Năm 2024, hàng loạt tổ chức lớn tại Việt Nam liên tiếp bị tấn công mạng. VNDIRECT bị mã hóa hạ tầng ảo hóa — gần 1.000 máy chủ, mất một tuần để khôi phục các chức năng cơ bản. PVOIL bị mã hóa toàn bộ máy chủ Windows — 80 máy chủ, ba ngày gián đoạn hoàn toàn. VNPOST cũng chịu chung số phận. Và một bệnh viện — nơi mà an toàn thông tin không chỉ là vấn đề kinh doanh mà còn liên quan đến tính mạng — bị mã hóa 7 trong 9 hệ thống, 21 dịch vụ ngừng hoạt động. Đó là những gì xảy ra khi hệ thống không được kiểm tra trước. Luật An ninh mạng 2025 (Luật số 116/2025/QH15) chính thức có hiệu lực từ ngày 1 tháng 7 năm 2026. Với cơ sở hạ tầng trọng yếu — bao gồm hệ thống năng lượng, cấp nước, viễn thông, giao thông — thời hạn đó không còn xa.

Tại sao hạ tầng trọng yếu là mục tiêu hàng đầu

Tin tặc không chọn ngẫu nhiên các mục tiêu. Họ chọn nơi mà thiệt hại gây ra lớn nhất — và kết quả dễ thấy nhất. Đầu năm 2024, một phần mềm độc hại mang tên FrostyGoop nhắm vào một cơ sở năng lượng ở miền tây Ukraine. Tin tặc khai thác giao thức Modbus — giao thức công nghiệp phổ biến nhất thế giới — để gửi lệnh điều khiển sai vào hệ thống sưởi. Kết quả: 600 hộ gia đình mất nhiệt trong hai ngày giữa mùa đông. Nghiên cứu sau đó của OPSWAT phát hiện tại Việt Nam có 1.137 thiết bị Modbus đang hoạt động, có thể truy cập trực tuyến. Phần lớn tập trung ở TP. Hồ Chí Minh (197 thiết bị) và Hà Nội (145 thiết bị). Đà Nẵng — với hệ thống IoT, camera AI, và SCADA cho các tiện ích đô thị — cũng nằm trong vùng nguy hiểm tương tự. Theo Viettel Threat Intelligence, ransomware mã hóa dữ liệu và hạ tầng ảo hóa tại Việt Nam tăng 70% trong quý 1 năm 2024 so với cùng kỳ năm trước. Các lỗ hổng trên Ivanti Connect Secure, Fortinet FortiOS, Atlassian Confluence, và vCenter liên tục được khai thác hàng loạt — đây đều là các lỗ hổng đã có bản vá nhưng doanh nghiệp chưa kịp cập nhật.

Luật An ninh mạng 2025 yêu cầu gì với cơ sở hạ tầng trọng yếu

Luật 116/2025/QH15 thiết lập hệ thống phân loại 5 cấp độ cho hệ thống thông tin. Cấp độ 3 trở lên — tức hệ thống có thể gây “thiệt hại đặc biệt nghiêm trọng” nếu bị tấn công — sẽ chịu các nghĩa vụ cao hơn, bao gồm:
  • Đánh giá an ninh mạng định kỳ bởi tổ chức độc lập
  • Kiểm thử xâm nhập (penetration testing) bắt buộc
  • Báo cáo sự cố an ninh mạng cho cơ quan chức năng trong vòng 24 giờ
  • Xây dựng và duy trì quy trình ứng phó sự cố được phối hợp với lực lượng an ninh mạng chuyên trách của Bộ Công an
Thời hạn chuyển tiếp là 12 tháng kể từ ngày 1/7/2026. Đối với các đơn vị vận hành hạ tầng đô thị thông minh tại Đà Nẵng — từ mạng lưới camera giám sát AI đến hệ thống cảm biến dọc bờ biển, từ trung tâm chỉ huy IOC đến các trạm cấp nước — câu hỏi không còn là “có cần tuân thủ hay không” mà là “bắt đầu từ đâu.”

Bài học từ các vụ tấn công thực tế tại Việt Nam

Mỗi vụ tấn công năm 2024 để lại một bài học rõ ràng. Với VNDIRECT, nguyên nhân chính được xác định là “chưa thực hiện đầy đủ các quy trình bảo mật.” Không có VAPT định kỳ. Không có đánh giá lỗ hổng trước khi triển khai hệ thống mới. Không có kiểm tra bản vá. Hậu quả: mất 0,6% thị phần và một tuần gián đoạn hoàn toàn. Với PVOIL, 80 máy chủ Windows bị mã hóa trong một đợt tấn công. Thời gian khôi phục chức năng cơ bản: 3 ngày. Hệ thống backup đã có — nhưng không được tách biệt đúng cách, nên tin tặc mã hóa luôn cả backup. Với bệnh viện bị tấn công (13/6/2024): 7 trong 9 hệ thống bị mã hóa. 10% dữ liệu cloud, 35TB — mã hóa hoàn toàn. 21 dịch vụ ngừng hoạt động. Khả năng phục hồi phụ thuộc vào việc 6 trong 9 hệ thống có backup có thể khôi phục — nếu backup không tồn tại, con số thiệt hại sẽ khác hoàn toàn. Điều đáng nói: không vụ nào trong số này nhắm vào hệ thống OT. Chúng nhắm vào hạ tầng IT thông thường — và gây thiệt hại đủ lớn. Với các hệ thống OT của Đà Nẵng — nơi mà IT và OT ngày càng kết nối — rủi ro nhân lên nhiều lần.

OT pentest khác với IT pentest — và đắt hơn nhiều

Khi nói đến kiểm thử xâm nhập cho hệ thống OT, nhiều doanh nghiệp mắc một sai lầm phổ biến: dùng kết quả từ IT pentest để “thế chỗ” cho OT pentest. Không được. OT pentest đòi hỏi chuyên gia hiểu giao thức công nghiệp — Modbus, DNP3, BACnet, SCADA — và hiểu bối cảnh vận hành thực tế. Làm sai cách có thể gây gián đoạn hệ thống đang chạy. Giống như việc thử nghiệm an toàn cho nhà máy điện: không phải ai cũng làm được. Đây là lý do OT pentest thường có chi phí cao hơn IT pentest — và thời gian thực hiện cũng dài hơn. Nhưng so với chi phí khôi phục khi bị tấn công thực sự, đó là khoản đầu tư rẻ nhất mà một đơn vị vận hành hạ tầng trọng yếu có thể thực hiện.

Evvo Labs — đánh giá bảo mật cho hạ tầng trọng yếu và OT/IoT

Tại Evvo Labs, chúng tôi đã thực hiện đánh giá an ninh mạng cho nhiều tổ chức tại Việt Nam và khu vực — bao gồm đánh giá hệ thống OT/IoT trong môi trường công nghiệp và hạ tầng đô thị. Chúng tôi hiểu rằng kiểm thử hệ thống OT đòi hỏi cách tiếp cận khác biệt so với IT truyền thống — và chúng tôi có kinh nghiệm để thực hiện điều đó mà không gây gián đoạn hệ thống đang vận hành. Với các đơn vị vận hành hạ tầng đô thị thông minh tại Đà Nẵng, chúng tôi cung cấp:
  • Đánh giá lỗ hổng hệ thống OT/IT kết hợp
  • Kiểm thử xâm nhập cho hệ thống công nghiệp (với chuyên gia hiểu Modbus, SCADA)
  • Đánh giá tuân thủ Luật An ninh mạng 2025 — phân loại cấp độ hệ thống
  • Hỗ trợ xây dựng quy trình ứng phó sự cố theo yêu cầu của Bộ Công an
Còn chưa đến 4 tháng trước thời hạn. Nếu anh/chị vận hành hạ tầng trọng yếu — hoặc cung cấp dịch vụ cho các đơn vị vận hành — đây là lúc bắt đầu.

Dịch vụ liên quan: Kiểm thử xâm nhập (VAPT) | Tư vấn ISO 27001