Với sự phát triển nhanh chóng và ứng dụng rộng rãi của công nghệ số, an ninh an toàn của các hệ thống kỹ thuật ngày càng phụ thuộc vào sản phẩm và dịch vụ công nghệ thông tin (CNTT). Tuy nhiên, do tính toàn cầu hóa và sự phức tạp của chuỗi cung ứng CNTT, việc kiểm soát an ninh chuỗi cung ứng này ngày càng trở nên khó khăn, phức tạp.

Trong những năm gần đây, các cuộc tấn công vào chuỗi cung ứng CNTT xảy ra thường xuyên, an ninh chuỗi cung ứng CNTT đã trở thành tâm điểm chú ý của nhiều quốc gia. Do đó, Trung Quốc và nhiều nước khác đã thúc đẩy xây dựng các chính sách, quy định, tiêu chuẩn liên quan đến an ninh chuỗi cung ứng CNTT.

Chính sách quản lý an ninh chuỗi cung ứng CNTT của Trung Quốc

Chính sách, quy định về an ninh chuỗi cung ứng CNTT của Trung Quốc cơ bản bao gồm:

“Luật An ninh mạng” (2016): Luật này yêu cầu các nhà cung cấp sản phẩm và dịch vụ CNTT phải bảo vệ khỏi các chương trình độc hại và cửa hậu trong sản phẩm của họ, đồng thời cần tăng cường các biện pháp ứng phó khẩn cấp.

"Các biện pháp đánh giá an ninh mạng" (tháng 4/2020): Quy định yêu cầu các cơ quan, tổ chức khi mua sản phẩm, dịch vụ CNTT phải dự đoán những rủi ro an ninh quốc gia có thể phát sinh sau khi sản phẩm, dịch vụ được đưa vào sử dụng. Phạm vi đánh giá bao gồm thiết bị mạng lõi, máy tính hiệu suất cao, máy chủ, thiết bị lưu trữ dung lượng lớn, cơ sở dữ liệu và phần mềm ứng dụng lớn, thiết bị an ninh mạng, dịch vụ điện toán đám mây và các sản phẩm, dịch vụ mạng khác có tác động lớn đến an ninh của cơ sở hạ tầng thông tin quan trọng.

"Quy định bảo vệ an ninh cơ sở hạ tầng thông tin quan trọng" (tháng 8/2021): Quy định này yêu cầu các cơ quan, tổ chức nên ưu tiên mua các sản phẩm và dịch vụ CNTT an toàn và tin cậy”. Cục Quản lý Không gian mạng quốc gia được giao chủ trì phối hợp các cơ quan liên quan thường xuyên kiểm tra, giám sát an ninh chuỗi cung ứng của các cơ quan trung ương và các cơ quan, tổ chức quản lý, vận hành cơ sở hạ tầng thông tin quan trọng, tập trung vào kiểm tra việc đảm bảo về mặt tổ chức, xây dựng hệ thống và thực hiện ưu tiên mua sắm các sản phẩm, dịch vụ CNTT an toàn và tin cậy. Quy định này khuyến khích các cơ quan, tổ chức tăng cường đánh giá rủi ro an ninh chuỗi cung ứng và tuân thủ các yêu cầu quốc gia liên quan để phát triển, triển khai, sử dụng và bảo trì các sản phẩm và dịch vụ quan trọng.

“Danh mục các thiết bị mạng quan trọng và sản phẩm an ninh mạng”: Từ tháng 6/2017, Cục Quản lý không gian mạng quốc gia phối hợp các cơ quan liên quan định kỳ công bố danh sách các thiết bị mạng quan trọng và các sản phẩm dành riêng cho an ninh mạng cần phải trải qua chứng nhận hoặc thử nghiệm bảo mật. Các thiết bị và sản phẩm này phải tuân thủ các yêu cầu bắt buộc của tiêu chuẩn quốc gia và phải vượt qua chứng nhận bảo mật hoặc đáp ứng các yêu cầu kiểm tra bảo mật trước khi được bán hoặc cung cấp. Đây là yêu cầu tuân thủ bắt buộc đối với các thiết bị và sản phẩm được sử dụng trong các cơ sở hạ tầng thông tin quan trọng.

Tiêu chuẩn về bảo đảm an ninh chuỗi cung ứng CNTT của Trung Quốc

Để thực hiện các quy định về an ninh chuỗi cung ứng, đặc biệt là quy định của Luật An ninh mạng, Trung Quốc đã ban hành nhiều tiêu chuẩn quốc gia, bao gồm:

"Yêu cầu bảo vệ an ninh cho cơ sở hạ tầng thông tin quan trọng" (GB/T 39204-2022): Tiêu chuẩn này nhằm tăng cường bảo vệ an ninh cho cơ sở hạ tầng thông tin quan trọng từ các khía cạnh: Phân tích và nhận dạng, bảo vệ an toàn, phát hiện và đánh giá, giám sát và cảnh báo sớm, phòng thủ chủ động và xử lý sự cố. Các đối tượng bảo vệ bao gồm: Dịch vụ thông tin và truyền thông công cộng, năng lượng, giao thông vận tải, thủy lợi, tài chính, dịch vụ công, chính phủ điện tử, công nghiệp công nghệ quốc phòng và các ngành, lĩnh vực quan trọng khác, một khi bị hư hỏng, mất chức năng hoặc dữ liệu bị rò rỉ, có thể gây nguy hiểm nghiêm trọng cho an ninh quốc gia, nền kinh tế quốc gia, sinh kế của người dân cũng như lợi ích cộng đồng.

"Hướng dẫn quản lý rủi ro bảo mật chuỗi cung ứng CNTT” (GB/T 36637-2018): Tiêu chuẩn này đưa ra các quy trình quản lý rủi ro bảo mật và các biện pháp kiểm soát chuỗi cung ứng CNTT để áp dụng cho các nhà cung cấp và vận hành hệ thống thông tin quan trọng và cơ sở hạ tầng thông tin quan trọng.  Nó cũng được sử dụng làm tài liệu tham khảo cho các cơ quan đánh giá bên thứ ba khi tiến hành đánh giá rủi ro bảo mật chuỗi cung ứng CNTT. Tiêu chuẩn này được chia thành 7 phần và 3 phụ lục, bao gồm các định nghĩa thuật ngữ, quy trình quản lý rủi ro bảo mật chuỗi cung ứng CNTT, các biện pháp kiểm soát bảo mật, tổng quan về chuỗi cung ứng CNTT, các mối đe dọa an ninh chuỗi cung ứng CNTT, các lỗ hổng bảo mật chuỗi cung ứng CNTT và chi tiết triển khai quản lý rủi ro an ninh chuỗi cung ứng CNTT.

“Khung quản lý, giám sát vận hành dịch vụ điện toán đám mây” (GB/T 37972-2019): Tiêu chuẩn này áp dụng cho việc giám sát vận hành các dịch vụ điện toán đám mây được các cơ quan chính phủ sử dụng và cũng có thể được sử dụng làm tài liệu tham khảo cho các ngành công nghiệp cũng như các doanh nghiệp và tổ chức khác khi sử dụng dịch vụ điện toán đám mây. Tiêu chuẩn này tham chiếu đến các tiêu chuẩn về điện toán đám mây khác như: “Hướng dẫn bảo mật dịch vụ điện toán đám mây” (GB/T 31167-2014), “Yêu cầu về khả năng bảo mật dịch vụ điện toán đám mây” (GB/T 31168-2014), “Phương pháp đánh giá năng lực bảo mật dịch vụ điện toán đám mây” (GB/T 34942-2017). Các phương pháp đánh giá bao gồm kiểm tra kỹ thuật, kiểm tra môi trường tại chỗ, phỏng vấn nhân sự, điều tra lý lịch nhân sự, phỏng vấn khách hàng, xem xét hệ thống, xem xét tài liệu.

“Quy tắc ứng xử an toàn dành cho nhà cung cấp sản phẩm CNTT" (GB/T 32921-2016): Tiêu chuẩn này áp dụng cho việc bảo vệ và quản lý thông tin trong quá trình cung cấp sản phẩm CNTT, đồng thời cung cấp tài liệu tham khảo cho việc nghiên cứu và phát triển, vận hành và bảo trì các sản phẩm CNTT. Các nội dung cơ bản được đề cập trong Tiêu chuẩn này gồm: Bảo mật thu thập và xử lý thông tin liên quan đến người dùng, bảo mật điều khiển từ xa sản phẩm của người dùng và các quy định bảo mật liên quan khác.

"Yêu cầu an ninh chuỗi cung ứng phần mềm” (GB/T 43698-2024): Tiêu chuẩn này đề ra các mục tiêu an ninh chuỗi cung ứng phần mềm, đưa ra các yêu cầu để quản lý rủi ro, quản lý tổ chức và quản lý hoạt động cung ứng phần mềm. Mục đích ban hành tiêu chuẩn này nhằm nâng cao năng lực quản lý rủi ro chuỗi cung ứng phần mềm của doanh nghiệp, thúc đẩy an toàn, độ tin cậy của các sản phẩm và dịch vụ liên quan đến phần mềm; đồng thời, nó cũng thúc đẩy việc cải thiện và phát triển năng lực của các tổ chức bên thứ ba trong các dịch vụ thử nghiệm an ninh chuỗi cung ứng phần mềm.

"Chỉ số đánh giá an ninh chuỗi cung ứng phần mềm nguồn mở của sản phẩm phần mềm" (GB/T 43848-2024): Tiêu chuẩn này cung cấp các phương pháp và chỉ số đánh giá an ninh cho mã nguồn mở được sử dụng trong các sản phẩm phần mềm. Tiêu chuẩn này giúp các nhà phát triển giảm thiểu rủi ro an ninh nguồn mở trong phần mềm, cung cấp cho các tổ chức bên thứ ba cơ sở đánh giá để thử nghiệm bảo mật nguồn mở, qua đó thúc đẩy sự phát triển lành mạnh hệ sinh thái nguồn mở.

Vấn đề an ninh chuỗi cung ứng CNTT ở Việt Nam

Các tiêu chuẩn an ninh chuỗi cung ứng CNTT của Trung Quốc chủ yếu đưa ra các yêu cầu bảo mật liên quan từ hai khía cạnh: phía cung và phía cầu, tập trung vào vòng đời của chuỗi cung ứng CNTT và các rủi ro bảo mật chính có thể gặp phải. Với việc ban hành Luật An ninh mạng, Quy định về bảo vệ cơ sở hạ tầng thông tin quan trọng và các tiêu chuẩn an ninh chuỗi cung ứng trong một số lĩnh vực cụ thể đã giúp hoạt động quản lý nhà nước về an ninh chuỗi cung ứng nói chung, an ninh chuỗi cung ứng về CNTT nói riêng không ngừng được tăng cường. 

Đối với Việt Nam, các sản phẩm và thiết bị cốt lõi trong các hệ thống CNTT bao gồm hệ thống cơ sở hạ tầng thông tin quan trọng đều bị phụ thuộc nhiều vào các nhà cung cấp nước ngoài. Một khi có vấn đề an ninh chuỗi cung ứng phát sinh trong các sản phẩm CNTT, nó sẽ đe dọa nghiêm trọng đến an ninh quốc gia và ổn định xã hội nước ta. 

Hơn nữa, mặc dù Việt Nam đã có những bước tiến nhất định trong việc xây dựng khung pháp lý về an ninh mạng, song chính sách quản lý an ninh chuỗi cung ứng CNTT vẫn còn nhiều hạn chế. Các quy định hiện hành còn mang tính dàn trải, thiếu sự tập trung vào các khía cạnh cụ thể của an ninh chuỗi cung ứng. Để giải quyết vấn đề, chúng ta cần tập trung vào các vấn đề cơ bản sau:

Một là, hoàn thiện thể chế, chính sách: Nghiên cứu, ban hành các chính sách, quy định pháp lý và các tiêu chuẩn liên quan để quản lý, kiểm tra và đánh giá an ninh chuỗi cung ứng ICT, qua đó cung cấp hướng dẫn chi tiết để các cơ quan quản lý nhà nước, các nhà cung cấp sản phẩm và dịch vụ ICT, các bên thứ ba và phía người dùng cuối có cơ sở tổ chức thực hiện.

Hai là, hình thành cơ chế quản lý nhà cung cấp: Sàng lọc các nhà cung cấp để đảm bảo đáp ứng các yêu cầu nhất định về trình độ kỹ thuật, năng lực sản xuất, quản lý chất lượng và bảo đảm an toàn. Thông qua cách bố trí chuỗi cung ứng đa dạng để giảm thiểu rủi ro do gián đoạn chuỗi cung ứng, đảm bảo tính linh hoạt và khả năng phục hồi của chuỗi cung ứng CNTT.

Ba là, phát triển công nghệ kiểm tra an ninh chuỗi cung ứng: Phát triển các công nghệ kiểm tra mã độc, lỗ hổng để kiểm tra các lỗ hổng và các mối nguy hiểm tiềm ẩn. Phát triển các công nghệ kiểm tra vật lý như phát hiện điện từ và kính hiển vi vi điện tử để phát hiện khả năng giả mạo và cấy ghép thiết bị độc hại vào các sản phẩm phần cứng.

Bốn là, tăng cường kiểm tra, đánh giá an ninh chuỗi cung ứng: Tiến hành kiểm tra an toàn thường xuyên trên tất cả các khía cạnh của chuỗi cung ứng, bao gồm nhà cung cấp, sản xuất, vận hành, hậu cần để đảm bảo rằng mỗi mắt xích trong chuỗi cung ứng đều đáp ứng các yêu cầu an toàn.