Đà Nẵng đang xây thành phố thông minh — nhưng ai đang bảo vệ hạ tầng số?

84,8 tỷ đồng cho một trung tâm an ninh mạng — và đó mới chỉ là bắt đầu

Đầu năm 2026, Đà Nẵng phê duyệt hơn 84,8 tỷ đồng từ ngân sách thành phố để xây dựng Trung tâm giám sát và điều hành an ninh mạng cho Công an thành phố. Dự án triển khai từ 2024 đến 2026 với mục tiêu rõ ràng: giám sát hệ thống thông tin trọng yếu, phát hiện tấn công mạng, truy vết tội phạm, thu thập bằng chứng số.

Nghe thì hoành tráng. Nhưng đặt trong bối cảnh một thành phố đang số hóa mọi thứ — từ giao thông, y tế, giáo dục đến dịch vụ công — con số 84,8 tỷ liệu có đủ?

Thành phố thông minh nghĩa là bề mặt tấn công cũng “thông minh” hơn

Đà Nẵng không giấu tham vọng. Khung kiến trúc số mới của thành phố đặt nguyên tắc “AI First” — ưu tiên ứng dụng trí tuệ nhân tạo trong vận hành chính quyền. Hệ sinh thái dịch vụ hợp nhất lấy người dùng làm trung tâm. Dữ liệu mở. Phân cấp mạnh trên nền tảng số.

Tất cả đều tốt — cho đến khi bạn nhìn từ góc độ bảo mật.

Mỗi camera giám sát giao thông, mỗi cảm biến IoT đo chất lượng không khí, mỗi cổng dịch vụ công trực tuyến đều là một điểm có thể bị khai thác. Càng nhiều thiết bị kết nối, càng nhiều API mở, bề mặt tấn công càng rộng. Và hacker không cần tấn công toàn bộ — chỉ cần một mắt xích yếu.

Bài học từ những con số không ai muốn nhắc

Báo cáo an ninh mạng 2024 của Viettel Cyber Security đưa ra con số gây sốc: 14,5 triệu tài khoản bị rò rỉ tại Việt Nam, chiếm 12% tổng số toàn cầu. Một quốc gia với dân số chưa đến 2% thế giới lại đóng góp 12% lượng dữ liệu bị lộ — đó không phải ngẫu nhiên.

Tháng 9/2025, nhóm hacker ShinyHunters tấn công Trung tâm Thông tin Tín dụng Quốc gia (CIC), ảnh hưởng đến phần lớn dân số có lịch sử tín dụng. Reuters đưa tin, Bộ Công an vào cuộc điều tra. Nhưng thiệt hại đã xảy ra rồi — dữ liệu tín dụng của hàng triệu người Việt đã nằm trên dark web.

Nếu một hệ thống cấp quốc gia còn bị xuyên thủng, hạ tầng thành phố thông minh đang xây dựng dở dang tại Đà Nẵng đối mặt với rủi ro nào?

Ba lỗ hổng mà ít ai nói đến

Thứ nhất — thiết bị IoT thiếu tiêu chuẩn bảo mật. Camera, cảm biến, bộ điều khiển giao thông thường chạy firmware cũ, mật khẩu mặc định, không có cơ chế cập nhật tự động. Đây là chuyện phổ biến trên toàn thế giới, nhưng tại Việt Nam, nơi ngân sách mua sắm thiết bị thường ưu tiên giá rẻ, vấn đề còn nghiêm trọng hơn.

Thứ hai — dữ liệu tập trung nhưng quản trị phân tán. Đà Nẵng đang đầu tư 15 tỷ đồng nâng cấp hạ tầng mạng LAN cho các trụ sở xã phường sau sáp nhập. Mạng mới, người cũ — nếu nhân viên cấp phường không được đào tạo về phishing, social engineering, thì đường truyền nhanh hơn chỉ giúp malware lan nhanh hơn.

Thứ ba — thiếu nhân lực chuyên môn. Tháng 12/2025, Đà Nẵng phối hợp Công an Cần Thơ và Huế tổ chức diễn tập an ninh mạng. Đây là tín hiệu tích cực, nhưng diễn tập một lần mỗi năm không thể thay thế đội ngũ SOC hoạt động 24/7. Và tuyển được người có năng lực vận hành SOC tại Đà Nẵng — không dễ khi Hà Nội và TP.HCM đã hút hết nhân tài.

Doanh nghiệp tại Đà Nẵng cần làm gì ngay bây giờ

Đừng chờ chính quyền giải quyết hết. Thành phố thông minh tạo ra hạ tầng chung, nhưng bảo vệ dữ liệu và hệ thống riêng của doanh nghiệp vẫn là trách nhiệm của chính doanh nghiệp.

Đánh giá lại bề mặt tấn công. Bao nhiêu thiết bị trong mạng nội bộ đang kết nối Internet mà không ai quản lý? Bao nhiêu ứng dụng web chưa từng được kiểm thử xâm nhập (VAPT)? Khi thành phố mở rộng dịch vụ số, doanh nghiệp tích hợp API công cũng đang mở thêm cửa cho rủi ro.

Xem xét ISO 27001 như một khung quản trị thực tế — không phải để treo bằng chứng nhận. ISO 27001 buộc doanh nghiệp nhìn lại ai đang truy cập gì, dữ liệu nào nhạy cảm, và quy trình phản ứng sự cố ra sao. Với doanh nghiệp vừa và nhỏ tại Đà Nẵng, đây là bước đầu tối thiểu.

Nếu không có CISO, hãy thuê ngoài. Mô hình CISOaaS (Chief Information Security Officer as a Service) cho phép doanh nghiệp có người dẫn dắt chiến lược bảo mật mà không cần trả lương CISO toàn thời gian. Với thị trường nhân lực bảo mật tại miền Trung còn mỏng, đây là lựa chọn thực tế nhất.

Đà Nẵng đang đi đúng hướng — nhưng tốc độ số hóa nhanh hơn tốc độ bảo vệ

Việc đầu tư 84,8 tỷ đồng cho trung tâm an ninh mạng là bước đi cần thiết. Cuộc diễn tập liên tỉnh cuối năm 2025 cho thấy ý thức của chính quyền. Khung kiến trúc số đặt an toàn thông tin là “yêu cầu tiên quyết, xuyên suốt.”

Nhưng giữa nguyên tắc trên giấy và thực tế vận hành vẫn còn khoảng cách lớn. Và khoảng cách đó — chính là nơi hacker hoạt động.

Doanh nghiệp tại Đà Nẵng đang sống trong một hệ sinh thái số ngày càng kết nối. An ninh mạng không còn là bài toán của phòng IT — nó là bài toán kinh doanh. Và bài toán này cần được giải trước khi sự cố xảy ra, không phải sau.

Evvo Labs là công ty an ninh mạng được CREST công nhận, có trụ sở tại Singapore và văn phòng tại Đà Nẵng. Chúng tôi cung cấp dịch vụ kiểm thử xâm nhập (VAPT), tư vấn ISO 27001, và CISOaaS cho doanh nghiệp Việt Nam. Liên hệ tư vấn miễn phí.