Đối phó với rủi ro an ninh mạng trong Thương mại Quốc tế | Đại học Fulbright Việt Nam

lOMoARcPSD| 25865958 BÀI TIẾNG ANH
For companies that sell digital products internationally, cybersecurity concerns can have a
devastating impact on business — companies can be barred from national markets, get
tangled up in politics, and have their reputations maligned across the globe. It isn’t easy to
navigate this issue however. Rules and anxieties differ country to country. In general, how a
country might react is driven by: national capability in managing cyber risks, the level of trust
between the government and business, and geopolitics. Companies can’t control these factors,
but they can prepare for them. Specifically a good strategy should involve: building a strong
cybersecurity governance culture; preparing to play politics and burnish your cybersecurity
image; developing an exit plan for markets, and a re-entrance plan; helping host governments
improve their cybersecurity capabilities; and building up your bargaining powers.
Digital trade is crucial for almost every company, but it also introduces new complications.
When products or services that contain a computer or can be connected to the internet —
which nearly every product or service does — cross borders, cybersecurity risks emerge.
Growing concerns that foreign states or corporations can abuse digital products to collect
privacy data, plant vulnerabilities, or otherwise cause harm mean that digital products sold
across borders are subject to increased scrutiny and controls, and can be targeted for bans
— fairly or not — by host governments. Navigating and mitigating these risks needs to be a
part of every transnational company’s digitalization strategy.
Failing to properly account for these risks means courting disaster. For instance, Germany
banned both the sale and ownership of the U.S.-made voice-activated “My Friend, Cayla” dol
in 2017, on the basis that it contained a concealed surveillance device that violated German
federal privacy regulations and could be used to spy and collect personal data. Huawei’s 5G
equipment has raised concerns that the Chinese government might be able to plant backdoors
to monitor critical telecommunication networks, in response many countries banned or
restricted the usage of Huawei’s 5G equipment.
This isn’t just paranoia — examples that motivate real concerns. For example, Crypto AG, a
manufacturer of encryption devices, was owned by the U.S. CIA and German BND. From 1970
until 2018 (or the 1990s, in the BND’s case), the agencies used backdoors to break into
encrypted messages of allies and enemies.
To understand how companies can get caught up in controversy — and how they can navigate
these situations — we looked at 75 cases that demonstrate that it is already a global
phenomenon involving over 31 countries, including all the major economies, such as G20 and
OECD members. We have observed cases including (but not limited to) computers and
networking equipment, medical devices, video-conference services, security software, social lOMoARcPSD| 25865958
media, security cameras, banking IT systems, drones, smartphones, smart toys, AI software,
and international fund transfers and payment systems. Getting caught up in cybersecurity
concerns is not a question of whether but rather of when and how for transnational companies.
A patchwork — and political — set of rules
Technically speaking, the inherent cybersecurity risks within transnational digital products are
the same for all the states. But governments take various strategies to address these concerns,
such as implementing import limitations, pre-requirements for market access, and post-sale
services requirements to manage the potential cybersecurity risks. As a result, international
businesses must negotiate a fragmented system of rules and requirements that change
country by country, and often day by day — and which creates significant risks for companies seeking to navigate it.
Therefore, technical considerations aren’t the only ones that shape policy. Companies should
also consider these critical factors when thinking about their international digital strategy.
Government Capability in Managing Cybersecurity Risks. A government’s reactions are
shaped by its capability to manage cybersecurity risks, such as: the laws and regulations on
cybersecurity; the implementation of technical capabilities through national and sectorspecific
agencies; the organizations implementing cybersecurity; and the awareness campaigns,
training, educations, and partnerships between agencies, firms, and countries. Governments
with a high cybersecurity capability may consider the cybersecurity risk more manageable, so
they are more likely to adopt less restrictive digital trade policies.
Trust between Governments and Businesses. It’s functionally impossible for a government to
examine the millions of lines of software or firmware within every digital product and service
sold in its borders. Decisions are made based on the perceived risks, which will be significantly
impacted by the trust between governments and businesses, as well as in business to
business relationships. Trust and business loyalty developed over time can encourage an
adoption of a cyber-risk-management-oriented approach by local governments and
depoliticalizes the cyber risks. Our research also shows that such trust and business loyalty
enhance a corporation’s bargaining power with the local governments, especially for
governments with a relatively low government effectiveness and control of corruption. In such
a case, corporations have more chance to negotiate with the government to avoid, or at least
alleviate, the impact of potential restrictions related to cybersecurity concerns.
Geopolitics. Take Huawei’s 5G products as a typical example. The U.S. had every reason to
accept Huawei, given the high quality and low costs of its products and the need to upgrade
the U.S. communications networks for 5G. Risks, as with almost every vendor, could have
been mitigated by monitoring and detecting any vulnerabilities. However, the ban of Huawei’s
devices still happened — largely because of geopolitical rivalry. Japan and Australia followed
the United States’ lead, given their close strategic relationships with the U.S. Similarly, the UK lOMoARcPSD| 25865958
ultimately banned on the installation of new Huawei equipment. On the other hand, Germany’s
capability to balance between China and the U.S. politics resulted in a relatively balanced 5G
market environment for all vendors, including Huawei. Switzerland, a neutral country not
involved in armed or political conflicts with other states, concluded that Huawei’s equipment
posed no significant risks and built a 5G network using Huawei’s devices.
Notably, it is a challenge for companies to predict how individual countries will react to the
cybersecurity risks from digital trade, but businesses need to understand and accept this new
reality. In our research, we have developed a method to anticipate outcomes — and identified
actions companies can take to mitigate unfavorable outcomes. Developing an active strategy
Given how fragmented the global system of cybersecurity governance is, corporations need
to take an active approach to refine their global digital strategy. Although these efforts may
not always pay off, they will prepare companies to address cybersecurity concerns when they
inevitably come up. Some actions include:
Build an Effective Cybersecurity Governance Culture. Building cybersecurity features into
digital products is becoming a de facto pre-requirement of market accesses for many
transnational digital products, especially for critical infrastructures like financial IT systems or
5G networks. Companies should cultivate a cybersecurity culture within their organizations,
including both leaderships and product development teams, to promote the awareness of
importance of cybersecurity for their market success. Beyond following international standards,
companies should develop a flexible cybersecurity governance system which can effectively
adapt to and comply with the different cybersecurity policies and regulations within the target markets.
Be Prepared to Play Politics and Create a Cybersecure Image. Since it is not feasible to
thoroughly examine the software, firmware, or hardware of every single product, reputation is
critical regarding cybersecurity concerns. Customers will believe that a company with a high
reputation will do their best to enhance the cybersecurity features in a digital product, not do
harm to their customers by intently exploiting the vulnerability, and handle a cybersecurity
incident responsibly if it happens. Hence, corporations should actively defend their market
reputations by showing their commitment to cybersecurity. No one wants to make “insecurity”
a part of corporate brands in the digital age. Importantly, such a high reputation can help a
company to avoid being caught by the politicization of cybersecurity concerns.
Be Willing to Step Out and Prepare to Step Back In. In a market where cybersecurity concerns
have been politicized and it is too costly for corporations to comply with the cybersecurity
requirement, temporarily exiting the market can be a good option. But even when a company
is blocked from a market, like Huawei was blocked from the U.S. market or Google’s lOMoARcPSD| 25865958
withdrawal from China, defending the reputation can help maintain its partnership with other countries.
Additionally, corporations should pay attention to the re-entry strategy after exiting the market,
especially when the market prohibition only covers a subset of a corporations’ business or is
driven by external political influences. It is increasingly common for global firms to re-enter
foreign markets, so an effective re-entry strategy such as maintaining the knowledge learning
of the markets, preparing the re-entry model with new cybersecure products, and monitoring
the politicization environment in the target markets, is critical when corporations can return.
Teach Host Governments to Fish. As cybersecurity risks from digital offerings are unavoidable,
corporations should take an active approach to help the host government build capability to
manage the potential risks. For example, launching a transparency center for customers,
including governments, to verify that cybersecurity risks are minimal is becoming a best
practice. It both demonstrates the business’ confidence and enhances the customers’ trust
with the cybersecurity embedded in the products.
Importantly, sufficient cybersecurity capability can help the host government implement
policies that can mitigate cybersecurity risks without introducing unreasonable barriers. For
example, with a high cybersecurity commitment, Germany was willing to take some risks with
its 5G network deployment, but minimized those risks by providing a “clearly defined security
catalog” to specify the security requirements for all vendors.
Additionally, helping the host government with cybersecurity capability development pays off
as sufficient protection measures can be in place when it comes time to pilot or test the
provided services in that market.
Build Your Bargaining Power. With such a fragmented cybersecurity governance situation, the
same cybersecurity concern can result in radically different outcomes in different countries.
Therefore, developing and maintaining trust and collaboration mechanisms is critical. Many
approaches, such as beefing up lobbying teams, committing to local cybersecurity activities,
and acting as a good corporate citizen, have been suggested and adopted.
Notably, the complexity of cybersecurity is making corporations more powerful in cyberspace.
Like Google, Amazon, and Meta (formerly Facebook), some corporations firmly control the
global cyber-physical infrastructure, code, algorithms, or data. Though they face increasing
political pressure, they have the de facto power to set cybersecurity rules, including refusing
certain governments’ requests. For example, WhatsApp and Telegram have declined to create
backdoors requested by some governments to access the encrypted message content, which
would have invaded their customers privacy.
Corporations can also build up their influence through consortiums to represent them before
governments or international markets, recommend cybersecurity policies, and promote
international cybersecurity standards. International businesses have initiated dialogues and lOMoARcPSD| 25865958
accords, such as Digital Geneva Convention and Paris Call for Trust and Security in
Cyberspace to promote global cybersecurity governance principles.
In many cases, governments may have the authority but lack sufficient cybersecurity capability,
and so are more open to taking inputs from global consortiums. For example, the inputs from
the Software Alliance (BSA), and the Information and Technology and Innovation Foundation
(ITIF) contributed to removing the data localization requirements for adopting foreign cloud
computing services in Brazil’s financial institutions.
Every company whose digital products cross borders needs an effective cybersecurity
governance plan that balances technology, geopolitical relationships, government capability,
market reputation, and public-private collaborations. If such capability does not exist now,
executives should train themselves in the preparation or seek out new directors who have
such capacity to add to the board. All companies that provide or rely on transnational digital
products will likely face cybersecurity concerns sooner or later. And even though preparation
can’t keep them out of the hot seat, it may make all the difference once they’re there.
ĐỐI PHÓ VỚI RỦI RO AN NINH MẠNG TRONG THƯƠNG MẠI QUỐC TẾ
Tóm tắt: Đối với các công ty bán sản phẩm kỹ thuật số trên thế giới, những mối lo ngại về an
ninh mạng có thể có tác động nghiêm trọng đến hoạt động kinh doanh - các công ty có thể bị
cấm tham gia các thị trường quốc gia, vướng vào chính trị và làm cho danh tiếng của họ bị
tổn hại trên toàn cầu. Tuy nhiên vấn đề này lại không dễ để giải quyết. Các quy tắc và sự lo
lắng có sự khác nhau giữa các quốc gia. Nói chung, cách một quốc gia có thể phản ứng được
thúc đẩy bởi vào: năng lực quốc gia trong việc quản lý rủi ro mạng, mức độ tin cậy giữa chính
phủ và doanh nghiệp và địa chính trị. Các công ty không thể kiểm soát những yếu tố này,
nhưng họ có thể chuẩn bị cho chúng. Cụ thể, một chiến lược tốt cần bao gồm: xây dựng văn
hóa quản trị an ninh mạng; chuẩn bị đàm phán chính trị và sẵn sàng phá hủy hình ảnh an ninh
mạng của công ty bạn; xây dựng kế hoạch rút lui khỏi thị trường và kế hoạch tái gia nhập;
giúp các chính phủ sở tại cải thiện khả năng an ninh mạng của họ; và xây dựng sức mạnh đàm phán của ban.
Thương mại kỹ thuật số đóng vai trò rất quan trọng đối với hầu hết mọi công ty, nhưng nó
cũng tạo ra nhiều vấn đề phức tạp mới. Khi các sản phẩm hoặc dịch vụ có bao gồm máy tính
hoặc có thể được kết nối với internet - cái mà gần như mọi sản phẩm hoặc dịch vụ xuyên biên
giới đều có - các rủi ro về an ninh mạng xuất hiện. Càng ngày càng có các lo ngại rằng các
quốc gia hoặc tập đoàn nước ngoài có thể lạm dụng các sản phẩm kỹ thuật số để thu thập
dữ liệu quyền riêng tư, lỗ hổng bảo mật hoặc gây hại, có nghĩa là các sản phẩm kỹ thuật số
được bán xuyên biên giới phải chịu sự giám sát và kiểm soát nhiều hơn và có thể bị nhắm
mục tiêu để cấm - một cách công bằng hoặc không - bởi các chính phủ nước sở tại. Giải lOMoARcPSD| 25865958
quyết và giảm thiểu những rủi ro này cần phải là một phần trong chiến lược số hóa của mọi công ty xuyên quốc gia.
Không tính toán trước những rủi ro này có nghĩa là thảm họa. Ví dụ, Đức đã cấm cả việc bán
và sở hữu con búp bê “My Friend, Cayla” được kích hoạt bằng giọng nói do Mỹ sản xuất vào
năm 2017, vì nó chứa một thiết bị theo dõi được che giấu. điều này vi phạm các quy định về
quyền riêng tư của liên bang Đức và có thể được sử dụng để do thám và thu thập dữ liệu cá
nhân. Thiết bị 5G của Huawei đã làm dấy lên lo ngại rằng chính phủ Trung Quốc có thể thiết
lập các backdoor để giám sát các mạng viễn thông quan trọng, để đối phó với việc nhiều quốc
gia đã cấm hoặc hạn chế việc sử dụng thiết bị 5G của Huawei. Đây không chỉ là sự tưởng
tượng mà là những ví dụ về mối lo lắng thực sự. Ví dụ, Crypto AG, một nhà sản xuất thiết bị
mã hóa, thuộc sở hữu của CIA Hoa Kỳ và BND của Đức. Từ năm 1970 đến năm 2018 (hoặc
những năm 1990, trong trường hợp của BND), các cơ quan này đã sử dụng backdoors để
đột nhập vào các thông điệp được mã hóa của đồng minh và kẻ thù.
Để hiểu cách các công ty găp phải cuộc tranh cãi và cách họ có thể giải quyết những tình
huống này, chúng tôi đã xem xét 75 trường hợp chứng minh rằng nó đã là một hiện tượng
toàn cầu liên quan đến hơn 31 quốc gia, bao gồm tất cả các nền kinh tế lớn, chẳng hạn như
các thành viên G20 và OECD . Chúng tôi đã quan sát thấy các trường hợp bao gồm (nhưng
không giới hạn ở) máy tính và phần mềm mạng, thiết bị y tế, dịch vụ video hội nghị, phần
mềm bảo mật, mạng xã hội, camera an ninh, hệ thống CNTT ngân hàng, máy bay không
người lái, điện thoại thông minh, đồ chơi thông minh, phần mềm AI và quỹ chuyển tiền quốc
tế và hệ thống thanh toán. Bị cuốn vào những lo ngại về an ninh mạng không phải là vấn đề
có hay không mà là khi nào và như thế nào đối với các công ty xuyên quốc gia.
Một bộ quy tắc “chắp vá” và chính trị
Về mặt kỹ thuật, các rủi ro an ninh mạng có sẵn trong các sản phẩm kỹ thuật số xuyên quốc
gia là như nhau đối với tất cả các quốc gia.Nhưng các chính phủ lại thực hiện nhiều chiến
lược khác nhau để giải quyết những lo ngại này, chẳng hạn như thực hiện các giới hạn nhập
khẩu, các yêu cầu trước khi tiếp cận thị trường và các yêu cầu về dịch vụ sau khi bán hàng
để quản lý các rủi ro an ninh mạng tiềm ẩn.Vì vậy, các doanh nghiệp quốc tế phải thương
lượng một hệ thống quy tắc và yêu cầu thay đổi theo từng quốc gia và từng ngày và điều này
tạo ra rủi ro đáng kể cho các công ty đang tìm cách giải quyết nó.
Do đó, các cân nhắc kỹ thuật không phải là những cân nhắc duy nhất định hình chính sách.
Các công ty cũng nên xem xét những yếu tố quan trọng này khi nghĩ về chiến lược kỹ thuật số quốc tế của họ.
Năng lực của Chính phủ trong việc Quản lý Rủi ro An ninh Mạng. Các phản ứng của
chính phủ được hình thành bởi khả năng quản lý rủi ro an ninh mạng, vd như: luật và quy định
về an ninh mạng; việc thi hành các năng lực kỹ thuật thông qua các cơ quan quốc gia và lOMoARcPSD| 25865958
ngành cụ thể; các tổ chức thi hành an ninh mạng; và các chiến dịch nâng cao nhận thức, đào
tạo, giáo dục và quan hệ đối tác giữa các cơ quan, công ty và quốc gia. Các chính phủ có
năng lực an ninh mạng cao có thể coi rủi ro an ninh mạng dễ quản lý hơn, vì vậy họ có thể áp
dụng các chính sách thương mại kỹ thuật số ít hạn chế hơn.
Niềm tin giữa Chính phủ và Doanh nghiệp.Thực tế, chính phủ không thể kiểm tra hàng triệu
dòng phần mềm hoặc chương trình cơ sở trong mỗi sản phẩm và dịch vụ kỹ thuật số được
bán ở nước mình. Các quyết định được đưa ra dựa trên những rủi ro nhận biết được, những
rủi ro đó sẽ bị ảnh hưởng đáng kể bởi niềm tin giữa chính phủ và các doanh nghiệp, cũng
như trong các mối quan hệ kinh doanh với doanh nghiệp. Sự tin tưởng và lòng trung thành
của doanh nghiệp phát triển theo thời gian có thể khuyến khích các chính quyền địa phương
áp dụng phương pháp tiếp cận theo định hướng quản lý rủi ro mạng và phi chính trị hóa các
rủi ro trên mạng. Nghiên cứu của chúng tôi cũng cho thấy rằng sự tin tưởng và lòng trung
thành của doanh nghiệp như vậy nâng cao khả năng thương lượng của một công ty với chính
quyền địa phương, đặc biệt là đối với các chính phủ có năng lực và khả năng kiểm soát tham
nhũng của chính phủ tương đối thấp. Trong trường hợp đó, các công ty có nhiều cơ hội hơn
để đàm phán với chính phủ để tránh, hoặc ít nhất là giảm bớt tác động của các hạn chế liên
quan đến những lo ngại về an ninh mạng.
Địa chính trị. Lấy các sản phẩm 5G của Huawei làm ví dụ điển hình. Mỹ có mọi lý do để chấp
nhận Huawei, với các sản phẩm chất lượng cao cùng chi phí thấp và nhu cầu nâng cấp mạng
truyền thông 5G của Mỹ. Rủi ro, như với hầu hết mọi nhà cung cấp, có thể đã được giảm
thiểu bằng cách theo dõi và phát hiện bất kỳ lỗ hổng nào. Tuy nhiên, lệnh cấm thiết bị của
Huawei vẫn xảy ra - phần lớn là do sự cạnh tranh địa chính trị. Nhật Bản và Úc đã đi theo sự
dẫn đầu của Mỹ, do mối quan hệ chiến lược chặt chẽ của họ với Mỹ. Tương tự, Anh cuối cùng
đã cấm lắp đặt thiết bị Huawei mới. Mặt khác, khả năng cân bằng giữa Trung Quốc và Mỹ
của Đức đã dẫn đến một môi trường thị trường 5G tương đối cân bằng cho tất cả các nhà
cung cấp, bao gồm cả Huawei. Thụy Sĩ, một quốc gia trung lập không tham gia vào các cuộc
xung đột vũ trang hoặc chính trị với các quốc gia khác, cho rằng thiết bị của Huawei không
gây ra rủi ro đáng kể nào và đã xây dựng mạng 5G bằng thiết bị của Huawei.
Đáng chú ý, việc dự đoán từng quốc gia sẽ phản ứng như thế nào với các rủi ro an ninh mạng
từ thương mại kỹ thuật số là một thách thức đối với các công ty, nhưng các doanh nghiệp cần
hiểu và chấp nhận thực tế này. Qua nghiên cứu, chúng tôi đã phát triển một phương pháp để
dự đoán kết quả - và xác định các hành động mà công ty có thể thực hiện để giảm thiểu các kết quả ko mong muốn.
Phát triển một chiến lược tích cực
Vì hệ thống quản trị an ninh mạng toàn cầu khác nhau ỏ từng nơi, các tập đoàn cần phải có
cách tiếp cận chủ động để hoàn thiện chiến lược kỹ thuật số toàn cầu của họ. Mặc dù những lOMoARcPSD| 25865958
nỗ lực này có thể không phải lúc nào cũng được đền đáp, nhưng nó sẽ chuẩn bị cho các công
ty giải quyết những lo ngại về an ninh mạng khi chúng xuất hiện. Một số hành động bao gồm:
Xây dựng Văn hóa Quản trị An ninh Mạng Hiệu quả.
Việc xây dựng các tính năng an ninh mạng vào các sản phẩm kỹ thuật số đang trở thành yêu
cầu trước tiên về khả năng tiếp cận thị trường đối với nhiều sản phẩm kỹ thuật số xuyên quốc
gia, đặc biệt là đối với các cơ sở hạ tầng quan trọng như hệ thống CNTT tài chính hoặc mạng
5G. Các công ty nên phát triển văn hóa an ninh mạng trong tổ chức của họ, bao gồm cả đội
ngũ lãnh đạo và nhóm phát triển sản phẩm, để thúc đẩy nhận thức về tầm quan trọng của an
ninh mạng đối với sự thành công trên thị trường của họ. Ngoài việc tuân theo các tiêu chuẩn
quốc tế, các công ty nên phát triển một hệ thống quản trị an ninh mạng linh hoạt - có thể thích
ứng và tuân thủ hiệu quả các chính sách và quy định về an ninh mạng khác nhau trong các thị trường mục tiêu.
Chuẩn bị để đàm phán chính trị và tạo dựng hình ảnh an ninh mạng.
Vì việc kiểm tra kỹ lưỡng phần mềm, chương trình cơ sở hoặc phần cứng của từng sản phẩm
đều không khả thi mà danh tiếng lại rất quan trọng đối với các mối lo ngại về an ninh mạng.
Khách hàng sẽ tin tưởng rằng một công ty có uy tín cao sẽ cố gắng hết sức để nâng cao các
tính năng an ninh mạng trong một sản phẩm kỹ thuật số, không gây hại cho khách hàng của
họ bằng cách khai thác lỗ hổng và xử lý sự cố an ninh mạng một cách có trách nhiệm nếu nó
xảy ra. Do đó, các công ty nên tích cực bảo vệ danh tiếng thị trường của họ bằng cách thể
hiện cam kết của họ đối với an ninh mạng. Không ai muốn “thiếu an toàn” trở thành một phần
của các thương hiệu doanh nghiệp trong thời đại kỹ thuật số.Hơn hết, danh tiếng cao như vậy
có thể giúp một công ty tránh bị chính trị hóa các mối lo ngại về an ninh mạng.
Sẵn sàng rút khỏi và quay lại thị trường
Trong một thị trường mà những lo ngại về an ninh mạng đã bị chính trị hóa và việc các công
ty phải tuân thủ các yêu cầu về an ninh mạng quá tốn tiền, thì việc tạm thời rút khỏi thị trường
là một lựa chọn tốt. Nhưng ngay cả khi một công ty bị cấm khỏi thị trường, chẳng hạn như
Huawei bị cấm khỏi thị trường Hoa Kỳ hoặc việc Google rút khỏi Trung Quốc, việc bảo vệ
danh tiếng có thể giúp duy trì quan hệ đối tác của họ với các quốc gia khác.
Ngoài ra, các tập đoàn nên chú ý đến chiến lược gia nhập lại sau khi ra khỏi thị trường, đặc
biệt khi lệnh cấm thị trường chỉ bao gồm một nhóm nhỏ hoạt động kinh doanh của tập đoàn
hoặc bị thúc đẩy bởi các ảnh hưởng chính trị bên ngoài. Việc các công ty toàn cầu tái gia
nhập thị trường nước ngoài ngày càng phổ biến, vì vậy một chiến lược tái gia nhập hiệu quả
như duy trì việc học hỏi kiến thức về thị trường, chuẩn bị mô hình tái gia nhập với các sản
phẩm an ninh mạng mới và giám sát môi trường chính trị hóa trong thị trường mục tiêu, đều
rất quan trọng khi các công ty quay trở lại. lOMoARcPSD| 25865958
Dạy cho chính phủ nước sở tại cách “câu cá”. Vì rủi ro an ninh mạng từ các dịch vụ
kỹ thuật số là không thể tránh khỏi, các công ty nên có cách tiếp cận chủ động để giúp chính
phủ sở tại xây dựng khả năng quản lý các rủi ro tiềm ẩn. Ví dụ, việc thành lập một trung tâm
minh bạch cho khách hàng, bao gồm cả các chính phủ, để xác minh rằng rủi ro an ninh mạng
là tối thiểu đang trở thành cách hay nhất. Nó vừa thể hiện sự tự tin của doanh nghiệp vừa
nâng cao lòng tin của khách hàng với tính năng bảo mật có trong các sản phẩm. Quan trọng
là việc đủ năng lực về an ninh mạng có thể giúp chính phủ nước sở tại thực hiện các chính
sách có thể giảm thiểu rủi ro về an ninh mạng mà không đưa ra các rào cản bất hợp lý. Ví dụ,
với cam kết an ninh mạng cao, Đức sẵn sàng chấp nhận một số rủi ro khi triển khai mạng 5G
bằng cách cung cấp “danh mục bảo mật được xác định rõ ràng” để chỉ định các yêu cầu bảo
mật cho tất cả các nhà cung cấp.
Ngoài ra, việc giúp chính phủ nước sở tại phát triển năng lực an ninh mạng cũng đem lại lợi
ích vì có thể áp dụng các biện pháp bảo vệ đầy đủ khi cần thí điểm hoặc thử nghiệm các dịch
vụ được cung cấp trên thị trường đó.
Xây dựng năng lực thương lượng. Với tình hình quản trị an ninh mạng khác nhau ở
từng nơi như vậy, cùng một mối quan tâm về an ninh mạng có thể dẫn đến những kết quả
hoàn toàn khác nhau ở các quốc gia khác nhau. Do đó, việc phát triển và duy trì niềm tin và
các cơ chế cộng tác là rất quan trọng. Nhiều cách tiếp cận, chẳng hạn như tăng cường các
nhóm vận động hành lang, cam kết tham gia các hoạt động an ninh mạng tại nước đó và hành
động như một doanh nghiệp tốt, đã được đề xuất và áp dụng.
Đáng chú ý là sự phức tạp của an ninh mạng đang khiến các tập đoàn trở nên hùng mạnh
hơn trong không gian mạng. Giống như Google, Amazon và Meta (trước đây là Facebook),
một số tập đoàn kiểm soát chặt chẽ cơ sở hạ tầng vật lý mạng toàn cầu, mã, thuật toán hoặc
dữ liệu. Mặc dù phải đối mặt với áp lực chính trị ngày càng tăng, nhưng trên thực tế, họ có
quyền đặt ra các quy tắc an ninh mạng, bao gồm cả việc từ chối yêu cầu của một số chính
phủ. Ví dụ, WhatsApp và Telegram đã từ chối tạo backdoors theo yêu cầu của một số chính
phủ để truy cập nội dung tin nhắn được mã hóa, điều này sẽ xâm phạm quyền riêng tư của khách hàng của họ.
Các tập đoàn cũng có thể xây dựng ảnh hưởng của mình thông qua các tổ hợp doanh nghiệp
đại diện cho họ trước các chính phủ hoặc thị trường quốc tế, đề xuất các chính sách an ninh
mạng và thúc đẩy các tiêu chuẩn an ninh mạng quốc tế. Các doanh nghiệp quốc tế đã khởi
xướng các cuộc đối thoại và thỏa thuận, như Công ước Geneva về Kỹ thuật số và Kêu gọi
Paris về Niềm tin và An ninh trong Không gian mạng để thúc đẩy các nguyên tắc quản trị an ninh mạng toàn cầu.
Trong nhiều trường hợp, các chính phủ có thể có thẩm quyền nhưng thiếu đủ năng lực về an
ninh mạng do đó chính phủ nên cởi mở hơn trong việc tiếp nhận hỗ trợ từ các tập đoàn toàn lOMoARcPSD| 25865958
cầu. Ví dụ, các hỗ trợ từ Liên minh phần mềm (BSA) và Quỹ đổi mới và công nghệ thông tin
(ITIF) đã góp phần loại bỏ các yêu cầu bản địa hóa dữ liệu để áp dụng các dịch vụ điện toán
đám mây nước ngoài trong các tổ chức tài chính của Brazil.
Mọi công ty có sản phẩm kỹ thuật số xuyên biên giới cần có một kế hoạch quản trị an ninh
mạng hiệu quả cân bằng giữa công nghệ, các mối quan hệ địa chính trị, năng lực của chính
phủ, uy tín thị trường và sự hợp tác giữa công và tư. Nếu bây giờ không còn khả năng đó,
các giám đốc điều hành nên tự đào tạo để chuẩn bị hoặc tìm kiếm các giám đốc mới có năng
lực như vậy để bổ sung vào hội đồng quản trị. Tất cả các công ty cung cấp hoặc dựa vào các
sản phẩm kỹ thuật số xuyên quốc gia có thể sớm muộn cũng phải đối mặt với những lo ngại
về an ninh mạng. Và mặc dù sự chuẩn bị không thể giúp họ ko gặp phải những rủi ro đó,
nhưng điều đó có thể tạo nên sự khác biệt khi họ đối mặt với nó.