Chuẩn NDAA là gì? Vì sao nhiều dự án bắt buộc?

Trong bối cảnh an ninh mạng ngày càng trở nên phức tạp và các mối đe dọa kỹ thuật số luôn rình rập, việc đảm bảo an toàn cho dữ liệu và hệ thống thông tin đã trở thành ưu tiên hàng đầu. Giữa vô vàn các tiêu chuẩn và quy định, cái tên NDAA đang nổi lên như một yêu cầu bắt buộc đối với nhiều dự án, đặc biệt là những dự án có liên quan đến chính phủ hay hạ tầng quan trọng. Vậy chuẩn NDAA là gì và tại sao nó lại trở nên cực kỳ quan trọng, thậm chí mang tính sống còn đối với sự thành công và tính hợp pháp của không ít công trình? Hãy cùng tìm hiểu sâu hơn về đạo luật này và tác động sâu rộng của nó trong bài viết dưới đây.

Chuẩn NDAA là gì?

NDAA là viết tắt của National Defense Authorization Act (Đạo luật Ủy quyền Quốc phòng). Đây là một đạo luật liên bang của Hoa Kỳ được Quốc hội thông qua và Tổng thống ký ban hành hằng năm, quy định ngân sách và chi tiêu cho Bộ Quốc phòng Hoa Kỳ.

Tuy nhiên, khi nhắc đến "chuẩn NDAA" trong bối cảnh các dự án công nghệ, an ninh và chuỗi cung ứng, người ta thường ám chỉ cụ thể đến các điều khoản liên quan đến an ninh quốc gia, đặc biệt là Mục 889 (Section 889).

Dưới đây là các điểm chính để hiểu rõ "chuẩn NDAA":

Nguồn gốc và Mục đích:

• Nguồn gốc: NDAA là một đạo luật thường niên, có nghĩa là mỗi năm lại có một phiên bản mới được thông qua (ví dụ: NDAA FY2019, NDAA FY2020, v.v.). Các điều khoản về cấm thiết bị cụ thể được đưa vào từ NDAA năm tài chính 2019.

• Mục đích chính (liên quan đến an ninh): Mục tiêu của các điều khoản này là bảo vệ chuỗi cung ứng của chính phủ Hoa Kỳ và các đối tác khỏi các rủi ro an ninh quốc gia, đặc biệt là từ các mối đe dọa gián điệp, đánh cắp thông tin hoặc phá hoại đến từ các công ty công nghệ có liên kết chặt chẽ với chính phủ hoặc quân đội nước ngoài (đặc biệt là Trung Quốc).

Mục 889 (Section 889) - Trái tim của "chuẩn NDAA":

• Cấm Mua sắm và Sử dụng: Mục 889 của NDAA (FY2019 và các phiên bản tiếp theo) cấm các cơ quan liên bang Hoa Kỳ (và các nhà thầu của họ) mua sắm, có được, hoặc sử dụng các thiết bị viễn thông và giám sát video cụ thể do các công ty được liệt kê sản xuất hoặc cung cấp.

• Danh sách các công ty bị cấm:Các công ty nổi bật nhất trong danh sách cấm bao gồm:

  • Huawei Technologies Company (Huawei)

  • ZTE Corporation (ZTE)

  • Hikvision Digital Technology Co. (Hikvision)

  • Dahua Technology Co. (Dahua)

  • Hytera Communications Corporation (Hytera)

  • Cũng như các công ty con hoặc công ty liên kết của họ.

• Phân loại cấm:

  • Phần A (Part A): Cấm mua sắm hoặc gia hạn hợp đồng đối với các thiết bị viễn thông của các công ty bị cấm.

  • Phần B (Part B): Cấm các cơ quan liên bang (và nhà thầu) sử dụng bất kỳ thiết bị hoặc dịch vụ viễn thông/video nào của các công ty bị cấm như một "thành phần thiết yếu" hoặc "thành phần quan trọng" của bất kỳ hệ thống nào, bất kể mục đích sử dụng. Điều này có nghĩa là ngay cả khi thiết bị đó không được mua trực tiếp cho hợp đồng chính phủ, việc nó tồn tại trong hệ thống tổng thể của nhà thầu cũng có thể vi phạm quy định.

Phạm vi áp dụng rộng rãi:

1. • Mặc dù NDAA là luật của Hoa Kỳ, nhưng tác động của nó không chỉ giới hạn trong lãnh thổ Hoa Kỳ. Các công ty trên toàn thế giới, nếu muốn ký hợp đồng với chính phủ Hoa Kỳ hoặc làm việc với các nhà thầu của chính phủ Hoa Kỳ (đặc biệt trong lĩnh vực quốc phòng, an ninh, và cơ sở hạ tầng quan trọng), đều phải đảm bảo rằng chuỗi cung ứng của họ không chứa các thiết bị bị cấm theo NDAA.

   • Điều này đã tạo ra một "chuẩn" không chính thức nhưng bắt buộc cho nhiều dự án quốc tế, đặc biệt là những dự án có yếu tố liên quan đến an ninh hoặc tài chính từ Hoa Kỳ.

Vì sao nhiều dự án bắt buộc chuẩn NDAA?

Dù là một đạo luật của Hoa Kỳ, nhưng chuẩn NDAA ngày càng trở thành tiêu chí bắt buộc trong nhiều dự án tại Việt Nam và các quốc gia khác – đặc biệt là các dự án liên quan đến an ninh, quốc phòng, hạ tầng trọng yếu hoặc có yếu tố quốc tế. Dưới đây là những lý do chính:

 1. Đảm bảo an ninh mạng và dữ liệu

Các thiết bị không đạt chuẩn NDAA – đặc biệt là từ những hãng bị cấm như Hikvision, Dahua, Huawei... – bị nghi ngờ có nguy cơ gây rò rỉ dữ liệu, chứa phần mềm gián điệp hoặc cửa hậu (backdoor). Vì vậy Việc sử dụng các thiết bị này trong các dự án nhạy cảm (như cơ sở quân sự, hạ tầng điện lực, mạng lưới chính phủ, v.v.) có thể dẫn đến nguy cơ rò rỉ thông tin mật, đánh cắp tài sản trí tuệ hoặc gián điệp mạng. NDAA ra đời để giảm thiểu tối đa rủi ro này.

 2. Yêu cầu từ chủ đầu tư hoặc đối tác quốc tế

Nhiều dự án có sự tham gia của các tổ chức nước ngoài, đặc biệt là Hoa Kỳ hoặc các công ty toàn cầu, thường đặt ra yêu cầu bắt buộc tuân thủ chuẩn NDAA để đáp ứng quy định nội bộ hoặc các tiêu chuẩn hợp tác. Nếu không đạt, sản phẩm hoặc nhà thầu có thể bị loại ngay từ đầu.

 3. Áp dụng trong các lĩnh vực nhạy cảm

Các dự án liên quan đến:

• Chính phủ, quốc phòng, công an, quân sự

• Sân bay, cảng biển, trung tâm điều hành đô thị thông minh

• Ngân hàng, năng lượng, dữ liệu lớn (data center)
  ... thường phải đảm bảo mức độ an toàn tuyệt đối, nên việc chọn thiết bị tuân thủ NDAA là ưu tiên hàng đầu.

 4. Tránh rủi ro pháp lý và bị loại khỏi dự án

Việc sử dụng thiết bị không tuân thủ NDAA trong các dự án có yếu tố Mỹ có thể dẫn đến:

• Mất cơ hội trúng thầu

• Bị loại khỏi danh sách nhà cung cấp

• Hoặc thậm chí bị chấm dứt hợp đồng nếu vi phạm sau khi triển khai

 5. Xu hướng toàn cầu về an ninh chuỗi cung ứng:

• NDAA là một ví dụ điển hình cho xu hướng ngày càng tăng cường kiểm soát chuỗi cung ứng công nghệ trên toàn cầu. Nhiều quốc gia và tổ chức khác cũng đang xem xét hoặc đã áp dụng các quy định tương tự để bảo vệ an ninh quốc gia và hạ tầng trọng yếu của mình.

• Tuân thủ NDAA không chỉ giúp các dự án đáp ứng yêu cầu của Mỹ mà còn giúp họ chuẩn bị cho các tiêu chuẩn an ninh chuỗi cung ứng nghiêm ngặt hơn trong tương lai trên phạm vi quốc tế.

Tác động của NDAA đối với các dự án và doanh nghiệp

NDAA, đặc biệt là Mục 889, đã tạo ra những tác động sâu rộng và đa chiều đối với các dự án cũng như các doanh nghiệp hoạt động trong nhiều lĩnh vực, từ quốc phòng, an ninh đến cơ sở hạ tầng dân sự và thương mại. Các tác động này bao gồm cả thách thức lẫn cơ hội.

A. Thách thức (Challenges)

Thay đổi và tái cấu trúc chuỗi cung ứng:

• Buộc phải tìm kiếm nhà cung cấp thay thế: Đây là tác động trực tiếp và rõ rệt nhất. Các doanh nghiệp và dự án buộc phải ngừng sử dụng và tìm kiếm giải pháp thay thế cho các thiết bị từ các nhà sản xuất bị cấm (như Huawei, ZTE, Hikvision, Dahua). Điều này đòi hỏi một quá trình kiểm tra, đánh giá và chuyển đổi tốn kém và mất thời gian.

• Kiểm tra và xác minh phức tạp: Doanh nghiệp phải thiết lập các quy trình kiểm tra chuỗi cung ứng nghiêm ngặt để đảm bảo không có bất kỳ thành phần, phụ tùng hoặc dịch vụ nào từ các nhà sản xuất bị cấm len lỏi vào hệ thống, ngay cả ở các cấp độ sâu hơn của chuỗi cung ứng.

• Gián đoạn nguồn cung: Việc loại bỏ các nhà cung cấp lớn có thể gây ra gián đoạn nguồn cung ngắn hạn, đặc biệt là với những công ty có thị phần lớn trong một số lĩnh vực nhất định (ví dụ: camera giám sát, thiết bị viễn thông).

Tăng chi phí:

• Chi phí chuyển đổi và nâng cấp: Thay thế các thiết bị hiện có bằng các sản phẩm tuân thủ NDAA có thể tốn kém đáng kể, đặc biệt đối với các hệ thống lớn đã được triển khai.

• Chi phí nghiên cứu và phát triển (R&D) cho giải pháp thay thế: Các nhà sản xuất phải đầu tư vào R&D để phát triển các sản phẩm mới tuân thủ hoặc tìm kiếm đối tác công nghệ khác.

• Chi phí kiểm tra và tuân thủ: Chi phí cho việc thiết lập các quy trình kiểm tra nội bộ, thuê chuyên gia tư vấn hoặc sử dụng các công cụ kiểm tra chuỗi cung ứng cũng là một gánh nặng tài chính.

Thiếu hụt sản phẩm và sự lựa chọn hạn chế:

• Trong một số phân khúc thị trường (như camera an ninh giá rẻ hoặc thiết bị viễn thông nhất định), các nhà sản xuất bị cấm có thị phần rất lớn. Việc cấm đột ngột có thể gây ra thiếu hụt tạm thời các sản phẩm thay thế có mức giá cạnh tranh tương đương.

• Sự lựa chọn về nhà cung cấp và mẫu mã sản phẩm có thể bị thu hẹp, ảnh hưởng đến khả năng tối ưu hóa chi phí và hiệu suất của dự án.

Phức tạp trong quản lý hợp đồng và quan hệ đối tác:

• Các điều khoản NDAA yêu cầu sự minh bạch và cam kết từ tất cả các bên tham gia dự án, từ nhà thầu chính đến các nhà thầu phụ. Điều này đòi hỏi các hợp đồng phải được sửa đổi và các mối quan hệ đối tác phải được xem xét kỹ lưỡng hơn.

• Khó khăn trong việc giao tiếp và đảm bảo tất cả các bên trong một chuỗi cung ứng phức tạp đều hiểu và tuân thủ NDAA.

B. Cơ hội (Opportunities)

Phát triển các nhà cung cấp uy tín và đáng tin cậy:

• NDAA tạo ra một sân chơi mới cho các nhà sản xuất và nhà cung cấp có trụ sở hoặc chuỗi cung ứng không dính líu đến các rủi ro an ninh quốc gia. Điều này thúc đẩy sự phát triển và cạnh tranh của các công ty đến từ Hoa Kỳ, châu Âu, Nhật Bản, Hàn Quốc, hoặc các quốc gia khác được coi là đối tác đáng tin cậy.

• Các doanh nghiệp có thể xây dựng mối quan hệ bền vững hơn với các nhà cung cấp tuân thủ NDAA, giảm thiểu rủi ro trong dài hạn.

Nâng cao tiêu chuẩn an ninh tổng thể của ngành:

• NDAA buộc các doanh nghiệp phải xem xét lại toàn bộ quy trình bảo mật và chuỗi cung ứng của mình. Điều này dẫn đến việc tăng cường nhận thức về an ninh mạng và đầu tư vào các giải pháp bảo mật mạnh mẽ hơn.

• Kết quả là, các sản phẩm và giải pháp trên thị trường có xu hướng an toàn hơn, minh bạch hơn về nguồn gốc và thành phần.

Tạo ra thị trường mới cho các sản phẩm và giải pháp tuân thủ NDAA:

• Nhu cầu lớn về các sản phẩm và giải pháp thay thế tuân thủ NDAA đã mở ra một thị trường khổng lồ cho các nhà sản xuất có khả năng đáp ứng các tiêu chuẩn này.

• Các công ty có thể chuyên môn hóa vào việc cung cấp các dịch vụ tư vấn, kiểm định và giải pháp tích hợp để giúp các doanh nghiệp khác đạt được sự tuân thủ.

Tăng cường khả năng cạnh tranh cho các doanh nghiệp tuân thủ:

• Những doanh nghiệp chủ động tuân thủ NDAA sẽ có lợi thế cạnh tranh đáng kể khi tham gia các dự án của chính phủ hoặc làm việc với các đối tác yêu cầu tuân thủ.

• Điều này đặc biệt quan trọng trong các lĩnh vực nhạy cảm như quốc phòng, an ninh, và cơ sở hạ tầng, nơi sự tuân thủ là yếu tố sống còn để giành được hợp đồng.

Thúc đẩy đổi mới và đa dạng hóa công nghệ:

• Việc cấm một số nhà cung cấp lớn thúc đẩy sự đổi mới trong ngành, khuyến khích các công ty tìm kiếm và phát triển các công nghệ mới, đa dạng hóa nguồn cung và giảm sự phụ thuộc vào một vài nhà cung cấp lớn.

C. Lời khuyên cho các doanh nghiệp

Để đối phó với tác động của NDAA và tận dụng các cơ hội, doanh nghiệp cần:

• Thực hiện đánh giá chuỗi cung ứng hiện tại (Supply Chain Audit): Xác định tất cả các thiết bị và thành phần đang được sử dụng trong dự án hoặc hệ thống có nguồn gốc từ các nhà sản xuất bị cấm.

• Nghiên cứu và hiểu rõ các điều khoản NDAA: Đặc biệt là Mục 889, để biết chính xác những gì bị cấm và phạm vi áp dụng.

• Làm việc chặt chẽ với các nhà cung cấp: Đòi hỏi cam kết bằng văn bản về sự tuân thủ NDAA từ tất cả các nhà cung cấp, và yêu cầu họ cung cấp bằng chứng về nguồn gốc sản phẩm.

• Đầu tư vào các giải pháp và đối tác tuân thủ: Tìm kiếm các nhà cung cấp uy tín, có lịch sử rõ ràng và cam kết mạnh mẽ về tuân thủ NDAA.

• Xây dựng quy trình kiểm tra và giám sát nội bộ: Đảm bảo rằng các quy trình mua sắm và triển khai dự án luôn được kiểm tra để ngăn chặn việc vô tình sử dụng thiết bị không tuân thủ.

• Cân nhắc tư vấn chuyên gia: Nếu chuỗi cung ứng quá phức tạp, việc tìm kiếm sự tư vấn từ các chuyên gia pháp lý hoặc tư vấn chuỗi cung ứng có kinh nghiệm về NDAA là rất cần thiết.

Cách kiểm tra thiết bị có đạt chuẩn NDAA hay không

Việc kiểm tra một thiết bị có đạt chuẩn NDAA hay không là một quá trình quan trọng và cần được thực hiện kỹ lưỡng, đặc biệt là đối với các dự án có liên quan đến chính phủ Hoa Kỳ hoặc các tổ chức yêu cầu tuân thủ. Dưới đây là các bước và yếu tố cần xem xét:

1. Hiểu rõ NDAA Section 889 và Danh sách các công ty bị cấm:

• NDAA Section 889: Đây là điều khoản cốt lõi quy định việc cấm sử dụng thiết bị viễn thông và giám sát video từ các công ty cụ thể.

• Danh sách công ty bị cấm: Nắm rõ danh sách các công ty bị cấm chính là bước đầu tiên và quan trọng nhất. Các công ty này bao gồm nhưng không giới hạn:

  • Huawei Technologies Company

  • ZTE Corporation

  • Hikvision Digital Technology Co.

  • Dahua Technology Co.

  • Hytera Communications Corporation

  • Và các công ty con hoặc công ty liên kết của họ.

  • Lưu ý: Danh sách này có thể được cập nhật theo thời gian, vì vậy cần tham khảo các nguồn chính thống của chính phủ Hoa Kỳ (ví dụ: GSA, DOD) để có thông tin mới nhất.

2. Xác định Nhà sản xuất gốc (OEM) của thiết bị:

• Kiểm tra tên thương hiệu: Đầu tiên, hãy xem thiết bị bạn đang sử dụng hoặc dự định mua thuộc thương hiệu nào.

• Xác định OEM thực tế: Một số thương hiệu có thể bán sản phẩm dưới tên của họ nhưng lại sử dụng OEM là một trong những công ty bị cấm. Do đó, cần đào sâu để biết ai là nhà sản xuất gốc của thiết bị, không chỉ là nhãn hiệu phân phối.

• Tìm thông tin trên bao bì, tài liệu sản phẩm hoặc trang web của nhà sản xuất.

3. Kiểm tra Chuỗi cung ứng và Thành phần nội bộ (Chipset, Linh kiện):

• Đây là bước phức tạp hơn. Ngay cả khi OEM không nằm trong danh sách đen, thiết bị đó vẫn có thể không tuân thủ NDAA nếu các thành phần thiết yếu (chẳng hạn như chipset, bo mạch chủ, phần mềm nhúng quan trọng) bên trong được sản xuất bởi các công ty bị cấm.

• Liên hệ trực tiếp nhà sản xuất: Đây là cách tốt nhất để có thông tin chính xác nhất. Yêu cầu nhà sản xuất cung cấp cam kết bằng văn bản về việc tuân thủ NDAA, bao gồm cả việc không sử dụng các linh kiện bị cấm trong sản phẩm của họ.

• Hỏi về nguồn gốc chipset: Đối với camera an ninh hoặc thiết bị viễn thông, chipset là "bộ não" của thiết bị. Hãy hỏi nhà sản xuất hoặc nhà phân phối về nhà sản xuất chipset được sử dụng.

• Yêu cầu tài liệu minh bạch: Một số nhà sản xuất cung cấp "Bảng kê vật liệu" (Bill of Materials - BOM) hoặc các báo cáo về chuỗi cung ứng để chứng minh sự tuân thủ.

4. Tìm kiếm tuyên bố/chứng nhận NDAA từ nhà sản xuất:

• Trên trang web của nhà sản xuất: Nhiều nhà sản xuất lớn đã công khai tuyên bố về sự tuân thủ NDAA trên trang web của họ, thường là trong phần "Về chúng tôi", "Tuân thủ" (Compliance), hoặc "Tài nguyên" (Resources).

• Yêu cầu chứng nhận hoặc tuyên bố bằng văn bản: Liên hệ nhà sản xuất hoặc nhà phân phối ủy quyền để yêu cầu các tài liệu chính thức xác nhận sản phẩm của họ tuân thủ NDAA. Mặc dù không có "chứng nhận NDAA" chính thức từ một cơ quan chính phủ duy nhất, các nhà sản xuất có trách nhiệm tự xác nhận và cung cấp bằng chứng về sự tuân thủ của họ.

• Kiểm tra nhãn sản phẩm: Một số sản phẩm có thể có nhãn "NDAA Compliant" nhưng cần xác minh lại thông tin này từ nhà sản xuất chính thức.

5. Tham khảo ý kiến chuyên gia tư vấn:

• Đối với các dự án lớn, phức tạp hoặc khi có sự không chắc chắn, việc thuê một chuyên gia tư vấn pháp lý hoặc chuỗi cung ứng có kinh nghiệm về NDAA là rất khuyến khích. Họ có thể giúp đánh giá rủi ro, kiểm tra tài liệu và đảm bảo tuân thủ đầy đủ.

6. Luôn cập nhật thông tin:

• Các quy định và danh sách các công ty bị cấm theo NDAA có thể thay đổi. Do đó, hãy thường xuyên theo dõi các thông báo từ các cơ quan chính phủ Hoa Kỳ (như DoD, GSA, FAR) và các tổ chức ngành đáng tin cậy để cập nhật thông tin mới nhất.

Camera có chuẩn NDAA

i-PRO (trước đây là Panasonic Security) là một trong những nhà sản xuất hàng đầu đã công khai cam kết tuân thủ NDAA và tích hợp các biện pháp bảo mật như chip FIPS 140-2 Level 3 Secure Element vào nhiều sản phẩm của họ để đảm bảo an toàn chuỗi cung ứng. Do đó, phần lớn các sản phẩm trong danh sách của bạn có khả năng rất cao là đạt chuẩn NDAA.

1. Dòng WV-U (U-Series Network Cameras)

Dòng WV-U là dòng camera mạng phổ thông của i-PRO, tập trung vào hiệu suất đáng tin cậy và dễ sử dụng. Các sản phẩm này thường được thiết kế để đáp ứng các yêu cầu bảo mật cơ bản và tuân thủ các quy định hiện hành.

• Các model 

  • WV-U85402-V2L

  • WV-U65301-Z1

  • WV-U31301-F2L

  • WV-U2142LA

  • WV-U2140LA

  • WV-U2130LA

  • WV-U1542LA

  • WV-U1532LA

• Khả năng NDAA Compliance: Rất cao. Thông tin từ i-PRO và các nhà phân phối cho thấy các mẫu camera dòng U-Series mới đều tuân thủ NDAA. Ví dụ, các model WV-U2142LA, WV-U2130LA, WV-U1542LA, WV-U1532LA đều được công bố là NDAA Compliant.

2. Dòng WV-S (S-Series Network Cameras)

Dòng WV-S là dòng camera cao cấp hơn, tích hợp nhiều công nghệ thông minh (AI), khả năng hoạt động trong điều kiện khắc nghiệt và bảo mật nâng cao.

• Các model :

  • WV-S8564L

  • WV-S85402-V2L

  • WV-S66600-Z3LN

  • WV-S66600-Z3L

  • WV-S65501-Z1G

  • WV-S4576LA

  • WV-S25500-V3L

  • WV-S2536LNA

  • WV-S2536LA

  • WV-S2136LA

  • WV-S15700-V2L

  • WV-S15501-Z3L

  • WV-S15501-Z1L

  • WV-S15500-V3LN

  • WV-S15500-V3LK

  • WV-S15500-V3L

  • WV-S1536LA

• Khả năng NDAA Compliance: Rất cao, gần như chắc chắn. Dòng S-Series được biết đến với tính năng bảo mật mạnh mẽ, bao gồm cả việc tuân thủ NDAA và thường tích hợp chip bảo mật FIPS 140-2 Level 3. Các model như WV-S66600-Z3LN và WV-S1536LA đều được xác nhận là NDAA Compliant.