שבירת בעיית "העדפת החוץ" מתוכנית הצעת החוק בנושא אבטחת סייבר 2025

מומחים אומרים שזהו מניע כלכלי "שנועד" לשבור את מעגל הקסמים של מפעלים מקומיים, וליצור שוק אבטחת סייבר בשווי אלפי מיליארדי וונד, באמצעות תקנות פורצות דרך כמו התקנה לפיה תקציב הגנת הסייבר של סוכנויות, ארגונים, מפעלים ממשלתיים וארגונים פוליטיים חייב להבטיח לפחות 10% מהתקציב הכולל ליישום פרויקטים של טכנולוגיית מידע ולעודד הגנה מקומית.

הסייברספייס הפך ל"סביבת חיים, סביבת עסקים" ולחזית ביטחונית לא מסורתית. בהקשר זה, שכלול המסגרת המשפטית הוא דרישה דחופה.

בסמינר "חוק אבטחת הסייבר 2025: קידום אוטונומיה טכנולוגית" שאורגן על ידי האיגוד הלאומי לאבטחת סייבר בצהריים של ה-17 בנובמבר, מומחים בחנו את טיוטת החוק, סיפקו ניתוחים, נקודות שיש לשנות והמלצות פורצות דרך.

אחד השינויים המרכזיים בטיוטה הוא מיזוג חוק אבטחת הסייבר משנת 2018 וחוק אבטחת מידע ברשת משנת 2015. צעד זה מתקבל בברכה רבה, שמטרתו לפתור באופן יסודי את הבעיות והחפיפות בניהול המדינה, אשר גרמו לקשיים רבים הן לגופי הניהול והן לעסקים.

הקשר דחוף

בהציגו את התמונה הכוללת של האיומים, אמר סגן אלוף נגוין דין דו טי - סגן ראש מחלקת אבטחת סייבר, מחלקת אבטחת סייבר ומניעת פשיעה בטכנולוגיה עילית (מחלקה A05 - משרד הביטחון הציבורי ), כי טכנולוגיות חדשות כמו בינה מלאכותית (AI), אינטרנט לווייני ומחשבים קוונטיים מתפתחות במהירות, ומציבות סיכונים בלתי צפויים.

"הקבוצה הפושעת התחזתה לרשויות, למשטרה ולפרקליטות כדי לתפוס ולאיים על קורבנות להסתבך ברשתות סמים ולמניפולציה של הפסיכולוגיה שלהם. לאחרונה, בספטמבר, כאשר התרחש האירוע, המשטרה הגיעה למקום כדי לשכנע אותם, אך הקורבן לא הקשיב למשטרה האמיתית והעביר כסף למשטרה המזויפת."

"בנוסף, סוגים אחרים של התקפות כוללים יצירת אתרים מזויפים לצורך הונאה, פריצה לאימיילים של חברות, חיתוך תמונות רגישות לצורך סחיטה, גיוס השקעות פיננסיות רב-שכבתיות והפרת פרטיות", ציין אלוף-משנה בכיר נגוין דין דו טי.

הוא גם ציין כי פשעי סייבר, הונאה מקוונת ומתקפות כופר מתרחשות בצורות רבות, וגורמות נזק ממשי גדול בהרבה מפשעים מסורתיים.

Phá vỡ bài toán sính ngoại từ Dự thảo Luật An ninh mạng 2025 - 1 — סגן אלוף נגוין דין דו טי, סגן ראש מחלקת אבטחת סייבר, מחלקת אבטחת סייבר ומניעת פשיעה בטכנולוגיה עילית (צילום: NCA).

נציג מחלקה A05 הדגיש כי אחד הסיכונים הגדולים ביותר הוא תלות בטכנולוגיה זרה. קבוצה זו נחשבת לאחת משלוש קבוצות של סיכונים שיכולים להשפיע על הביטחון הלאומי.

טיוטת חוק אבטחת הסייבר 2025, הבנויה ברוח הירושה ובהתאם מקרוב להחלטה 66 של הפוליטביורו , שואפת לבטל חפיפות בסמכויות שיפוט וליישם באופן יסודי את העיקרון לפיו משימה אחת מונחת ואחראית על ידי סוכנות אחת בלבד.

הצעת החוק איחדה את מוקד ניהול המדינה כאשר תפקיד הבטחת אבטחת מידע ברשת, שהיה בעבר שייך למשרד המידע והתקשורת (כיום משרד המדע והטכנולוגיה), מועבר לחלוטין למשרד לביטחון פנים.

במקביל, יש צורך להציג מדיניות ברורה לקידום אוטונומיה, כגון עידוד ארגונים ויחידים להשתמש במוצרים ובשירותים וייטנאמיים ובניית סטנדרטים טכניים למוצרים.

שבירת מנטליות הפולחן הזרה

אחת מנקודות המבט הכנות בדיון הגיעה מפרופסור חבר ד"ר נגוין איי וייט, מנהל המכון לטכנולוגיית בינה גנרטיבית וחינוך (IGNITE). הוא הביע את התרגשותו מהצעת החוק החדשה משום שהיא עשויה לטפל בנקודות "לא ממש מתאימות" שקיימות כבר שנים רבות.

לדברי פרופסור חבר ד"ר וייט, המכשול הגדול ביותר עבור עסקי אבטחת סייבר וייטנאמיים אינו טמון אך ורק בטכנולוגיה, אלא במנטליות של בנקים, תאגידים וארגונים גדולים. כלומר, הם סוגדים לסחורות זרות ובוזים לסחורות מקומיות.

הוא ניתח לעומק את הסיבה למנטליות הזו, לא בגלל איכות, אלא הסיבה העיקרית היא עדיין פחד מאחריות.

מר וייט העלה את השאלה: "כאשר מוצר זר יקר מנוקב (מותקף - PV), אנשים מניחים בקלות שמדובר בסיכון בלתי נמנע משום שקנו את הטוב ביותר. אבל אם מוצר מקומי נתקל בבעיה דומה, השאלה המיידית היא מדוע להשתמש במוצרים מקומיים?".

מתוך מציאות זו, פרופסור חבר ד"ר נגוין איי וייט הדגיש את הצורך ב"שכבת הגנה פנימית". הוא אמר כי פתרונות זרים, למרות שהם חזקים, עדיין סובלים מחולשות מובנות כגון תמיכה וייעוץ לקויים באתר, זמני תיקון ארוכים וסיכונים פוטנציאליים מ"דלתות אחוריות".

Phá vỡ bài toán sính ngoại từ Dự thảo Luật An ninh mạng 2025 - 2 — פרופסור חבר, ד"ר נגוין איי וייט, מנהל המכון לטכנולוגיית בינה מלאכותית חדשה וחינוך (צילום: NCA).

"הגישה ההגנתית היא שתהיה לה הגנה רב-שכבתית", הוא אמר.

לכן, פרופסור חבר ד"ר נגוין איי וייט הציע כי חוק אבטחת הסייבר לשנת 2025 יכלול "תקנות בנוגע לשכבות הגנה פנימיות בארכיטקטורת אבטחת הסייבר".

הוא המליץ על הצורך לבנות מסגרת ארכיטקטורה לאומית לאבטחת סייבר, המחייבת ארגונים, ובמיוחד תשתיות קריטיות, להיות בעלי שכבת הגנה המשתמשת בטכנולוגיה מקומית בנוסף לפתרונות בינלאומיים.

החוק הוא מנוע כלכלי

מנקודת מבט עסקית, מר נגוין מין דוק - ראש מועדון שירותי אבטחת הסייבר (האיגוד הלאומי לאבטחת סייבר), מנכ"ל CyRadar - אמר: חוק אבטחת הסייבר 2025 אינו רק כלי להגנה על ריבונות דיגיטלית אלא גם מניע כלכלי חשוב.

מר דוק הצביע על המעגל הקסמים שבו נתקעות חברות טכנולוגיה וייטנאמיות. סקר הראה כי מתוך 10 מוצרים ושירותי אבטחת סייבר שבהם משתמשת חברה וייטנאמית, רק אחד או שניים מגיעים מווייטנאם ו"אולי הם לא מוצרים או שירותים חשובים".

לדברי מר דוק, חברות מקומיות נשאלות לעתים קרובות "האם יש משהו טוב יותר מהמערב?". הבעיה היא שאם המוצר לא ייעשה בו שימוש, לא יהיו הכנסות, לא יהיו משוב אמיתי לשדרוג ולכן לא יוכלו להתחרות בחברות זרות.

הצעת החוק החדשה, לדברי מר דוק, פותרת את הבעיה הזו מהשורש על ידי יצירת שוק.

ראשית, סעיף 5 בטיוטה מציע לעודד סוכנויות, ארגונים ויחידים להשתמש במוצרים ושירותי אבטחת סייבר שפותחו בווייטנאם, במטרה לכוון את השוק ולבנות את תעשיית אבטחת הסייבר למגזר כלכלי אסטרטגי.

שנית, וחשוב מכל, החוק קובע בבירור כי תקציב הגנת הסייבר בסוכנויות ממשלתיות וארגונים פוליטיים חייב להגיע לפחות ל-10% מכלל התקציב של פרויקטים ותוכניות טכנולוגיית מידע.

"זה לא היה קיים קודם", הדגיש מר דוק. הוא הסביר כי הלגליזציה של סעיף 10% זה יצרה שוק אמיתי. במקום שעסקי אבטחת סייבר יצטרכו לשכנע כל יחידה, כעת עליהם להיות בעלי תקציב מסוים.

לדברי מר דוק, תקנה מהפכנית זו תיצור שוק יציב עם תקציב שנתי מובטח. זה יעזור לעסקי אבטחת סייבר וייטנאמיים להיתקל פחות בקשיים בתהליך השכנוע, ובכך יהיו להם משאבים להשקיע מחדש, במחקר ופיתוח (מו"פ) ולשפר באמת את איכות המוצר.

חייבים להיות סטנדרטים, אחרת "כל הדשא והאורז יהיו אותו הדבר"

פתיחת השוק היא תנאי הכרחי, אך לא מספיק. מר טראן קוק צ'ין - סגן נשיא CMC Corporation, מנכ"ל CMC Cyber Security - הדגיש כי כדי שהשוק יתפתח בצורה בריאה, יש צורך לפרסם בקרוב תקנים, תקנות טכניות ומערכת קריטריונים להערכה.

Phá vỡ bài toán sính ngoại từ Dự thảo Luật An ninh mạng 2025 - 3 — מר טראן קווק צ'ין - סגן נשיא תאגיד CMC, מנכ"ל אבטחת הסייבר של CMC, שיתף דברים בדיון (צילום: NCA).

מר צ'ין הסכים כי איחוד חוקים הוא צעד הכרחי כדי לעמוד בקצב הפיתוח של ביג דאטה, בינה מלאכותית וענן, אשר שינו לחלוטין את התפיסות של מערכות מידע.

"אם לא היו סטנדרטים או תקנות טכניות, כל האורז היה אותו הדבר", אמר מר צ'ין.

הוא הסביר עוד כי ללא קנה מידה סטנדרטי, הן סוכנות הניהול והן המשתמשים (ארגונים) לא יוכלו להבחין בין מוצרים מקומיים טובים לבין כאלה שהם רק מוצר "פורמלי". ציות הוא רק "פורמליות".

משם, נציגי CMC הציעו שלוש הצעות ספציפיות להכשרת הסטנדרטים:

פרסום מוקדם של תקנים ותקנות לאומיים עבור כל קבוצת מוצרים ושירותים בתחום אבטחת הסייבר. זהו הבסיס המשפטי לבדיקה והסמכת תאימות.

פיתוח מערך קריטריונים להערכה ודירוג של אבטחת סייבר עבור ארגונים ועסקים (בדומה למודל CMMI הבינלאומי). זה עוזר לעסקים להעריך את רמת הבשלות שלהם בתחום אבטחת הסייבר ולסייע לסוכנויות המדינה לנטר ולסווג את יכולותיהם.

הוסיפו מנגנון גמיש להערכת רמת אבטחת מידע. באופן ספציפי, יש לאפשר לארגונים מורשים להשתתף בהערכה ובהסמכה עצמאית עבור מערכות ברמה 1, 2, 3, כדי להפחית את הנטל על סוכנויות ניהול המדינה ולשפר את האיכות בפועל, תוך הימנעות מהמצב הנוכחי של התמודדות.

להכשיר האקרים עם כובע לבן, לנהל את הבינה המלאכותית

בנוסף לעמודי התווך העיקריים בנושא שווקים ותקנים, מומחים הציעו גם הצעות ספציפיות רבות ופורצות דרך שיש לכלול בחוקים או במסמכי משנה של חוק.

פרופסור חבר ד"ר נגוין איי וייט הציע סדרה של פתרונות לשיפור יכולות ההגנה הקרבית כגון:

מתן אפשרות לאיסוף נתוני רשת: כדי ליצור "כללים" לחומות אש או מערכות הגנה המתאימים להקשר הווייטנאמי, יש צורך באמצעים והוראות המאפשרים איסוף נתוני רשת כדי למצוא פגיעויות בתקיפה.

לגליזציה של האקרים מסוג "white hat" (מומחי אבטחת סייבר): הוא הציע חוק המאפשר להאקרים מסוג "white hat" לפעול, לארגן תרגילי התקפה/הגנה... כדי להגביר את "החסינות".

תקנות בנוגע לשימוש בבינה מלאכותית בסוכנויות מדינה: נושא עכשווי שציין מר וייט הוא העלאת מסמכי מדינה ואסיפה לאומית לפלטפורמות בינה מלאכותית כמו ChatGPT, שהוא נושא רגיש ביותר הדורש תקנות מחמירות לניהולו.

בתגובה לשאלה של כתב מעיתון דן טרי בנוגע לאופן שבו הצעת החוק המתמקדת באבטחת מידע תסייע בשיפור יכולות ההגנה הלאומיות, אמר מר טראן קוק צ'ין: "הנתונים הם המרכז שצריך להגן עליו".

הוא הסביר כי חוק אבטחת הסייבר ייצור מסדרון משפטי מאוחד, המחייב יחידות המספקות פתרונות הגנה, החל מתשתיות ועד נתונים, לעמוד בתקנים ובנורמות וייטנאמיות ובינלאומיות.

לדברי מר צ'ין, כפיית פתרונות ותוכנה לעמוד בסטנדרט גבוה יותר זה "תהפוך בעקיפין את נתוני המשתמשים לבטוחים יותר".

בסיכום דעותיו בסמינר, אמר מר וו נגוק סון - ראש מחלקת המחקר, הייעוץ, פיתוח הטכנולוגיה ושיתוף הפעולה הבינלאומי, באיגוד הלאומי לאבטחת סייבר, כי טיוטת חוק אבטחת הסייבר 2025 היא צעד גדול קדימה.

Phá vỡ bài toán sính ngoại từ Dự thảo Luật An ninh mạng 2025 - 4 — מר וו נגוק סון, ראש מחקר, ייעוץ, פיתוח טכנולוגי ושיתוף פעולה בינלאומי, האיגוד הלאומי לאבטחת סייבר (צילום: NCA).

מר סון הצביע על השינוי בחשיבה החקיקתית: "בעבר, היינו מכירים את מושג אבטחת המידע, אך כעת רוב המדינות (כולל וייטנאם) עברו למושג אבטחת הסייבר, שהוא מקיף יותר. איחוד זה, יחד עם איחוד נקודות הניהול, יסייעו לצמצם את "האזורים האפורים" של האחריות בטיפול באירועים."

ניתן לראות כי רוח הליבה של חוק אבטחת הסייבר משנת 2025 אינה נעצרת בהגנה או בהגנה. על ידי התייחסות לנושאים מהותיים כמו "מנטליות מוכוונת חוץ" ו"פחד מאחריות", הצעת החוק יוצרת מרחב חדש: שוק לקידום הכלכלה וסטנדרטי על ידי תקנות, שבו למפעלי טכנולוגיה מקומיים יש "מגרש משחקים" להתפתח, להתחרות ולצמוח.

זהו צעד אסטרטגי עבור וייטנאם למימוש שאיפתה להפוך למדינה מובילה בתחום זה, ממדינה עצמאית בטכנולוגיית אבטחת סייבר.

מקור: https://dantri.com.vn/cong-nghe/pha-vo-bai-toan-sinh-ngoai-tu-du-thao-luat-an-ninh-mang-2025-20251118021101415.htm