Rò rỉ dữ liệu IoT từ 18 tỷ thiết bị không bảo mật và bài toán phòng thủ cho doanh nghiệp

Tính đến năm 2025, báo cáo từ Asimily ghi nhận có khoảng 18 tỷ thiết bị Internet (IoT) đang hoạt động trên toàn cầu và con số này dự kiến sẽ đạt 40 tỷ vào năm 2030. Việc các doanh nghiệp ồ ạt triển khai hệ thống camera giám sát, cảm biến công nghiệp hay thiết bị y tế thông minh đã mang lại hiệu suất vận hành vượt trội.

Tuy nhiên, sự mở rộng này đang kéo theo rủi ro rò rỉ dữ liệu IoT ở quy mô chưa từng có. Khi hàng ngàn thiết bị kết nối vào mạng nội bộ nhưng thiếu đi các tiêu chuẩn an ninh cơ bản, chúng vô tình trở thành những "cửa hậu" lý tưởng để tin tặc xâm nhập, đánh cắp thông tin nhạy cảm và làm tê liệt hệ thống cốt lõi.

Thực trạng và những lỗ hổng chí mạng từ mạng lưới thiết bị

Tin tặc hiện đại không cần nhắm trực tiếp vào máy chủ kiên cố, thay vào đó, chúng khai thác các thiết bị IoT bị bỏ ngỏ.

Tin tặc luôn nhắm vào các thiết bị có mức độ ưu tiên bảo mật thấp để làm điểm bắt đầu xâm nhập sâu hơn vào hệ thống mạng nội bộ. Vào tháng 7 năm 2025, mạng máy tính ma (botnet) mang tên BadBox 2.0 đã lây nhiễm hơn 10 triệu thiết bị IoT, bao gồm tivi thông minh, hệ thống giải trí trên ô tô và khung ảnh kỹ thuật số. Các thiết bị này bị khống chế để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) và đánh cắp tài khoản người dùng trên phạm vi toàn cầu.

Tương tự, mạng botnet Raptor Train đã xâm nhập thành công hơn 200.000 thiết bị định tuyến và camera IP thông qua các lỗ hổng phần mềm chưa được vá. Đối với người dùng tiêu dùng, nền tảng Roku cũng ghi nhận các vụ xâm nhập làm lộ lọt thông tin của 576.000 tài khoản do tin tặc tái sử dụng các mật khẩu đã bị rò rỉ từ trước.

Những kẽ hở khiến rò rỉ dữ liệu IoT bùng phát

Các thiết bị kết nối thường có năng lực điện toán rất hạn chế, dẫn đến việc thiếu hụt các tính năng bảo mật tích hợp.

Dưới đây là những nguyên nhân chính khiến hệ thống dễ bị tổn thương:

• Xác thực yếu kém: Rất nhiều thiết bị IoT khi xuất xưởng vẫn giữ nguyên mật khẩu mặc định như 'admin' hoặc '12345',. Tin tặc dễ dàng tìm thấy các thông tin đăng nhập này trên trang web của nhà sản xuất và tiến hành dò quét diện rộng để xâm nhập.

• Truyền tải dữ liệu không được mã hóa: Các thiết bị thường gửi thông tin nhạy cảm dưới dạng văn bản thuần túy. Điều này cho phép kẻ tấn công dễ dàng chặn bắt và đọc được dữ liệu truyền giữa thiết bị và hệ thống máy chủ trung tâm.

• Phần mềm và Firmware lỗi thời: Nhiều thiết bị vận hành bằng phần mềm đã cũ và không được nhà sản xuất cung cấp các bản cập nhật bảo mật,. Những lỗ hổng tồn tại nhiều năm vẫn bị tin tặc khai thác triệt để.

• Thiếu năng lực giám sát: Nhiều tổ chức hoàn toàn không nắm rõ số lượng và loại thiết bị IoT đang kết nối vào mạng nội bộ của họ, dẫn đến tình trạng mất kiểm soát và không thể phát hiện các hành vi bất thường,.

Rủi ro pháp lý và áp lực tuân thủ tại Việt Nam

Hậu quả của việc không kiểm soát tốt thiết bị IoT không chỉ dừng lại ở mất mát dữ liệu kinh doanh. Theo Nghị định 356/2025/NĐ-CP (có hiệu lực từ ngày 01/01/2026), các cơ quan, tổ chức xử lý dữ liệu phải áp dụng nghiêm ngặt các biện pháp bảo đảm an ninh mạng, chống thất thoát dữ liệu cá nhân trong quá trình lưu trữ và truyền tải.

Đồng thời, Luật An ninh mạng 116/2025/QH15 cũng bắt buộc các chủ quản hệ thống thông tin phải liên tục đánh giá, quản lý rủi ro và khắc phục ngay các lỗ hổng phần cứng, phần mềm. Việc để xảy ra sự cố rò rỉ dữ liệu IoT làm lộ lọt thông tin khách hàng sẽ khiến tổ chức đối mặt với các cuộc thanh tra khắt khe, mức phạt tài chính lớn và sự sụp đổ về niềm tin thương hiệu.

Khung giải pháp ngăn chặn rò rỉ dữ liệu IoT toàn diện

Để dập tắt rủi ro từ thiết bị ngoại vi, các tổ chức cần áp dụng tư duy bảo mật chủ động với các bước thực thi cụ thể:

1. Phân đoạn mạng (Network Segmentation): Tách biệt hoàn toàn mạng dành cho thiết bị IoT ra khỏi mạng máy chủ chứa dữ liệu kinh doanh cốt lõi. Điều này giúp khoanh vùng rủi ro, ngăn tin tặc lây lan mã độc từ một camera IP sang máy chủ kế toán.

2. Thiết lập cấu hình an toàn: Thay đổi toàn bộ mật khẩu mặc định trước khi kết nối thiết bị vào mạng, đồng thời áp dụng Xác thực đa yếu tố (MFA) cho mọi cổng quản trị từ xa.

3. Kiểm soát và giám sát liên tục: Đối với các doanh nghiệp không có đủ ngân sách để xây dựng một đội ngũ kỹ sư bảo mật nội bộ chuyên trách, việc hợp tác với các đơn vị giám sát chuyên nghiệp như hệ sinh thái IPSIP Việt Nam là chiến lược tối ưu để giải bài toán nguồn lực. Dịch vụ Trung tâm Giám sát An ninh mạng 24/7 (SOC) sẽ liên tục phân tích lưu lượng mạng để phát hiện các thiết bị IoT có hành vi bất thường. Kết hợp cùng dịch vụ Quét lỗ hổng bảo mật (Vulnerability Scan), doanh nghiệp có thể chủ động tìm ra các firmware lỗi thời và vá lỗi kịp thời trước khi chúng bị tin tặc khai thác.

Sự bùng nổ của các thiết bị kết nối là nền tảng của chuyển đổi số, nhưng bảo mật phải luôn đi trước một bước. Quản lý chặt chẽ cấu hình thiết bị và duy trì giám sát mạng liên tục chính là chìa khóa duy nhất để doanh nghiệp triệt tiêu nguy cơ rò rỉ dữ liệu IoT trong dài hạn.

-----------

Nguồn tham khảo:

• Báo cáo: "The Top Internet of Things (IoT) Cybersecurity Breaches in 2025" - Asimily.

• Bài viết: "Top 10 IoT Security Risks and How to Mitigate Them" - SentinelOne.

• Bài viết: "Top IoT Device Vulnerabilities: How To Secure IoT Devices" - Fortinet.

• Tài liệu pháp lý: "Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân" & "Luật An ninh mạng 116/2025/QH15".