Home / Blog / General / Rủi ro từ nhà cung cấp bên thứ ba trong hệ thống CNTT chính phủ không còn là vấn đề "ngoài lề"

Rủi ro từ nhà cung cấp bên thứ ba trong hệ thống CNTT chính phủ không còn là vấn đề "ngoài lề"

rui-ro-tu-nha-cung-cap-ben-thu-ba-trong-he-thong-cntt-chinh-phu

Hãy tưởng tượng bạn để lại những vật dụng giá trị trong một phòng giữ đồ có camera giám sát vì tin tưởng vào độ an toàn của nơi này. Giờ hãy tưởng tượng bạn phát hiện ra rằng người quản lý phòng gửi đồ đó lại thuê một bên khác mà bạn hoàn toàn không biết để phụ trách việc bảo vệ.

Các tổ chức hiện đại đang phụ thuộc rất nhiều vào nhà cung cấp bên thứ ba (third-party vendor), từ hệ thống thanh toán đến hạ tầng lưu trữ dữ liệu khách hàng. Vì vậy, các vụ vi phạm bảo mật liên quan đến vendor đã trở thành một mô hình quen thuộc trong khu vực tư nhân.

Nhưng mọi chuyện trở nên nghiêm trọng hơn rất nhiều khi rủi ro tương tự xuất hiện trong các hệ thống chính phủ.

Chính phủ nắm giữ những thông tin nhạy cảm nhất của công dân - từ hồ sơ an sinh xã hội, hồ sơ thuế cho đến dữ liệu y tế và phúc lợi. Khi sự cố rò rỉ dữ liệu từ bên thứ ba xảy ra tại doanh nghiệp nhà nước, mức độ báo động là cực kỳ nghiêm trọng.

Vì sao? Nguyên nhân đến từ việc dữ liệu bị lộ không đơn thuần là thông tin doanh nghiệp, đó là dữ liệu cá nhân của hàng triệu công dân đã tin tưởng giao phó cho chính phủ bảo vệ.

Điều này đặt ra câu hỏi quan trọng: Ai sẽ chịu trách nhiệm khi lỗ hổng từ bên thứ ba làm rò rỉ dữ liệu công?

Vụ rò rỉ dữ liệu của Conduent phơi bày thực trạng hệ thống

Tháng 1/2026, ProcessUnity công bố rằng 90% tổ chức đã trải qua ít nhất một vụ vi phạm liên quan đến bên thứ ba trong năm 2025.

Thực tế này khẳng định một điều: Khi hệ sinh thái số mở rộng, rủi ro từ vendor không còn là một vấn đề “bên lề” của governance nữa - mà đã trở thành một phần nằm ngay trong cấu trúc vận hành đó.

Nhiều dịch vụ công thiết yếu mà người dân sử dụng hàng ngày đang vận hành trên cơ sở hạ tầng tư nhân. Người dân thường nghĩ dữ liệu của mình được lưu trữ an toàn trong các máy chủ chính phủ kiên cố và được bảo mật bằng nhiều lớp công nghệ nghiêm ngặt.

Trên thực tế, dữ liệu công dân không hề "nằm yên" trong một máy chủ chính phủ duy nhất như nhiều người lầm tưởng. Dữ liệu liên tục dịch chuyển và đi qua nhiều lớp hệ thống, nhà thầu và các công ty tư nhân hỗ trợ vận hành dịch vụ công hàng ngày.

Hành trình ngầm đó đã được phát hiện vào năm 2024, khi cuộc tấn công mạng vào Conduent, một công ty thuê ngoài quy trình kinh doanh, làm rò rỉ dữ liệu nhạy cảm của công dân qua hệ thống của doanh nghiệp này.

Sự cố gây hoang mang không chỉ vì dữ liệu bị xâm nhập, mà vì phơi bày một sự thật sâu xa hơn: Phần lớn dữ liệu công hiện nay đang chảy qua cơ sở hạ tầng tư nhân, nơi người dân không nhìn thấy và hiếm khi nghi ngờ.

Đáng ngại là một điểm lỗi duy nhất (single point of failure) trong các hệ thống này có thể làm rò rỉ dữ liệu của nhiều cơ quan cùng lúc, do việc truy cập tập trung, chia sẻ thông tin xác thực hoặc các hoạt động tích hợp vô tình tạo ra một bề mặt tấn công (attack surface) chung.

Vụ vi phạm này không đơn thuần xảy ra vì sai sót của một doanh nghiệp. Điều này cho thấy cách toàn bộ hệ thống đang được thiết kế và những rủi ro vốn đã tồn tại bên trong cấu trúc đó. Các cuộc tấn công mạng liên quan đến bên thứ ba đang gây ảnh hưởng trực tiếp đến khả năng vận hành liên tục của dịch vụ công.

Khoảng trống trách nhiệm trong quản trị số

Điểm đáng lo ngại nhất khi giao dữ liệu cho bên thứ ba là sự mơ hồ về trách nhiệm. Ai thực sự là người chịu trách nhiệm cho vụ rò rỉ dữ liệu từ phía nhà cung cấp? Câu hỏi này luôn xuất hiện mỗi khi các vụ vi phạm liên quan đến bên thứ ba bị đưa ra ánh sáng.

Người dân giao phó dữ liệu cá nhân cho chính phủ, không phải cho các nhà thầu đang âm thầm vận hành hệ thống bên dưới. Dù vậy, khi xảy ra sự cố tại bên thứ ba, ranh giới trách nhiệm thường nhanh chóng trở nên mờ nhạt.

Cơ quan chính phủ có thể lập luận rằng sự cố bắt nguồn từ hệ thống bên ngoài, còn nhà cung cấp lại đổ lỗi cho các điều khoản hạn chế trong hợp đồng hoặc mô hình chia sẻ trách nhiệm (shared responsibility models). Cuối cùng, những công dân bị lộ dữ liệu phải gánh chịu hậu quả mà không nhận được câu trả lời thỏa đáng về việc ai đã lơ là trong bảo mật thông tin.

Lỗ hổng trách nhiệm này phản ánh sự xung đột sâu sắc trong nội bộ tổ chức, bao gồm cả khối dịch vụ công.

Tuy chính phủ đã thuê ngoài phần lớn cơ sở hạ tầng số, các framework quản trị về giám sát - nhưng tính minh bạch và trách nhiệm pháp lý vẫn chưa phát triển kịp tốc độ này.

Những nguyên nhân mang tính cấu trúc dẫn đến rủi ro từ vendor bên thứ ba

Tại sao các vụ rò rỉ dữ liệu thường bắt nguồn từ nhà cung cấp bên thứ ba? Vì sao quyết định thuê ngoài các khâu vận hành cốt lõi lại vô tình tạo ra rủi ro cho chính khách hàng của tổ chức?

Câu trả lời nằm ở cấu trúc của các hệ thống hiện đại. Các tổ chức ngày nay hoạt động dựa trên các hệ sinh thái nhiều lớp gồm nhiều nhà cung cấp tư nhân hỗ trợ hàng loạt chức năng quan trọng.

Khi khối công phụ thuộc vào bên thứ ba để xử lý dữ liệu nhạy cảm của người dân, họ vô tình mở ra những con đường mới dẫn thẳng vào hệ thống bảo mật của mình. Hầu hết mọi sự cố rò rỉ dữ liệu qua bên thứ ba đều tuân theo một vài kịch bản chung.

1. Thông tin xác thực bị đánh cắp là lỗ hổng phổ biến nhất

Trong hệ thống mạng chính phủ, nhà cung cấp bên thứ ba thường được cấp quyền truy cập đặc quyền vào các hệ thống cốt lõi hỗ trợ dịch vụ công. Quyền truy cập này là bắt buộc, nhưng đồng thời tạo ra một lối vào tiềm ẩn nhiều rủi ro.

Khi thông tin xác thực của nhà cung cấp bị lộ, kẻ tấn công có thể xâm nhập qua các luồng công việc (workflows) được tin cậy của chính phủ mà không gây nghi ngờ ngay lập tức. Tính xác thực/hợp lệ ban đầu của việc truy cập có thể nhanh chóng biến thành hành vi xâm nhập trái phép vào nền tảng dịch vụ và dữ liệu nhạy cảm của người dân.

Báo cáo điều tra vi phạm dữ liệu của Verizon chỉ ra 22% vụ rò rỉ bắt đầu từ việc thông tin xác thực bị đánh cắp hoặc lạm dụng. Điều này khẳng định một tài khoản bị xâm nhập có thể làm lộ cơ sở hạ tầng chính phủ trên diện rộng.

2. Lỗ hổng bảo mật trong phần mềm của nhà cung cấp

Các cơ quan chính phủ phụ thuộc vào nền tảng của bên thứ ba để vận hành các dịch vụ công thiết yếu, từ hệ thống thanh toán đến cơ sở hạ tầng dữ liệu người dân.

Sự phụ thuộc này tạo ra một lỗ hổng mang tính hệ thống. Khi phần mềm của nhà cung cấp có lỗi, lỗ hổng không chỉ gói gọn trong một hệ thống mà trở thành điểm yếu chung của mọi cơ quan chính phủ đang sử dụng phần mềm đó.

Ví dụ điển hình là vụ rò rỉ dữ liệu MOVEit, một cuộc tấn công chuỗi cung ứng mạng khi lỗ hổng trong phần mềm chuyển tập tin của bên thứ ba đã cho phép kẻ tấn công truy cập dữ liệu của hàng trăm tổ chức, bao gồm cả các cơ quan chính phủ.

3. Hệ sinh thái nhà cung cấp ngày càng mở rộng

Các nhà cung cấp bên thứ ba hỗ trợ nhiều dịch vụ quan trọng trong khối công, từ cơ sở hạ tầng đám mây đến xử lý dữ liệu và nền tảng phục vụ người dân.

Khi dịch vụ số mở rộng, lỗ hổng tấn công cũng tăng theo. GovTech nhấn mạnh rằng cơ sở hạ tầng số ngày càng lớn làm tăng nguy cơ bị tấn công mạng. Một điểm yếu duy nhất có thể vượt ra ngoài phạm vi một hệ thống và ảnh hưởng đến nhiều dịch vụ chính phủ cùng một lúc.

Cần nhìn lại tư duy bảo mật trong kỷ nguyên của dịch vụ từ bên thứ ba

Cần hiểu rằng: bảo mật ngày nay không thể tiếp tục phụ thuộc hoàn toàn vào một mối quan hệ “tin tưởng cố định” như trước.

Một credential bị lộ không trông giống một cuộc tấn công. Một hệ thống vendor tồn tại lỗ hổng cũng không tự “thông báo” rằng mình là mối đe dọa. Và mối đe dọa đó đi vào hệ thống qua con đường có vẻ hoàn toàn hợp lệ.

Đây chính là điểm mà mô hình bảo mật truyền thống bắt đầu sụp đổ.

Trong môi trường mà dữ liệu liên tục di chuyển qua nhiều vendor, nền tảng và thiết bị khác nhau - niềm tin không thể còn là quyết định được đưa ra một lần duy nhất, niềm tin cần được liên tục kiểm tra.

Chính xác thì cần thay đổi điều gì?

Thay vì hỏi "Nhà cung cấp này có đáng tin không?", câu hỏi phù hợp hơn là:

“Trong những điều kiện nào, quyền truy cập này nên được cho phép ở thời điểm hiện tại?”

Sự thay đổi này thay đổi tất cả. Quyền truy cập không còn là vĩnh viễn mà trở thành có điều kiện.

Định danh đơn thuần (identity) thôi là chưa đủ, và ngữ cảnh (context) bắt đầu đóng vai trò quan trọng. Việc đã ở bên trong hệ thống không còn đồng nghĩa với việc được tin tưởng.

Mọi yêu cầu, mọi thiết bị, mọi tương tác đều phải tự chứng minh tính xác thực/hợp lệ. Không chỉ một lần, mà phải liên tục.

Thiết lập ranh giới trong hệ sinh thái phụ thuộc vào vendor

Trong nhiều môi trường hiện nay, quyền truy cập thường được xem như một quyết định chỉ cần thực hiện một lần. Khi vendor đã được xác thực, họ sẽ được cấp quyền hoạt động rộng và kéo dài, như thể sự tin tưởng đã hoàn toàn được thiết lập.

Nhưng trong môi trường mà dữ liệu liên tục di chuyển qua nhiều vendor, nền tảng và thiết bị khác nhau, cách tiếp cận này không còn phù hợp nữa.

Quyền truy cập không nên tồn tại vĩnh viễn. Và càng không nên được mặc nhiên tin tưởng mà không cần kiểm tra lại.

Dưới đây là cách thiết lập ranh giới chính xác giúp tổ chức bảo vệ dữ liệu nhạy cảm, và lý do vì sao một thay đổi nhỏ trong cách tiếp cận có thể xoay chuyển cục diện.

1. Quyền truy cập tối thiểu (Least privilege access)

Vendor chỉ nên được cấp đúng lượng quyền tối thiểu cần thiết để thực hiện một tác vụ cụ thể.

2. Truy cập giới hạn thời gian

Credential của vendor không nên luôn ở trạng thái hoạt động vĩnh viễn. Quyền truy cập cần tự động hết hạn sau khi công việc hoàn tất.

3. Kiểm soát liên tục

Mọi hoạt động của vendor bên trong hệ thống nội bộ cần được ghi log và giám sát nhằm phát hiện hành vi bất thường hoặc đáng ngờ.

4. Xác thực chặt chẽ

Xác thực nhiều yếu tố (MFA) và xác minh thiết bị phải là quy định bắt buộc đối với quyền truy cập từ nhà cung cấp.

5. Đánh giá bảo mật định kỳ

Các tổ chức khu vực công cần thường xuyên audit vendor để đảm bảo họ vẫn đáp ứng các tiêu chuẩn bảo mật cần thiết.

Lời kết

Các vụ vi phạm dữ liệu từ bên thứ ba thường bị quy trách nhiệm cho riêng một nhà cung cấp cụ thể. Điều này tuy tiện lợi nhưng không hoàn toàn chính xác.

Ngày nay, các tổ chức không hoạt động độc lập. Các tổ chức vận hành thông qua các hệ sinh thái kết nối lẫn nhau gồm nhà cung cấp, nền tảng và cơ sở hạ tầng vượt xa các ranh giới truyền thống.

Vì vậy, câu hỏi hiện nay không còn là:
“Có thể tin tưởng hệ thống của vendor hay không?”

Mà là:
“Liệu bất kỳ hệ thống nào có nên được xây dựng dựa trên sự tin tưởng mặc định hay không?”

Rủi ro từ nhà cung cấp bên thứ ba không còn là chuyện ngoài lề.

Và nếu rủi ro vendor đã trở thành một phần nằm bên trong hệ thống, thì bảo mật cũng không thể tiếp tục được thiết kế dựa trên khái niệm “người ngoài”. Bảo mật cần được thiết kế xoay quanh chính quyền truy cập.

Đã đến lúc phải thay đổi tư duy về cách “niềm tin” đang vận hành trong hệ thống của bạn và chủ động hành động trước khi vụ rò rỉ tiếp theo tự định đoạt thay bạn.

Tài liệu gốc: Third‐party vendor risk in government is no longer peripheral