Bà Trang đánh giá, việc Chính phủ đưa ra các điều kiện về vốn điều lệ từ 10.000 tỷ đồng, yêu cầu tỷ lệ sở hữu tổ chức tài chính, tiêu chuẩn nhân sự, công nghệ cấp độ 4 thì là rất cao so với mặt bằng hiện tại.
Nhưng mức độ "cao" này là có chủ đích. Bởi tài sản mã hoá là lĩnh vực mới, rủi ro cao. Do đó, đơn vị được cấp phép không chỉ nên là tổ chức có tiền, mà phải là tổ chức có trách nhiệm, biết đầu tư vào đào tạo, phổ cập kiến thức, bảo vệ nhà đầu tư. Vì thế, nên bổ sung thêm một tiêu chí quan trọng khác: trách nhiệm giáo dục và nâng cao nhận thức người dùng.
Ba chiến lược giải bài toán nhân sự
- Thưa bà, tiêu chuẩn nhân sự doanh nghiệp được cấp phép mà Nghị quyết 05/2025 đặt ra là giám đốc điều hành phải có 2 năm kinh nghiệm trong lĩnh vực tài chính, CTO (giám đốc công nghệ) có 5 năm kinh nghiệm tại bộ phận thông tin của các tổ chức trong lĩnh vực tài chính... Trong thực tế, nguồn nhân lực đáp ứng đủ chuẩn này ở Việt Nam còn hạn chế. Doanh nghiệp nên giải bài toán này bằng cách nào?
- Tiêu chí nhân sự trong Nghị quyết 05/2025 thực sự là một thách thức lớn, đặc biệt trong bối cảnh thị trường tài sản số tại Việt Nam còn rất mới, còn nguồn nhân lực vừa hiểu tài chính, vừa hiểu công nghệ, lại có kinh nghiệm thực chiến thì không nhiều.
Tuy nhiên, nếu nhìn ở góc độ dài hạn, tôi cho rằng yêu cầu này là cần thiết để thiết lập một "chuẩn nghề nghiệp mới" cho ngành, đảm bảo những đơn vị được cấp phép không chỉ giỏi công nghệ hay marketing, mà phải đủ năng lực quản trị rủi ro, bảo mật và tuân thủ như một tổ chức tài chính thực thụ.
Việc yêu cầu CEO có kinh nghiệm tài chính, CTO có trải nghiệm trong hạ tầng công nghệ tài chính, đội ngũ nhân sự có chứng chỉ an toàn thông tin và chứng chỉ chứng khoán không chỉ nhằm "tăng rào cản", mà để buộc mô hình vận hành của thị trường tài sản số tiệm cận với tiêu chuẩn của ngân hàng, công ty chứng khoán hay quỹ đầu tư. Đây là bước ngoặt để chuyên nghiệp hóa ngành và tạo niềm tin cho nhà đầu tư lẫn cơ quan quản lý.
Tôi nhìn thấy ba hướng giải quyết thực tế.
Thứ nhất là liên minh nhân sự với các tổ chức tài chính truyền thống. Các ngân hàng, công ty chứng khoán, quỹ đầu tư đã có sẵn đội ngũ dày kinh nghiệm về quản trị rủi ro, compliance, KYC/AML. Việc hợp tác hoặc liên doanh sẽ giúp các đơn vị công nghệ bổ sung "chiếc chân tài chính" một cách nhanh chóng và bền vững.
Thứ hai là đầu tư vào đào tạo thực tiễn thay vì chỉ dựa vào giáo dục đại học. Đây là điểm tôi muốn nhấn mạnh: nếu chỉ trông chờ vào chương trình đào tạo trong trường, chúng ta sẽ không thể tạo ra đủ nhân lực.
Ngành này cần những trung tâm đào tạo mang tính thực chiến, gắn với nhu cầu doanh nghiệp, nơi sinh viên và kỹ sư có thể học từ các dự án thật, hạ tầng thật, case study thật. Tôi tin đây sẽ là một mảnh ghép quan trọng mà các tổ chức lớn, hoặc thậm chí bản thân U2U Network, có thể tham gia để xây nền nhân lực cho cả ngành.
Thứ ba là chuyên môn hóa nội bộ ngay từ đầu. Một tổ chức muốn xin cấp phép không thể chỉ có "team kỹ thuật và team kinh doanh", mà phải xây dựng các bộ phận riêng cho tuân thủ, an toàn thông tin, kiểm toán nội bộ, quản trị rủi ro... giống như cấu trúc của một định chế tài chính. Nghĩa là không chỉ tuyển người giỏi, mà còn phải thiết lập hệ thống và văn hóa vận hành theo chuẩn quốc tế.
"Bộ lọc" cho cuộc chơi tài sản số
- Đối với doanh nghiệp tham gia phát triển thị trường tài sản số thì hạ tầng công nghệ an toàn là vô cùng quan trọng. Việc Nghị quyết 05 đặt ra tiêu chí hạ tầng công nghệ phải đạt cấp độ 4 an toàn thông tin, gần tương đương hệ thống ngân hàng đã đảm bảo an toàn chưa, thưa bà?
- Công nghệ không chỉ là "công cụ vận hành", mà là gốc rễ của niềm tin trong thị trường tài sản số. Nếu hệ thống không đủ an toàn, không đủ khả năng kiểm soát rủi ro, chỉ một lỗ hổng nhỏ cũng có thể dẫn đến sự cố nghiêm trọng, gây mất niềm tin hàng loạt và kéo cả thị trường đi xuống.
Vì vậy, việc yêu cầu hạ tầng công nghệ đạt cấp độ 4 an toàn thông tin, mức gần tương đương hệ thống ngân hàng cho thấy nhà nước đang đặt blockchain và tài sản mã hóa vào nhóm hạ tầng tài chính trọng yếu, chứ không xem đây là một xu hướng thử nghiệm mang tính phong trào.
Nếu nhìn ở góc độ cạnh tranh quốc tế, việc Việt Nam đặt yêu cầu công nghệ ở cấp độ 4 cũng giúp các đơn vị trong nước không bị tụt hậu so với tiêu chuẩn toàn cầu, đặc biệt khi các đối tác nước ngoài, quỹ đầu tư hay doanh nghiệp quốc tế muốn hợp tác, họ sẽ ưu tiên những nền tảng có thể kiểm toán, có khả năng tích hợp và đáp ứng quy định pháp lý.
Tôi tin rằng tiêu chí hạ tầng công nghệ không phải "rào cản để chặn đường", mà là "bộ lọc để nâng cấp". Những doanh nghiệp có tư duy ngắn hạn có thể thấy khó khăn, nhưng những doanh nghiệp muốn đi đường dài sẽ hiểu rằng đầu tư vào công nghệ chính là đầu tư vào năng lực cạnh tranh.
Và một khi thị trường được xây dựng dựa trên hạ tầng an toàn - bền vững - minh bạch, chúng ta mới có đủ cơ sở để thu hút dòng vốn lớn, tích hợp các dịch vụ tài chính số và mở rộng ra khu vực trong tương lai.
Chuyển từ phản ứng bị động sang phòng thủ chủ động
- Thời gian qua xuất hiện rất nhiều các vụ việc doanh nghiệp lớn bị khai thác lỗ hổng công nghệ, gây thiệt hại và tạo ra lo lắng về trình độ quản trị công nghệ. Theo bà, các tổ chức muốn tham gia vào thị trường tài sản mã hoá cần rút ra những bài học gì từ các sự cố đó?
- Tôi cho rằng những sự cố gần đây là một hồi chuông cảnh tỉnh và điều đáng nói là phần lớn vấn đề không nằm ở công nghệ yếu, mà nằm ở quản trị công nghệ yếu. Nhiều hệ thống bị tấn công không phải vì thiếu kỹ sư giỏi, mà vì thiếu quy trình kiểm thử định kỳ, thiếu giám sát quyền truy cập nội bộ, thiếu đánh giá chuỗi cung ứng phần mềm, hoặc coi bảo mật là chi phí phụ, chứ không phải năng lực cốt lõi.
Trong lĩnh vực tài sản mã hóa, mỗi lỗ hổng có thể dẫn đến thất thoát tài sản thật, ảnh hưởng trực tiếp đến người dùng. Vì vậy, quản trị công nghệ không chỉ là hạ tầng kỹ thuật, mà là trụ cột của niềm tin thị trường, phải được đặt ngang hàng với quản trị tài chính hay tuân thủ pháp lý.
Bài học quan trọng nhất là không thể tiếp tục làm theo tư duy xảy ra sự cố rồi mới khắc phục. Các tổ chức phải chuyển từ phản ứng bị động sang phòng thủ chủ động. Điều đó đòi hỏi một hệ thống an ninh đa lớp, có khả năng phòng ngừa - phát hiện - phản ứng một cách liên tục.
Có ba nhóm rủi ro lớn cần kiểm soát nghiêm ngặt hơn bất kỳ ngành nào khác. Cụ thể: Một là quản lý khóa mãhóavàvílưuký,vìđâylànơitập trung tài sản thật; Hai là quyền truy cập đặc quyền (privileged access) của nhân sự nội bộ. Nếu không giám sát tốt, rủi ro nội gián còn nguy hiểm hơn tấn công bên ngoài.
Ba là chuỗi cung ứng phần mềm, vì chỉ một thư viện hoặc đối tác thứ ba không an toàn cũng có thể phá vỡ cả hệ thống.
Ở chiều ngược lại, để vận hành an toàn và xử lý sự cố nhanh chóng, các tổ chức không thể chỉ mua công nghệ, mà phải xây năng lực. Điều này bao gồm 5 điểm, cụ thể:
Thứ nhất, hợp tác với các đơn vị audit bảo mật uy tín ngay từ khi sản phẩm còn trên giấy, không đợi chạy thật rồi mới kiểm thử. Và không chỉ audit một lần, mà phải audit định kỳ, cập nhật liên tục, vì rủi ro công nghệ luôn thay đổi theo thời gian.
Thứ hai, thiết lập SOC (Trung tâm vận hành an ninh mạng) 24/7 để giám sát toàn bộ hạ tầng theo thời gian thực, phát hiện bất thường ngay từ phút đầu tiên.
Thứ ba, triển khai kiến trúc dự phòng đa vùng (Disaster Recovery) để hệ thống vẫn hoạt động ngay cả khi một vùng gặp sự cố.
Thứ tư, tổ chức diễn tập ứng cứu sự cố thường xuyên, không phải trên giấy tờ mà theo mô hình tabletop exercise, có sự tham gia của bên thứ ba độc lập - giống như cách ngân hàng và tổ chức tài chính lớn vẫn làm.
Cuối cùng, mở chương trình bug bounty (Chương trình săn lỗi bảo mật) công khai để khuyến khích cộng đồng chuyên gia bảo mật phát hiện sớm lỗ hổng, thay vì chờ hacker tấn công rồi mới xử lý.
Tóm lại, nếu coi công nghệ chỉ là "phần mềm và máy chủ", thì tổ chức sẽ luôn ở thế bị động. Nhưng nếu coi quản trị công nghệ là một hệ sinh thái gồm con người - quy trình - kiểm toán - giám sát - diễn tập - phòng ngừa, thì doanh nghiệp không chỉ tránh được sự cố, mà còn tạo ra lợi thế cạnh tranh. Trong thị trường tài sản mã hoá, niềm tin chính là tài sản quan trọng nhất, và công nghệ chính là cách chúng ta bảo vệ tài sản đó mỗi ngày.
- Xin cảm ơn bà!
