Hạ tầng thông minh Đà Nẵng trước nguy cơ tấn công mạng — chuẩn bị gì trước 1/7/2026

Đà Nẵng đang chạy đua để trở thành thành phố thông minh hàng đầu Đông Nam Á. Hơn 8.000 camera giám sát AI, hệ thống giao thông thích ứng theo thời gian thực, cảm biến môi trường dọc bờ biển Mỹ Khê, và hàng trăm thiết bị IoT kết nối vào mạng lưới quản lý đô thị — tất cả đang được vận hành song song. Nhưng có một câu hỏi ít ai đặt ra thẳng thắn: nếu kẻ tấn công mạng nhắm vào đúng điểm yếu của hạ tầng đó, ai sẽ chịu trách nhiệm?

Câu trả lời, sau ngày 1/7/2026, sẽ không còn mơ hồ nữa.

Luật An ninh mạng 2025 và hạ tầng đô thị thông minh

Ngày 10/12/2025, Quốc hội Việt Nam thông qua Luật An ninh mạng 2025 (Luật số 116/2025/QH15), chính thức có hiệu lực từ ngày 1/7/2026. Đây là bộ luật hợp nhất hai văn bản pháp lý trước đó — Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018 — thành một khung pháp lý thống nhất, mạnh hơn đáng kể.

Điều đáng chú ý nhất với các đơn vị vận hành hạ tầng đô thị: luật mới thiết lập hệ thống phân loại 5 cấp độ cho hệ thống thông tin, và quy định rõ trách nhiệm bảo vệ tương ứng với từng cấp. Hệ thống nào có thể gây “thiệt hại đặc biệt nghiêm trọng” nếu bị tấn công sẽ bị xếp vào cấp độ 3 trở lên — và từ cấp độ 3, bắt buộc phải thực hiện đánh giá an ninh mạng định kỳ, bao gồm kiểm thử xâm nhập (penetration testing).

Hệ thống điều phối giao thông thông minh của Đà Nẵng? Có thể xếp cấp 3. Mạng lưới camera giám sát kết nối với trung tâm chỉ huy đô thị? Rất có thể cũng vậy. Và một khi bị phân loại như thế, không còn chuyện “chờ xem”.

Rủi ro thực tế của thành phố thông minh

OT và IoT không giống hệ thống IT thông thường. Các thiết bị cảm biến, bộ điều khiển công nghiệp (PLC/SCADA), và camera thông minh thường chạy firmware cũ, ít được vá lỗi, và không được thiết kế với bảo mật là ưu tiên hàng đầu. Chúng được triển khai để “chạy liên tục” — không ai muốn tắt hệ thống đèn giao thông lúc 8 giờ tối để cập nhật bản vá.

Và đó chính là lý do kẻ tấn công thích nhắm vào chúng.

Năm 2021, tin tặc xâm nhập vào hệ thống xử lý nước của thành phố Oldsmar (Florida, Mỹ), cố tình tăng lượng natri hydroxit lên gấp 111 lần trong vài phút. May mắn là một nhân viên phát hiện và ngăn chặn kịp. Đó không phải Hollywood — đó là thực tế của hạ tầng kết nối thiếu bảo vệ. Với Đà Nẵng, rủi ro tương tự tồn tại ở bất kỳ hệ thống quản lý tiện ích nào được kết nối mạng mà chưa được đánh giá bảo mật nghiêm túc.

TCVN 14423:2025 — lần đầu tiên kiểm thử xâm nhập được đưa vào tiêu chuẩn quốc gia

Song song với Luật An ninh mạng 2025, Việt Nam vừa ban hành TCVN 14423:2025 — tiêu chuẩn kỹ thuật đầu tiên của Việt Nam đưa yêu cầu kiểm thử xâm nhập (penetration testing) vào như một nghĩa vụ bắt buộc đối với hệ thống thông tin quan trọng.

Tiêu chuẩn này được xây dựng dựa trên CIS Critical Security Controls v8 và tham chiếu ISO/IEC 27001, ISO/IEC 27002 — tức là nó không tự phát minh ra bánh xe mà đặt Việt Nam vào đúng quỹ đạo quốc tế. Điều đó có nghĩa là: nếu tổ chức của bạn đang tuân thủ ISO 27001, bạn đã có nền tảng tốt. Nếu chưa, con đường đến tuân thủ TCVN 14423:2025 sẽ dài hơn đáng kể.

Đối với các đơn vị vận hành hạ tầng đô thị Đà Nẵng — từ Ban Quản lý Khu công nghệ cao đến các doanh nghiệp cung cấp dịch vụ cho thành phố — đây không còn là câu chuyện “best practice”. Đây là nghĩa vụ pháp lý, với thời hạn chuyển tiếp 12 tháng kể từ 1/7/2026.

Những gì doanh nghiệp cần làm ngay bây giờ

Còn chưa đến 4 tháng trước khi Luật An ninh mạng 2025 có hiệu lực. Đây không phải lúc để lên kế hoạch — đây là lúc để thực thi.

1. Xác định cấp độ hệ thống của bạn. Đối chiếu hệ thống thông tin bạn đang vận hành với 5 cấp độ trong Luật An ninh mạng 2025. Hệ thống nào liên quan đến hạ tầng thiết yếu, xử lý dữ liệu lớn, hoặc ảnh hưởng đến an toàn công cộng — hãy coi đó là ứng viên cấp 3 trở lên cho đến khi có đánh giá chính thức.

2. Thực hiện đánh giá rủi ro an ninh mạng. Không phải audit nội bộ tự đánh giá — mà là đánh giá bên thứ ba độc lập, theo phương pháp chuẩn. Đây là yêu cầu tường minh trong cả Luật An ninh mạng 2025 và TCVN 14423:2025.

3. Kiểm thử xâm nhập cho hệ thống OT/IoT. Đây là điểm khác biệt quan trọng: kiểm thử hệ thống OT không giống kiểm thử web application hay mạng IT thông thường. Cần đội ngũ có kinh nghiệm với giao thức công nghiệp (Modbus, DNP3, BACnet) và hiểu bối cảnh vận hành thực tế. Làm sai có thể gây gián đoạn hệ thống đang chạy — rủi ro cao hơn nhiều so với môi trường IT.

4. Xây dựng quy trình ứng phó sự cố. Luật mới yêu cầu phối hợp với lực lượng an ninh mạng chuyên trách của Bộ Công an khi có sự cố. Quy trình nội bộ cần được thiết lập và kiểm tra trước khi luật có hiệu lực — không phải sau khi sự cố xảy ra.

Cửa sổ thời gian đang thu hẹp

Nhìn vào kinh nghiệm thực tế từ các doanh nghiệp chuẩn bị cho ISO 27001 hay MAS TRM tại Singapore: chu trình đánh giá đầy đủ, lập kế hoạch khắc phục, triển khai kiểm soát, và thực hiện lại kiểm thử thường mất 3–6 tháng với hệ thống vừa, và 6–12 tháng với hạ tầng phức tạp. Thời gian chuyển tiếp 12 tháng của Luật An ninh mạng 2025 nghe có vẻ rộng rãi. Nhưng khi bạn phải phân loại hệ thống, thuê đơn vị đánh giá, chờ báo cáo, và xử lý hàng loạt phát hiện — 12 tháng qua đi rất nhanh.

Các tổ chức bắt đầu sớm sẽ có lợi thế: nhiều thời gian khắc phục, ít áp lực khi kiểm tra, và không phải xếp hàng chờ đơn vị đánh giá khi tất cả mọi người đều vội vào tháng 6/2027.

Dịch vụ liên quan: Kiểm thử xâm nhập (VAPT) | Tư vấn ISO 27001

Evvo Labs có kinh nghiệm đánh giá an ninh mạng cho hạ tầng OT/IoT và hệ thống thông tin quan trọng tại Việt Nam và Singapore. Nếu bạn đang vận hành hệ thống thuộc diện điều chỉnh của Luật An ninh mạng 2025 và chưa biết bắt đầu từ đâu — hãy nói chuyện với chúng tôi trước khi đồng hồ đếm ngược đến gần hơn.