Theo xếp hạng năm 2018, Việt Nam đứng thứ 50 trong số 175 các quốc gia và vùng lãnh thổ thành viên tham gia bình xét về chỉ số an toàn không gian mạng toàn cầu (Global Cybersecurity Index - GCI) do Liên minh viễn thông quốc tế (ITU) công bố (số lượng các quốc gia thành viên ITU năm 2020 là 194 quốc gia). Chỉ số này của Việt Nam được chỉ ra cụ thể là 0,695 so với quốc gia có chỉ số cao nhất toàn cầu là Vương quốc Anh (0,931); Hoa Kỳ (0,926). Singapore xếp thứ nhất khu vực châu Á - Thái Bình Dương và xếp thứ 6 toàn cầu với chỉ số 0,898.

Chỉ số GCI là chỉ số hỗn hợp được xem xét dựa trên thang điểm của 5 cột trụ chính là: Pháp lý; Kỹ thuật; Tổ chức; Xây dựng tiềm năng và Hợp tác. Các cột trụ này được tổ hợp từ 25 chỉ tiêu cụ thể tạo thành độ đo chuẩn để giám sát và so sánh mức độ của các thành viên ITU về cam kết đảm bảo an toàn không gian mạng, được đánh giá bởi các chuyên gia cao cấp và xác nhận bởi Chương trình an toàn không gian mạng toàn cầu (Global Cybersecurity Agenda - GCA) được công bố vào năm 2007.

Các mục đích của chỉ số GCI là hỗ trợ các quốc gia nhận thức rõ các lĩnh vực an toàn không gian mạng cần cải thiện, thúc đẩy hành động cải thiện xếp hạng GCI tương đối, nâng cao mức độ đảm bảo an toàn không gian mạng toàn cầu, giúp nhận biết và thúc đẩy các biện pháp thực hành tốt nhất và khuyến khích văn hóa đảm bảo an toàn không gian mạng toàn cầu. Chính vì vậy, chỉ số GCI cần áp dụng toàn cầu, chi tiết, cụ thể cho các lĩnh vực đảm bảo an toàn không gian mạng và đạt độ bình ổn cao cũng như tính khoa học và tính khách quan cao cho các quốc gia thành viên ITU để phấn đấu gia tăng và hoàn thiện chỉ số này.

Nhìn vào chỉ số GCI thực tại và nhận biết rõ mức độ đảm bảo an toàn không gian mạng của mình, Việt Nam đã đưa ra mục tiêu phấn đấu nâng cao chỉ số GCI năm 2019 lên ít nhất 20 thứ bậc, đứng vào top 30 các quốc gia toàn cầu có chỉ số GCI tốt nhất. Mục tiêu này được cụ thể hóa bằng Chỉ thị số 14/CT-TTg ngày 07/6/2019 của Thủ tướng Chính phủ về . Vào tháng 10/2019, Phó Thủ tướng Vũ Đức Đam cũng đã yêu cầu các bộ, ngành, địa phương chủ động đẩy mạnh triển khai công tác đảm bảo an toàn, an ninh mạng theo các nhiệm vụ, giải pháp nêu trong Chỉ thị; Bộ Thông tin và Truyền thông chủ trì, phối hợp với các bộ, cơ quan liên quan nghiên cứu đề xuất các giải pháp, nhiệm vụ cần thiết để tiếp tục cải thiện xếp hạng chỉ số GCI cho Việt Nam.

Ngoài ra, trong Quyết định số 749/QĐ-TTg ngày 03/6/2020 của Thủ tướng Chính phủ phê duyệt “”, mục tiêu đến năm 2025 là Việt Nam thuộc nhóm 40 nước dẫn đầu về chỉ số GCI và mục tiêu đến năm 2030 là Việt Nam thuộc nhóm 30 nước dẫn đầu về chỉ số GCI.

Thực tế, số vụ tấn công mạng tại Việt Nam trong 9 tháng đầu năm 2019 đã giảm đáng kể so với cùng kỳ năm 2018 và năm 2018 giảm so với năm 2017. Năm 2017, chỉ số GCI của Việt Nam bị giảm đi 25 bậc xuống thứ hạng 100 với chỉ số GCI là 0,245 do năm 2016 chịu tấn công hệ thống an ninh hàng không và tháng 5/2017 chịu tấn công bởi mã độc tống tiền Wannacry. Trong khi đó, Singapore đứng thứ nhất toàn cầu với chỉ số GCI là 0,925 và Malaysia xếp thứ ba toàn cầu với chỉ số GCI là 0,893. Như vậy, chỉ số GCI là một công cụ mà ITU áp dụng khá hiệu quả để xếp hạng mức độ cam kết đảm bảo an toàn không gian mạng toàn cầu của các quốc gia và vùng lãnh thổ thành viên.

Các chỉ số an toàn không gian mạng trên thế giới

Trên thế giới có rất nhiều loại chỉ số về đảm bảo an toàn không gian mạng với các cơ sở và luận cứ khoa học, cũng như tính mục tiêu rõ ràng của chúng. Dưới đây sẽ giới thiệu một số chỉ số tiêu biểu nhất. Hiểu rõ chức năng và phạm vi áp dụng sẽ giúp cho các quốc gia, tổ chức có được đánh giá chính xác và phù hợp với các khía cạnh an toàn không gian mạng, đề ra được các giải pháp hữu hiệu, nâng cao tiềm năng đảm bảo an toàn không gian mạng của mình.

Chỉ số về sự trưởng thành của không gian mạng khu vực châu Á - Thái Bình Dương (Cyber Maturity In The Asia - Pacific Region) áp dụng cho 23 quốc gia liên quan được phát triển bởi Viện chính sách chiến lược Australia. Chỉ số này đo mức độ phát triển không gian mạng của các quốc gia trong khu vực, bao gồm 11 chỉ tiêu cụ thể với nguồn dữ liệu được ITU cung cấp.

Chỉ số an toàn không gian mạng quốc gia (National Cyber Security Index) được phát triển bởi Viện Hàn lâm chính phủ điện tử Estonia phối hợp với Bộ ngoại giao Estonia. Chỉ số này tập trung vào các khía cạnh công cộng của an toàn không gian mạng quốc gia với mục đích đo mức độ an toàn không gian mạng của các quốc gia, đặc biệt là khả năng sẵn sàng ngăn chặn các đe dọa không gian mạng và sẵn sàng ứng phó với các sự cố không gian mạng, tội phạm và khủng hoảng trên phạm vi lớn. Chỉ số này bao gồm 12 chỉ tiêu cụ thể được chia làm 04 nhóm. Các chỉ tiêu gắn với định danh điện tử, chữ ký số và sự tồn tại của môi trường an toàn cho các dịch vụ điện tử. Nó có cơ sở dữ liệu trực tuyến toàn cầu và chỉ ra cho các quốc gia xem có thể làm những gì để cải thiện an toàn không gian mạng của mình.

Chỉ số an toàn không gian mạng toàn cầu (Global Cybersecurity Index) do ITU phát triển có nguồn gốc từ Chương trình an toàn không gian mạng toàn cầu (GCA). Chỉ số GCI nhìn vào mức độ cam kết đảm bảo an toàn không gian mạng trong 5 cột trụ như đã trình bày ở trên. Từ 5 cột trụ được phân chia ra thành 25 chỉ tiêu cụ thể và có thể còn được chia nhỏ hơn nữa. Tính ưu việt của chỉ số này là áp dụng rộng rãi cho các quốc gia thành viên ITU toàn cầu.

Chỉ số an toàn không gian mạng Kaspersky (Kaspersky Cybersecurity Index) được phát triển bởi Phòng thí nghiệm Kaspersky phối hợp với B2B quốc tế. Nó tập trung đánh giá khái niệm đa chiều, nhờ thế mà mức độ rủi ro của người sử dụng Internet được thể hiện. Đây là các khảo sát mỗi năm hai lần. Chỉ số bao gồm 03 chỉ tiêu cụ thể là: không được quan tâm; không được bảo vệ và bị ảnh hưởng. Để đánh giá môi trường trực tuyến của những người sử dụng Internet, một số thống kê bổ sung được giới thiệu qua đa dạng các đồ thị.

Chỉ số bảng đồng hồ an toàn không gian mạng châu Á - Thái Bình Dương (Asia-Pacific Cybersecurity Dashboard) là một công bố được phát triển bởi BSA - một Liên minh phần mềm tập trung vào chính sách và các khía cạnh tổ chức của an toàn không gian mạng, với tham chiếu vào các nền tảng pháp lý và hợp tác giữa khu vực công và tư. Mục đích của bảng đồng hồ là cung cấp cơ sở tham chiếu cho phép phát triển các chính sách an toàn không gian mạng của các quốc gia bằng cách so sánh chúng với các quốc gia châu Á - Thái Bình Dương khác. Công bố dựa trên 31 chỉ tiêu cụ thể. Mỗi chỉ tiêu được gắn với một trong 04 trạng thái: Yes, No, Partial và N/A. Chỉ số không đưa ra cơ chế xếp hạng.

Chỉ số sẵn sàng không gian mạng (Cyber Readiness Index 2.0 - CRI 2.0) được phát triển bởi Viện Các nghiên cứu chính sách Potomac (Hoa Kỳ) đánh giá mức độ trưởng thành không gian mạng của quốc gia, là cam kết đối với các vấn đề không gian mạng. Chỉ số chủ yếu tập trung vào chính sách và các vấn đề kinh tế của an toàn không gian mạng và bao gồm các đánh giá dựa trên thực chứng sẵn sàng không gian mạng của các quốc gia. 125 quốc gia được nghiên cứu sử dụng 7 chỉ tiêu cụ thể, tuy có chấm điểm nhưng không xếp loại các quốc gia.

Ngoài ra, còn có các chỉ số đánh giá các cơ quan tổ chức và các khía cạnh khác của an toàn không gian mạng. Mỗi loại chỉ số đều có các đặc tính riêng và có các môi trường áp dụng phù hợp của mình.

Cải thiện bình ổn chỉ số an toàn không gian mạng toàn cầu

Chỉ số an toàn không gian mạng toàn cầu GCI từ nhiều năm trở lại đây được dùng để đo mức độ cam kết đảm bảo an toàn không gian mạng toàn cầu của Việt Nam. Một đặc điểm nổi bật của chỉ số này có thể thấy được là tính chất biến thiên rất mạnh qua các năm 2016, 2017 và 2018. Tính chất biến thiên của chỉ số GCI cũng ảnh hưởng đến xếp hạng của Việt Nam trong các quốc gia thành viên ITU. Một mặt, GCI bị biến thiên mạnh mỗi khi có biến thiên của mỗi chỉ tiêu cụ thể. Điều này giúp khuếch đại được ảnh hưởng của một chỉ tiêu cụ thể đến chỉ số tổng thể GCI. Mặt khác, nó cho thấy sự thay đổi lớn của chỉ số mỗi khi có những thay đổi các chỉ tiêu cụ thể trong các cột trụ đã được phân loại. Rất có thể cần có các chỉ số hỗ trợ khác để làm giảm thiểu các biến thiên lớn như chỉ số GCI.

Chỉ số GCI cần bình ổn hơn để có thể dựa vào đó lượng hóa được cam kết của mình để từng bước cải thiện xếp hạng cam kết an toàn không gian mạng một cách chắc chắn và ổn định. Chỉ số GCI không nên thay đổi tăng giảm nhanh qua các năm, tạo ra các thứ bậc xếp hạng cũng biến thiên nhanh như các năm qua.

Các chỉ số cũng không nên phụ thuộc quá nhiều vào trọng số lớn của từng khía cạnh hay chỉ tiêu cụ thể được phân loại. Vì như vậy khía cạnh có trọng số cao tăng hay giảm sẽ làm khuếch đại chỉ số tổng thể và ảnh hưởng lớn đến xếp hạng của từng quốc gia tham gia. Trong bài báo của nhà báo Rebecca Moodydata nhan đề “Các quốc gia nào có an toàn không gian mạng tệ nhất và tốt nhất?” (“Which countries have the worst and best cybersecurity?”) công bố trực tuyến ngày 06/02/2019, tác giả đã trình bày một phương pháp nghiên cứu tính chỉ số xếp loại an toàn không gian mạng.

Nghiên cứu này thực hiện trong 60 quốc gia với một số lượng lớn các phân loại từ đánh giá mã độc hại đến hệ thống pháp lý liên quan đến an toàn không gian mạng. Có một số quốc gia thiếu đáng kể trong nhiều lĩnh vực và các quốc gia khác lại vượt trội hơn đa số các quốc gia khác. Nghiên cứu xem xét 7 tiêu chí được đánh trọng số bằng nhau trong thang điểm tổng thể, đó là: Số phần trăm phần mềm di động nhiễm mã độc; Số phần trăm máy tính nhiễm mã độc; Số các tấn công mã độc tài chính; Số phần trăm các tấn công Telnet; Số phần trăm các tấn công bởi những kẻ khai thác; Những quốc gia chuẩn bị tốt nhất đối với các tấn công không gian mạng; Những quốc gia với hệ thống pháp lý cập nhật nhất.

Trừ hai tiêu chí cuối, tất cả các tiêu chí dựa vào số phần trăm của các tấn công trong năm 2018. Các quốc gia chuẩn bị tốt nhất đối với các tấn công không gian mạng được chấm điểm sử dụng cách tính chỉ số GCI. Đa số các hệ thống pháp lý cập nhật được chấm điểm dựa trên các hệ thống pháp lý hiện hành và các dự thảo bao gồm 7 lĩnh vực là: Chiến lược quốc gia, Quân sự, Nội dung, Riêng tư, Hạ tầng trọng yếu, Thương mại và Tội phạm. Các quốc gia nhận được một điểm nếu có hệ thống pháp lý trong mỗi loại trên và nửa điểm nếu mới có dự thảo. Quốc gia kém nhất chuẩn bị an toàn không gian mạng nhận được 100 điểm và quốc gia chuẩn bị tốt nhất an toàn không gian mạng nhận được 0 điểm. Các quốc gia khác nằm giữa các quốc gia này sẽ nhận được điểm trong thang điểm từ 0 đến 100 phụ thuộc vào thứ hạng xếp loại của mình. Như vậy là quốc gia nào có thứ hạng xếp loại điểm càng cao thì có mức chuẩn bị an toàn không gian mạng càng thấp trong từng lĩnh vực.

Điểm tổng thể là điểm trung bình của 7 lĩnh vực đã phân loại. Các dữ liệu sử dụng để xếp loại là các dữ liệu mới nhất. Theo nghiên cứu này thì Algeria là quốc gia có mức chuẩn bị an toàn không gian mạng tồi nhất. Sau đó là đến Indonesia, Việt Nam, Tanzania và Uzbekistan. Theo cách xếp loại này, có những quốc gia kém nhất về một lĩnh vực nhưng các lĩnh vực khác lại tốt hơn nên xếp loại tổng thể vẫn tốt hơn. Đức có điểm tệ nhất về mã độc tài chính và Trung Quốc có điểm tệ nhất về các tấn công Telnet, nhưng xếp loại tổng thể vẫn tốt hơn nhiều quốc gia khác.

Theo cách xếp loại này, Nhật Bản là quốc gia chuẩn bị an toàn không gian mạng tốt nhất. Họ chỉ không tốt về chuẩn bị cho các tấn công mạng và hệ thống pháp lý. Các nước chuẩn bị tốt an toàn không gian mạng là Pháp, Canada, Đan Mạch và Hoa Kỳ. Cách xếp hạng này có thể chỉ ra quốc gia nào tệ nhất về mỗi chỉ tiêu chuẩn bị an toàn không gian mạng. Tuy nhiên các quốc gia có điểm tổng thể chuẩn bị an toàn không gian mạng có thể chưa hợp lý hoặc chưa phù hợp trong cách nhìn chung giữa các quốc gia trên thế giới. Dù sao, đây cũng là một phương pháp chấm điểm để tham khảo.

Kết luận

Đưa ra chuẩn xếp loại các quốc gia về mức độ chuẩn bị an toàn không gian mạng không phải là công việc dễ dàng. Đưa ra một chuẩn xếp loại có tính khoa học cao và khách quan chi tiết, khả dụng, hiệu quả cho các quốc gia lại càng khó hơn. Khi đã có các hệ thống chuẩn phân loại, thì lựa chọn và áp dụng hiệu quả vẫn còn là sự cân nhắc kỹ càng. Tuy nhiên, đa số các chuẩn đều giúp các quốc gia có được những hiểu biết để cải thiện thực trạng an toàn không gian mạng của quốc gia đó.

Khi áp dụng một hệ thống xếp loại cho dù nhiều tính phù hợp hơn thì vẫn cần nghiên cứu thấu đáo và rút ra những điểm hữu ích và giới hạn các hạn chế đối với lợi ích quốc gia mình. Hệ thống chỉ số GCI áp dụng cho thống kê trên toàn bộ các quốc gia thành viên ITU và thể hiện xếp loại mức độ cam kết đảm bảo an toàn không gian mạng của từng quốc gia. Qua đó, Việt Nam biết được mình đang đứng ở đâu và cần cải thiện các chỉ tiêu nào để cải thiện xếp loại của mình.

Tuy nhiên, cần biết các chỉ tiêu cần cải thiện với một định lượng cụ thể thế nào để lượng hóa mức độ cải thiện xếp loại tổng thể là một việc cần thiết để đảm bảo tính bình ổn của chỉ số GCI đối với Việt Nam. Một khía cạnh khó hơn là chỉ số GCI phù hợp cho Việt Nam đến mức độ nào cũng cần được nghiên cứu kỹ lưỡng. Đặc biệt là làm sao áp dụng chỉ số GCI để có thể tìm cách nâng cao thứ hạng cam kết đảm bảo an toàn không gian mạng của Việt Nam theo đúng mong muốn của Đảng và Chính phủ cũng như toàn xã hội là nhiệm vụ quan trọng. Đó là thứ hạng đủ cao và bình ổn và ngày càng nâng cao theo thời gian các năm tiếp theo.