Ngày 18 tháng 1 năm 2026, nhóm ransomware Qilin xác nhận tấn công vào Vietnam Airlines — đe dọa công khai dữ liệu nhạy cảm nếu không đàm phán. Sự kiện này không phải ngoại lệ. Nó là hệ quả tất yếu của một xu hướng đã rõ ràng: tấn công mạng tại Việt Nam đang chuyển từ “rải rộng” sang “có chủ đích” — và vũ khí của kẻ tấn công ngày càng tinh vi nhờ AI. Theo Hiệp hội An ninh mạng Quốc gia Việt Nam, năm 2025 ghi nhận khoảng 552.000 cuộc tấn công mạng — giảm 19% so với 2024. Nhưng con số đó nói dối. Tỷ lệ tổ chức bị ảnh hưởng tăng từ 46,15% lên 52,3%. Tổn thất lừa đảo trực tiếp vượt 8.000 tỷ đồng. Hơn 8,5 triệu tài khoản người dùng bị đánh cắp chỉ trong nửa đầu năm. Số lượng tấn công giảm — nhưng thiệt hại tăng. Kẻ tấn công không cần nhiều phát nữa. Một phát trúng là đủ. Và câu hỏi đặt ra cho mọi doanh nghiệp Việt Nam: hạ tầng của bạn có chịu được “một phát” đó không?

Tại sao VAPT truyền thống không còn đủ

Kiểm thử xâm nhập (VAPT) theo cách truyền thống — chạy scan, tìm lỗ hổng, báo cáo, sửa — vẫn cần thiết. Nhưng nó không còn đủ cho bối cảnh đe dọa năm 2026. Ba lý do: Lỗ hổng được khai thác nhanh hơn bao giờ hết. Từ khi PoC (bằng chứng khái niệm) được công bố đến khi kẻ tấn công quét khai thác, chỉ mất khoảng 4 giờ. Vòng đời vũ khí hóa lỗ hổng rút ngắn từ hàng tuần xuống chưa đầy 8 ngày. Pentest hàng năm không thể bắt kịp tốc độ này. AI thay đổi cuộc chơi. 46% cuộc tấn công mạng năm 2025 có yếu tố AI — từ tạo malware đa hình (polymorphic malware) lách detection, đến phishing được cá nhân hóa bằng AI, đến tự động hóa trinh sát. Kẻ tấn công dùng AI để tìm lỗ hổng nhanh hơn — defender cũng cần dùng AI để phát hiện nhanh hơn. Chuỗi cung ứng là mặt trận mới. Sự cố Vietnam Airlines cho thấy: kẻ tấn công không cần trực tiếp nhắm vào mục tiêu chính. Họ có thể xâm nhập qua nhà cung cấp dịch vụ, đối tác IT, hoặc vendor phần mềm. VAPT chỉ quét phạm vi nội bộ sẽ bỏ sót vector này.

VAPT thế hệ mới — doanh nghiệp Việt Nam cần gì thực sự

VAPT năm 2026 không chỉ là “tìm lỗ hổng.” Nó là mô phỏng tấn công thực tế — với tư duy của kẻ tấn công, sử dụng kỹ thuật tương đương. 1. Penetration testing dựa trên rủi ro, không dựa trên checklist Thay vì quét tất cả 93 controls hay chạy scanner qua toàn bộ hạ tầng, VAPT hiệu quả bắt đầu bằng câu hỏi: tài sản nào quan trọng nhất? Kẻ tấn công sẽ nhắm vào đâu? Vector nào khả thi nhất? Tập trung vào những gì kẻ tấn công THỰC SỰ nhắm tới — không phải những gì scanner tìm thấy dễ nhất. 2. Kiểm thử chuỗi cung ứng Doanh nghiệp có sử dụng nhà cung cấp SaaS? Vendor quản lý hạ tầng? Đối tác truy cập vào hệ thống nội bộ? Tất cả đều là vector tấn công. VAPT thế hệ mới phải bao gồm đánh giá security của bên thứ ba — không chỉ ranh giới nội bộ. 3. Mô phỏng tấn công AI-assisted Kẻ tấn công dùng AI để tạo phishing bypass filter, tạo malware lách antivirus, và tự động hóa trinh sát. VAPT cũng cần mô phỏng chính xác các kỹ thuật này — để kiểm tra xem hệ thống phát hiện của doanh nghiệp có hoạt động không. Điều này không thay thế red team đầy đủ — nhưng nó cung cấp bằng chứng cụ thể về khả năng phòng thủ trước các kỹ thuật tấn công hiện đại. 4. Kiểm thử liên tục, không phải một lần Hạ tầng IT thay đổi liên tục — cập nhật phần mềm, thêm service mới, thay đổi config. VAPT một lần mỗi năm không phản ánh trạng thái bảo mật thực tế. Mô hình VAPT liên tục — kết hợp assessment định kỳ (hàng quý) và continuous vulnerability monitoring — cho phép phát hiện lỗ hổng mới ngay khi chúng xuất hiện, không phải chờ đến đợt pentest tiếp theo.

Luật An ninh mạng 2026 — VAPT không còn là tùy chọn

Luật An ninh mạng mới (Luật số 116/2025/QH15) có hiệu lực từ ngày 1 tháng 7 năm 2026, với các yêu cầu trực tiếp liên quan đến VAPT: Hệ thống hạ tầng trọng yếu: Hạ tầng quan trọng quốc gia ở mức độ 3 trở lên BẮT BUỘC kiểm thử xâm nhập định kỳ — không phải khuyến nghị. Báo cáo sự cố trong 24 giờ: Khi phát hiện sự cố, doanh nghiệp phải thông báo cho cơ quan chức năng trong vòng 24 giờ. Hệ thống chưa từng được pentest sẽ không biết mình đang bị tấn công cho đến khi thiệt hại đã xảy ra. TCVN 14423:2025: Tiêu chuẩn quốc gia về kiểm thử xâm nhập — quy định phương pháp luận, quy trình, và yêu cầu năng lực cho đơn vị thực hiện pentest. Doanh nghiệp chọn nhà cung cấp VAPT cần đảm bảo họ tuân thủ tiêu chuẩn này.

Chi phí VAPT vs chi phí không làm VAPT

Một đợt pentest cho doanh nghiệp SME tại Việt Nam thường dao động từ 15 đến 30 triệu đồng — tùy phạm vi và độ phức tạp. VAPT liên tục (hàng quý + monitoring) có thể lên đến 60–100 triệu đồng mỗi năm. So sánh với: – Chi phí phục hồi sau ransomware trung bình toàn cầu: 1,85 triệu USD (khoảng 47 tỷ đồng) – Tổn thất lừa đảo trực tuyến tại Việt Nam năm 2025: hơn 8.000 tỷ đồng – Mức phạt PDPL đối với vi phạm dữ liệu: lên đến 3 tỷ đồng hoặc 5% doanh thu VAPT không phải chi phí. Đó là bảo hiểm — với tỷ lệ hoàn vốn cao hơn hầu hết các hình thức bảo hiểm khác.

Bắt đầu từ đâu

Nếu doanh nghiệp chưa từng pentest: Bước 1: Xác định tài sản quan trọng nhất — hệ thống nào, nếu bị tấn công, gây thiệt hại lớn nhất? Bước 2: Chọn nhà cung cấp VAPT có kinh nghiệm tại Việt Nam, tuân thủ TCVN 14423:2025, và hiểu bối cảnh pháp lý (Luật An ninh mạng, PDPL). Bước 3: Bắt đầu với một đợt pentest tập trung vào tài sản quan trọng nhất — không cần quét tất cả mọi thứ ngay lập tức. Bước 4: Dựa trên kết quả, xây dựng kế hoạch khắc phục và thiết lập mô hình VAPT liên tục. Nếu doanh nghiệp đã pentest nhưng chưa cập nhật phương pháp: Hãy hỏi nhà cung cấp hiện tại: họ có kiểm thử chuỗi cung ứng không? Có mô phỏng kỹ thuật tấn công AI không? Có continuous monitoring không? Nếu câu trả lời là không — đã đến lúc xem xét nâng cấp.

Evvo Labs — VAPT thế hệ mới cho doanh nghiệp Việt Nam

Evvo Labs cung cấp dịch vụ VAPT theo tiêu chuẩn TCVN 14423:2025, với đội ngũ CREST-certified và kinh nghiệm thực chiến tại thị trường Việt Nam. Chúng tôi không chỉ tìm lỗ hổng — mà mô phỏng kịch bản tấn công thực tế, bao gồm chuỗi cung ứng và kỹ thuật AI-assisted. Nếu doanh nghiệp của bạn cần đánh giá trạng thái bảo mật hiện tại, liên hệ Evvo Labs để trao đổi cụ thể.

Dịch vụ liên quan: Kiểm thử xâm nhập (VAPT) | Tư vấn ISO 27001