Đối phó với rủi ro an ninh mạng trong Thương mại Quốc tế | Đại học Fulbright Việt Nam

Đối phó với rủi ro an ninh mạng trong Thương mại Quốc tế | Đại học Fulbright Việt Nam. Tài liệu được biên soạn dưới dạng file PDF gồm 10 trang, giúp bạn tham khảo, ôn tập và đạt kết quả cao trong kì thi sắp tới. Mời bạn đọc đón xem!

Trường:

Đại học Fulbright Việt Nam 22 tài liệu

Thông tin:
10 trang 6 tháng trước

Bình luận

Vui lòng đăng nhập hoặc đăng ký để gửi bình luận.

Đối phó với rủi ro an ninh mạng trong Thương mại Quốc tế | Đại học Fulbright Việt Nam

Đối phó với rủi ro an ninh mạng trong Thương mại Quốc tế | Đại học Fulbright Việt Nam. Tài liệu được biên soạn dưới dạng file PDF gồm 10 trang, giúp bạn tham khảo, ôn tập và đạt kết quả cao trong kì thi sắp tới. Mời bạn đọc đón xem!

75 38 lượt tải Tải xuống
lOMoARcPSD|25865958
BÀI TING ANH
For companies that sell digital products internationally, cybersecurity concerns can have a
devastating impact on business companies can be barred from national markets, get
tangled up in politics, and have their reputations maligned across the globe. It isn’t easy to
navigate this issue however. Rules and anxieties differ country to country. In general, how a
country might react is driven by: national capability in managing cyber risks, the level of trust
between the government and business, and geopolitics. Companies can’t control these factors,
but they can prepare for them. Specifically a good strategy should involve: building a strong
cybersecurity governance culture; preparing to play politics and burnish your cybersecurity
image; developing an exit plan for markets, and a re-entrance plan; helping host governments
improve their cybersecurity capabilities; and building up your bargaining powers.
Digital trade is crucial for almost every company, but it also introduces new complications.
When products or services that contain a computer or can be connected to the internet
which nearly every product or service does cross borders, cybersecurity risks emerge.
Growing concerns that foreign states or corporations can abuse digital products to collect
privacy data, plant vulnerabilities, or otherwise cause harm mean that digital products sold
across borders are subject to increased scrutiny and controls, and can be targeted for bans
fairly or not by host governments. Navigating and mitigating these risks needs to be a
part of every transnational company’s digitalization strategy.
Failing to properly account for these risks means courting disaster. For instance, Germany
banned both the sale and ownership of the U.S.-made voice-activated “My Friend, Cayla” doll
in 2017, on the basis that it contained a concealed surveillance device that violated German
federal privacy regulations and could be used to spy and collect personal data. Huawei’s 5G
equipment has raised concerns that the Chinese government might be able to plant backdoors
to monitor critical telecommunication networks, in response many countries banned or
restricted the usage of Huawei’s 5G equipment.
This isn’t just paranoia examples that motivate real concerns. For example, Crypto AG, a
manufacturer of encryption devices, was owned by the U.S. CIA and German BND. From 1970
until 2018 (or the 1990s, in the BND’s case), the agencies used backdoors to break into
encrypted messages of allies and enemies.
To understand how companies can get caught up in controversy and how they can navigate
these situations we looked at 75 cases that demonstrate that it is already a global
phenomenon involving over 31 countries, including all the major economies, such as G20 and
OECD members. We have observed cases including (but not limited to) computers and
networking equipment, medical devices, video-conference services, security software, social
lOMoARcPSD|25865958
media, security cameras, banking IT systems, drones, smartphones, smart toys, AI software,
and international fund transfers and payment systems. Getting caught up in cybersecurity
concerns is not a question of whether but rather of when and how for transnational companies.
A patchwork and political set of rules
Technically speaking, the inherent cybersecurity risks within transnational digital products are
the same for all the states. But governments take various strategies to address these concerns,
such as implementing import limitations, pre-requirements for market access, and post-sale
services requirements to manage the potential cybersecurity risks. As a result, international
businesses must negotiate a fragmented system of rules and requirements that change
country by country, and often day by day and which creates significant risks for companies
seeking to navigate it.
Therefore, technical considerations aren’t the only ones that shape policy. Companies should
also consider these critical factors when thinking about their international digital strategy.
Government Capability in Managing Cybersecurity Risks. A government’s reactions are
shaped by its capability to manage cybersecurity risks, such as: the laws and regulations on
cybersecurity; the implementation of technical capabilities through national and sectorspecific
agencies; the organizations implementing cybersecurity; and the awareness campaigns,
training, educations, and partnerships between agencies, firms, and countries. Governments
with a high cybersecurity capability may consider the cybersecurity risk more manageable, so
they are more likely to adopt less restrictive digital trade policies.
Trust between Governments and Businesses. It’s functionally impossible for a government to
examine the millions of lines of software or firmware within every digital product and service
sold in its borders. Decisions are made based on the perceived risks, which will be significantly
impacted by the trust between governments and businesses, as well as in business to
business relationships. Trust and business loyalty developed over time can encourage an
adoption of a cyber-risk-management-oriented approach by local governments and
depoliticalizes the cyber risks. Our research also shows that such trust and business loyalty
enhance a corporation’s bargaining power with the local governments, especially for
governments with a relatively low government effectiveness and control of corruption. In such
a case, corporations have more chance to negotiate with the government to avoid, or at least
alleviate, the impact of potential restrictions related to cybersecurity concerns.
Geopolitics. Take Huawei’s 5G products as a typical example. The U.S. had every reason to
accept Huawei, given the high quality and low costs of its products and the need to upgrade
the U.S. communications networks for 5G. Risks, as with almost every vendor, could have
been mitigated by monitoring and detecting any vulnerabilities. However, the ban of Huawei’s
devices still happened largely because of geopolitical rivalry. Japan and Australia followed
the United States’ lead, given their close strategic relationships with the U.S. Similarly, the UK
lOMoARcPSD|25865958
ultimately banned on the installation of new Huawei equipment. On the other hand, Germany’s
capability to balance between China and the U.S. politics resulted in a relatively balanced 5G
market environment for all vendors, including Huawei. Switzerland, a neutral country not
involved in armed or political conflicts with other states, concluded that Huawei’s equipment
posed no significant risks and built a 5G network using Huawei’s devices.
Notably, it is a challenge for companies to predict how individual countries will react to the
cybersecurity risks from digital trade, but businesses need to understand and accept this new
reality. In our research, we have developed a method to anticipate outcomes and identified
actions companies can take to mitigate unfavorable outcomes.
Developing an active strategy
Given how fragmented the global system of cybersecurity governance is, corporations need
to take an active approach to refine their global digital strategy. Although these efforts may
not always pay off, they will prepare companies to address cybersecurity concerns when they
inevitably come up. Some actions include:
Build an Effective Cybersecurity Governance Culture. Building cybersecurity features into
digital products is becoming a de facto pre-requirement of market accesses for many
transnational digital products, especially for critical infrastructures like financial IT systems or
5G networks. Companies should cultivate a cybersecurity culture within their organizations,
including both leaderships and product development teams, to promote the awareness of
importance of cybersecurity for their market success. Beyond following international standards,
companies should develop a flexible cybersecurity governance system which can effectively
adapt to and comply with the different cybersecurity policies and regulations within the target
markets.
Be Prepared to Play Politics and Create a Cybersecure Image. Since it is not feasible to
thoroughly examine the software, firmware, or hardware of every single product, reputation is
critical regarding cybersecurity concerns. Customers will believe that a company with a high
reputation will do their best to enhance the cybersecurity features in a digital product, not do
harm to their customers by intently exploiting the vulnerability, and handle a cybersecurity
incident responsibly if it happens. Hence, corporations should actively defend their market
reputations by showing their commitment to cybersecurity. No one wants to make “insecurity”
a part of corporate brands in the digital age. Importantly, such a high reputation can help a
company to avoid being caught by the politicization of cybersecurity concerns.
Be Willing to Step Out and Prepare to Step Back In. In a market where cybersecurity concerns
have been politicized and it is too costly for corporations to comply with the cybersecurity
requirement, temporarily exiting the market can be a good option. But even when a company
is blocked from a market, like Huawei was blocked from the U.S. market or Google’s
lOMoARcPSD|25865958
withdrawal from China, defending the reputation can help maintain its partnership with other
countries.
Additionally, corporations should pay attention to the re-entry strategy after exiting the market,
especially when the market prohibition only covers a subset of a corporations’ business or is
driven by external political influences. It is increasingly common for global firms to re-enter
foreign markets, so an effective re-entry strategy such as maintaining the knowledge learning
of the markets, preparing the re-entry model with new cybersecure products, and monitoring
the politicization environment in the target markets, is critical when corporations can return.
Teach Host Governments to Fish. As cybersecurity risks from digital offerings are unavoidable,
corporations should take an active approach to help the host government build capability to
manage the potential risks. For example, launching a transparency center for customers,
including governments, to verify that cybersecurity risks are minimal is becoming a best
practice. It both demonstrates the business’ confidence and enhances the customers’ trust
with the cybersecurity embedded in the products.
Importantly, sufficient cybersecurity capability can help the host government implement
policies that can mitigate cybersecurity risks without introducing unreasonable barriers. For
example, with a high cybersecurity commitment, Germany was willing to take some risks with
its 5G network deployment, but minimized those risks by providing a “clearly defined security
catalog” to specify the security requirements for all vendors.
Additionally, helping the host government with cybersecurity capability development pays off
as sufficient protection measures can be in place when it comes time to pilot or test the
provided services in that market.
Build Your Bargaining Power. With such a fragmented cybersecurity governance situation, the
same cybersecurity concern can result in radically different outcomes in different countries.
Therefore, developing and maintaining trust and collaboration mechanisms is critical. Many
approaches, such as beefing up lobbying teams, committing to local cybersecurity activities,
and acting as a good corporate citizen, have been suggested and adopted.
Notably, the complexity of cybersecurity is making corporations more powerful in cyberspace.
Like Google, Amazon, and Meta (formerly Facebook), some corporations firmly control the
global cyber-physical infrastructure, code, algorithms, or data. Though they face increasing
political pressure, they have the de facto power to set cybersecurity rules, including refusing
certain governments’ requests. For example, WhatsApp and Telegram have declined to create
backdoors requested by some governments to access the encrypted message content, which
would have invaded their customers privacy.
Corporations can also build up their influence through consortiums to represent them before
governments or international markets, recommend cybersecurity policies, and promote
international cybersecurity standards. International businesses have initiated dialogues and
lOMoARcPSD|25865958
accords, such as Digital Geneva Convention and Paris Call for Trust and Security in
Cyberspace to promote global cybersecurity governance principles.
In many cases, governments may have the authority but lack sufficient cybersecurity capability,
and so are more open to taking inputs from global consortiums. For example, the inputs from
the Software Alliance (BSA), and the Information and Technology and Innovation Foundation
(ITIF) contributed to removing the data localization requirements for adopting foreign cloud
computing services in Brazil’s financial institutions.
Every company whose digital products cross borders needs an effective cybersecurity
governance plan that balances technology, geopolitical relationships, government capability,
market reputation, and public-private collaborations. If such capability does not exist now,
executives should train themselves in the preparation or seek out new directors who have
such capacity to add to the board. All companies that provide or rely on transnational digital
products will likely face cybersecurity concerns sooner or later. And even though preparation
can’t keep them out of the hot seat, it may make all the difference once they’re there.
ĐỐI PHÓ VI RI RO AN NINH MẠNG TRONG THƯƠNG MẠI QUC T
Tóm tắt: Đối vi các công ty bán sn phm k thut s trên thế gii, nhng mi lo ngi v an
ninh mng có th có tác động nghiêm trọng đến hot đng kinh doanh - các công ty có th b
cm tham gia các th trường quốc gia, vướng vào chính tr làm cho danh tiếng ca h b
tn hi trên toàn cu. Tuy nhiên vấn đề y li không d để gii quyết. Các quy tc và s lo
lng s khác nhau gia các quc gia. Nói chung, cách mt quc gia có th phn ứng được
thúc đẩy bi vào: năng lực quc gia trong vic qun ri ro mng, mức độ tin cy gia chính
ph doanh nghiệp địa chính tr. Các công ty không th kim soát nhng yếu t này,
nhưng họ có th chun b cho chúng. C th, mt chiến lược tt cn bao gm: xây dựng văn
hóa qun tr an ninh mng; chun b đàm phán chính trị sn sàng phá hy nh nh an ninh
mng ca công ty bn; xây dng kế hoch rút lui khi th trường kế hoch tái gia nhp;
giúp các chính ph s ti ci thin kh năng an ninh mạng ca h; xây dng sc mnh
đàm phán của ban.
Thương mại k thut s đóng vai trò rất quan trọng đối vi hu hết mọi công ty, nhưng
cũng tạo ra nhiu vấn đề phc tp mi. Khi các sn phm hoc dch v có bao gm máy tính
hoc th đưc kết ni vi internet - cái gần như mọi sn phm hoc dch v xuyên biên
giới đều - các ri ro v an ninh mng xut hin. Càng ngày càng các lo ngi rng các
quc gia hoc tập đoàn c ngoài th lm dng các sn phm k thut s để thu thp
d liu quyền riêng tư, lỗ hng bo mt hoc gây hại, nghĩa là các sản phm k thut s
đưc bán xuyên biên gii phi chu s giám sát kim soát nhiều hơn thể b nhm
mục tiêu để cm - mt cách công bng hoc không - bi các chính ph c s ti. Gii
lOMoARcPSD|25865958
quyết và gim thiu nhng ri ro này cn phi mt phn trong chiến lược s hóa ca mi
công ty xuyên quc gia.
Không tính toán trước nhng rủi ro này có nghĩa là thảm ha. Ví dụ, Đức đã cấm c vic bán
và s hữu con búp bê “My Friend, Cayla” được kích hot bng ging nói do M sn xut vào
năm 2017, vì nó chứa mt thiết b theo dõi được che giấu. điều này vi phm các quy định v
quyền riêng tư của liên bang Đức và có th đưc s dụng để do thám và thu thp d liu cá
nhân. Thiết b 5G của Huawei đã làm dấy lên lo ngi rng chính ph Trung Quc có th thiết
lập các backdoor để giám sát các mng vin thông quan trng, để đối phó vi vic nhiu quc
gia đã cấm hoc hn chế vic s dng thiết b 5G của Huawei. Đây không chỉ s ng
ng mà là nhng ví d v mi lo lng thc s. Ví d, Crypto AG, mt nhà sn xut thiết b
mã hóa, thuc s hu ca CIA Hoa K và BND của Đức. T năm 1970 đến năm 2018 (hoặc
những năm 1990, trong trưng hp của BND), các quan này đã sử dụng backdoors để
đột nhập vào các thông điệp được mã hóa của đồng minh và k thù.
Để hiểu cách các công ty găp phải cuc tranh cãi cách h th gii quyết nhng tình
huống này, chúng tôi đã xem xét 75 trường hp chng minh rằng đã một hiện tượng
toàn cầu liên quan đến hơn 31 quốc gia, bao gm tt c các nn kinh tế ln, chng hạn như
các thành viên G20 và OECD . Chúng tôi đã quan sát thấy các tng hp bao gồm (nhưng
không gii hn ) máy nh phn mm mng, thiết b y tế, dch v video hi ngh, phn
mm bo mt, mng hi, camera an ninh, h thng CNTT ngân hàng, máy bay không
người lái, điện thoại thông minh, đ chơi thông minh, phần mm AI và qu chuyn tin quc
tế và h thng thanh toán. B cun vào nhng lo ngi v an ninh mng không phi là vấn đề
có hay không mà là khi nào và như thế nào đối vi các công ty xuyên quc gia.
Mt b quy tắc “chắp vá” và chính trị
V mt k thut, các ri ro an ninh mng có sn trong các sn phm k thut s xuyên quc
gia như nhau đi vi tt c các quốc gia.Nhưng các chính phủ li thc hin nhiu chiến
ợc khác nhau để gii quyết nhng lo ngi này, chng hạn như thực hin các gii hn nhp
khu, các yêu cầu trước khi tiếp cn th trường các yêu cu v dch v sau khi bán hàng
để qun các ri ro an ninh mng tim n.Vì vy, các doanh nghip quc tế phải thương
ng mt h thng quy tc và yêu cầu thay đổi theo tng quc gia và từng ngày và điều này
to ra rủi ro đáng kể cho các công ty đang tìm cách giải quyết nó.
Do đó, các cân nhắc k thut không phi nhng cân nhc duy nhất định hình chính sách.
Các công ty cũng nên xem xét những yếu t quan trọng này khi nghĩ về chiến lược k thut
s quc tế ca h.
Năng lực ca Chính ph trong vic Qun Ri ro An ninh Mng. Các phn ng ca
chính ph đưc hình thành bi kh năng quản lý ri ro an ninh mạng, vd như: luật và quy định
v an ninh mng; việc thi hành các năng lực k thut thông qua các cơ quan quốc gia và
lOMoARcPSD|25865958
ngành c th; các t chc thi hành an ninh mng; và các chiến dch nâng cao nhn thức, đào
to, giáo dc quan h đối tác gia các quan, công ty quc gia. Các chính ph
năng lực an ninh mng cao th coi ri ro an ninh mng d quản hơn, vậy h có th áp
dụng các chính sách thương mại k thut s ít hn chế hơn.
Nim tin gia Chính ph Doanh nghip.Thc tế, chính ph không th kim tra hàng triu
dòng phn mm hoặc chương trình sở trong mi sn phm dch v k thut s đưc
bán c mình. Các quyết định được đưa ra dựa trên nhng ri ro nhn biết được, nhng
rủi ro đó sẽ b ảnh hưởng đáng k bi nim tin gia chính ph các doanh nghiệp, cũng
như trong các mối quan h kinh doanh vi doanh nghip. S tin tưởng lòng trung thành
ca doanh nghip phát trin theo thi gian có th khuyến khích các chính quyền địa phương
áp dụng phương pháp tiếp cận theo định hướng qun lý ri ro mng và phi chính tr hóa các
ri ro trên mng. Nghiên cu của chúng tôi cũng cho thấy rng s tin tưởng lòng trung
thành ca doanh nghiệp như vậy nâng cao kh năng thương lượng ca mt công ty vi chính
quyền địa phương, đặc biệt là đối vi các chính ph năng lực và kh năng kiểm soát tham
nhũng của chính ph tương đối thp. Trong tng hợp đó, các công ty có nhiều cơ hội hơn
để đàm phán với chính ph để tránh, hoc ít nht là gim bớt tác động ca các hn chế liên
quan đến nhng lo ngi v an ninh mng.
Địa chính tr. Ly các sn phm 5G ca Huawei làm d đinnh. Mmi lý do để chp
nhn Huawei, vi các sn phm chất lượng cao cùng chi phí thp nhu cu nâng cp mng
truyn thông 5G ca M. Rủi ro, như với hu hết mi nhà cung cp, th đã được gim
thiu bng cách theo dõi phát hin bt k l hng nào. Tuy nhiên, lnh cm thiết b ca
Huawei vn xy ra - phn ln là do s cạnh tranh địa chính tr. Nht Bản và Úc đã đi theo sự
dẫn đầu ca M, do mi quan h chiến lược cht ch ca h vi M. Tương tự, Anh cui cùng
đã cấm lắp đặt thiết b Huawei mi. Mt khác, kh ng cân bng gia Trung Quc M
của Đức đã dẫn đến một môi trường th trường 5G tương đối cân bng cho tt c các nhà
cung cp, bao gm c Huawei. Thụy Sĩ, một quc gia trung lp không tham gia vào các cuc
xung đột trang hoặc chính tr vi các quc gia khác, cho rng thiết b ca Huawei không
gây ra rủi ro đáng kể nào và đã xây dựng mng 5G bng thiết b ca Huawei.
Đáng chú ý, việc d đoán từng quc gia s phn ứng như thế nào vi các ri ro an ninh mng
t thương mại k thut s là mt thách thức đối với các công ty, nhưng các doanh nghiệp cn
hiu và chp nhn thc tếy. Qua nghiên cứu, chúng tôi đã phát triển mt phương pháp để
d đoán kết qu - và xác định các hành động mà công ty có th thc hiện để gim thiu các
kết qu ko mong mun.
Phát trin mt chiến lưc tích cc
Vì h thng qun tr an ninh mng toàn cu khác nhau từng nơi, các tập đoàn cần phi có
cách tiếp cn ch động để hoàn thin chiến lược k thut s toàn cu ca h. Mc dù nhng
lOMoARcPSD|25865958
n lc này th không phải lúc nào cũng được đền đáp, nhưng sẽ chun b cho các công
ty gii quyết nhng lo ngi v an ninh mng khi chúng xut hin. Mt s hành động bao gm:
Xây dựng Văn hóa Quản tr An ninh Mng Hiu qu.
Vic xây dựng các tính năng an ninh mạng vào các sn phm k thut s đang tr thành yêu
cầu trước tiên v kh ng tiếp cn th trường đối vi nhiu sn phm k thut s xuyên quc
gia, đặc biệt đối với các sở h tng quan trọng như hệ thng CNTT tài chính hoc mng
5G. Các công ty nên phát triển văn hóa an ninh mng trong t chc ca h, bao gm c đội
ngũ lãnh đạo và nhóm phát trin sn phẩm, để thúc đẩy nhn thc v tm quan trng ca an
ninh mạng đối vi s thành công trên th trường ca h. Ngoài vic tuân theo các tiêu chun
quc tế, các công ty nên phát trin mt h thng qun tr an ninh mng linh hot -th thích
ng tuân th hiu qu các chính sách quy định v an ninh mng khác nhau trong các
th trường mc tiêu.
Chun b để đàm phán chính trị và to dng hình nh an ninh mng.
vic kim tra k ng phn mềm, chương trình cơ sở hoc phn cng ca tng sn phm
đều không kh thi mà danh tiếng li rt quan trọng đối vi các mi lo ngi v an ninh mng.
Khách hàng s tin tưởng rng mt công ty có uy tín cao s c gng hết sức để nâng cao các
tính năng an ninh mng trong mt sn phm k thut s, không gây hi cho khách hàng ca
h bng cách khai thác l hng và x lý s c an ninh mng mt cách có trách nhim nếu nó
xảy ra. Do đó, các công ty nên tích cc bo v danh tiếng th trường ca h bng cách th
hin cam kết ca h đối vi an ninh mng. Không ai muốn “thiếu an toàn” trở thành mt phn
của các thương hiệu doanh nghip trong thời đại k thut số.Hơn hết, danh tiếng cao như vy
có th giúp mt công ty tránh b chính tr hóa các mi lo ngi v an ninh mng.
Sn sàng rút khi và quay li th trường
Trong mt th trường mà nhng lo ngi v an ninh mạng đã bị chính tr hóa và vic các công
ty phi tuân th các yêu cu v an ninh mng quá tn tin, thì vic tm thit khi th trường
mt la chn tt. Nhưng ngay cả khi mt công ty b cm khi th trưng, chng hạn như
Huawei b cm khi th trường Hoa K hoc vic Google rút khi Trung Quc, vic bo v
danh tiếng có th giúp duy trì quan h đối tác ca h vi các quc gia khác.
Ngoài ra, các tập đoàn nên chú ý đến chiến lược gia nhp li sau khi ra khi th trường, đặc
bit khi lnh cm th trường ch bao gm mt nhóm nh hoạt động kinh doanh ca tập đoàn
hoc b thúc đẩy bi các ảnh hưởng chính tr bên ngoài. Vic các công ty toàn cu tái gia
nhp th trường nước ngoài ngày càng ph biến, vì vy mt chiến lược tái gia nhp hiu qu
như duy trì việc hc hi kiến thc v th trường, chun b hình tái gia nhp vi các sn
phm an ninh mng mới và giám sát môi trưng chính tr hóa trong th trường mc tiêu, đều
rt quan trng khi các công ty quay tr li.
lOMoARcPSD|25865958
Dy cho chính ph c s tại cách “câu ”. Vì ri ro an ninh mng t các dch v
k thut s là không th tránh khi, các công ty nên có cách tiếp cn ch động để giúp chính
ph s ti xây dng kh ng qun lý các ri ro tim n. Ví d, vic thành lp mt trung tâm
minh bch cho khách hàng, bao gm c các chính ph, đ xác minh rng ri ro an ninh mng
ti thiểu đang trở thành cách hay nht. va th hin s t tin ca doanh nghip va
nâng cao lòng tin ca khách hàng với tính năng bảo mt có trong các sn phm. Quan trng
việc đủ năng lực v an ninh mng th giúp chính ph c s ti thc hin các chính
sách có th gim thiu ri ro v an ninh mạng mà không đưa ra các rào cản bt hp lý. Ví d,
vi cam kết an ninh mạng cao, Đức sn sàng chp nhn mt s ri ro khi trin khai mng 5G
bng cách cung cấp “danh mục bo mật được xác định rõ ràng” để ch định các yêu cu bo
mt cho tt c các nhà cung cp.
Ngoài ra, vic giúp chính ph c s ti phát triển năng lực an ninh mạng cũng đem lại li
ích vì có th áp dng các bin pháp bo v đầy đủ khi cần thí điểm hoc th nghim các dch
v đưc cung cp trên th trường đó.
Xây dựng năng lực thương lượng. Vi tình hình qun tr an ninh mng khác nhau
từng nơi như vậy, cùng mt mi quan tâm v an ninh mng th dẫn đến nhng kết qu
hoàn toàn khác nhau các quốc gia khác nhau. Do đó, việc phát trin và duy trì nim tin
các chế cng tác rt quan trng. Nhiu cách tiếp cn, chng hạn như tăng cường các
nhóm vn động hành lang, cam kết tham gia các hoạt động an ninh mng tại nước đó hành
động như một doanh nghip tốt, đã được đề xut và áp dng.
Đáng chú ý sự phc tp ca an ninh mạng đang khiến các tập đoàn trở nên hùng mnh
hơn trong không gian mng. Giống như Google, Amazon Meta (trước đây Facebook),
mt s tập đoàn kiểm soát cht ch cơ sở h tng vt lý mng toàn cu, mã, thut toán hoc
d liu. Mc phải đối mt vi áp lc chính tr ngày càng tăng, nhưng trên thực tế, h
quyền đặt ra các quy tc an ninh mng, bao gm c vic t chi yêu cu ca mt s chính
ph. Ví dụ, WhatsApp và Telegram đã từ chi to backdoors theo yêu cu ca mt s chính
ph để truy cp ni dung tin nhắn được hóa, điều này s xâm phm quyền riêng của
khách hàng ca h.
Các tập đoàn cũng thể xây dng nh hưởng ca mình thông qua các t hp doanh nghip
đại din cho h trưc các chính ph hoc th trường quc tế, đ xut các chính sách an ninh
mng và thúc đẩy các tiêu chun an ninh mng quc tế. Các doanh nghip quc tế đã khởi
ng các cuộc đối thoi tha thuận, như Công ưc Geneva v K thut s Kêu gi
Paris v Nim tin và An ninh trong Không gian mạng để thúc đẩy các nguyên tc qun tr an
ninh mng toàn cu.
Trong nhiều trường hp, các chính ph có ththm quyền nhưng thiếu đủ năng lực v an
ninh mạng do đó chính ph nên ci m hơn trong việc tiếp nhn h tr t các tập đoàn toàn
lOMoARcPSD|25865958
cu. Ví d, các h tr t Liên minh phn mm (BSA) và Qu đổi mi và công ngh thông tin
(ITIF) đã góp phần loi b các yêu cu bản địa hóa d liệu để áp dng các dch v đin toán
đám mây nước ngoài trong các t chc tài chính ca Brazil.
Mi công ty sn phm k thut s xuyên biên gii cn mt kế hoch qun tr an ninh
mng hiu qu cân bng gia công ngh, các mi quan h địa chính trị, năng lực ca chính
ph, uy tín th trưng s hp tác giữa công tư. Nếu bây gi không còn kh năng đó,
các giám đốc điu hành nên t đào tạo để chun b hoc tìm kiếm các giám đốc mi có năng
lực như vậy để b sung vào hội đồng qun tr. Tt c các công ty cung cp hoc da vào các
sn phm k thut s xuyên quc gia có th sm muộn cũng phải đối mt vi nhng lo ngi
v an ninh mng. mc s chun b không th giúp h ko gp phi nhng rủi ro đó,
nhưng điều đó có thể to nên s khác bit khi h đối mt vi nó.
| 1/10

Preview text:

lOMoARcPSD| 25865958 BÀI TIẾNG ANH
For companies that sell digital products internationally, cybersecurity concerns can have a
devastating impact on business — companies can be barred from national markets, get
tangled up in politics, and have their reputations maligned across the globe. It isn’t easy to
navigate this issue however. Rules and anxieties differ country to country. In general, how a
country might react is driven by: national capability in managing cyber risks, the level of trust
between the government and business, and geopolitics. Companies can’t control these factors,
but they can prepare for them. Specifically a good strategy should involve: building a strong
cybersecurity governance culture; preparing to play politics and burnish your cybersecurity
image; developing an exit plan for markets, and a re-entrance plan; helping host governments
improve their cybersecurity capabilities; and building up your bargaining powers.
Digital trade is crucial for almost every company, but it also introduces new complications.
When products or services that contain a computer or can be connected to the internet —
which nearly every product or service does — cross borders, cybersecurity risks emerge.
Growing concerns that foreign states or corporations can abuse digital products to collect
privacy data, plant vulnerabilities, or otherwise cause harm mean that digital products sold
across borders are subject to increased scrutiny and controls, and can be targeted for bans
— fairly or not — by host governments. Navigating and mitigating these risks needs to be a
part of every transnational company’s digitalization strategy.
Failing to properly account for these risks means courting disaster. For instance, Germany
banned both the sale and ownership of the U.S.-made voice-activated “My Friend, Cayla” dol
in 2017, on the basis that it contained a concealed surveillance device that violated German
federal privacy regulations and could be used to spy and collect personal data. Huawei’s 5G
equipment has raised concerns that the Chinese government might be able to plant backdoors
to monitor critical telecommunication networks, in response many countries banned or
restricted the usage of Huawei’s 5G equipment.
This isn’t just paranoia — examples that motivate real concerns. For example, Crypto AG, a
manufacturer of encryption devices, was owned by the U.S. CIA and German BND. From 1970
until 2018 (or the 1990s, in the BND’s case), the agencies used backdoors to break into
encrypted messages of allies and enemies.
To understand how companies can get caught up in controversy — and how they can navigate
these situations — we looked at 75 cases that demonstrate that it is already a global
phenomenon involving over 31 countries, including all the major economies, such as G20 and
OECD members. We have observed cases including (but not limited to) computers and
networking equipment, medical devices, video-conference services, security software, social lOMoARcPSD| 25865958
media, security cameras, banking IT systems, drones, smartphones, smart toys, AI software,
and international fund transfers and payment systems. Getting caught up in cybersecurity
concerns is not a question of whether but rather of when and how for transnational companies.
A patchwork — and political — set of rules
Technically speaking, the inherent cybersecurity risks within transnational digital products are
the same for all the states. But governments take various strategies to address these concerns,
such as implementing import limitations, pre-requirements for market access, and post-sale
services requirements to manage the potential cybersecurity risks. As a result, international
businesses must negotiate a fragmented system of rules and requirements that change
country by country, and often day by day — and which creates significant risks for companies seeking to navigate it.
Therefore, technical considerations aren’t the only ones that shape policy. Companies should
also consider these critical factors when thinking about their international digital strategy.
Government Capability in Managing Cybersecurity Risks. A government’s reactions are
shaped by its capability to manage cybersecurity risks, such as: the laws and regulations on
cybersecurity; the implementation of technical capabilities through national and sectorspecific
agencies; the organizations implementing cybersecurity; and the awareness campaigns,
training, educations, and partnerships between agencies, firms, and countries. Governments
with a high cybersecurity capability may consider the cybersecurity risk more manageable, so
they are more likely to adopt less restrictive digital trade policies.
Trust between Governments and Businesses. It’s functionally impossible for a government to
examine the millions of lines of software or firmware within every digital product and service
sold in its borders. Decisions are made based on the perceived risks, which will be significantly
impacted by the trust between governments and businesses, as well as in business to
business relationships. Trust and business loyalty developed over time can encourage an
adoption of a cyber-risk-management-oriented approach by local governments and
depoliticalizes the cyber risks. Our research also shows that such trust and business loyalty
enhance a corporation’s bargaining power with the local governments, especially for
governments with a relatively low government effectiveness and control of corruption. In such
a case, corporations have more chance to negotiate with the government to avoid, or at least
alleviate, the impact of potential restrictions related to cybersecurity concerns.
Geopolitics. Take Huawei’s 5G products as a typical example. The U.S. had every reason to
accept Huawei, given the high quality and low costs of its products and the need to upgrade
the U.S. communications networks for 5G. Risks, as with almost every vendor, could have
been mitigated by monitoring and detecting any vulnerabilities. However, the ban of Huawei’s
devices still happened — largely because of geopolitical rivalry. Japan and Australia followed
the United States’ lead, given their close strategic relationships with the U.S. Similarly, the UK lOMoARcPSD| 25865958
ultimately banned on the installation of new Huawei equipment. On the other hand, Germany’s
capability to balance between China and the U.S. politics resulted in a relatively balanced 5G
market environment for all vendors, including Huawei. Switzerland, a neutral country not
involved in armed or political conflicts with other states, concluded that Huawei’s equipment
posed no significant risks and built a 5G network using Huawei’s devices.
Notably, it is a challenge for companies to predict how individual countries will react to the
cybersecurity risks from digital trade, but businesses need to understand and accept this new
reality. In our research, we have developed a method to anticipate outcomes — and identified
actions companies can take to mitigate unfavorable outcomes. Developing an active strategy
Given how fragmented the global system of cybersecurity governance is, corporations need
to take an active approach to refine their global digital strategy. Although these efforts may
not always pay off, they will prepare companies to address cybersecurity concerns when they
inevitably come up. Some actions include:
Build an Effective Cybersecurity Governance Culture. Building cybersecurity features into
digital products is becoming a de facto pre-requirement of market accesses for many
transnational digital products, especially for critical infrastructures like financial IT systems or
5G networks. Companies should cultivate a cybersecurity culture within their organizations,
including both leaderships and product development teams, to promote the awareness of
importance of cybersecurity for their market success. Beyond following international standards,
companies should develop a flexible cybersecurity governance system which can effectively
adapt to and comply with the different cybersecurity policies and regulations within the target markets.
Be Prepared to Play Politics and Create a Cybersecure Image. Since it is not feasible to
thoroughly examine the software, firmware, or hardware of every single product, reputation is
critical regarding cybersecurity concerns. Customers will believe that a company with a high
reputation will do their best to enhance the cybersecurity features in a digital product, not do
harm to their customers by intently exploiting the vulnerability, and handle a cybersecurity
incident responsibly if it happens. Hence, corporations should actively defend their market
reputations by showing their commitment to cybersecurity. No one wants to make “insecurity”
a part of corporate brands in the digital age. Importantly, such a high reputation can help a
company to avoid being caught by the politicization of cybersecurity concerns.
Be Willing to Step Out and Prepare to Step Back In. In a market where cybersecurity concerns
have been politicized and it is too costly for corporations to comply with the cybersecurity
requirement, temporarily exiting the market can be a good option. But even when a company
is blocked from a market, like Huawei was blocked from the U.S. market or Google’s lOMoARcPSD| 25865958
withdrawal from China, defending the reputation can help maintain its partnership with other countries.
Additionally, corporations should pay attention to the re-entry strategy after exiting the market,
especially when the market prohibition only covers a subset of a corporations’ business or is
driven by external political influences. It is increasingly common for global firms to re-enter
foreign markets, so an effective re-entry strategy such as maintaining the knowledge learning
of the markets, preparing the re-entry model with new cybersecure products, and monitoring
the politicization environment in the target markets, is critical when corporations can return.
Teach Host Governments to Fish. As cybersecurity risks from digital offerings are unavoidable,
corporations should take an active approach to help the host government build capability to
manage the potential risks. For example, launching a transparency center for customers,
including governments, to verify that cybersecurity risks are minimal is becoming a best
practice. It both demonstrates the business’ confidence and enhances the customers’ trust
with the cybersecurity embedded in the products.
Importantly, sufficient cybersecurity capability can help the host government implement
policies that can mitigate cybersecurity risks without introducing unreasonable barriers. For
example, with a high cybersecurity commitment, Germany was willing to take some risks with
its 5G network deployment, but minimized those risks by providing a “clearly defined security
catalog” to specify the security requirements for all vendors.
Additionally, helping the host government with cybersecurity capability development pays off
as sufficient protection measures can be in place when it comes time to pilot or test the
provided services in that market.
Build Your Bargaining Power. With such a fragmented cybersecurity governance situation, the
same cybersecurity concern can result in radically different outcomes in different countries.
Therefore, developing and maintaining trust and collaboration mechanisms is critical. Many
approaches, such as beefing up lobbying teams, committing to local cybersecurity activities,
and acting as a good corporate citizen, have been suggested and adopted.
Notably, the complexity of cybersecurity is making corporations more powerful in cyberspace.
Like Google, Amazon, and Meta (formerly Facebook), some corporations firmly control the
global cyber-physical infrastructure, code, algorithms, or data. Though they face increasing
political pressure, they have the de facto power to set cybersecurity rules, including refusing
certain governments’ requests. For example, WhatsApp and Telegram have declined to create
backdoors requested by some governments to access the encrypted message content, which
would have invaded their customers privacy.
Corporations can also build up their influence through consortiums to represent them before
governments or international markets, recommend cybersecurity policies, and promote
international cybersecurity standards. International businesses have initiated dialogues and lOMoARcPSD| 25865958
accords, such as Digital Geneva Convention and Paris Call for Trust and Security in
Cyberspace to promote global cybersecurity governance principles.
In many cases, governments may have the authority but lack sufficient cybersecurity capability,
and so are more open to taking inputs from global consortiums. For example, the inputs from
the Software Alliance (BSA), and the Information and Technology and Innovation Foundation
(ITIF) contributed to removing the data localization requirements for adopting foreign cloud
computing services in Brazil’s financial institutions.
Every company whose digital products cross borders needs an effective cybersecurity
governance plan that balances technology, geopolitical relationships, government capability,
market reputation, and public-private collaborations. If such capability does not exist now,
executives should train themselves in the preparation or seek out new directors who have
such capacity to add to the board. All companies that provide or rely on transnational digital
products will likely face cybersecurity concerns sooner or later. And even though preparation
can’t keep them out of the hot seat, it may make all the difference once they’re there.
ĐỐI PHÓ VỚI RỦI RO AN NINH MẠNG TRONG THƯƠNG MẠI QUỐC TẾ
Tóm tắt: Đối với các công ty bán sản phẩm kỹ thuật số trên thế giới, những mối lo ngại về an
ninh mạng có thể có tác động nghiêm trọng đến hoạt động kinh doanh - các công ty có thể bị
cấm tham gia các thị trường quốc gia, vướng vào chính trị và làm cho danh tiếng của họ bị
tổn hại trên toàn cầu. Tuy nhiên vấn đề này lại không dễ để giải quyết. Các quy tắc và sự lo
lắng có sự khác nhau giữa các quốc gia. Nói chung, cách một quốc gia có thể phản ứng được
thúc đẩy bởi vào: năng lực quốc gia trong việc quản lý rủi ro mạng, mức độ tin cậy giữa chính
phủ và doanh nghiệp và địa chính trị. Các công ty không thể kiểm soát những yếu tố này,
nhưng họ có thể chuẩn bị cho chúng. Cụ thể, một chiến lược tốt cần bao gồm: xây dựng văn
hóa quản trị an ninh mạng; chuẩn bị đàm phán chính trị và sẵn sàng phá hủy hình ảnh an ninh
mạng của công ty bạn; xây dựng kế hoạch rút lui khỏi thị trường và kế hoạch tái gia nhập;
giúp các chính phủ sở tại cải thiện khả năng an ninh mạng của họ; và xây dựng sức mạnh đàm phán của ban.
Thương mại kỹ thuật số đóng vai trò rất quan trọng đối với hầu hết mọi công ty, nhưng nó
cũng tạo ra nhiều vấn đề phức tạp mới. Khi các sản phẩm hoặc dịch vụ có bao gồm máy tính
hoặc có thể được kết nối với internet - cái mà gần như mọi sản phẩm hoặc dịch vụ xuyên biên
giới đều có - các rủi ro về an ninh mạng xuất hiện. Càng ngày càng có các lo ngại rằng các
quốc gia hoặc tập đoàn nước ngoài có thể lạm dụng các sản phẩm kỹ thuật số để thu thập
dữ liệu quyền riêng tư, lỗ hổng bảo mật hoặc gây hại, có nghĩa là các sản phẩm kỹ thuật số
được bán xuyên biên giới phải chịu sự giám sát và kiểm soát nhiều hơn và có thể bị nhắm
mục tiêu để cấm - một cách công bằng hoặc không - bởi các chính phủ nước sở tại. Giải lOMoARcPSD| 25865958
quyết và giảm thiểu những rủi ro này cần phải là một phần trong chiến lược số hóa của mọi công ty xuyên quốc gia.
Không tính toán trước những rủi ro này có nghĩa là thảm họa. Ví dụ, Đức đã cấm cả việc bán
và sở hữu con búp bê “My Friend, Cayla” được kích hoạt bằng giọng nói do Mỹ sản xuất vào
năm 2017, vì nó chứa một thiết bị theo dõi được che giấu. điều này vi phạm các quy định về
quyền riêng tư của liên bang Đức và có thể được sử dụng để do thám và thu thập dữ liệu cá
nhân. Thiết bị 5G của Huawei đã làm dấy lên lo ngại rằng chính phủ Trung Quốc có thể thiết
lập các backdoor để giám sát các mạng viễn thông quan trọng, để đối phó với việc nhiều quốc
gia đã cấm hoặc hạn chế việc sử dụng thiết bị 5G của Huawei. Đây không chỉ là sự tưởng
tượng mà là những ví dụ về mối lo lắng thực sự. Ví dụ, Crypto AG, một nhà sản xuất thiết bị
mã hóa, thuộc sở hữu của CIA Hoa Kỳ và BND của Đức. Từ năm 1970 đến năm 2018 (hoặc
những năm 1990, trong trường hợp của BND), các cơ quan này đã sử dụng backdoors để
đột nhập vào các thông điệp được mã hóa của đồng minh và kẻ thù.
Để hiểu cách các công ty găp phải cuộc tranh cãi và cách họ có thể giải quyết những tình
huống này, chúng tôi đã xem xét 75 trường hợp chứng minh rằng nó đã là một hiện tượng
toàn cầu liên quan đến hơn 31 quốc gia, bao gồm tất cả các nền kinh tế lớn, chẳng hạn như
các thành viên G20 và OECD . Chúng tôi đã quan sát thấy các trường hợp bao gồm (nhưng
không giới hạn ở) máy tính và phần mềm mạng, thiết bị y tế, dịch vụ video hội nghị, phần
mềm bảo mật, mạng xã hội, camera an ninh, hệ thống CNTT ngân hàng, máy bay không
người lái, điện thoại thông minh, đồ chơi thông minh, phần mềm AI và quỹ chuyển tiền quốc
tế và hệ thống thanh toán. Bị cuốn vào những lo ngại về an ninh mạng không phải là vấn đề
có hay không mà là khi nào và như thế nào đối với các công ty xuyên quốc gia.
Một bộ quy tắc “chắp vá” và chính trị
Về mặt kỹ thuật, các rủi ro an ninh mạng có sẵn trong các sản phẩm kỹ thuật số xuyên quốc
gia là như nhau đối với tất cả các quốc gia.Nhưng các chính phủ lại thực hiện nhiều chiến
lược khác nhau để giải quyết những lo ngại này, chẳng hạn như thực hiện các giới hạn nhập
khẩu, các yêu cầu trước khi tiếp cận thị trường và các yêu cầu về dịch vụ sau khi bán hàng
để quản lý các rủi ro an ninh mạng tiềm ẩn.Vì vậy, các doanh nghiệp quốc tế phải thương
lượng một hệ thống quy tắc và yêu cầu thay đổi theo từng quốc gia và từng ngày và điều này
tạo ra rủi ro đáng kể cho các công ty đang tìm cách giải quyết nó.
Do đó, các cân nhắc kỹ thuật không phải là những cân nhắc duy nhất định hình chính sách.
Các công ty cũng nên xem xét những yếu tố quan trọng này khi nghĩ về chiến lược kỹ thuật số quốc tế của họ.
Năng lực của Chính phủ trong việc Quản lý Rủi ro An ninh Mạng. Các phản ứng của
chính phủ được hình thành bởi khả năng quản lý rủi ro an ninh mạng, vd như: luật và quy định
về an ninh mạng; việc thi hành các năng lực kỹ thuật thông qua các cơ quan quốc gia và lOMoARcPSD| 25865958
ngành cụ thể; các tổ chức thi hành an ninh mạng; và các chiến dịch nâng cao nhận thức, đào
tạo, giáo dục và quan hệ đối tác giữa các cơ quan, công ty và quốc gia. Các chính phủ có
năng lực an ninh mạng cao có thể coi rủi ro an ninh mạng dễ quản lý hơn, vì vậy họ có thể áp
dụng các chính sách thương mại kỹ thuật số ít hạn chế hơn.
Niềm tin giữa Chính phủ và Doanh nghiệp.Thực tế, chính phủ không thể kiểm tra hàng triệu
dòng phần mềm hoặc chương trình cơ sở trong mỗi sản phẩm và dịch vụ kỹ thuật số được
bán ở nước mình. Các quyết định được đưa ra dựa trên những rủi ro nhận biết được, những
rủi ro đó sẽ bị ảnh hưởng đáng kể bởi niềm tin giữa chính phủ và các doanh nghiệp, cũng
như trong các mối quan hệ kinh doanh với doanh nghiệp. Sự tin tưởng và lòng trung thành
của doanh nghiệp phát triển theo thời gian có thể khuyến khích các chính quyền địa phương
áp dụng phương pháp tiếp cận theo định hướng quản lý rủi ro mạng và phi chính trị hóa các
rủi ro trên mạng. Nghiên cứu của chúng tôi cũng cho thấy rằng sự tin tưởng và lòng trung
thành của doanh nghiệp như vậy nâng cao khả năng thương lượng của một công ty với chính
quyền địa phương, đặc biệt là đối với các chính phủ có năng lực và khả năng kiểm soát tham
nhũng của chính phủ tương đối thấp. Trong trường hợp đó, các công ty có nhiều cơ hội hơn
để đàm phán với chính phủ để tránh, hoặc ít nhất là giảm bớt tác động của các hạn chế liên
quan đến những lo ngại về an ninh mạng.
Địa chính trị. Lấy các sản phẩm 5G của Huawei làm ví dụ điển hình. Mỹ có mọi lý do để chấp
nhận Huawei, với các sản phẩm chất lượng cao cùng chi phí thấp và nhu cầu nâng cấp mạng
truyền thông 5G của Mỹ. Rủi ro, như với hầu hết mọi nhà cung cấp, có thể đã được giảm
thiểu bằng cách theo dõi và phát hiện bất kỳ lỗ hổng nào. Tuy nhiên, lệnh cấm thiết bị của
Huawei vẫn xảy ra - phần lớn là do sự cạnh tranh địa chính trị. Nhật Bản và Úc đã đi theo sự
dẫn đầu của Mỹ, do mối quan hệ chiến lược chặt chẽ của họ với Mỹ. Tương tự, Anh cuối cùng
đã cấm lắp đặt thiết bị Huawei mới. Mặt khác, khả năng cân bằng giữa Trung Quốc và Mỹ
của Đức đã dẫn đến một môi trường thị trường 5G tương đối cân bằng cho tất cả các nhà
cung cấp, bao gồm cả Huawei. Thụy Sĩ, một quốc gia trung lập không tham gia vào các cuộc
xung đột vũ trang hoặc chính trị với các quốc gia khác, cho rằng thiết bị của Huawei không
gây ra rủi ro đáng kể nào và đã xây dựng mạng 5G bằng thiết bị của Huawei.
Đáng chú ý, việc dự đoán từng quốc gia sẽ phản ứng như thế nào với các rủi ro an ninh mạng
từ thương mại kỹ thuật số là một thách thức đối với các công ty, nhưng các doanh nghiệp cần
hiểu và chấp nhận thực tế này. Qua nghiên cứu, chúng tôi đã phát triển một phương pháp để
dự đoán kết quả - và xác định các hành động mà công ty có thể thực hiện để giảm thiểu các kết quả ko mong muốn.
Phát triển một chiến lược tích cực
Vì hệ thống quản trị an ninh mạng toàn cầu khác nhau ỏ từng nơi, các tập đoàn cần phải có
cách tiếp cận chủ động để hoàn thiện chiến lược kỹ thuật số toàn cầu của họ. Mặc dù những lOMoARcPSD| 25865958
nỗ lực này có thể không phải lúc nào cũng được đền đáp, nhưng nó sẽ chuẩn bị cho các công
ty giải quyết những lo ngại về an ninh mạng khi chúng xuất hiện. Một số hành động bao gồm:
Xây dựng Văn hóa Quản trị An ninh Mạng Hiệu quả.
Việc xây dựng các tính năng an ninh mạng vào các sản phẩm kỹ thuật số đang trở thành yêu
cầu trước tiên về khả năng tiếp cận thị trường đối với nhiều sản phẩm kỹ thuật số xuyên quốc
gia, đặc biệt là đối với các cơ sở hạ tầng quan trọng như hệ thống CNTT tài chính hoặc mạng
5G. Các công ty nên phát triển văn hóa an ninh mạng trong tổ chức của họ, bao gồm cả đội
ngũ lãnh đạo và nhóm phát triển sản phẩm, để thúc đẩy nhận thức về tầm quan trọng của an
ninh mạng đối với sự thành công trên thị trường của họ. Ngoài việc tuân theo các tiêu chuẩn
quốc tế, các công ty nên phát triển một hệ thống quản trị an ninh mạng linh hoạt - có thể thích
ứng và tuân thủ hiệu quả các chính sách và quy định về an ninh mạng khác nhau trong các thị trường mục tiêu.
Chuẩn bị để đàm phán chính trị và tạo dựng hình ảnh an ninh mạng.
Vì việc kiểm tra kỹ lưỡng phần mềm, chương trình cơ sở hoặc phần cứng của từng sản phẩm
đều không khả thi mà danh tiếng lại rất quan trọng đối với các mối lo ngại về an ninh mạng.
Khách hàng sẽ tin tưởng rằng một công ty có uy tín cao sẽ cố gắng hết sức để nâng cao các
tính năng an ninh mạng trong một sản phẩm kỹ thuật số, không gây hại cho khách hàng của
họ bằng cách khai thác lỗ hổng và xử lý sự cố an ninh mạng một cách có trách nhiệm nếu nó
xảy ra. Do đó, các công ty nên tích cực bảo vệ danh tiếng thị trường của họ bằng cách thể
hiện cam kết của họ đối với an ninh mạng. Không ai muốn “thiếu an toàn” trở thành một phần
của các thương hiệu doanh nghiệp trong thời đại kỹ thuật số.Hơn hết, danh tiếng cao như vậy
có thể giúp một công ty tránh bị chính trị hóa các mối lo ngại về an ninh mạng.
Sẵn sàng rút khỏi và quay lại thị trường
Trong một thị trường mà những lo ngại về an ninh mạng đã bị chính trị hóa và việc các công
ty phải tuân thủ các yêu cầu về an ninh mạng quá tốn tiền, thì việc tạm thời rút khỏi thị trường
là một lựa chọn tốt. Nhưng ngay cả khi một công ty bị cấm khỏi thị trường, chẳng hạn như
Huawei bị cấm khỏi thị trường Hoa Kỳ hoặc việc Google rút khỏi Trung Quốc, việc bảo vệ
danh tiếng có thể giúp duy trì quan hệ đối tác của họ với các quốc gia khác.
Ngoài ra, các tập đoàn nên chú ý đến chiến lược gia nhập lại sau khi ra khỏi thị trường, đặc
biệt khi lệnh cấm thị trường chỉ bao gồm một nhóm nhỏ hoạt động kinh doanh của tập đoàn
hoặc bị thúc đẩy bởi các ảnh hưởng chính trị bên ngoài. Việc các công ty toàn cầu tái gia
nhập thị trường nước ngoài ngày càng phổ biến, vì vậy một chiến lược tái gia nhập hiệu quả
như duy trì việc học hỏi kiến thức về thị trường, chuẩn bị mô hình tái gia nhập với các sản
phẩm an ninh mạng mới và giám sát môi trường chính trị hóa trong thị trường mục tiêu, đều
rất quan trọng khi các công ty quay trở lại. lOMoARcPSD| 25865958
Dạy cho chính phủ nước sở tại cách “câu cá”. Vì rủi ro an ninh mạng từ các dịch vụ
kỹ thuật số là không thể tránh khỏi, các công ty nên có cách tiếp cận chủ động để giúp chính
phủ sở tại xây dựng khả năng quản lý các rủi ro tiềm ẩn. Ví dụ, việc thành lập một trung tâm
minh bạch cho khách hàng, bao gồm cả các chính phủ, để xác minh rằng rủi ro an ninh mạng
là tối thiểu đang trở thành cách hay nhất. Nó vừa thể hiện sự tự tin của doanh nghiệp vừa
nâng cao lòng tin của khách hàng với tính năng bảo mật có trong các sản phẩm. Quan trọng
là việc đủ năng lực về an ninh mạng có thể giúp chính phủ nước sở tại thực hiện các chính
sách có thể giảm thiểu rủi ro về an ninh mạng mà không đưa ra các rào cản bất hợp lý. Ví dụ,
với cam kết an ninh mạng cao, Đức sẵn sàng chấp nhận một số rủi ro khi triển khai mạng 5G
bằng cách cung cấp “danh mục bảo mật được xác định rõ ràng” để chỉ định các yêu cầu bảo
mật cho tất cả các nhà cung cấp.
Ngoài ra, việc giúp chính phủ nước sở tại phát triển năng lực an ninh mạng cũng đem lại lợi
ích vì có thể áp dụng các biện pháp bảo vệ đầy đủ khi cần thí điểm hoặc thử nghiệm các dịch
vụ được cung cấp trên thị trường đó.
Xây dựng năng lực thương lượng. Với tình hình quản trị an ninh mạng khác nhau ở
từng nơi như vậy, cùng một mối quan tâm về an ninh mạng có thể dẫn đến những kết quả
hoàn toàn khác nhau ở các quốc gia khác nhau. Do đó, việc phát triển và duy trì niềm tin và
các cơ chế cộng tác là rất quan trọng. Nhiều cách tiếp cận, chẳng hạn như tăng cường các
nhóm vận động hành lang, cam kết tham gia các hoạt động an ninh mạng tại nước đó và hành
động như một doanh nghiệp tốt, đã được đề xuất và áp dụng.
Đáng chú ý là sự phức tạp của an ninh mạng đang khiến các tập đoàn trở nên hùng mạnh
hơn trong không gian mạng. Giống như Google, Amazon và Meta (trước đây là Facebook),
một số tập đoàn kiểm soát chặt chẽ cơ sở hạ tầng vật lý mạng toàn cầu, mã, thuật toán hoặc
dữ liệu. Mặc dù phải đối mặt với áp lực chính trị ngày càng tăng, nhưng trên thực tế, họ có
quyền đặt ra các quy tắc an ninh mạng, bao gồm cả việc từ chối yêu cầu của một số chính
phủ. Ví dụ, WhatsApp và Telegram đã từ chối tạo backdoors theo yêu cầu của một số chính
phủ để truy cập nội dung tin nhắn được mã hóa, điều này sẽ xâm phạm quyền riêng tư của khách hàng của họ.
Các tập đoàn cũng có thể xây dựng ảnh hưởng của mình thông qua các tổ hợp doanh nghiệp
đại diện cho họ trước các chính phủ hoặc thị trường quốc tế, đề xuất các chính sách an ninh
mạng và thúc đẩy các tiêu chuẩn an ninh mạng quốc tế. Các doanh nghiệp quốc tế đã khởi
xướng các cuộc đối thoại và thỏa thuận, như Công ước Geneva về Kỹ thuật số và Kêu gọi
Paris về Niềm tin và An ninh trong Không gian mạng để thúc đẩy các nguyên tắc quản trị an ninh mạng toàn cầu.
Trong nhiều trường hợp, các chính phủ có thể có thẩm quyền nhưng thiếu đủ năng lực về an
ninh mạng do đó chính phủ nên cởi mở hơn trong việc tiếp nhận hỗ trợ từ các tập đoàn toàn lOMoARcPSD| 25865958
cầu. Ví dụ, các hỗ trợ từ Liên minh phần mềm (BSA) và Quỹ đổi mới và công nghệ thông tin
(ITIF) đã góp phần loại bỏ các yêu cầu bản địa hóa dữ liệu để áp dụng các dịch vụ điện toán
đám mây nước ngoài trong các tổ chức tài chính của Brazil.
Mọi công ty có sản phẩm kỹ thuật số xuyên biên giới cần có một kế hoạch quản trị an ninh
mạng hiệu quả cân bằng giữa công nghệ, các mối quan hệ địa chính trị, năng lực của chính
phủ, uy tín thị trường và sự hợp tác giữa công và tư. Nếu bây giờ không còn khả năng đó,
các giám đốc điều hành nên tự đào tạo để chuẩn bị hoặc tìm kiếm các giám đốc mới có năng
lực như vậy để bổ sung vào hội đồng quản trị. Tất cả các công ty cung cấp hoặc dựa vào các
sản phẩm kỹ thuật số xuyên quốc gia có thể sớm muộn cũng phải đối mặt với những lo ngại
về an ninh mạng. Và mặc dù sự chuẩn bị không thể giúp họ ko gặp phải những rủi ro đó,
nhưng điều đó có thể tạo nên sự khác biệt khi họ đối mặt với nó.