Bạn có thể chứng minh rằng hệ thống công nghiệp của mình sẵn sàng chống lại máy tính lượng tử không? Câu hỏi này khiến hàng nghìn chủ sở hữu tài sản OT (Operational Technology - công nghệ vận hành) trên thế giới đau đầu. Họ đang phải đối mặt với yêu cầu từ các cơ quan quản lý về việc chứng thực sự sẵn sàng mật mã hậu lượng tử, nhưng lại không có công cụ phù hợp để thực hiện. Chúng tôi cho rằng đây là một trong những thách thức nghiêm trọng nhất mà ngành công nghiệp hiện đại đang phải đối mặt.

Bẫy giấy tờ trong thế giới công nghệ vận hành

OT hay Operational Technology là hệ thống điều khiển các thiết bị vật lý trong nhà máy, nhà máy điện, hệ thống giao thông và cơ sở hạ tầng quan trọng. Khác với IT (Information Technology), OT yêu cầu độ tin cậy tuyệt đối và thời gian hoạt động liên tục. Khi máy tính lượng tử trở thành hiện thực, chúng có thể phá vỡ các thuật toán mã hóa hiện tại trong vài phút thay vì hàng nghìn năm.

Vấn đề nằm ở chỗ các cơ quan quản lý đang yêu cầu chứng thực (attestation) về sự sẵn sàng này mà không cung cấp tiêu chuẩn rõ ràng hay công cụ đánh giá. Kết quả là các doanh nghiệp chỉ có thể tạo ra những báo cáo trông có vẻ chuyên nghiệp nhưng thiếu cơ sở kỹ thuật thực sự. Đây chính là "paperwork dressed up to look like genuine security" - giấy tờ được tô vẽ để trông giống bảo mật thực sự.

Lỗ hổng trong kho công cụ an ninh mạng

Mật mã hậu lượng tử (Post-Quantum Cryptography - PQC) là các thuật toán mã hóa được thiết kế để chống lại sức mạnh tính toán của máy tính lượng tử. NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ) đã công bố các tiêu chuẩn PQC đầu tiên vào năm 2024, nhưng việc triển khai trong môi trường OT là cực kỳ phức tạp. Các hệ thống OT thường hoạt động trong 20-30 năm, không thể cập nhật thường xuyên như IT.

Chúng tôi đánh giá rằng nguyên nhân gốc rễ nằm ở sự thiếu đồng bộ giữa chính sách và thực tế kỹ thuật. Trong khi các cơ quan quản lý tập trung vào tuân thủ pháp lý, các nhà cung cấp công nghệ vẫn đang trong giai đoạn nghiên cứu và phát triển. Khoảng cách này tạo ra một "vùng xám" nguy hiểm nơi doanh nghiệp phải tự mò mẫm tìm giải pháp.

Tác động nghiêm trọng đến cơ sở hạ tầng quan trọng

Theo thống kê của Cybersecurity and Infrastructure Security Agency (CISA), hơn 80% cơ sở hạ tầng quan trọng của Mỹ dựa vào các hệ thống OT có thể bị tổn thương bởi máy tính lượng tử. Con số này ở các nước đang phát triển như Việt Nam có thể còn cao hơn do hạ tầng lâu đời và ngân sách hạn chế cho việc nâng cấp bảo mật. Khi một cuộc tấn công lượng tử xảy ra, thiệt hại có thể lên đến hàng tỷ USD và ảnh hưởng đến hàng triệu người.

Ở Việt Nam, các nhà máy điện, hệ thống ngân hàng và cơ sở hạ tầng viễn thông đang dần số hóa nhưng chưa có kế hoạch rõ ràng cho thời đại hậu lượng tử. Theo báo cáo của Cục An toàn thông tin năm 2024, chỉ có 15% doanh nghiệp Việt Nam hiểu rõ về mối threat này.

Lộ trình chuẩn bị cho doanh nghiệp Việt Nam

Doanh nghiệp Việt Nam cần hành động ngay lập tức thay vì chờ đợi công cụ hoàn hảo. Bước đầu tiên là thực hiện đánh giá rủi ro mật mã (cryptographic risk assessment) để xác định tất cả điểm sử dụng mã hóa trong hệ thống. Tiếp theo, tạo ra inventory chi tiết về các thuật toán đang sử dụng, thời gian dự kiến nâng cấp và mức độ ưu tiên của từng hệ thống con.

Chúng tôi khuyến nghị các CIO và CISO Việt Nam nên tham gia vào các chương trình thí điểm của các nhà cung cấp lớn như IBM, Microsoft hay Cisco về PQC. Đồng thời, thiết lập quan hệ hợp tác với các trường đại học có chương trình an ninh mạng mạnh để cập nhật kiến thức mới nhất. Đầu tư vào đào tạo nhân sự là then chốt, vì không có công cụ nào có thể thay thế được chuyên gia hiểu rõ cả OT và PQC.