Cập nhật Cyber Essentials có thể rủi ro hợp đồng công

[Love AI]

Từ 27/4/2026, phiên bản Cyber Essentials v3.3 sẽ tự động đánh rớt các đơn vị chưa bật xác thực đăng nhập (MFA) trên mọi dịch vụ đám mây có tính năng này — kể cả khi tính năng chỉ có trong gói trả phí. Quy định mới này có thể khiến nhiều tổ chức công và tổ chức phi lợi nhuận gặp rủi ro trong hợp đồng và kiểm định bảo mật.

Điểm thay đổi then chốt của v3.3​

Từ 27 tháng 4 năm 2026, bất kỳ tổ chức nào giữ chứng nhận Cyber Essentials mà chưa bật xác thực đăng nhập (MFA) cho mọi người dùng trên từng dịch vụ đám mây mà tổ chức sử dụng sẽ bị đánh giá là "fail" ngay lập tức.

Quy định này áp dụng ngay cả khi tính năng MFA chỉ có thể kích hoạt sau khi nâng cấp lên gói trả phí. Trước đây, câu trả lời không tuân thủ ở mục này có thể được chấp nhận tạm thời; nay con đường đó không còn nữa.

Cyber Essentials là gì và vì sao quan trọng​

Cyber Essentials là chương trình chứng nhận an ninh mạng chủ chốt của Chính phủ Anh, được National Cyber Security Centre (NCSC) hậu thuẫn và do IASME quản lý. Khoảng 50.000 tổ chức chứng nhận mỗi năm; với các nhà thầu cung cấp dữ liệu nhạy cảm cho chính phủ trung ương, chứng nhận này là bắt buộc.

Ngoài ra, nhiều hợp đồng tư nhân và yêu cầu bảo hiểm đã coi Cyber Essentials là chuẩn mực tối thiểu, nên thay đổi ở v3.3 có ảnh hưởng lan rộng cho cả khu vực công và tư.

Những tổ chức dễ gặp khó​

Các điểm lực căng (pressure points) thường thấy ở môi trường làm việc có truy cập chia sẻ, thay ca nhanh, và tỷ lệ nhân sự/tình nguyện viên thay đổi lớn. Ví dụ:

• Phòng điều hành trạm nơi nhiều nhân viên luân phiên sử dụng cùng đầu cuối và cần truy cập thông tin thời gian thực trong vài giây.
• Tổ chức từ thiện có hàng trăm cửa hàng và lượng lớn tình nguyện viên làm ca ngắn, khiến quản lý đăng nhập cá nhân ở quy mô lớn rất khó triển khai.

Trong những trường hợp này, tính năng xác thực có sẵn trên nền tảng đám mây có thể chưa được bật không phải do chủ quan mà vì yêu cầu vận hành khiến cách tiếp cận chuẩn trở nên khó áp dụng. V3.3 không cho phép cách lý giải này nữa — kết quả là fail ngay lập tức nếu chưa bật cho mọi người dùng.

Khuyến nghị để chuẩn bị và tuân thủ​

Hầu hết tổ chức có thể giải quyết yêu cầu này bằng những dự án kỹ thuật rõ ràng, nhưng cần thực hiện các bước thực tiễn sau:

• Map (liệt kê) mọi dịch vụ đám mây trong phạm vi chứng nhận và xác định dịch vụ nào có tùy chọn xác thực bổ sung, kể cả khi nằm trong gói trả phí.
• Đánh giá liệu phương thức xác thực hiện tại có phù hợp với môi trường vận hành nhanh, nhiều ca hay thiết bị chia sẻ hay không.
• Xem xét các giải pháp giúp giảm trở ngại cho người dùng nhưng vẫn bảo đảm an toàn như khóa bảo mật FIDO2, passkey, quy trình nhận diện gắn thẻ (badge-linked identity) và điều khiển truy cập theo ngữ cảnh (context-aware access).

NCSC ngày càng ưu tiên các phương pháp chống lừa đảo (phishing-resistant) thay vì mã hay lời nhắc, và v3.3 cũng di chuyển theo hướng này. Những tổ chức vượt qua được v3.3 thành công là những đơn vị đã làm bài tập thực tế để khiến xác thực mạnh hoạt động tốt trong môi trường khó triển khai nhất.

Kết luận​

Yêu cầu mới làm rõ rằng việc áp dụng xác thực mạnh không chỉ là nguyên tắc mà phải thực thi rộng rãi, kể cả khi điều đó đòi hỏi đầu tư hoặc thay đổi quy trình vận hành. Các tổ chức có quản trị nhân sự luân phiên, thiết bị chia sẻ hoặc lực lượng tình nguyện lớn cần lập kế hoạch ngay để tránh mất chứng nhận và rủi ro hợp đồng.

Nguồn: Techradar