Sau sự cố Trung tâm Thông tin tín dụng quốc gia Việt Nam (CIC) bị hacker tấn công mới đây ngày 10/9/2025 đã gióng lên hồi chuông cảnh báo về tầm quan trọng của an ninh dữ liệu trong kỷ nguyên số. Hệ thống lưu trữ thông tin nhạy cảm về khách hàng hiện đang đứng trước nhiều rủi ro bị đánh cắp. Vụ việc cho thấy doanh nghiệp và cơ quan quản lý cần ưu tiên đầu tư vào giải pháp bảo mật, kiểm soát truy cập chặt chẽ và tuân thủ các tiêu chuẩn quốc tế để phòng ngừa những sự cố tương tự.
Tóm tắt sự cố CIC bị hacker xâm nhập
Theo báo chính phủ đưa tin thì ngày 10/9/2025, Trung tâm Thông tin tín dụng quốc gia Việt Nam (CIC) phát hiện dấu hiệu bị hacker tấn công với nguy cơ rò rỉ dữ liệu cá nhân. Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an cho biết ngay sau khi nhận thông tin, lực lượng chức năng đã phối hợp cùng VNCERT, Ngân hàng Nhà nước, cùng các doanh nghiệp an ninh mạng lớn như Viettel, VNPT và NCS để triển khai các biện pháp kỹ thuật, nghiệp vụ, đảm bảo an ninh mạng và thu thập chứng cứ phục vụ điều tra.
Chuyên gia an ninh mạng cũng đưa ra cảnh báo quan trọng. Ông Nguyễn Thành Hưng, Chủ tịch Hiệp hội An ninh mạng Quốc gia, cho rằng sự cố này là “hồi chuông cảnh tỉnh” khi dữ liệu tín dụng là loại dữ liệu nhạy cảm bậc nhất, nếu bị khai thác có thể dẫn đến lừa đảo tinh vi. Ông khuyến nghị người dân nên “cảnh giác với các cuộc gọi, email, tin nhắn mạo danh CIC, ngân hàng hoặc cơ quan Nhà nước để lừa đảo”, đồng thời không tự ý khóa thẻ hay thay đổi mật khẩu ngân hàng khi chưa có hướng dẫn chính thức.
Trước những lo ngại của người dân về việc thông tin thẻ ngân hàng bị rò rỉ, Ngân hàng Nhà nước khẳng định CIC chỉ thu thập dữ liệu tín dụng liên quan đến vay mượn và lịch sử tín dụng, hoàn toàn không lưu trữ số dư tài khoản, số tài khoản, số thẻ tín dụng/ghi nợ, mã bảo mật CVV/CVC hay lịch sử thanh toán ngân hàng.
Tuy đến thời điểm hiện tại, mặc dù hệ thống của CIC vẫn vận hành bình thường, song cơ quan chức năng chưa công bố con số cụ thể về lượng dữ liệu có thể đã bị truy cập trái phép. Sự cố này được đánh giá là một trong những vụ tấn công mạng nghiêm trọng nhất đối với ngành tài chính – ngân hàng trong thời gian gần đây, nhấn mạnh yêu cầu cấp thiết về việc tuân thủ nghiêm ngặt các chuẩn an toàn thông tin quốc tế và tăng cường năng lực phòng thủ trên không gian mạng.
Những ảnh hưởng đến sự cố mất an toàn thông tin
Sau sự cố hacker xâm nhập Trung tâm Thông tin tín dụng quốc gia Việt Nam (CIC) đã cho thấy được những ảnh hưởng nghiêm trọng đến cho nhà nước, doanh nghiệp và cả người dân cả nước.
Những nguy cơ đó có thể kể đén như những nguy cơ rò rỉ dữ liệu cá nhân và thông tin tín dụng khiến hàng triệu khách hàng có thể đối mặt với các hình thức lừa đảo, mạo danh hay chiếm đoạt tài sản.
Về phía các tổ chức thì sự cố này chính là lời cảnh tỉnh về việc hacker có thể xâm nhập và đánh cắp thông tin mật gây thiệt hại cho tổ chức từ đó làm suy yếu đi lòng tin của khách hàng và đối tác đồng thời tạo tâm lý hoang mang vào hệ thống của tổ chức. Ngoài ra, sự cố còn buộc các cơ quan quản lý và doanh nghiệp tài chính – ngân hàng phải gánh thêm chi phí, nguồn lực để xử lý, điều tra và tăng cường biện pháp bảo mật, từ đó ảnh hưởng trực tiếp đến hoạt động kinh doanh và mối quan hệ với đối tác.
Bài học rút ra sau sự cố mất an toàn thông tin
Vụ việc tại CIC không chỉ cho thấy tính cấp bách của bảo mật dữ liệu, mà còn nhấn mạnh rằng trong thời đại số, niềm tin của người dân và khách hàng chính là tài sản quý giá nhất mà mọi tổ chức phải bảo vệ. Từ sự cố nghiêm trọng này, các tổ chức, doanh nghiệp và khách hàng cá nhân cần rút ra được bài học để chủ động đảm bảo an toàn thông tin:
Về phí doanh nghiệp
Sau sự cố CIC các tổ chức, doanh nghiệp đang hoạt động nhất là những tổ chức, doanh nghiệp công nghệ thông tin hoặc sử dụng lượng lớn thông tin trên môi trường mạng cần tăng cường bảo mật bằng những cách thức sau:
- Thường xuyên rà soát, cập nhật và vá các lỗ hổng hệ thống.
Tổ chức, doanh nghiệp cần áp dụng những hệ thống giám sát như Hệ thống Báo cáo về kiểm soát rủi ro – chứng nhận SOC 2 để giám sát 24/7 và phát hiện sớm tấn công bất thường. Đây là bộ tiêu chuẩn quốc tế được nhiều tổ chức áp dụng hiện nay, SOC2 có bao gồm 5 nguyên tắc để đánh giá độ tin cậy về dịch vụ quản lý dữ liệu khách hàng. Mục tiêu của SOC2 là đảm bảo rằng các nhà cung cấp dịch vụ quản lý dữ liệu sẽ bảo mật cả thông tin của công ty lẫn khách hàng của công ty đó.
Tổ chức của bạn cần tiến hành thực hiện việc kiểm thử xâm nhập (Pen-test) định kì nhằm đánh giá tốt mức độ an toàn cho doanh nghiệp.
- Tuân thủ tiêu chuẩn an ninh thông tin quốc tế
Để đảm bảo an toàn thông tin một cách hiệu quả nhất thì tổ chức của bạn cần áp dụng thêm các hệ thống đảm bảo An toàn thông tin như ISO/IEC 27001:2022 cho quản lý an ninh thông tin. Với những doanh nghiệp khác như ngành oto cần thiết triển khai tiêu chuẩn TISAX nhằm đáp ứng tốt các yêu cầu toàn cầu.
Đối với ngân hàng, công ty tài chính, bắt buộc tuân thủ PCI DSS khi xử lý dữ liệu thẻ thanh toán. PCI DSS là viết tắt của cụm từ Payment Card Industry Data Security Standard dịch ra là Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán. Đây là một tập hợp các quy định được thiết kế để tăng cường tính bảo mật cho các giao dịch sử dụng thẻ thanh toán như thẻ tín dụng, thẻ ghi nợ và tiền mặt, đồng thời bảo vệ thông tin cá nhân của chủ thẻ khỏi việc lạm dụng.
Tiêu chuẩn PCI DSS giúp đảm bảo tính bảo mật của các dữ liệu trong thẻ thanh toán khi được lưu trong các ngân hàng hoặc các tổ chức có hỗ trợ thanh toán điện tử. PCI DSS được áp dụng trong phạm vi toàn cầu. Để có được chứng chỉ này, các doanh nghiệp cần phải đáp ứng được chất lượng cơ sở hạ tầng và cần được kiểm tra liên tục hàng tháng.
- Bảo mật dữ liệu cá nhân và thông tin khách hàng
Thực hiện phân loại dữ liệu (sensitive data, confidential data, public data). Áp dụng cơ chế mã hóa (encryption) cho dữ liệu lưu trữ và truyền tải. Xây dựng chính sách kiểm soát truy cập theo nguyên tắc “quyền tối thiểu” (least privilege).
- Đào tạo và nâng cao nhận thức nội bộ
Tổ chức huấn luyện định kỳ cho nhân viên về an toàn thông tin, cảnh báo phishing, giả mạo email. Ngoài ra tổ chức của bạn còn cần phải xây dựng văn hóa ” an toàn thông tin cũng là trách nhiệm của mọi người” không chỉ riêng bộ phận IT.
- Hợp tác với cơ quan chức năng và chuyên gia
Thiết lập kênh trao đổi nhanh với VNCERT, Bộ Công an và các doanh nghiệp an ninh mạng uy tín.
Tham gia chia sẻ thông tin về mối đe dọa (Threat Intelligence Sharing) để cập nhật kịp thời nguy cơ mới.
Đảm bảo an toàn thông tin cùng dịch vụ của SQC Certification
Trong bối cảnh các mối đe dọa mạng ngày càng phức tạp, việc đảm bảo an toàn thông tin đã trở thành ưu tiên hàng đầu của mọi tổ chức. Với vai trò là tổ chức chứng nhận uy tín, SQC Certification cung cấp các dịch vụ đánh giá và chứng nhận toàn diện trong lĩnh vực An toàn thông tin, giúp doanh nghiệp nâng cao năng lực bảo mật, đáp ứng yêu cầu pháp lý và gia tăng niềm tin với khách hàng, đối tác.
Nhóm dịch vụ này bao gồm:
- ISO/IEC 27001 – Hệ thống quản lý an toàn thông tin (ISMS): Chứng nhận năng lực xây dựng và vận hành hệ thống bảo mật thông tin theo chuẩn quốc tế.
- ISO/IEC 27701 – Quản lý dữ liệu cá nhân (PIMS): Đảm bảo tuân thủ quy định bảo mật dữ liệu cá nhân, phù hợp với yêu cầu của GDPR và pháp luật Việt Nam.
- ISO/IEC 20000-1 – Quản lý dịch vụ CNTT: Giúp tổ chức vận hành dịch vụ công nghệ thông tin an toàn, ổn định và hiệu quả.
- TISAX – An toàn thông tin trong ngành ô tô: Đáp ứng yêu cầu đặc thù của chuỗi cung ứng toàn cầu trong công nghiệp ô tô.
- Các tiêu chuẩn chuyên ngành khác: PCI DSS cho lĩnh vực tài chính – ngân hàng, hoặc tiêu chuẩn nội bộ theo yêu cầu khách hàng quốc tế. Tiêu chuẩn SOC 2 – Hệ thống Báo cáo về kiểm soát rủi ro
Với đội ngũ chuyên gia giàu kinh nghiệm và quy trình đánh giá minh bạch, SQC Certification không chỉ mang đến chứng chỉ được công nhận rộng rãi, mà còn đồng hành cùng doanh nghiệp trong việc cải thiện hệ thống quản lý, nâng cao khả năng chống chịu trước rủi ro an ninh mạng.
Hãy để SQC Certification Việt Nam giúp doanh nghiệp bạn chạm tới những tiêu chuẩn quốc tế một cách chuyên nghiệp và bền vững.
- Hotline: 0936396611
- Website: https://sqccert.com.vn/
- ĐĂNG KÝ NGAY: https://forms.gle/ydn9rzk5H7jrrf9g9
Tiêu chuẩn – Điều kiện tiên quyết thúc đẩy chuyển đổi xanh
Các cấp độ tuân thủ trong PCI DSS
Lộ trình đạt chứng nhận PCI DSS: Các bước, chi phí và đối tác đánh giá
Những lỗi thường gặp khiến doanh nghiệp trượt chứng nhận PCI DSS
Ngân hàng và tổ chức tài chính Việt Nam chuyển mình theo PCI DSS 4.0.1
SQC Certification tổ chức thành công khóa học miễn phí CIRP
