Hacker đang lặng lẽ đi vào nhà máy — Rủi ro bảo mật OT/IoT tại Việt Nam 2026

Đừng tưởng hacker chỉ nhắm vào máy tính văn phòng. Họ đang lặng lẽ đi vào nhà máy.

Cuối năm 2024, một nhà máy dệt nhuộm tại Bình Dương phải dừng sản xuất gần ba tuần. Nguyên nhân không phải thiếu đơn hàng hay mất điện — mà là hệ thống SCADA điều khiển dây chuyền sản xuất bị mã độc tấn công qua một con router IoT bảo mật yếu ở phân xưởng. Thiệt hại sản lượng: hơn 12 tỷ đồng. Không một dòng tin nào trên báo chính thống.

Đó không phải câu chuyện hy hữu. Đó là bản chất của cuộc tấn công vào hệ thống OT (Operational Technology) — nơi mà hacker không cần đánh cắp dữ liệu, họ chỉ cần tắt máy của bạn.

Với hơn 71 triệu thiết bị IoT đang hoạt động tại Việt Nam tính đến cuối 2025 và tốc độ tăng trưởng khoảng 30% mỗi năm, câu hỏi không còn là “liệu doanh nghiệp có bị tấn công OT/IoT hay không” — mà là “khi nào và chúng ta phòng thủ đến đâu”.

OT/IoT là gì — và tại sao nó lại là mục tiêu ngon ăn?

OT là hệ thống công nghệ vận hành — các bộ điều khiển PLC, hệ thống SCADA, DCS trong nhà máy, nhà máy điện, cấp nước, hệ thống giao thông. IoT là lớp cảm biến, camera, cổng kết nối trên nền tảng đó. Khi hai lớp này kết nối với internet để giám sát từ xa hoặc tối ưu hóa sản xuất, ranh giới giữa thế giới vật lý và không gian mạng bắt đầu mờ đi.

Đó cũng chính là lúc vấn đề bắt đầu.

Phần lớn thiết bị OT được thiết kế để hoạt động 15-20 năm, trong môi trường công nghiệp khắc nghiệt, không có khả năng cập nhật bản vá thường xuyên như máy chủ IT. Nhiều nhà máy Việt Nam vẫn vận hành các hệ thống PLC đã 10-15 năm tuổi, chạy firmware không được cập nhật từ khi lắp đặt. Chỉ một lỗ hổng trên một con cảm biến nhiệt độ kết nối internet — đủ để hacker có được chỗ đứng trong mạng OT.

Ba hình thức tấn công OT/IoT phổ biến nhất tại Việt Nam

1. Tấn công thông qua IoT gateway yếu. Các bộ điều khiển IoT trong nhà máy thường dùng firmware default, mật khẩu đơn giản, không có mã hóa kênh truyền. Hacker quét mạng và tìm thấy chúng trong vài phút. Từ đó, di chuyển ngang (lateral movement) vào vùng OT. Nhiều cuộc tấn công vào nhà máy Việt Nam bắt đầu từ đây — không phải từ email lừa đảo.

2. Ransomware nhắm vào hệ thống vận hành. Mô hình Ransomware-as-a-Service (RaaS) đã phổ biến trên toàn cầu, và Việt Nam không ngoại lệ. Không giống ransomware truyền thống chỉ mã hóa dữ liệu, phiên bản mới nhắm vào hệ thống SCADA — khi file .SCAD bị mã hóa, toàn bộ dây chuyền sản xuất dừng lại. Nhà máy không có kế hoạch phục hồi OT (OT disaster recovery plan), nên áp lực trả tiền chuộc rất lớn.

3. Gián điệp mạng qua IoT trong tòa nhà thông minh. Không chỉ nhà máy. Hệ thống BMS (Building Management System) trong các tòa nhà văn phòng, trung tâm thương mại, bệnh viện — kết nối điều hòa, ánh sáng, camera, thang máy qua IP — đều là bề mặt tấn công. Một cuộc khảo sát năm 2025 ghi nhận 67% thiết bị IoT trong các tòa nhà thông minh tại Việt Nam có ít nhất một lỗ hổng nghiêm trọng chưa được vá.

Sự hội tụ IT/OT — rủi ro kép

Khi doanh nghiệp số hóa, họ kết nối hệ thống OT với mạng IT để lấy dữ liệu sản xuất lên dashboard, phục vụ báo cáo ERP, hoặc điều khiển từ xa qua cloud. Đây là bước đi tất yếu — nhưng nó tạo ra một cầu nối mà nếu không kiểm soát kỹ, chính là con đường tắt cho kẻ tấn công.

Vấn đề ở đây là: đội ngũ IT không quản lý hệ thống OT (thuộc về kỹ sư công nghiệp, bộ phận cơ điện), và đội ngũ OT thường không có chuyên môn bảo mật mạng. Kết quả: không ai thực sự nắm vững toàn cảnh an ninh của hệ thống hội tụ IT/OT.

Tại nhiều doanh nghiệp Việt Nam — đặc biệt trong lĩnh vực sản xuất, thực phẩm, dược phẩm — ranh giới giữa mạng văn phòng và mạng sản xuất chỉ là một con switch giá 2 triệu đồng, không có segmentation, không có firewall chuyên dụng.

Luật An ninh mạng 2025 thay đổi gì cho OT/IoT?

Luật An ninh mạng 2025 (Luật 116/2025/QH15) có hiệu lực từ 01/07/2026, thay thế toàn bộ khung pháp lý trước đó. Điểm quan trọng với hệ thống OT/IoT:

Hạ tầng quan trọng bắt buộc phải có kế hoạch bảo đảm an ninh mạng. Theo Điều 22, các hệ thống thuộc “cơ sở hạ tầng thông tin trọng yếu” — bao gồm nhà máy điện, cấp nước, giao thông — phải tuân thủ các yêu cầu an ninh mạng nghiêm ngặt hơn, có thể bao gồm yêu cầu kiểm thử an ninh định kỳ cho hệ thống OT.

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân cũng tạo thêm áp lực: bất kỳ hệ thống IoT nào thu thập dữ liệu cá nhân (ví dụ: camera AI nhận diện khuôn mặt trong nhà máy, cảm biến đeo tay cho công nhân) đều phải tuân thủ quy định bảo vệ dữ liệu — bao gồm cả dữ liệu sinh trắc học.

Đối với doanh nghiệp đang triển khai IoT trong sản xuất hoặc đang kết nối hệ thống OT lên đám mây, đây là thời điểm để rà soát lại — trước khi luật có hiệu lực và trước khi một sự cố xảy ra.

Doanh nghiệp cần làm gì bây giờ?

Bước 1: Lập bản đồ hệ thống OT/IoT. Ít nhất bao nhiêu thiết bị đang kết nối? Chúng giao tiếp với hệ thống nào? Đây là bước nền tảng — và thường là bước mà hầu hết doanh nghiệp Việt Nam chưa làm đúng.

Bước 2: Phân đoạn mạng OT (Network Segmentation). Nguyên tắc cơ bản: mạng OT không giao tiếp trực tiếp với internet, và phải có DMZ hoặc firewall chuyên dụng giữa OT và IT. Đây không phải chi phí — đây là bảo hiểm cho dây chuyền sản xuất.

Bước 3: Kiểm thử bảo mật hệ thống OT. VAPT truyền thống không đủ — bạn cần OT security assessment hoặc OT penetration testing, thực hiện bởi đội ngũ có chuyên môn về ICS/SCADA. Nhiều công cụ quét lỗ hổng thông thường không tương thích với thiết bị OT và có thể gây gián đoạn nếu sử dụng không đúng cách.

Bước 4: Xây dựng OT Incident Response Plan. Khi sự cố xảy ra, thời gian phục hồi trung bình của một hệ thống OT bị tấn công là 21 ngày — cao hơn gấp đôi so với hệ thống IT thông thường. Nếu không có playbook phản ứng riêng cho OT, đội ngũ sẽ phản ứng bằng cách tắt toàn bộ hệ thống — gây thiệt hại sản xuất nghiêm trọng.

Bước 5: Đào tạo đội ngũ vận hành về nhận thức an ninh OT. Không cần kỹ sư bảo mật — cần kỹ sư công nghiệp hiểu rằng một cổng USB không kiểm soát có thể mang mã độc vào hệ thống SCADA. Đây là vector tấn công phổ biến nhất vào OT toàn cầu.

Lời kết

Không ai phủ nhận lợi ích của IoT và số hóa sản xuất. Nhưng tốc độ triển khai đang vượt xa tốc độ bảo đảm an ninh — và khoảng cách đó chính là cơ hội cho kẻ tấn công.

Câu hỏi không còn là “chúng ta có nên kết nối OT lên mạng hay không”. Câu hỏi là: “chúng ta có kết nối an toàn hay không”.

Nếu doanh nghiệp của bạn đang triển khai IoT, vận hành hệ thống OT, hoặc đang trong quá trình hội tụ IT/OT — và chưa từng thực hiện đánh giá bảo mật chuyên biệt cho hệ thống này — đó là khoảng trống rủi ro cần được giải quyết sớm.

Bạn cần tìm hiểu thêm về đánh giá bảo mật OT/IoT cho doanh nghiệp? Liên hệ tại đây.

Dịch vụ liên quan: Kiểm thử xâm nhập (VAPT) | Bảo vệ Ransomware