Việc triển khai “Chỉ thị cơ bản về an ninh mạng quốc gia” và khung N2SF đang mở ra một giai đoạn chuyển đổi mới trên thị trường an ninh mạng Hàn Quốc. Trong bối cảnh đó, Fasoo AI cho rằng để các cơ quan công đáp ứng N2SF một cách hiệu quả, việc cần làm trước tiên là nhận diện và phân loại dữ liệu đúng cách.

Theo cách tiếp cận của N2SF, môi trường bảo mật tại khu vực công có thể dần thoát khỏi mô hình tách biệt mạng cứng nhắc trước đây, qua đó cho phép đưa các thông tin ít quan trọng hơn lên môi trường Internet.

Dữ liệu trong mô hình này được chia thành ba nhóm: C (Classified - mật), S (Sensitive - nhạy cảm) và O (Open - công khai). Trọng tâm của N2SF là xác định rõ những dữ liệu thuộc nhóm O để có thể vận hành trên Internet.

Thị phần dữ liệu nhóm O có thể khác nhau tùy từng cơ quan, song thị trường dự báo tại các đơn vị cung cấp dịch vụ công cho người dân, tỷ lệ này có thể vượt 80%.

Dù không mang tính bắt buộc, Cơ quan Tình báo Quốc gia Hàn Quốc (NIS) đã đưa định hướng này vào chỉ thị. Chính phủ Hàn Quốc cũng đang khuyến khích các cơ quan công áp dụng N2SF. Vì vậy, giới trong ngành kỳ vọng một thị trường an ninh mạng mới sẽ hình thành.

Một số ý kiến cho rằng vẫn cần theo dõi liệu thị trường mới này có thực sự mở rộng quy mô hay chỉ dịch chuyển nhu cầu trong thị trường hiện hữu. Tuy nhiên, phần lớn đều nhận định N2SF là thay đổi khó có thể bỏ qua đối với ngành an ninh mạng trong nước.

Trên thực tế, nhiều doanh nghiệp trong các mảng như bảo mật mạng và xác thực đã bắt đầu đẩy mạnh hiện diện trong thị trường N2SF, mỗi bên đưa ra cách tiếp cận và luận điểm riêng. Ngay cả các công ty theo đuổi mô hình Zero Trust cũng đồng loạt nhấn mạnh khả năng tương thích với N2SF và tăng đầu tư liên quan.

Fasoo AI, doanh nghiệp chuyên về bảo mật dữ liệu, cũng tuyên bố tham gia mạnh mẽ vào thị trường này. Công ty đặt mục tiêu cung cấp các giải pháp giúp tổ chức xây dựng nền tảng phù hợp ngay từ bước đầu khi triển khai N2SF.

Ông Kang Bong-ho, Giám đốc điều hành Fasoo AI, cho biết: “Cốt lõi của N2SF là chuyển sang mô hình dựa trên mức độ quan trọng của dữ liệu. Vì vậy, ưu tiên đầu tiên phải là thiết lập hệ thống phân loại dữ liệu”.

Theo ông, Fasoo AI đã cung cấp giải pháp Fasoo Data Radar (FDR) từ hơn 10 năm trước, tức trước cả khi N2SF được đưa ra, để hỗ trợ nhận diện và phân loại dữ liệu.

Ông cho biết thêm, trước đây đã có nhiều đơn vị cung cấp giải pháp bảo vệ dữ liệu cá nhân, nhưng Fasoo AI theo đuổi hướng nhận diện và phân loại dữ liệu từ rất sớm, phát triển FDR và tích lũy kinh nghiệm vận hành cũng như năng lực chuyên môn trong lĩnh vực này.

Theo giới trong ngành, việc các cơ quan công phân loại dữ liệu theo ba nhóm C, S, O khó hơn nhiều so với hình dung ban đầu.

Khi soạn thảo văn bản, các cơ quan công vốn đã phải gắn nhãn cho 8 nhóm thông tin không công khai theo Luật Công khai thông tin. Vì vậy, ở một mức độ nhất định, dữ liệu trong giai đoạn soạn thảo đã được phân loại sẵn.

Tuy nhiên, khi dữ liệu được chuyển sang hệ thống hoặc máy tính cá nhân, việc phân loại lại không phải lúc nào cũng được duy trì. Trong bối cảnh AI khiến môi trường vận hành ngày càng phức tạp, nhiều công chức khó có thể khẳng định chắc chắn rằng toàn bộ dữ liệu trên máy tính của mình đều là thông tin có thể công khai.

Một thách thức khác là thông tin công khai và không công khai không thể cùng tồn tại trong một hệ thống. Theo nguyên tắc áp dụng mức phân loại cao nhất, nếu dữ liệu bị trộn lẫn, toàn bộ hệ thống có thể bị xếp vào diện không công khai.

Trong khi phải quản trị quá nhiều đầu việc, các cơ quan công đều muốn đẩy mạnh phân loại tự động. Tuy nhiên, đây không phải bài toán dễ triển khai.

Ông Kang Bong-ho nhận định dữ liệu cá nhân thường có mẫu tương đối giống nhau nên việc phát hiện không quá khó, trong khi nhiều loại thông tin nhạy cảm khác lại mang tính mơ hồ, khiến tự động hóa hoàn toàn rất khó đạt được. Theo ông, hướng đi thực tế hiện nay là nâng dần mức độ tự động hóa từng phần.

“Khó nhất và tốn nhiều công sức nhất vẫn là phân loại hệ thống và dữ liệu. Điều quan trọng là phải đơn giản hóa tối đa quy trình tìm kiếm và phân loại theo 8 nhóm thông tin không công khai”, ông nói, đồng thời nhấn mạnh Fasoo AI đã có sự chuẩn bị kỹ cho bài toán này.

Theo ông, Fasoo AI không chỉ dừng ở các giải pháp bảo vệ dữ liệu cá nhân, mà trong hơn 10 năm qua còn tập trung vào năng lực nhận diện, phân loại và kiểm soát dữ liệu. Công ty cũng đã tham gia nhiều dự án khu vực công, trong đó có hệ thống Onnara, nơi phải xử lý lượng lớn dữ liệu thuộc diện không công khai theo Luật Công khai thông tin.

Song song với việc cung cấp giải pháp quản lý quyền kỹ thuật số (DRM), Fasoo AI tiếp tục củng cố năng lực phân biệt dữ liệu thuộc diện cần mã hóa và dữ liệu không cần mã hóa. “Chúng tôi vẫn chưa đạt tới mức phân loại hoàn toàn tự động, nhưng đang tiếp tục nâng cấp FDR”, ông cho biết.

Ông Kang cũng nhấn mạnh tính thực tiễn của FDR. Theo ông, việc phân loại dữ liệu theo C, S, O nên được thực hiện nhiều nhất có thể ở tầng hệ thống, bởi nếu dồn sang tầng mạng sẽ tạo ra gánh nặng lớn về tải xử lý.

Cách làm phù hợp hơn, theo ông, là phân loại trước ở tầng hệ thống, sau đó khi liên kết mạng chỉ cần kiểm tra và xác minh ở bước sau.

Ngoài ra, ông Kang cho rằng trong môi trường N2SF, các cơ quan công cũng cần tính đến vai trò của AI agent. Khi lượng dữ liệu được trao đổi thông qua AI agent ngày càng tăng, yêu cầu bảo mật dữ liệu cho AI cũng trở nên quan trọng hơn.

Ông cho biết Fasoo AI đã tập trung vào lĩnh vực bảo mật dữ liệu suốt 26 năm qua. Trong bối cảnh mô hình bảo mật đang thay đổi và dữ liệu công ngày càng được coi trọng cả trong lẫn ngoài nước, công ty muốn hỗ trợ các cơ quan công đáp ứng N2SF hiệu quả, tạo ra kết quả thực tế và từ đó lấy làm bàn đạp mở rộng ra thị trường quốc tế.