Sai sót trong chiến lược chủ quyền số của EU có thể trở thành cú hích lớn cho ngành chip châu Âu

Liên minh châu Âu đang theo đuổi mục tiêu xây dựng “chủ quyền số” – tức khả năng tự kiểm soát hạ tầng công nghệ, dữ liệu và mạng lưới quan trọng mà không phụ thuộc quá mức vào bên ngoài. Tuy nhiên, một điểm mù lớn đang bị phơi bày: nhiều máy chủ trong các trung tâm dữ liệu châu Âu vẫn vận hành bằng chip Intel và AMD, trong đó tích hợp các hệ thống quản trị cấp thấp gần như tách biệt với hệ điều hành chính. Các thành phần này thường được ví như một “máy tính bên trong máy tính”, có quyền truy cập rất sâu vào phần cứng nhưng lại thiếu tính minh bạch đối với chính đơn vị sở hữu thiết bị.

Bài toán kỹ thuật xoay quanh khái niệm “Ring -3”, một cách gọi không chính thức để mô tả các bộ máy quản trị nằm sâu hơn cả mức đặc quyền cao nhất của hệ điều hành. Trong kiến trúc máy tính, các “ring” là các vòng đặc quyền, nơi ring thấp hơn có quyền kiểm soát cao hơn. Khi người ta nói đến Ring -3, ý là những cơ chế quản lý phần cứng hoạt động bên dưới cả nhân hệ điều hành, gần như ngoài tầm quan sát của quản trị viên. Trên thực tế, đây là nơi các công nghệ quản trị từ xa, chẩn đoán hoặc cập nhật firmware hoạt động. Vấn đề là nếu chúng có thể giao tiếp qua mạng giống như máy chủ thông thường, chúng cũng có thể trở thành bề mặt tấn công cho tin tặc hoặc công cụ can thiệp bí mật.

Theo lập luận đang thu hút chú ý trong giới công nghệ, chủ quyền số không thể chỉ dừng ở việc đặt máy chủ trong lãnh thổ châu Âu hay dùng nhà cung cấp cloud nội khối. Cốt lõi nằm ở chuỗi cung ứng – tức toàn bộ mạng lưới linh kiện, phần mềm, nhà thiết kế chip, nhà sản xuất thiết bị và đơn vị vận hành kết nối với nhau để tạo nên hệ thống số. Nếu các thành phần trọng yếu vẫn phụ thuộc vào công nghệ nước ngoài, đặc biệt là các khối xử lý không minh bạch, thì khả năng tự chủ thực sự vẫn rất hạn chế. Nói cách khác, sở hữu trung tâm dữ liệu chưa đồng nghĩa với việc kiểm soát hoàn toàn nó.

Điều gây tranh cãi là các bộ tiêu chuẩn liên quan đến hạ tầng đám mây có chủ quyền của châu Âu, bao gồm những đặc tả phát triển từ IPCEI-CIS, dường như rất chi tiết ở nhiều khía cạnh nhưng lại chưa đề cập đầy đủ tới rủi ro từ các bộ máy quản trị nhúng trong CPU. IPCEI-CIS là viết tắt của Important Project of Common European Interest – Cloud Infrastructure and Services, một chương trình thúc đẩy các dự án hạ tầng đám mây và dịch vụ số chiến lược trong EU. Việc bỏ sót lớp rủi ro này khiến tham vọng dựng nên một “pháo đài đám mây” an toàn cho châu Âu bị xem là chưa hoàn chỉnh.

Mối lo không dừng ở bộ xử lý trung tâm. Một khi dữ liệu và lưu lượng mạng đi qua CPU, rủi ro có thể mở rộng sang router, switch và các thiết bị kết nối trong trung tâm dữ liệu. Router là thiết bị định tuyến dữ liệu giữa các mạng, còn switch là thiết bị chuyển mạch giúp các máy trong cùng hệ thống trao đổi dữ liệu hiệu quả. Nếu các điểm trung gian này cũng chứa thành phần quản trị khó kiểm chứng hoặc phụ thuộc vào chuỗi cung ứng bên ngoài, bề mặt tấn công sẽ trải dài từ máy chủ đến đường truyền kết nối người dùng.

Lập luận về an ninh chuỗi cung ứng không phải điều mới. Lịch sử quân sự và công nghiệp từng nhiều lần cho thấy một quốc gia có thể bị bóp nghẹt không phải vì thiếu ý chí, mà vì thiếu quyền kiểm soát vật tư chiến lược. Trong lĩnh vực công nghệ, lợi thế đôi khi đến từ những chi tiết tưởng nhỏ như nguồn cung tinh thể thạch anh cho thiết bị vô tuyến hay linh kiện radar sản xuất tại một quốc gia khác. Thậm chí trong Chiến tranh Lạnh, vật liệu titan dùng cho máy bay do thám SR-71 của Mỹ từng được mua gián tiếp từ Liên Xô qua mạng lưới công ty vỏ bọc. Những ví dụ đó cho thấy tấn công chuỗi cung ứng có thể diễn ra dưới nhiều hình thức, từ vật liệu, linh kiện đến thiết bị mật mã.

Ở góc độ thực tế, bước đi đầu tiên được đề xuất là phân tích kiểu lưu lượng mạng do các hệ thống quản trị nhúng tạo ra. Lưu lượng mạng ở đây là các gói dữ liệu ra vào thiết bị, có thể được theo dõi để phát hiện hành vi bất thường. Nếu châu Âu xác định được mô hình giao tiếp đặc trưng của các khối quản trị trong chip, họ có thể xây dựng lớp phòng vệ để giám sát, lọc hoặc cô lập chúng. Song song, các nhà chức trách có thể yêu cầu Intel và AMD cung cấp cách vô hiệu hóa triệt để các cơ chế này, đồng thời phát triển phương án kiểm chứng độc lập thay vì chỉ dựa vào cam kết từ nhà sản xuất.

Điểm đáng chú ý nhất là sai sót hiện tại có thể trở thành động lực để EU đầu tư nghiêm túc vào chip trung tâm dữ liệu do chính mình kiểm soát. Thay vì chờ đợi một kiến trúc hoàn toàn mới trưởng thành, châu Âu có thể tận dụng nền tảng Arm – một kiến trúc vi xử lý nổi tiếng nhờ hiệu quả năng lượng và mô hình cấp phép linh hoạt. Khác với Intel x86 vốn gắn chặt với nhà sản xuất, Arm cho phép các công ty mua giấy phép thiết kế lõi hoặc tập lệnh để tùy biến chip theo nhu cầu riêng. NDA, hay thỏa thuận bảo mật thông tin, là hình thức pháp lý thường được dùng khi các đối tác chia sẻ thiết kế sở hữu trí tuệ nhạy cảm trong quá trình phát triển sản phẩm.

Một số ý kiến cho rằng châu Âu không nhất thiết phải đợi RISC-V chín muồi thêm cả thập kỷ mới hành động. RISC-V là kiến trúc tập lệnh mở, thường được xem là lựa chọn hấp dẫn vì không bị kiểm soát bởi một nhà cung cấp duy nhất. Tuy nhiên, với nhu cầu triển khai nhanh, Arm có thể là con đường thực tế hơn vì hệ sinh thái đã trưởng thành và có nhiều đối tác thiết kế chip hiệu năng cao. EU hoàn toàn có thể thuê bên thứ ba phát triển CPU theo đặc tả “chủ quyền số”, hoặc tự lập đội ngũ thiết kế nội bộ. Những cái tên như Apple, Qualcomm, Broadcom, Samsung hay MediaTek đều từng đi con đường này để tạo ra bộ xử lý riêng, cho thấy đây không phải mục tiêu viển vông.

Nếu châu Âu thực sự xây được dòng chip máy chủ đáp ứng yêu cầu minh bạch và kiểm soát cao hơn, nhu cầu có thể không chỉ đến từ khu vực công. Doanh nghiệp lớn, tổ chức tài chính, hạ tầng trọng yếu và thậm chí các quốc gia khác cũng có thể quan tâm đến loại phần cứng được quảng bá là giảm thiểu nguy cơ giám sát ngầm ở cấp silicon. Silicon ở đây là cách gọi ngành công nghiệp chip bán dẫn, nền tảng vật lý của mọi hệ thống số hiện đại. Trong bối cảnh lo ngại địa chính trị ngày càng tăng, “chip đáng tin cậy” có thể trở thành một phân khúc chiến lược mới.

Thông điệp lớn nhất từ cuộc tranh luận này là chủ quyền số không bao giờ là trạng thái tuyệt đối, mà là bài toán quản trị rủi ro và kiểm soát niềm tin trong chuỗi cung ứng. Phần mềm mã nguồn mở có thể giúp tăng tính minh bạch ở lớp ứng dụng và hệ điều hành, nhưng phần cứng mới là nơi quyền lực sâu nhất đang nằm. Khi các bộ xử lý, thiết bị mạng và thành phần quản trị nền tảng vẫn nằm ngoài khả năng kiểm chứng, mọi tuyên bố về tự chủ công nghệ đều có thể bị đặt dấu hỏi. Chính vì vậy, sai lầm hiện tại của EU có thể lại trở thành bước ngoặt: buộc châu Âu nhìn thẳng vào phần khó nhất của chủ quyền số, đó là tự chủ từ gốc rễ hạ tầng.