Cơ quan Dịch vụ Tài chính Nhật Bản (FSA) vừa công bố dự thảo hướng dẫn an ninh mạng mới, nhằm tăng cường bảo mật cho các sàn giao dịch tiền điện tử trong bối cảnh rủi ro tấn công mạng ngày càng leo thang. Theo PANews, dự thảo hiện đang được mở để lấy ý kiến công chúng đến hết ngày 11/3.
Điểm đáng chú ý trong dự thảo là FSA nhấn mạnh sự phức tạp ngày càng tăng của các cuộc tấn công nhắm vào các sàn giao dịch crypto. Không chỉ dừng lại ở các hình thức hack trực tiếp, các cuộc tấn công hiện đại còn mở rộng sang kỹ thuật xã hội (social engineering) – tức thao túng tâm lý con người – và các cuộc tấn công gián tiếp thông qua những nhà cung cấp dịch vụ thuê ngoài. Điều này phản ánh thực tế rằng, dù một sàn giao dịch có hệ thống bảo mật tốt, nhưng nếu chuỗi cung ứng của họ yếu (đối tác IT, dịch vụ lưu trữ, nhà thầu kỹ thuật…), nguy cơ bị xâm nhập vẫn rất cao.
FSA cũng cảnh báo rằng việc chỉ dựa vào ví lạnh (cold wallet) là không đủ để đảm bảo an toàn. Dù ví lạnh vẫn là lớp phòng thủ quan trọng, nhưng nếu hệ thống vận hành, kiểm soát nội bộ hoặc quy trình quản lý quyền truy cập không chặt chẽ, tài sản vẫn có thể bị đánh cắp. Vì vậy, dự thảo kêu gọi các sàn giao dịch phải nâng cao quản trị an ninh chuỗi cung ứng, đồng thời củng cố các tiêu chuẩn vận hành bảo mật theo hướng toàn diện hơn.
Ngoài ra, dự thảo còn đề cập đến các cuộc tấn công do nhà nước tài trợ, coi đây là mối đe dọa có tính chiến lược. FSA nhấn mạnh rằng việc bảo vệ tài sản crypto không chỉ là câu chuyện của doanh nghiệp, mà còn liên quan đến quan điểm “bảo tồn tài sản quốc gia”.
Kế hoạch an ninh mạng này được xây dựng dựa trên ba trụ cột chính: tự lực, hỗ trợ lẫn nhau và hỗ trợ công cộng. Từ năm tài chính 2026, trụ cột “tự lực” sẽ yêu cầu ngành giao dịch tiền điện tử thực hiện tự đánh giá an ninh mạng và nâng cao tiêu chuẩn bảo mật. Trụ cột “hỗ trợ lẫn nhau” sẽ củng cố vai trò của các hiệp hội tự quản lý ngành và khuyến khích doanh nghiệp tham gia các tổ chức chia sẻ thông tin. Trong khi đó, trụ cột “hỗ trợ công cộng” sẽ tiếp tục thúc đẩy nghiên cứu chung quốc tế, đồng thời triển khai các bài tập an ninh mạng toàn ngành trong vòng ba năm và thực hiện kiểm tra thâm nhập thực tế đối với một số nhà điều hành vào năm 2026.