh mạng trên các sàn giao dịch là vô cùng cấp thiết. Bài báo này sẽ phân tích khả năng bảo đảm an toàn, an ninh mạng cho các sàn giao dịch và nhà đầu tư dựa trên các nguyên tắc, quy định của Nghị quyết số 05/NQ-CP (sau đây gọi tắt là Nghị quyết 05) ngày 09/9/2025 do Chính phủ ban hành về triển khai thí điểm thị trường tài sản mã hóa tại Việt Nam. Nghị quyết này được coi là bước đi đầu tiên nhằm đưa hoạt động phát hành, lưu ký, giao dịch và quản lý tài sản mã hóa vào khuôn khổ pháp lý có kiểm soát.

CHUẨN AN TOÀN THÔNG TIN CẤP ĐỘ 4 - HÀNG RÀO KỸ THUẬT CAO NHẤT TRONG HỆ THỐNG TÀI CHÍNH SỐ

Theo Nghị quyết 05, việc triển khai thí điểm thị trường tài sản mã hóa thực hiện trên nguyên tắc thận trọng, có kiểm soát, có lộ trình phù hợp với thực tiễn, an toàn, minh bạch, hiệu quả, bảo vệ quyền và lợi ích hợp pháp của các tổ chức, cá nhân tham gia thị trường tài sản mã hóa. Khác với nhiều quốc gia áp dụng sandbox theo cách linh hoạt (điển hình như Singapore), Việt Nam chọn hướng tiếp cận thận trọng, ưu tiên kiểm soát rủi ro và bảo vệ nhà đầu tư, trong đó coi an toàn mạng và bảo mật thông tin là điều kiện tiên quyết trước khi mở rộng thị trường. Đây được xem là cách tiếp cận phù hợp với đặc thù của Việt Nam và tình hình thị trường tài sản mã hoá hiện nay.

Theo Điều 8, Khoản 7, các tổ chức cung cấp dịch vụ tài sản mã hóa phải đáp ứng tiêu chuẩn cấp độ 4 an toàn hệ thống công nghệ thông tin - theo Luật An toàn thông tin mạng 2015 thì với cấp độ này, "khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia". Đặc biệt, theo dự thảo Luật An ninh mạng sửa đổi dựa trên sự kết hợp Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018, dự kiến ban hành cuối năm 2025, thì "cấp độ an toàn hệ thống thông tin" được chuyển thành "cấp độ an ninh mạng của hệ thống thông tin". Theo đó, hệ thống thông tin "bị phá hoại" được cụ thể và mở rộng hơn là khi hệ thống thông tin "bị sự cố, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt, tấn công hoặc phá hoại". Đây là cấp độ thường chỉ áp dụng cho hệ thống trọng yếu quốc gia như ngân hàng trung ương, kho bạc, hải quan hoặc các cơ quan tài chính nhà nước. Việc mở rộng tiêu chuẩn này cho doanh nghiệp tư nhân thể hiện định hướng: thị trường tài sản số được xem như một phần của hạ tầng tài chính quốc gia.

Đồng thời, Điều 9, Khoản 7 yêu cầu hồ sơ xin cấp phép phải có văn bản thẩm định an toàn hệ thống thông tin cấp độ 4 do Bộ Công an xác nhận, tức là hệ thống không được phép vận hành nếu chưa qua kiểm định an toàn, bảo mật của cơ quan an ninh mạng quốc gia. Theo Nghị định số 85/2016/NĐ-CP, yêu cầu đảm bảo an toàn hệ thống thông tin phải được quan tâm xuyên suốt từ khi thiết kế, xây dựng, vận hành đến lúc kết thúc, thanh lý, hủy bỏ. Để đạt cấp độ này, tổ chức cung cấp dịch vụ tài sản mã hóa cần đáp ứng các yêu cầu cơ bản như:

- Thiết kế kiến trúc an ninh đa lớp, có vùng cách ly dữ liệu giao dịch với vùng truy cập công cộng.

- Thực hiện mã hóa dữ liệu quan trọng ở cả trạng thái khi đang lưu trữ và trong quá trình truyền tải; áp dụng kỹ thuật phân vùng, ẩn danh để bảo vệ dữ liệu nhạy cảm.

- Xây dựng trung tâm dữ liệu dự phòng (backup center), có sao lưu ngoại tuyến, kiểm tra định kỳ khả năng phục hồi để bảo đảm tính liên tục.

- Tích hợp hệ thống giám sát an ninh và thu thập log với cảnh báo sớm sự cố; có quy trình điều phối, phản ứng sự cố 24/7.

- Có quy trình kiểm thử xâm nhập, đánh giá rủi ro an ninh mạng, đánh giá lỗ hổng định kỳ và kiểm toán an toàn mạng (ít nhất 1 lần/ năm) bởi bên thứ ba độc lập.

- Triển khai kiểm soát truy cập đa yếu tố (MFA) cho tất cả người dùng, đặc biệt là những người có quyền truy cập quản trị hệ thống. Chỉ phân quyền chi tiết tối thiểu cần thiết cho từng vai trò. Có cơ chế ghi nhật ký và phân tích hành vi truy cập bất thường.

QUẢN TRỊ RỦI RO VÀ NĂNG LỰC NHÂN SỰ: NỀN TẢNG CỦA AN TOÀN DÀI HẠN

Không chỉ yêu cầu về kỹ thuật và hệ thống, Nghị quyết 05 còn đưa ra các yêu cầu cao về nhân lực và quản trị rủi ro cho vấn đề an toàn, bảo mật hệ thống. Cụ thể, theo Điều 8, Khoản 5, doanh nghiệp cung cấp dịch vụ tài sản mã hóa phải có: Giám đốc công nghệ (CTO) có tối thiểu 05 năm kinh nghiệm làm việc tại bộ phận công nghệ thông tin của các tổ chức trong lĩnh vực tài chính, chứng khoán, ngân hàng, bảo hiểm, quản lý quỹ hoặc doanh nghiệp hoạt động trong lĩnh vực công nghệ và có tối thiểu 10 nhân sự làm việc tại bộ phận công nghệ có văn bằng, chứng chỉ đào tạo về an toàn thông tin mạng đáp ứng quy định tại Điều 50 Luật An toàn thông tin mạng. Đội ngũ nhân lực này đảm bảo cho các sàn thành lập lực lượng chuyên trách về an toàn thông tin để trực tiếp giúp người đứng đầu quản lý công tác an toàn hệ thống thông tin theo theo Nghị định số 85/2016/NĐ-CP.

Bên cạnh nhân sự, Nghị quyết 05 yêu cầu xây dựng 11 quy trình nghiệp vụ bắt buộc, trong đó có: Quy trình quản trị rủi ro, bảo mật thông tin; Quy trình phòng, chống rửa tiền và tài trợ khủng bố; Quy trình kiểm soát nội bộ, giám sát giao dịch; Quy trình bồi thường thiệt hại khi xảy ra mất an toàn hệ thống (Khoản 6, Điều 8). Mức độ bồi thường thiệt hại cho nhà đầu tư khi hệ thống mất an toàn không được đưa ra trong Nghị định 05. Theo một số chuyên gia, mức độ bồi thường có thể như mức bảo hiểm tiền gửi ngân hàng hoặc tượng tự như đối với sàn giao dịch chứng khoán. Thực tế hiện nay, một số sàn giao dịch tài sản mã hóa lớn như Binance hay Bybit thì họ xây dựng quỹ bảo hiểm và thông báo cam kết bồi thường 1:1, tuy nhiên có sàn không thể bồi thường khi xẩy ra sự cố dẫn đến phải đóng cửa như sàn FTX năm 2022.

Đây là lần đầu tiên một văn bản pháp luật về thị trường tài sản số quy định đồng thời cả yếu tố kỹ thuật, nhân lực và quản trị rủi ro - ba trụ cột tạo nên năng lực an toàn, an ninh mạng thực chất.

BẢO MẬT DỮ LIỆU VÀ LƯU TRỮ 10 NĂM - CÔNG CỤ KIỂM SOÁT RỦI RO VÀ TRUY VẾT TỘI PHẠM

Theo Điều 15, Khoản 2, các tổ chức cung cấp dịch vụ tài sản mã hóa có trách nhiệm phải lưu trữ dữ liệu người dùng, lịch sử giao dịch, địa chỉ ví, địa chỉ IP và thông tin thiết bị trong tối thiểu 10 năm (Luật Phòng, chống rửa tiền 2022 quy định thời gian lưu trữ ít nhất là 5 năm) và toàn bộ dữ liệu phải đặt tại máy chủ ở Việt Nam.

Quy định này thống nhất với Điều 26 của Luật An ninh mạng 2018, buộc doanh nghiệp nước ngoài hoạt động tại Việt Nam cũng phải lưu trữ dữ liệu người dùng Việt Nam trong lãnh thổ quốc gia và cung cấp dữ liệu cho cơ quan có thẩm quyền khi được yêu cầu.

Thực tế về các cuộc tấn công mạng gần đây có độ phức tạp và tinh vi rất cao. Do đó, yêu cầu cơ chế lưu trữ đầy đủ và dài hạn sẽ giúp:

- Truy xuất bằng chứng trong tranh chấp hoặc điều tra tội phạm mạng.

- Phát hiện hành vi thao túng thị trường hoặc rửa tiền xuyên biên giới.

- Tăng khả năng giám sát và phản ứng chính sách của Nhà nước.

Như vậy, các sàn giao dịch không chỉ phải đảm bảo an toàn về kỹ thuật, mà còn phải tuân thủ quyền riêng tư và bảo vệ dữ liệu cá nhân như một nghĩa vụ pháp lý bắt buộc. Theo đó, các sàn chỉ được thu thập, xử lý và chia sẻ thông tin cá nhân khi có sự đồng ý rõ ràng của người dùng; Bổ nhiệm cán bộ phụ trách bảo vệ dữ liệu (Data Protection Officer - DPO) và báo cáo hoạt động xử lý dữ liệu hằng năm cho cơ quan quản lý.

Tuy nhiên, điều này cũng đồng nghĩa với việc các sàn thí điểm phải đầu tư hệ thống lưu trữ và bảo mật dữ liệu quy mô lớn, đảm bảo vừa tuân thủ quy định, vừa bảo vệ quyền riêng tư người dùng theo Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân và Luật Bảo vệ dữ liệu cá nhân năm 2025.

KẾT LUẬN

Nghị quyết 05 yêu cầu tổ chức, cá nhân tham gia thị trường tài sản mã hóa phải tuân thủ quy định pháp luật có liên quan về giao dịch điện tử, an toàn thông tin mạng, an ninh mạng, bảo vệ dữ liệu để bảo đảm an ninh, an toàn trên thị trường tài sản mã hóa và các pháp luật chuyên ngành khác có liên quan. Đồng thời nhấn mạnh định hướng xuyên suốt, khiến thị trường tài sản mã hóa chỉ được phép phát triển khi nền tảng an ninh mạng đủ vững chắc. Nếu được thực thi đầy đủ, các tiêu chuẩn an toàn bảo mật này không chỉ giúp bảo vệ nhà đầu tư và doanh nghiệp, mà còn đưa Việt Nam thành quốc gia tiên phong trong khu vực về quản trị rủi ro tài chính số. Tuy nhiên, để quá trình triển khai được thuận lợi vẫn cần có các hướng dẫn cụ thể hơn như: Cơ chế kiểm toán an ninh độc lập hàng năm; quy trình phản ứng sự cố an ninh mạng, chia sẻ thông tin giữa các doanh nghiệp và cơ quản quản lý; hay quy định về tiêu chuẩn quốc tế được chấp nhận tương đương cấp độ 4, giúp doanh nghiệp có thể chứng minh tuân thủ bằng các chứng chỉ quốc tế,...

Không có niềm tin thì thị trường số sẽ sụp đổ, mà niềm tin chỉ tồn tại khi an toàn mạng được đảm bảo bằng luật pháp và công nghệ.

[Quý độc giả đón đọc Tạp chí An toàn thông tin số 5 (087) 2025 tại đây].

Twitter Zalo Facebook YouTube Copy Link QR Code
GIAO DỊCH ĐIỆN TỬ TÀI SẢN MÃ HÓA NGHỊ QUYẾT SỐ 05/NQ-CP HỆ THỐNG CÔNG NGHỆ THÔNG TIN BẢO MẬT THÔNG TIN AN NINH MẠNG AN TOÀN THÔNG TIN LUẬT AN NINH MẠNG SÀN GIAO DỊCH NGHỊ QUYẾT 05
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết