Năm ngoái, một nhà máy sản xuất ở Đông Nam Á phải dừng toàn bộ dây chuyền suốt ba ngày. Không phải vì sự cố cơ khí. Ransomware đã len vào hệ thống SCADA qua một máy tính văn phòng có kết nối VPN không được bảo mật — và từ đó, nó lan sang toàn bộ mạng OT. Thiệt hại: hàng trăm nghìn đô. Uy tín với khách hàng: không đo đếm được.
Đây không phải là câu chuyện hy hữu. Theo IBM X-Force Threat Intelligence Index 2024, ngành sản xuất là ngành bị tấn công mạng nhiều nhất hai năm liên tiếp, chiếm hơn 25% tổng số sự cố an ninh toàn cầu. Fortinet cũng ghi nhận rằng sản xuất là lĩnh vực bị ransomware nhắm đến nhiều nhất — chiếm 17% tổng số vụ tấn công vào năm 2024, vượt cả tài chính lẫn y tế.
Nhưng điều đáng lo hơn không phải là con số thống kê. Mà là phần lớn doanh nghiệp sản xuất ở Việt Nam vẫn chưa coi OT security là việc của mình.
OT và IoT — hai thứ khác nhau, nhưng cùng chung một lỗ hổng
OT (Operational Technology) là những hệ thống điều khiển quy trình vật lý: PLC, SCADA, HMI, DCS. Chúng vận hành máy móc, dây chuyền, cảm biến — tất cả những thứ tạo ra sản phẩm thực. IoT công nghiệp (IIoT) là tầng thiết bị kết nối chạy bên trên: gateway, cảm biến thông minh, camera vận hành, thiết bị đo lường từ xa.
Vấn đề là: OT được thiết kế từ thời không có Internet. Ưu tiên của nó là chạy liên tục, không phải bảo mật. Một PLC có thể hoạt động 15–20 năm mà không cần vá lỗi. Và khi chuyển đổi số buộc nó phải kết nối với mạng nội bộ — thậm chí với internet — thì tất cả những giả định cũ về “vùng an toàn cách ly” đều sụp đổ.
Dragos báo cáo vào đầu năm 2026 rằng chỉ 30% mạng OT toàn cầu có đủ khả năng hiển thị để phát hiện mối đe dọa. 56% không thể nhìn thấy những gì xảy ra bên dưới ranh giới IT/OT. Nói thẳng hơn: phần lớn nhà máy thông minh đang bị tấn công mà không biết.
Doanh nghiệp Việt đang đứng ở đâu?
Cisco Cybersecurity Readiness Index 2025 cho thấy chỉ 20% doanh nghiệp tại Việt Nam đạt mức “Mature” về khả năng bảo vệ thiết bị (Machine Trustworthiness) — dù đây là chỉ số đã cải thiện so với năm ngoái. Và theo khảo sát của Rockwell Automation, chỉ 18% doanh nghiệp sản xuất có chiến lược bảo mật toàn diện cho hệ thống OT.
Phần lớn nhà máy Việt đang làm theo cách truyền thống: tin tưởng rằng OT được cách ly với internet là đủ an toàn. Nhưng thực tế, 56% mạng OT toàn cầu đã được kết nối trực tiếp hoặc gián tiếp với internet. Và kẻ tấn công không cần xâm nhập thẳng vào thiết bị OT — chúng chỉ cần vào được máy tính văn phòng kết nối với ERP hay phần mềm MES, rồi di chuyển ngang sang hệ thống sản xuất.
Đó chính xác là cách WannaCry và NotPetya đã làm. Và cũng là cách các chiến dịch ransomware đang hoạt động ở Đông Nam Á hiện nay.
Ba rủi ro thực sự — không phải lý thuyết
1. Ransomware từ mạng IT lây sang OT. Đây là kịch bản phổ biến nhất. Một email phishing mở ra trojan trên máy tính văn phòng. Từ đó, kẻ tấn công dò ra kết nối sang mạng sản xuất và triển khai ransomware nhắm vào SCADA hoặc HMI. Dây chuyền dừng. Và không giống như máy chủ file, không phải lúc nào cũng khôi phục được nhanh chóng từ backup — vì hệ thống OT thường không có quy trình backup chuẩn.
2. Thiết bị IIoT là cửa hậu không ai canh. Camera giám sát, cảm biến nhiệt độ, gateway kết nối dữ liệu — những thiết bị này thường được cài đặt bởi nhà thầu, dùng mật khẩu mặc định, và không bao giờ được cập nhật firmware. Hacker có thể dùng Shodan để tìm và truy cập chúng từ internet mà không cần đột nhập vật lý vào nhà máy.
3. Nhà thầu và đối tác là điểm yếu chuỗi cung ứng. Claroty báo cáo rằng 46% tổ chức đã bị vi phạm qua truy cập của bên thứ ba. Các kỹ sư bảo trì, nhà cung cấp phần mềm OT, đội tích hợp hệ thống — tất cả có quyền truy cập vào những phần nhạy cảm nhất của nhà máy. Một kết nối TeamViewer không được kiểm soát có thể là đủ.
Tại sao bảo mật OT khác với bảo mật IT thông thường?
Khi đội IT muốn vá lỗ hổng trên một PLC, họ không thể làm vào giờ sản xuất — vì tắt máy là dừng dây chuyền. Kiểm tra antivirus trên thiết bị OT có thể gây độ trễ đủ để hỏng sản phẩm. Cập nhật firmware đòi hỏi lịch dừng máy được lên kế hoạch trước hàng tuần.
Đây là lý do 47% nhà sản xuất vẫn đang dựa vào nhà sản xuất thiết bị để bảo mật — thay vì tự chủ động. Nhưng nhà sản xuất thiết bị không phải công ty an ninh mạng. Họ không theo dõi threat intelligence. Họ không có SOC. Và họ không chịu trách nhiệm khi hệ thống của bạn bị xâm nhập.
Bảo mật OT đòi hỏi tư duy khác: không thể vá thì phải cô lập và giám sát. Thay vì chờ đợi thiết bị an toàn tuyệt đối, doanh nghiệp cần xây dựng khả năng phát hiện bất thường và kiểm soát truy cập nghiêm ngặt xung quanh những thiết bị không thể chạm vào.
Bắt đầu từ đâu nếu bạn chưa có gì?
Không cần phải giải quyết tất cả cùng một lúc. Nhưng có ba bước có thể bắt đầu ngay mà không cần ngân sách lớn:
Kiểm kê tài sản OT/IoT. Bạn không thể bảo vệ những gì bạn không biết mình có. Lập danh sách tất cả thiết bị kết nối mạng trong môi trường sản xuất — kể cả camera, gateway, và máy tính vận hành. Đây là bước đầu tiên theo chuẩn IEC 62443.
Phân vùng mạng IT và OT. Đừng để mạng văn phòng và mạng sản xuất chung một dải IP. Tối thiểu cần có firewall công nghiệp và DMZ giữa hai môi trường. Điều này một mình đã có thể ngăn chặn phần lớn các cuộc tấn công lây lan ngang.
Kiểm soát truy cập từ xa. Mọi kết nối từ bên ngoài vào hệ thống OT — kể cả từ nhà thầu — cần đi qua một jump host có xác thực đa yếu tố và ghi log phiên. Không có “truy cập tin tưởng mặc định” vào mạng sản xuất.
Sau ba bước này, mới tính đến SIEM, EDR cho OT, và đánh giá rủi ro đầy đủ theo IEC 62443 hoặc NIST CSF for OT. Nhưng làm được ba bước trên, bạn đã an toàn hơn 70% nhà máy trong khu vực.
Chuyển đổi số và bảo mật phải đi cùng nhau
Nhiều nhà máy Việt Nam đang đầu tư mạnh vào Industry 4.0: robot, cảm biến thông minh, dữ liệu thời gian thực. Đây là xu hướng đúng. Nhưng mỗi thiết bị mới kết nối vào mạng là một điểm tấn công tiềm năng mới. Và nếu bảo mật không được thiết kế song song với chuyển đổi số ngay từ đầu — bạn đang xây một tòa nhà lớn mà không khoá cửa.
Capgemini khảo sát 950 tổ chức toàn cầu và phát hiện: 80% đồng ý rằng an ninh mạng là thành phần thiết yếu của nhà máy thông minh. Nhưng chỉ 51% thực sự đã tích hợp biện pháp bảo mật vào đó. Khoảng cách 29% đó chính là nơi ransomware đang sinh sống.
Và với Việt Nam — nơi ngành sản xuất đang tăng trưởng nhanh, kéo theo làn sóng kết nối thiết bị — khoảng cách này có thể còn lớn hơn con số toàn cầu.
Dịch vụ liên quan: Kiểm thử xâm nhập (VAPT) | Ứng phó sự cố
Nếu doanh nghiệp của bạn đang vận hành dây chuyền sản xuất có kết nối mạng và chưa từng thực hiện đánh giá bảo mật OT — đó là rủi ro bạn đang gánh mỗi ngày mà không biết. Evvo Labs có thể giúp bạn bắt đầu: từ kiểm kê tài sản, đánh giá lỗ hổng hệ thống OT/IoT, đến xây dựng chiến lược bảo mật phù hợp với quy mô và ngân sách thực tế. Liên hệ chúng tôi để trao đổi cụ thể.