Sự phát triển của công nghệ lượng tử đang mở ra những cơ hội to lớn trong khoa học, công nghệ và kinh tế số, đồng thời đặt ra những thách thức mới đối với an toàn thông tin và bảo vệ dữ liệu. Một trong những nguy cơ được cộng đồng quốc tế đặc biệt quan tâm hiện nay là chiến lược “thu thập trước, giải mã sau” (Harvest Now, Decrypt Later), theo đó dữ liệu được thu thập và lưu trữ từ hiện tại để chờ giải mã khi công nghệ lượng tử đạt độ trưởng thành trong tương lai. Khác với các mối đe dọa an ninh mạng truyền thống, nguy cơ này xuất hiện trước khi công cụ tấn công thực sự hoàn thiện, tạo ra thách thức mới đối với công tác quản trị dữ liệu và bảo đảm an toàn thông tin. Bài viết phân tích bản chất của nguy cơ “thu thập trước, giải mã sau” dưới góc nhìn quản trị công nghệ, làm rõ những tác động đối với các loại dữ liệu có giá trị dài hạn, đồng thời đề xuất một số định hướng nhằm tăng cường năng lực bảo vệ dữ liệu quốc gia trong bối cảnh kỷ nguyên lượng tử.
Trong suốt quá trình phát triển của công nghệ thông tin, an toàn thông tin luôn được nhìn nhận là cuộc cạnh tranh giữa năng lực bảo vệ và năng lực tấn công. Các giải pháp bảo mật được xây dựng nhằm ứng phó với những nguy cơ hiện hữu hoặc có khả năng xuất hiện trong tương lai gần. Tuy nhiên, sự phát triển của công nghệ lượng tử đang đặt ra một dạng thách thức hoàn toàn khác: những dữ liệu được bảo vệ an toàn ngày hôm nay có thể trở thành đối tượng bị khai thác trong tương lai bởi các năng lực tính toán hiện chưa thực sự tồn tại.
Nguy cơ này không bắt đầu từ thời điểm máy tính lượng tử đủ mạnh được đưa vào sử dụng. Trái lại, quá trình thu thập dữ liệu có thể đã diễn ra từ nhiều năm trước. Những dữ liệu được mã hóa và lưu trữ ở thời điểm hiện tại có thể trở thành mục tiêu của chiến lược được gọi là “thu thập trước, giải mã sau”, trong đó dữ liệu được thu thập và lưu giữ trong thời gian dài với kỳ vọng sẽ được giải mã khi công nghệ lượng tử phát triển đến mức đủ khả năng phá vỡ các cơ chế bảo vệ hiện hành.
Dưới góc độ quản trị, đây là một vấn đề đáng chú ý bởi lần đầu tiên trong lịch sử an toàn thông tin hiện đại, một mối đe dọa có thể gây tác động tới dữ liệu trước khi công nghệ tấn công thực sự hoàn thiện. Điều này đòi hỏi các quốc gia, tổ chức và doanh nghiệp phải thay đổi cách tiếp cận đối với công tác bảo vệ dữ liệu, từ tư duy ứng phó với các nguy cơ hiện hữu sang tư duy chuẩn bị cho các rủi ro có thể xuất hiện trong dài hạn. Nói cách khác, đây không chỉ là câu chuyện về một công nghệ mới, mà còn là phép thử đối với năng lực dự báo và quản trị những rủi ro công nghệ của tương lai.
“THU THẬP TRƯỚC, GIẢI MÃ SAU” – MỘT DẠNG RỦI RO CHƯA TỪNG CÓ
Từ trước đến nay, phần lớn các mối đe dọa an toàn thông tin xuất hiện khi năng lực tấn công đã hiện hữu hoặc có khả năng hiện hữu trong tương lai gần. Các tổ chức thường có thể nhận diện nguy cơ, đánh giá tác động và triển khai các biện pháp ứng phó tương ứng. Tuy nhiên, chiến lược “thu thập trước, giải mã sau” lại đặt ra một tình huống hoàn toàn khác. Điểm đặc biệt của nguy cơ này nằm ở chỗ hành vi thu thập dữ liệu có thể diễn ra từ hiện tại, trong khi năng lực khai thác dữ liệu chỉ xuất hiện trong tương lai. Điều đó tạo ra một khoảng cách thời gian đáng kể giữa thời điểm dữ liệu bị thu thập và thời điểm dữ liệu có thể bị giải mã. Chính khoảng cách này làm cho nhiều biện pháp đánh giá rủi ro truyền thống trở nên chưa đầy đủ.
Đây không còn là vấn đề của công nghệ lượng tử mà là vấn đề quản trị bất định. Các nhà quản lý phải đưa ra quyết định ở thời điểm hiện tại đối với một nguy cơ chưa thể xác định chính xác về thời gian xuất hiện, quy mô tác động và tốc độ phát triển. Điều này đòi hỏi tư duy quản trị phải vượt ra khỏi khuôn khổ ứng phó với các nguy cơ hiện hữu để hướng tới năng lực dự báo và chuẩn bị cho những thay đổi có tính đột phá trong tương lai.
Có thể nói, lần đầu tiên trong lịch sử an toàn thông tin hiện đại, giá trị của dữ liệu đang phải được bảo vệ không chỉ trước các đối thủ của hiện tại mà còn trước những năng lực công nghệ của tương lai.
THÁCH THỨC KHÔNG NẰM Ở MÁY TÍNH LƯỢNG TỬ MÀ NẰM Ở GIÁ TRỊ DÀI HẠN CỦA DỮ LIỆU
Khi đề cập đến công nghệ lượng tử, sự chú ý thường tập trung vào khả năng tính toán vượt trội của các thế hệ máy tính tương lai. Tuy nhiên, dưới góc độ quản trị, vấn đề cốt lõi không nằm ở bản thân công nghệ mà nằm ở đặc tính của dữ liệu. Không phải mọi loại dữ liệu đều chịu tác động như nhau trước nguy cơ “thu thập trước, giải mã sau”. Đối với nhiều giao dịch thông thường, giá trị của dữ liệu có thể chỉ tồn tại trong thời gian ngắn. Thông tin về một giao dịch thương mại điện tử, một cuộc trao đổi công việc thường nhật hoặc một phiên đăng nhập hệ thống có thể không còn nhiều ý nghĩa sau một khoảng thời gian nhất định.
Ngược lại, nhiều loại dữ liệu có vòng đời giá trị rất dài. Đó có thể là các tài liệu liên quan đến quốc phòng, an ninh, đối ngoại, cơ yếu, chiến lược phát triển quốc gia, hồ sơ nghiên cứu công nghệ lõi hoặc dữ liệu về hạ tầng trọng yếu. Giá trị của những dữ liệu này có thể kéo dài hàng chục năm, thậm chí lâu hơn.
Chính sự chênh lệch giữa tuổi thọ của dữ liệu và tuổi thọ của công nghệ bảo vệ dữ liệu tạo ra nguy cơ mới. Một hệ mật mã được coi là an toàn tại thời điểm hiện tại chưa chắc vẫn bảo đảm mức độ an toàn tương tự trong tương lai. Nếu dữ liệu vẫn còn giá trị trong khi cơ chế bảo vệ đã mất hiệu lực, nguy cơ lộ lọt thông tin có thể xảy ra bất kể dữ liệu đó được tạo ra từ nhiều năm trước. Ở góc độ này, có thể nói rằng thách thức lớn nhất của kỷ nguyên lượng tử không phải là sự xuất hiện của một loại máy tính mới mà là việc phải bảo vệ những dữ liệu có giá trị dài hạn trước các năng lực công nghệ chưa xuất hiện đầy đủ ở thời điểm hiện tại.
Điều này cũng đặt ra yêu cầu thay đổi trong tư duy quản trị an toàn thông tin. Nếu trước đây việc đánh giá rủi ro chủ yếu dựa trên các nguy cơ hiện hữu, thì trong bối cảnh “thu thập trước, giải mã sau”, các nhà quản lý cần quan tâm nhiều hơn đến khả năng dữ liệu có thể bị khai thác trong tương lai. Nói cách khác, câu hỏi không chỉ là dữ liệu có an toàn ở thời điểm hiện tại hay không, mà còn là liệu dữ liệu đó có còn được bảo vệ khi các năng lực tính toán mới xuất hiện trong những năm hoặc nhiều thập niên tới. Khi đó, an toàn thông tin không còn chỉ là bài toán bảo vệ hệ thống trước các cuộc tấn công mạng mà trở thành bài toán bảo vệ giá trị tương lai của dữ liệu.
THỜI GIAN – BIẾN SỐ CHIẾN LƯỢC MỚI TRONG QUẢN TRỊ AN TOÀN THÔNG TIN
Một trong những đặc điểm đáng chú ý nhất của nguy cơ “thu thập trước, giải mã sau” là làm thay đổi vai trò của yếu tố thời gian trong công tác bảo đảm an toàn thông tin. Trong nhiều trường hợp, mức độ an toàn của dữ liệu thường được đánh giá tại thời điểm dữ liệu được tạo lập, truyền đưa hoặc lưu trữ. Một hệ thống được coi là an toàn khi có khả năng chống lại các phương thức tấn công hiện có hoặc có thể dự báo trong tương lai gần.
Tuy nhiên, trong bối cảnh công nghệ lượng tử đang phát triển nhanh chóng, cách tiếp cận này dần bộc lộ những hạn chế nhất định. Đối với các dữ liệu có vòng đời giá trị kéo dài hàng chục năm, khoảng thời gian dữ liệu cần được bảo vệ có thể quan trọng không kém bản thân công nghệ bảo vệ dữ liệu. Một dữ liệu chỉ cần bảo vệ trong vài tháng có thể ít chịu tác động từ nguy cơ lượng tử, nhưng đối với các dữ liệu chiến lược cần duy trì tính bí mật trong nhiều thập niên, mức độ rủi ro lại hoàn toàn khác.
Như vậy, đối với lĩnh vực an toàn thông tin hiện đại, thời gian trở thành một biến số chiến lược trong đánh giá rủi ro. Điều đó đòi hỏi các nhà quản lý phải mở rộng tầm nhìn từ bảo vệ dữ liệu trước các nguy cơ hiện tại sang bảo vệ dữ liệu trước những thay đổi công nghệ có thể xuất hiện trong tương lai.
YÊU CẦU ĐẶT RA ĐỐI VỚI CÔNG TÁC QUẢN TRỊ DỮ LIỆU TẠI VIỆT NAM
Trên thế giới, quá trình chuẩn bị cho các thách thức an ninh dữ liệu trong kỷ nguyên lượng tử đang được triển khai từ khá sớm. Nhiều quốc gia không chờ đến khi máy tính lượng tử đạt khả năng phá vỡ các hệ mật mã hiện hành mới bắt đầu chuyển đổi mà đã xây dựng lộ trình đánh giá tài sản dữ liệu, rà soát hệ thống thông tin và nghiên cứu áp dụng các giải pháp mật mã hậu lượng tử. Kinh nghiệm này cho thấy việc chuẩn bị cho các rủi ro công nghệ dài hạn cần được thực hiện trước khi nguy cơ trở thành hiện thực.
Cụ thể, tháng 8/2024, Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đã công bố ba tiêu chuẩn mật mã hậu lượng tử đầu tiên, đánh dấu bước chuyển từ giai đoạn nghiên cứu sang triển khai thực tiễn. Cùng với đó, Cơ quan An ninh Quốc gia Mỹ (NSA) đã ban hành lộ trình chuyển đổi các hệ thống an ninh quốc gia sang các thuật toán kháng lượng tử theo khuôn khổ CNSA 2.0. Tại Vương quốc Anh, Trung tâm An ninh mạng Quốc gia (NCSC) cũng đã công bố lộ trình chuyển đổi mật mã hậu lượng tử đối với các hệ thống trọng yếu. Những động thái này cho thấy nhiều quốc gia đã bắt đầu tích hợp yêu cầu chuẩn bị cho các nguy cơ lượng tử vào chiến lược an ninh mạng và bảo vệ dữ liệu quốc gia.
Trong khi đó, Việt Nam đang đẩy mạnh xây dựng Chính phủ số, kinh tế số, xã hội số và phát triển hạ tầng dữ liệu quốc gia. Nghị quyết số 57-NQ/TW của Bộ Chính trị đã xác định dữ liệu là nguồn tài nguyên mới, là tư liệu sản xuất quan trọng của nền kinh tế số và yêu cầu phát triển hạ tầng dữ liệu đồng bộ, hiện đại. Hiện nay, Việt Nam đang triển khai xây dựng Trung tâm Dữ liệu quốc gia cùng nhiều cơ sở dữ liệu quốc gia và cơ sở dữ liệu chuyên ngành quy mô lớn. Điều này đặt ra yêu cầu cần sớm lồng ghép các yếu tố bảo đảm an ninh dữ liệu vào quá trình hoạch định chính sách, xây dựng tiêu chuẩn kỹ thuật và phát triển hạ tầng số quốc gia.
Sự phát triển nhanh chóng của hạ tầng dữ liệu quốc gia cũng đặt ra yêu cầu mở rộng phạm vi quản trị từ bảo vệ hệ thống hiện tại sang dự báo và chuẩn bị cho các nguy cơ công nghệ trong tương lai. Trong bối cảnh đó, “thu thập trước, giải mã sau” cần được xem xét như một thách thức đối với công tác quản trị dữ liệu quốc gia chứ không chỉ là vấn đề kỹ thuật của ngành an toàn thông tin. Như vậy, yêu cầu đặt ra trước hết là phải rà soát và nhận diện các nhóm dữ liệu có giá trị bảo mật dài hạn, đặc biệt là dữ liệu liên quan đến quốc phòng, an ninh, đối ngoại, cơ yếu, hạ tầng trọng yếu và các công nghệ lõi. Đây sẽ là cơ sở để đánh giá mức độ tác động của nguy cơ “thu thập trước, giải mã sau”, xác định các ưu tiên bảo vệ phù hợp và từng bước xây dựng lộ trình chuẩn bị cho các thách thức an ninh dữ liệu trong tương lai.
Bên cạnh đó, cần tăng cường năng lực nghiên cứu, đào tạo và theo dõi xu hướng công nghệ lượng tử cũng như các giải pháp bảo mật thế hệ mới trên thế giới. Mục tiêu không chỉ là làm chủ công nghệ mà còn là nâng cao năng lực dự báo, đánh giá tác động và hoạch định chính sách đối với những thay đổi công nghệ có thể ảnh hưởng đến lợi ích quốc gia. Trong dài hạn, việc chuẩn bị ứng phó với các thách thức an ninh dữ liệu trong kỷ nguyên lượng tử cần được xem là một bộ phận của chiến lược bảo vệ dữ liệu quốc gia, gắn với chiến lược chuyển đổi số và chiến lược phát triển khoa học, công nghệ, đổi mới sáng tạo của đất nước, qua đó bảo đảm tính chủ động trong bảo vệ các tài sản dữ liệu có giá trị chiến lược của quốc gia.
KẾT LUẬN
Nguy cơ “thu thập trước, giải mã sau” cho thấy thách thức an ninh dữ liệu trong kỷ nguyên lượng tử không còn là câu chuyện của công nghệ mà trước hết là câu chuyện của quản trị. Điểm khác biệt của nguy cơ này nằm ở chỗ tác động của nó có thể bắt đầu từ hiện tại, trong khi công cụ khai thác dữ liệu chỉ xuất hiện trong tương lai. Đối với các dữ liệu có giá trị chiến lược, thách thức không nằm ở việc máy tính lượng tử sẽ xuất hiện khi nào, mà nằm ở việc những dữ liệu được tạo lập hôm nay có còn giữ được tính bí mật khi thời điểm đó đến hay không.
Vì vậy, việc chuẩn bị các điều kiện cần thiết để bảo vệ dữ liệu trước các nguy cơ lượng tử cần được xem là nhiệm vụ của hiện tại nhằm bảo đảm an toàn cho tương lai. Trong bối cảnh chiến lược “thu thập trước, giải mã sau” có thể đã bắt đầu từ hôm nay, chờ đợi đến khi máy tính lượng tử đủ khả năng phá vỡ các hệ mật mã hiện hành mới hành động có thể đồng nghĩa với việc đã quá muộn đối với nhiều loại dữ liệu có giá trị chiến lược lâu dài.
