Việt Nam đang tiến đến một bước ngoặt thầm lặng, nhưng mang tính quyết định trong lĩnh vực an ninh mạng. Ngày 9.2 vừa qua, ủy ban Mật mã Chính phủ đã công bố VN-PQSign, tiêu chuẩn mật mã hậu lượng tử quốc gia đầu tiên, được xây dựng dựa trên các chuẩn FIPS 203 và 205 của Hoa Kỳ. Trước đó, Quốc hội đã thông qua luật An ninh mạng mới, có hiệu lực từ ngày 1.7 tới, thiết lập khung pháp lý toàn diện cho hạ tầng số trong các lĩnh vực trọng yếu.

Hai diễn biến này không đơn thuần là thay đổi quy định. Chúng đánh dấu sự khởi đầu của quá trình chuyển dịch sang kỷ nguyên bảo mật hậu lượng tử tại Việt Nam. Câu hỏi đặt ra không còn là ngành ngân hàng của chúng ta “có cần chuẩn bị hay không”, mà là “đã bắt đầu hay chưa”.

Một hệ thống đã hoàn toàn số hóa, nhưng chưa sẵn sàng cho lượng tử

Ngành ngân hàng Việt Nam không còn trong giai đoạn chuyển đổi số. Quá trình đó đã hoàn tất. Tính đến cuối năm 2025, Việt Nam ghi nhận 87% người trưởng thành có tài khoản ngân hàng, 98% giao dịch được thực hiện qua kênh số và hơn 30 triệu giao dịch liên ngân hàng mỗi ngày. Đây là một hệ thống vận hành thực tế ở quy mô lớn, với dòng tiền thật.

Tuy nhiên, các đánh giá ban đầu về hạ tầng web trong lĩnh vực tài chính cho thấy một thực tế đáng lo ngại: Phần lớn hệ thống vẫn dựa trên mật mã truyền thống. Nhiều hệ thống sử dụng giao thức bảo mật TLS 1.2, không có trao đổi khóa hậu lượng tử, không có cơ chế lai (hybrid), và không có lộ trình chuyển đổi rõ ràng.

Đây không phải là các hệ thống cũ nằm trong nội bộ. Đây là các cổng giao dịch và API công khai, nơi hàng triệu người Việt đang thực hiện giao dịch mỗi ngày. Nói cách khác, Việt Nam đã xây dựng một nền kinh tế số hiện đại trên nền tảng mật mã cũ có thể không còn an toàn trong thập kỷ tới.

Sai lầm chiến lược: Chờ đợi quy định

Nhiều tổ chức tài chính có thể chọn chờ các nghị định hướng dẫn chi tiết trước khi hành động. Điều này dễ hiểu, nhưng là một sai lầm chiến lược. Bởi vì rủi ro chính không nằm ở quy định, mà nằm ở thời gian.

Các tác nhân có năng lực cao không cần máy tính lượng tử hôm nay để tạo ra rủi ro. Họ chỉ cần thu thập dữ liệu mã hóa hiện tại và giải mã sau khi công nghệ đủ trưởng thành. Đây được gọi là mô hình “thu thập ngay, giải mã sau”. Trong bối cảnh đó, dữ liệu nhạy cảm như thông tin khách hàng, lịch sử giao dịch, liên lạc tài chính, dữ liệu quản lý… được mã hóa hôm nay có thể bị đọc trong tương lai gần.

Cửa sổ rủi ro đã mở, và nó đang mở rộng theo từng ngày trì hoãn.

Rủi ro pháp lý tồn tại ngay cả khi chưa có quy định chi tiết

Luật Bảo vệ Dữ liệu Cá nhân (có hiệu lực từ 1.1.2026) đã đặt ra nghĩa vụ rõ ràng về bảo vệ dữ liệu, với mức phạt có thể lên đến 5% doanh thu. Quan trọng hơn, luật này không cần chờ quy định cụ thể về hậu lượng tử để tạo ra trách nhiệm pháp lý.

Nếu tổ chức đã được cảnh báo rằng hệ thống mật mã hiện tại có thể bị phá vỡ trong tương lai, và một tiêu chuẩn quốc gia như VN-PQSign đã tồn tại, thì việc không hành động có thể bị xem là thất bại trong quản trị. Điều này dẫn đến một kịch bản khó tránh: Dữ liệu được mã hóa năm 2026 có thể bị giải mã vào năm 2029 hoặc 2030, nhưng trách nhiệm vẫn truy ngược về quyết định hôm nay.

Khoảng cách thực sự không nằm ở công nghệ

Vấn đề không phải là thiếu giải pháp. Vấn đề là phần lớn tổ chức chưa biết chính xác trạng thái hiện tại của mình. Bước đầu tiên của chuyển đổi hậu lượng tử là một câu hỏi đơn giản: Chúng ta đang sử dụng những thuật toán mật mã nào? Rất ít doanh nghiệp có thể trả lời chính xác. Không có một “danh mục mật mã” (CBOM), tổ chức không thể đánh giá rủi ro, ưu tiên xử lý và chứng minh tuân thủ.

Song song đó là khoảng cách về con người. Các đội ngũ an ninh mạng hiện tại rất mạnh trong mô hình truyền thống. Nhưng hậu lượng tử đòi hỏi kiến thức mới, bao gồm các kiến thức liên quan thuật toán lattice-based (dựa trên mạng lưới, có khả năng kháng lượng tử - Biên tập), cơ chế hybrid cùng mô hình đe dọa lượng tử.

Điều này tạo ra hai khoảng cách: Khoảng cách về hệ thống và khoảng cách về năng lực. Và cả hai cần được giải quyết đồng thời.

Không chỉ là nghĩa vụ tuân thủ

Bên cạnh rủi ro, đây cũng là một cơ hội chiến lược. Khi Nhật Bản, Hàn Quốc, Đài Loan tăng tốc chuyển đổi hậu lượng tử, họ đối mặt với một hạn chế: Các hoạt động kiểm định mật mã nhạy cảm không thể thực hiện tại mọi quốc gia, vùng lãnh thổ.

Việt Nam, với nền tảng công nghệ đang phát triển, cam kết về chủ quyền số và tiêu chuẩn PQC quốc gia, có thể trở thành trung tâm khu vực cho kiểm định và đào tạo bảo mật hậu lượng tử. Đây không chỉ là câu chuyện tuân thủ. Đây là cơ hội để Việt Nam tham gia định hình lớp hạ tầng an ninh mạng tiếp theo của khu vực.

Hiện các nghị định hướng dẫn VN-PQSign vẫn chưa được ban hành. Điều này tạo ra một khoảng thời gian hiếm hoi để các tổ chức hành động trước khi tuân thủ trở thành bắt buộc. Những tổ chức bắt đầu ngay từ bây giờ có thể bắt tay tìm hiểu rõ hệ thống mật mã hiện tại, xây dựng lộ trình chuyển đổi, đào tạo đội ngũ và chứng minh sự chuẩn bị với cơ quan quản lý. Ngược lại, những tổ chức chờ đợi sẽ phải phản ứng trong áp lực, đồng thời mang theo rủi ro tích lũy từ nhiều năm trước đó.

Việt Nam đã xây dựng một nền kinh tế số ấn tượng trong chưa đầy một thập kỷ. Giai đoạn tiếp theo không còn là tăng trưởng, mà là khả năng chống chịu. Và trong kỷ nguyên lượng tử, khả năng đó bắt đầu từ những quyết định được đưa ra ngay hôm nay.

TS. Huỳnh Vĩnh Phúc là chủ tịch khu vực châu Á - Thái Bình Dương của SpecterAI Quantum Security và là đồng sáng lập CIO Vietnam. Ông có hơn 30 năm kinh nghiệm mở rộng doanh nghiệp công nghệ tại Đông Nam Á và từng giữ các vị trí lãnh đạo tại IBM, HP, Infor, Salesforce, Proofpoint và Gartner.