Rủi ro từ bên thứ ba: Khi sự cố bảo mật đến từ nhà cung cấp của bạn

Một kịch bản chúng tôi gặp lặp đi lặp lại: doanh nghiệp đầu tư nghiêm túc cho bảo mật — hệ thống được kiểm thử, nhân viên được đào tạo, truy cập được kiểm soát. Rồi dữ liệu khách hàng vẫn rò rỉ. Không phải qua hệ thống của họ, mà qua agency chạy quảng cáo được chia sẻ danh sách khách hàng, qua nhà cung cấp phần mềm bị tấn công và phát tán bản cập nhật độc hại, hay qua đơn vị tổng đài thuê ngoài với nhân viên xuất dữ liệu ra file cá nhân. Các vụ tấn công chuỗi cung ứng lớn trên thế giới những năm qua đều chung một bài học: kẻ tấn công không đi qua cửa chính được canh gác — chúng đi qua cửa của đối tác.

Bên thứ ba của bạn là ai? Rộng hơn bạn nghĩ

Khi nghe 'rủi ro chuỗi cung ứng', nhiều người chỉ nghĩ đến phần mềm. Thực tế, danh sách bên thứ ba có thể gây sự cố cho bạn gồm ít nhất năm nhóm:

• Nhà cung cấp phần mềm và thư viện mã nguồn. Phần mềm thương mại, plugin, thư viện open-source trong sản phẩm của bạn — một bản cập nhật bị cài mã độc hoặc một thư viện có lỗ hổng nghiêm trọng ảnh hưởng trực tiếp đến bạn.
• Dịch vụ SaaS lưu dữ liệu của bạn. CRM, công cụ email marketing, nền tảng nhân sự, dịch vụ lưu trữ — dữ liệu khách hàng và nhân viên của bạn nằm trên hạ tầng của họ.
• Đối tác tích hợp kỹ thuật. Bên có API key, kết nối VPN site-to-site, hoặc tài khoản truy cập vào hệ thống của bạn — cổng thanh toán, đơn vị vận chuyển, đối tác đối soát.
• Thuê ngoài nghiệp vụ. Agency marketing, đơn vị tổng đài/CSKH, dịch vụ kế toán, đơn vị tuyển dụng — họ chạm vào dữ liệu nhạy cảm hằng ngày, thường với kiểm soát lỏng hơn bạn nhiều.
• Nhà thầu hạ tầng và thiết bị. Đơn vị bảo trì hệ thống, lắp đặt camera, quản lý tòa nhà — quyền truy cập vật lý và quyền quản trị kỹ thuật của họ hay bị bỏ quên nhất.

Trách nhiệm pháp lý không thể thuê ngoài

Theo quy định về bảo vệ dữ liệu cá nhân của Việt Nam, khi bạn giao dữ liệu cho bên xử lý thuê ngoài, bạn vẫn là bên chịu trách nhiệm chính trước chủ thể dữ liệu và cơ quan quản lý. Agency làm rò rỉ danh sách khách hàng của bạn — khách hàng và cơ quan chức năng tìm đến bạn, không phải agency. Hợp đồng với điều khoản bồi thường có thể giúp bạn đòi lại một phần thiệt hại tài chính về sau, nhưng không chuyển giao được nghĩa vụ tuân thủ, và càng không cứu được uy tín.

Đây là lý do quản lý rủi ro bên thứ ba không phải việc 'có thì tốt' — với doanh nghiệp xử lý dữ liệu cá nhân ở quy mô đáng kể, nó là một phần bắt buộc của chương trình tuân thủ.

Quy trình quản lý rủi ro nhà cung cấp: 5 bước

1. Kiểm kê và phân loại. Lập danh sách toàn bộ bên thứ ba đang có quyền truy cập dữ liệu hoặc hệ thống, phân thành 3 mức: rủi ro cao (truy cập dữ liệu nhạy cảm hoặc hệ thống lõi), trung bình (dữ liệu nội bộ thông thường), thấp (không chạm dữ liệu). Nỗ lực đánh giá dồn vào nhóm cao — đừng bắt nhà cung cấp văn phòng phẩm điền 200 câu hỏi bảo mật.
2. Thẩm định trước khi ký. Với nhóm rủi ro cao, yêu cầu bằng chứng thay vì lời hứa: chứng nhận độc lập (ISO 27001, SOC 2), báo cáo penetration testing gần nhất, chính sách bảo mật và quy trình ứng phó sự cố. Cách họ trả lời các câu hỏi này thường nói lên nhiều điều hơn nội dung trả lời.
3. Ràng buộc trong hợp đồng. Bốn điều khoản tối thiểu: nghĩa vụ bảo mật cụ thể (không phải một dòng chung chung), nghĩa vụ thông báo cho bạn khi có sự cố trong thời hạn rõ ràng (24–72 giờ), quyền của bạn được đánh giá hoặc yêu cầu bằng chứng định kỳ, và nghĩa vụ xóa/hoàn trả dữ liệu khi kết thúc hợp tác — kèm xác nhận bằng văn bản.
4. Kiểm soát kỹ thuật ở phía bạn. Đừng tin hoàn toàn vào cam kết của đối tác: cấp quyền tối thiểu cho từng tích hợp (API key chỉ có quyền cần thiết, không phải quyền admin), tài khoản riêng cho từng đối tác (không dùng chung), giới hạn IP truy cập, và ghi log mọi truy cập của bên thứ ba để có thể trả lời câu hỏi 'họ đã truy cập gì' khi cần.
5. Rà soát định kỳ và offboarding. Mỗi năm, rà lại danh sách: hợp tác nào đã kết thúc nhưng tài khoản còn hoạt động? API key nào không còn dùng? Đối tác rủi ro cao có còn duy trì chứng nhận không? Kết thúc hợp tác phải đi kèm thu hồi toàn bộ quyền truy cập ngay lập tức — tài khoản 'đối tác cũ' còn sống là một trong những cửa hậu bị khai thác nhiều nhất.

Bộ câu hỏi tối thiểu cho nhà cung cấp rủi ro cao

• Dữ liệu của chúng tôi được lưu ở đâu, mã hóa thế nào, và những ai trong tổ chức của bạn truy cập được?
• Lần đánh giá bảo mật độc lập (pentest/audit) gần nhất là khi nào? Có thể chia sẻ báo cáo tóm tắt không?
• Quy trình của bạn khi xảy ra sự cố ảnh hưởng đến dữ liệu của chúng tôi là gì? Cam kết thông báo trong bao lâu?
• Nhân viên của bạn có được đào tạo bảo mật không? Tài khoản truy cập dữ liệu khách hàng có bật MFA không?
• Bạn có sử dụng bên thứ tư nào để xử lý dữ liệu của chúng tôi không (subprocessor)? Danh sách cụ thể?
• Khi hợp đồng kết thúc, dữ liệu của chúng tôi được xóa theo quy trình nào và trong bao lâu?

Chiều ngược lại: bạn cũng là 'bên thứ ba' của ai đó

Nếu doanh nghiệp của bạn cung cấp dịch vụ cho các tổ chức lớn — ngân hàng, tập đoàn, công ty đa quốc gia — thì chính bạn đang ngồi ở phía bên kia của quy trình này. Ngày càng nhiều hợp đồng B2B yêu cầu nhà cung cấp chứng minh năng lực bảo mật: trả lời bộ câu hỏi đánh giá, xuất trình báo cáo kiểm thử độc lập, cam kết SLA sự cố. Doanh nghiệp chuẩn bị sẵn các bằng chứng này không chỉ qua được vòng thẩm định nhanh hơn — họ biến bảo mật thành lợi thế cạnh tranh trước các đối thủ chưa sẵn sàng.