Đầu năm 2025, một công ty thương mại điện tử tại Hà Nội phát hiện toàn bộ camera giám sát văn phòng đã bị truy cập bởi bên ngoài trong nhiều tháng. Không ai nhận ra — cho đến khi footage nội bộ xuất hiện trên diễn đàn kín. Điều khiến sự việc này trở nên đáng lo là điểm xâm nhập không phải máy chủ hay hệ thống email. Đó là một camera IP giá rẻ, mật khẩu mặc định chưa từng được đổi từ ngày lắp đặt.
Đây không phải trường hợp cá biệt. Theo báo cáo của Cục An toàn thông tin (Bộ TT&TT) năm 2025, thiết bị IoT là nguồn gốc của hơn 30% các sự cố an ninh mạng được ghi nhận tại Việt Nam — cao hơn cả phần mềm độc hại qua email. Và con số này đang tăng.
Văn phòng Việt Nam có bao nhiêu thiết bị “vô hình”?
Thử đếm một văn phòng SME điển hình: 4–8 camera IP, 2–3 máy in mạng, 1 màn hình tương tác hoặc TV thông minh phòng họp, hệ thống chấm công, bộ điều khiển điều hoà hoặc thang máy kết nối mạng, đôi khi cả máy pha cà phê thông minh. Cộng thêm các thiết bị cá nhân của nhân viên kết nối vào Wi-Fi văn phòng.
Tổng cộng, một văn phòng 30 người có thể có 40–60 thiết bị kết nối internet — nhưng chỉ có 5–10 trong số đó được đội IT chú ý đến thường xuyên. Phần còn lại tồn tại trong một “vùng xám” không được giám sát, không được cập nhật firmware, và không ít thiết bị vẫn chạy với mật khẩu mặc định từ nhà sản xuất.
Hacker biết điều này. Các công cụ như Shodan và Censys có thể quét toàn bộ internet Việt Nam trong vài giờ và liệt kê hàng chục nghìn thiết bị IoT đang mở cổng công khai. Nhiều thiết bị trong số đó nằm ngay trong văn phòng doanh nghiệp.
Tại sao IoT lại nguy hiểm hơn người ta nghĩ?
Ba lý do chính khiến thiết bị IoT trở thành điểm xâm nhập ưa thích:
Không có cơ chế tự bảo vệ. Không giống máy tính hay điện thoại, hầu hết thiết bị IoT không có phần mềm diệt virus, không có hệ thống phát hiện xâm nhập, không có log đủ chi tiết để điều tra. Khi bị tấn công, thiết bị tiếp tục hoạt động bình thường — và quản trị viên không biết có gì đang xảy ra bên trong.
Vòng đời firmware dài và bỏ ngỏ. Một camera mua năm 2020 có thể vẫn đang chạy firmware gốc năm 2019. Nhà sản xuất đã phát hành 8 bản vá bảo mật, nhưng không ai trong tổ chức biết đến hoặc có quy trình cập nhật. Mỗi lỗ hổng chưa vá là một cửa sổ mở cho kẻ tấn công.
Nằm chung mạng với hệ thống quan trọng. Phần lớn doanh nghiệp SME Việt Nam vẫn chạy mạng phẳng — tức là camera, máy in, và máy tính kế toán đều nằm trong cùng một VLAN. Khi hacker kiểm soát được camera, họ có thể từ đó di chuyển ngang sang máy chủ tài chính, hệ thống ERP, hoặc dữ liệu khách hàng.
Luật An ninh mạng sửa đổi 2026 thay đổi điều gì?
Luật An ninh mạng sửa đổi có hiệu lực từ 1/7/2026 đưa ra các yêu cầu mới đáng chú ý cho doanh nghiệp. Ngoài việc mở rộng phạm vi áp dụng sang hạ tầng số, luật cũng siết chặt trách nhiệm của tổ chức trong việc bảo vệ hệ thống — bao gồm cả các thiết bị kết nối trong môi trường vận hành.
Kết hợp với Nghị định 13/2023/NĐ-CP (PDPL) đang có hiệu lực từ đầu 2026, doanh nghiệp có nghĩa vụ bảo vệ dữ liệu cá nhân khỏi truy cập trái phép. Camera ghi lại khuôn mặt nhân viên, khách hàng — đó là dữ liệu sinh trắc học. Nếu camera bị xâm phạm và dữ liệu đó bị rò rỉ, tổ chức chịu trách nhiệm pháp lý trực tiếp.
Đây không còn là rủi ro kỹ thuật. Đây là rủi ro pháp lý.
Ba bước thực tế để giảm rủi ro IoT ngay bây giờ
1. Kiểm kê tất cả thiết bị đang kết nối mạng. Nghe đơn giản, nhưng hầu hết tổ chức không có danh sách đầy đủ. Dùng công cụ quét mạng như Nmap hoặc các nền tảng ITAM đơn giản để tạo asset inventory. Bất kỳ thiết bị nào không có trong danh sách đều là rủi ro không kiểm soát được.
2. Phân vùng mạng. Đưa thiết bị IoT vào một VLAN riêng biệt, tách khỏi máy tính làm việc và máy chủ nội bộ. Với nhiều router doanh nghiệp tầm trung, việc này mất khoảng 2–3 tiếng cấu hình. Kết quả: ngay cả khi một camera bị chiếm quyền, kẻ tấn công không thể đi tiếp sang hệ thống quan trọng.
3. Đổi mật khẩu mặc định và lên lịch cập nhật firmware. Lập danh sách model thiết bị, vào trang hỗ trợ của nhà sản xuất, kiểm tra firmware mới nhất. Đặt nhắc lịch 6 tháng một lần. Không cần phần mềm hay chi phí thêm — chỉ cần kỷ luật vận hành.
Khi nào cần đánh giá chuyên sâu hơn?
Nếu tổ chức của anh/chị đang vận hành nhiều chi nhánh, xử lý dữ liệu khách hàng, hoặc hoạt động trong các lĩnh vực tài chính, y tế, giáo dục — ba bước trên là điểm khởi đầu, không phải điểm kết thúc. Rủi ro thực sự cần được đánh giá có hệ thống qua penetration testing và kiểm toán hạ tầng mạng.
Evvo Labs thực hiện đánh giá bảo mật IoT như một phần trong dịch vụ VAPT — bao gồm quét thiết bị, kiểm tra cấu hình mạng, và báo cáo rủi ro cụ thể theo từng thiết bị. Kết quả không phải bản báo cáo lý thuyết mà là danh sách việc cần làm, theo mức độ ưu tiên, với thời gian thực hiện rõ ràng.
Luật sắp có hiệu lực. Thiết bị đang hoạt động 24/7. Anh/chị muốn phát hiện vấn đề trước hay sau khi có sự cố?
Dịch vụ liên quan: Kiểm thử xâm nhập (VAPT) | Ứng phó sự cố
Liên hệ Evvo Labs để bắt đầu đánh giá bảo mật IoT cho doanh nghiệp của anh/chị.