Khi dây chuyền sản xuất trở thành mục tiêu tấn công mạng — nhà máy Việt sẵn sàng chưa?

Quý I/2025, Kaspersky ghi nhận số lượng tấn công nhắm vào máy tính trong hệ thống điều khiển công nghiệp (ICS) tại nhà máy và công trình xây dựng tăng đột biến so với cùng kỳ năm trước. Đây không phải cảnh báo học thuật — đây là xu hướng đang xảy ra tại các cơ sở sản xuất ngay ở Đông Nam Á, bao gồm Việt Nam.

Việt Nam hiện là một trong những trung tâm sản xuất lớn nhất khu vực. Samsung, Intel, LG, Foxconn — chuỗi cung ứng toàn cầu chạy qua các nhà máy ở Bắc Ninh, Thái Nguyên, Bình Dương, Đồng Nai. Khi sản xuất chuyển sang Công nghiệp 4.0, OT (Operational Technology) và IT ngày càng kết nối với nhau. Và đó chính là lỗ hổng mà tin tặc đang khai thác.

OT là gì và tại sao nó khác với bảo mật IT thông thường?

OT là hệ thống phần cứng và phần mềm điều khiển các quá trình vật lý — máy móc trên dây chuyền, hệ thống SCADA kiểm soát nhiệt độ lò nung, bộ điều khiển PLC điều phối robot hàn. Nếu một máy tính văn phòng bị ransomware, anh/chị mất dữ liệu. Nếu một hệ thống OT bị tấn công, nhà máy ngừng hoạt động — hoặc tệ hơn, gây ra tai nạn vật chất.

Vấn đề là các hệ thống OT được thiết kế để chạy liên tục, ổn định, thường trong vòng đời 10–20 năm. Bảo mật không phải ưu tiên ban đầu. Nhiều thiết bị vẫn chạy Windows XP, giao tiếp qua giao thức Modbus hoặc Profibus — những giao thức không có xác thực, không có mã hóa.

Khi nhà máy kết nối OT vào mạng IT để giám sát từ xa, theo dõi hiệu suất thời gian thực, hay tích hợp với ERP — khoảng cách “air gap” từng bảo vệ OT biến mất. Tin tặc có thể đi từ một email phishing trong văn phòng đến hệ thống điều khiển máy móc bên xưởng sản xuất.

Các hình thức tấn công phổ biến nhắm vào nhà máy

Ransomware trên OT — Không chỉ mã hóa file văn phòng nữa. Các nhóm như LockBit và BlackCat đã chuyển sang nhắm mục tiêu vào hệ thống điều hành OT, khóa toàn bộ dây chuyền sản xuất rồi đòi tiền chuộc. Nhà máy dừng một ngày có thể mất hàng tỉ đồng doanh thu.

Tấn công qua nhà cung cấp thứ ba — Kỹ thuật viên bảo trì, nhà cung cấp phần mềm SCADA, đối tác tích hợp hệ thống — tất cả đều có thể là điểm xâm nhập. Một laptop của đối tác bị nhiễm phần mềm gián điệp, kết nối vào mạng nhà máy qua VPN, là đủ.

Tấn công qua thiết bị IoT không bảo mật — Camera an ninh, cảm biến nhiệt độ, đồng hồ đo điện thông minh — nhiều thiết bị IoT trong nhà máy dùng mật khẩu mặc định, firmware lỗi thời, không bao giờ được cập nhật. Đây là “backdoor” mở sẵn chờ tin tặc.

Tấn công chuỗi cung ứng phần mềm — Phần mềm SCADA hoặc HMI bị cài mã độc từ nguồn gốc. Khi nhà máy cập nhật phần mềm từ vendor bị xâm phạm, mã độc theo vào cùng — như vụ SolarWinds nhưng trong môi trường công nghiệp.

Nhà máy Việt Nam đang đứng ở đâu?

Thực tế là hầu hết nhà máy sản xuất tại Việt Nam — kể cả các cơ sở FDI quy mô lớn — chưa có đội ngũ bảo mật OT chuyên biệt. Bộ phận IT thì biết bảo mật IT, còn kỹ sư vận hành thì lo dây chuyền chạy ổn định. Không ai chịu trách nhiệm về bảo mật ở điểm giao nhau.

Khi Luật An ninh mạng 2025 có hiệu lực từ tháng 7/2026, các cơ sở hạ tầng quan trọng — bao gồm nhà máy điện, nước, sản xuất quy mô lớn — sẽ phải đáp ứng yêu cầu bảo mật cụ thể hơn. Không còn thời gian để “chờ xem”.

Còn một thực tế khác: nhiều vụ tấn công vào OT tại Việt Nam không được công bố. Doanh nghiệp lo ngại ảnh hưởng đến hợp đồng FDI, quan hệ đối tác quốc tế, hoặc đơn giản là không biết mình đã bị xâm nhập. Kẻ tấn công có thể nằm im trong hệ thống nhiều tháng trước khi hành động.

Bước đầu tiên để bảo vệ OT/IoT

Không cần phải làm tất cả cùng lúc. Nhưng phải bắt đầu:

Kiểm kê toàn bộ thiết bị OT và IoT — Anh/chị không thể bảo vệ thứ mình không biết mình có. Lập bản đồ đầy đủ: máy móc nào kết nối mạng, firmware phiên bản nào, giao tiếp theo giao thức gì, ai có quyền truy cập.

Phân vùng mạng OT và IT — Tách biệt mạng văn phòng và mạng sản xuất. Nếu phải kết nối, dùng DMZ công nghiệp với firewall chuyên dụng. Không để máy tính văn phòng “nhìn thấy” trực tiếp PLC hay SCADA.

Đánh giá lỗ hổng bảo mật OT (VAPT) — Kiểm thử xâm nhập chuyên biệt cho môi trường OT khác với VAPT IT thông thường. Cần đội ngũ hiểu giao thức công nghiệp (Modbus, DNP3, OPC-UA), biết cách kiểm thử mà không làm gián đoạt sản xuất.

Kiểm soát truy cập từ bên thứ ba — Mọi kỹ thuật viên bên ngoài truy cập hệ thống OT phải qua quy trình xác thực nghiêm ngặt. Không dùng tài khoản chia sẻ, không để phiên kết nối mở sau khi công việc xong.

Lập kế hoạch ứng phó sự cố riêng cho OT — Khi dây chuyền bị tấn công, không thể áp quy trình IT thông thường vào. Cần kịch bản riêng: ai quyết định dừng dây chuyền, cách ly ra sao, khôi phục theo thứ tự nào.

Đừng để nhà máy trở thành điểm yếu nhất trong chuỗi cung ứng

Với các đối tác FDI và khách hàng quốc tế, bảo mật OT ngày càng trở thành điều kiện hợp đồng — không phải tùy chọn. Nhà mua hàng toàn cầu yêu cầu nhà cung cấp chứng minh khả năng bảo vệ dây chuyền sản xuất trước khi ký hợp đồng dài hạn.

Nhà máy nào đầu tư bảo mật OT trước sẽ có lợi thế cạnh tranh — không chỉ về mặt phòng thủ, mà còn trong đàm phán thương mại.

Dịch vụ liên quan: Kiểm thử xâm nhập (VAPT) | Thiết kế & xây dựng SOC

Evvo Labs hỗ trợ doanh nghiệp đánh giá mức độ bảo mật OT/ICS, kiểm thử xâm nhập theo tiêu chuẩn công nghiệp, và xây dựng kế hoạch bảo mật phù hợp với quy mô sản xuất thực tế. Liên hệ để được tư vấn miễn phí.