Vừa qua, ngày 17 – 19/7/ 2025, hệ thống tập đoàn dầu khí Nga Gazprom – một trong những “gã khổng lồ” năng lượng toàn cầu – đã bị hacker người Ukraine tấn công, xóa toàn bộ dữ liệu, làm tê liệt cả hệ thống điều khiển, SCADA, tài chính và sao lưu dữ liệu của hàng trăm đơn vị thành viên (The Kyiv Independent).
Sự việc này là lời cảnh tỉnh mạnh mẽ trước bất cứ doanh nghiệp nào hoạt động trong ngành dầu khí, năng lượng, hạ tầng hoặc tài chính – trong đó có các doanh nghiệp tại Việt Nam.

1. Bài học từ Gazprom

• Hacker đã xóa sạch dữ liệu cả trên máy chủ, sao lưu và nền tảng đám mây, khiến 20.000 tài khoản quản trị không thể truy cập (United24 Media, Українські Національні Новини (УНН)).
• Các hệ thống SCADA, điều khiển máy bơm, van, lưu lượng… đã bị vô hiệu hóa hoàn toàn – nếu không có kế hoạch dự phòng kỹ càng, tương lai tương tự rất dễ xảy ra (Українські Національні Новини (УНН), Euromaidan Press).

2. Mối đe dọa an ninh mạng với doanh nghiệp Việt

• DN Việt Nam đang chuyển đổi số mạnh mẽ, ứng dụng ERP/SCADA/IoT… nhưng vẫn thiếu hệ thống quan sát vận hành, sao lưu đa địa điểm và ứng phó khủng hoảng sự cố cấp cao.
• Một cuộc tấn công xóa dữ liệu có thể:
  • Gián đoạn sản xuất, ngưng trệ chuỗi cung ứng;
  • Mất dữ liệu khách hàng, hợp đồng, chứng từ tài chính, ảnh hưởng đến hoạt động Kế toán – Tài chính;
  • Giảm uy tín trên thị trường và đối diện rủi ro pháp lý, phạt vi phạm an toàn thông tin theo Nghị định 85/2021/NĐ‑CP;
  • Thiệt hại tài chính lớn, tổn thất kinh doanh kéo dài.

Dưới góc nhìn chuyên môn, vụ tấn công vào Gazprom (Nga) vừa qua là một ví dụ điển hình của chiến dịch APT (Advanced Persistent Threat) phối hợp, có kế hoạch rõ ràng, thực hiện qua nhiều bước.

Dựa trên các nguồn tin từ Kyiv Independent, United24 Media và Euromaidan Press, có thể khái quát các bước hacker đã thực hiện như sau:

---

🪓 Các bước hacker đã thực hiện

1️⃣ Trinh sát & thu thập thông tin (Reconnaissance)

• Thời gian: nhiều tuần/tháng trước tấn công.
• Hacker âm thầm thu thập thông tin về hạ tầng mạng, sơ đồ hệ thống, tên miền nội bộ, các địa chỉ IP, cấu hình hệ thống quản lý SCADA/ERP của Gazprom.
• Khai thác nguồn mở (OSINT), dữ liệu rò rỉ trước đó, mua bán trên dark web thông tin đăng nhập của nhân viên, nhà thầu.

2️⃣ Xâm nhập ban đầu (Initial Access)

• Sử dụng tài khoản hợp pháp bị đánh cắp (Credential theft) để đăng nhập vào VPN hoặc cổng quản trị mạng.
• Một số giả định khác: thông qua lỗ hổng chưa vá trên máy chủ hoặc thiết bị biên, hoặc email lừa đảo spear‑phishing.

3️⃣ Thiết lập chỗ đứng (Establish foothold)

• Sau khi vào được hệ thống, cài đặt backdoor/malware (ví dụ Cobalt Strike beacon hoặc tương tự) để duy trì quyền truy cập lâu dài.
• Tạo người dùng admin giả để tránh bị phát hiện.

4️⃣ Di chuyển ngang & leo thang đặc quyền (Lateral Movement & Privilege Escalation)

• Khéo léo di chuyển giữa các server, vùng mạng, “nhảy” từ hệ thống văn phòng sang hệ thống vận hành (OT) để đạt quyền truy cập sâu nhất.
• Chiếm quyền của tài khoản admin tối cao (Domain Admin, Root).

5️⃣ Tấn công vào hệ thống lưu trữ và sao lưu (Targeting Backups)

• Xác định nơi lưu trữ dữ liệu sao lưu (tại chỗ, NAS, đám mây), xóa hoặc mã hóa dữ liệu dự phòng để doanh nghiệp không thể khôi phục.

6️⃣ Phá hủy & xóa dữ liệu (Data Destruction)

• Sau khi chiếm toàn bộ hệ thống, hacker xóa dữ liệu vận hành, hệ điều khiển, tài chính, SCADA và cả backup.
• Có thể sử dụng công cụ wiper (phần mềm xóa sạch) hoặc lệnh xóa trực tiếp.

7️⃣ Thoát khỏi hệ thống & che dấu dấu vết (Cleanup & Exit)

• Xóa log, xóa tài khoản admin giả, để lại hậu quả nhưng khó truy vết đường đi.
• Một số báo cáo cho biết hacker cũng làm hư hỏng cả phần mềm điều khiển khiến việc phục hồi gặp nhiều trở ngại.

🎯 Điều đáng lưu ý:
Cuộc tấn công này không phải chớp nhoáng, mà là một chiến dịch có chuẩn bị kỹ, khai thác điểm yếu quy trình và nhận thức con người. Đây chính là lý do tại sao các DN Việt không thể chỉ trông cậy vào công cụ, mà cần một chiến lược toàn diện – bao gồm công nghệ, quy trình, đào tạo và diễn tập ứng phó.

3. Giải pháp – Chiến lược bảo mật cần thiết cho Doanh nghiệp Việt Nam

• Xây dựng và kiểm thử chiến lược sao lưu đa lớp (on‑site + off‑site + immutable backups) để đảm bảo hệ thống có thể khôi phục nhanh.
• Thực hiện bảo vệ hệ thống OT/ICS, phân tách mạng, segment rõ quyền truy cập giữa vận hành và IT.
• Ứng dụng chuyên sâu SIEM, EDR/MDR với giám sát 24/7, phát hiện bất thường tức thời.
• Đào tạo nhân viên thường xuyên về an toàn thông tin, rèn luyện phản ứng sự cố (cyber drills).
• Hợp tác với đối tác an ninh mạng uy tín, để đánh giá nguy cơ và ứng phó kịp thời.

🛡 Checklist phòng thủ an ninh mạng toàn diện cho Doanh nghiệp Việt Nam

🔍 1️⃣ Chống trinh sát & thu thập thông tin (Reconnaissance)

• Rà soát định kỳ dữ liệu bị rò rỉ (dark web monitoring) – đặc biệt là tài khoản email, VPN, admin.
• Hạn chế tối đa thông tin công khai về hạ tầng mạng, nhân sự trên website, LinkedIn.
• Áp dụng kỹ thuật “security through obscurity” với tên miền nội bộ, cấu hình.

---

🚪 2️⃣ Ngăn xâm nhập ban đầu (Initial Access)

• Bắt buộc xác thực đa yếu tố (MFA) với tất cả truy cập từ xa (VPN, email, admin panel).
• Vá lỗ hổng phần mềm, firmware ngay khi có bản cập nhật.
• Diễn tập giả lập phishing để nâng cao nhận thức nhân viên.
• Triển khai firewall ứng dụng web (WAF) & chống DDOS ở biên mạng.

---

🪜 3️⃣ Giới hạn chỗ đứng & di chuyển ngang (Foothold & Lateral Movement)

• Áp dụng nguyên tắc phân quyền tối thiểu (least privilege), phân tách rõ mạng IT/OT.
• Giám sát đăng nhập bất thường (SIEM/SOC) & cảnh báo khi có tài khoản mới bất thường.
• Chặn giao thức nguy hiểm (RDP, SMBv1) ra ngoài Internet.

---

📁 4️⃣ Bảo vệ dữ liệu & sao lưu (Backups & Data)

• Sao lưu dữ liệu theo mô hình 3‑2‑1: 3 bản, 2 loại thiết bị khác nhau, 1 bản off‑site/immutable.
• Định kỳ kiểm thử phục hồi dữ liệu.
• Mã hóa dữ liệu quan trọng cả khi lưu trữ lẫn khi truyền tải.

---

🚨 5️⃣ Phản ứng & phục hồi (Incident Response & Recovery)

• Xây dựng quy trình ứng phó sự cố (IRP) rõ ràng: ai chịu trách nhiệm, liên hệ ai, bước nào trước.
• Diễn tập kịch bản tấn công hủy hoại dữ liệu, ransomware định kỳ.
• Lập danh sách đối tác hỗ trợ khẩn cấp (Vina Aspire, cơ quan quản lý…).

---

📊 6️⃣ Giám sát liên tục & nâng cao nhận thức

• Triển khai hệ thống giám sát an ninh tập trung 24/7 (SOC hoặc MSSP).
• Đào tạo định kỳ cho nhân viên: nhận biết phishing, quy trình báo cáo sự cố.
• Thường xuyên kiểm tra, đánh giá an ninh mạng (pentest, red team).

Chống tấn công mạng không chỉ là cài phần mềm diệt virus – mà là chiến lược toàn diện, đồng bộ. Vụ Gazprom là minh chứng: những doanh nghiệp lớn với hạ tầng phức tạp nhưng thiếu chuẩn bị vẫn có thể bị hạ gục.

Đừng đợi đến khi dữ liệu bị xóa mới hành động. Chủ động phòng thủ ngay hôm nay sẽ giúp doanh nghiệp tiết kiệm hàng triệu đô la và giữ vững uy tín thị trường.

Gazprom – tập đoàn năng lượng lớn trên thế giới – còn bị làm tê liệt bởi một cuộc tấn công mạng quy mô, thì DN Việt hoàn toàn có thể rơi vào tình trạng tương tự nếu chủ quan. Đây không còn là vấn đề “có thể xảy ra”, mà là điều chắc chắn sẽ xảy ra nếu không chuẩn bị kỹ càng.

👉 Hãy hành động ngay hôm nay: Xây dựng chiến lược an ninh mạng bao quát từ phòng thủ đến phản ứng – nhằm bảo vệ dữ liệu quan trọng, vận hành liên tục và thương hiệu doanh nghiệp.

Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ công nghệ cao, Trí tuệ nhân tạo (AI), An ninh mạng, bảo mật & an toàn thông tin. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com

Vina Aspire – Vững bảo mật, trọn niềm tin