Việt Nam đang chứng kiến sự gia tăng chưa từng có về tần suất và mức độ nghiêm trọng của các cuộc tấn công mạng. Chỉ riêng năm 2024, theo Hiệp hội An ninh mạng Quốc gia (NCA), ước tính có hơn 659.000 vụ tấn công mạng, với 46,15% cơ quan và doanh nghiệp cho biết từng bị tấn công ít nhất một lần.
Nhìn lại những sự cố lớn nhất trong lịch sử an ninh mạng Việt Nam, mỗi vụ việc đều để lại những bài học quý giá — và đặc biệt, hầu hết đều có thể giảm thiểu thiệt hại nếu tổ chức đã từng diễn tập ứng phó trước đó.
1. Tấn công vào hệ thống sân bay và Vietnam Airlines (2016)
Chuyện gì đã xảy ra?
Ngày 29/07/2016, hệ thống thông tin tại các sân bay Tân Sơn Nhất và Nội Bài cùng website của Vietnam Airlines bị tấn công đồng thời. Màn hình hiển thị thông tin chuyến bay bị chiếm quyền, hệ thống âm thanh phát nội dung do tin tặc kiểm soát, website bị thay đổi giao diện (deface) và dữ liệu của hơn 400.000 hội viên Lotusmiles bị công khai. Nhóm tin tặc 1937CN được cho là đứng sau vụ tấn công.
Theo đánh giá của Hiệp hội An toàn thông tin Việt Nam (VNISA), đây là dạng tấn công APT có chủ đích, được chuẩn bị kỹ lưỡng, và có dấu hiệu cho thấy hệ thống đã bị xâm nhập từ giữa năm 2014 — tức gần 2 năm trước khi sự cố bùng phát.
Bài học diễn tập: Nếu tổ chức từng diễn tập kịch bản tấn công APT nhắm vào hạ tầng trọng yếu, khả năng phát hiện dấu hiệu xâm nhập sớm sẽ cao hơn đáng kể. Thời gian kẻ tấn công nằm trong hệ thống (dwell time) gần 2 năm cho thấy năng lực threat hunting và giám sát liên tục còn nhiều lỗ hổng.
2. Tấn công ransomware vào VNDIRECT (03/2024)
Chuyện gì đã xảy ra?
Ngày 24/03/2024, hệ thống của Công ty Chứng khoán VNDIRECT — một trong những công ty chứng khoán lớn nhất Việt Nam — bị tấn công ransomware. Tin tặc khống chế toàn bộ hạ tầng ảo hóa và mã hóa tất cả dữ liệu. Hệ thống giao dịch ngừng hoạt động hoàn toàn, kết nối với các sở giao dịch chứng khoán HNX và HoSE bị ngắt. Phải mất khoảng 8 ngày, VNDIRECT mới khôi phục được hoạt động giao dịch.
Bài học diễn tập: Kịch bản ransomware mã hóa toàn bộ hạ tầng ảo hóa nên là một trong những kịch bản bắt buộc trong mọi chương trình diễn tập. Bài học lớn nhất là kiểm tra khả năng khôi phục từ bản sao lưu: backup có thực sự hoạt động không, mất bao lâu để restore, và đội ngũ có từng thực hành quy trình này dưới áp lực thời gian chưa?
3. Tấn công ransomware vào PVOIL (04/2024)
Chuyện gì đã xảy ra?
Chỉ vài ngày sau sự cố VNDIRECT, ngày 02/04/2024, Tổng Công ty Dầu Việt Nam (PVOIL) bị tấn công ransomware có chủ đích. Hệ thống CNTT bị ngưng trệ, bao gồm hệ thống phát hành hóa đơn điện tử phục vụ bán hàng — ảnh hưởng trực tiếp đến hoạt động kinh doanh xăng dầu trên toàn quốc.
Bài học diễn tập: Sự cố cho thấy ransomware không chỉ mã hóa dữ liệu mà còn có thể làm tê liệt chuỗi vận hành kinh doanh. Diễn tập cần bao gồm kịch bản mất hệ thống hóa đơn, thanh toán, ERP — những hệ thống mà khi ngừng hoạt động sẽ gây thiệt hại doanh thu ngay lập tức. Tabletop Exercise cho ban lãnh đạo cũng cần thực hành tình huống: hệ thống giao dịch chính ngừng hoạt động — làm gì trong 24 giờ đầu tiên?
4. Tấn công ransomware vào Vietnam Post (2024)
Chuyện gì đã xảy ra?
Năm 2024, Tổng Công ty Bưu điện Việt Nam (Vietnam Post) cũng trở thành nạn nhân của ransomware, tiếp tục chuỗi sự cố nghiêm trọng nhắm vào các doanh nghiệp nhà nước lớn. Hệ thống bị gián đoạn ảnh hưởng đến hoạt động bưu chính trên diện rộng.
Bài học diễn tập: Ba vụ ransomware liên tiếp (VNDIRECT, PVOIL, Vietnam Post) trong một khoảng thời gian ngắn cho thấy đây không phải sự cố cá biệt mà là một chiến dịch tấn công có xu hướng nhắm vào các tổ chức lớn tại Việt Nam. Bài học: diễn tập không phải việc “để khi nào rảnh” — khi một tổ chức cùng ngành bị tấn công, đó là tín hiệu để tổ chức khác nâng mức cảnh giác và kiểm tra lại toàn bộ năng lực phòng thủ ngay lập tức.
5. Tấn công ransomware vào Tập đoàn CMC (04/2025)
Chuyện gì đã xảy ra?
Tháng 4/2025, Tập đoàn Công nghệ CMC — một trong những doanh nghiệp CNTT hàng đầu Việt Nam — xác nhận bị tấn công ransomware có chủ đích. Nhóm tin tặc Crypto24 được cho là đứng sau vụ tấn công, với khoảng 2TB dữ liệu bị khống chế. Điều đáng chú ý là ngay cả một tập đoàn công nghệ với năng lực bảo mật chuyên nghiệp cũng không tránh khỏi.
Bài học diễn tập: Không có tổ chức nào “quá lớn” hay “quá chuyên nghiệp” để miễn nhiễm trước ransomware. Diễn tập cần được thực hiện định kỳ bất kể quy mô tổ chức. Bài học từ CMC cũng nhấn mạnh tầm quan trọng của việc diễn tập kịch bản tấn công chuỗi cung ứng — khi một nhà cung cấp dịch vụ CNTT bị tấn công, hàng trăm khách hàng của họ cũng bị ảnh hưởng.
6. Lộ lọt dữ liệu hành khách Vietnam Airlines qua bên thứ ba (2025)
Chuyện gì đã xảy ra?
Tháng 10/2025, thông tin về việc dữ liệu hành khách của Vietnam Airlines bị rò rỉ được công bố trên trang Have I Been Pwned (HIBP). Vụ việc xuất phát từ sự cố bảo mật tại Salesforce — nền tảng CRM do bên thứ ba vận hành. Nhóm tin tặc xâm nhập vào hệ thống Salesforce vào tháng 6/2025, ảnh hưởng đến 39 công ty trên thế giới, trong đó có Vietnam Airlines. Dữ liệu bị lộ bao gồm tên, số điện thoại, ngày sinh và mã số thành viên.
Bài học diễn tập: Tổ chức không chỉ cần diễn tập cho hệ thống nội bộ mà cả kịch bản sự cố từ bên thứ ba (third-party breach). Câu hỏi cần thực hành: khi nhà cung cấp dịch vụ bị tấn công, ai là người được thông báo đầu tiên? Quy trình đánh giá mức độ ảnh hưởng như thế nào? Khi nào và bằng cách nào thông báo cho khách hàng? Đây là kịch bản Tabletop Exercise lý tưởng cho ban lãnh đạo.
7. Tấn công hàng loạt website .gov.vn và .edu.vn (2023)
Chuyện gì đã xảy ra?
Năm 2023, có tới 554 website của cơ quan chính phủ (.gov.vn) và giáo dục (.edu.vn) bị xâm nhập, chèn mã quảng cáo cờ bạc, cá độ. Trong đó 342 trang .edu.vn và 212 trang .gov.vn bị tấn công, nhiều website bị tấn công lặp lại nhiều lần mà không được khắc phục triệt để.
Bài học diễn tập: Vấn đề ở đây không phải kỹ thuật tấn công phức tạp mà là quản lý lỗ hổng cơ bản (patch management) và thiếu quy trình giám sát liên tục. Diễn tập theo kịch bản defacement/web shell nên là bài tập cơ bản nhất cho mọi tổ chức vận hành website công. Bài tập đơn giản: website bị chèn mã độc — SOC mất bao lâu để phát hiện? Quy trình khắc phục và truyền thông như thế nào?
8. Hơn 83.000 máy tính bị ransomware tấn công (2023)
Chuyện gì đã xảy ra?
Theo thống kê của Công ty An ninh mạng Quốc gia (NCS), năm 2023 có hơn 83.000 máy tính và máy chủ tại Việt Nam bị mã độc mã hóa dữ liệu tống tiền tấn công, tăng 8,4% so với năm 2022. Con số này cho thấy ransomware không chỉ nhắm vào tổ chức lớn mà phủ rộng ở mọi quy mô.
Bài học diễn tập: Tổ chức cần diễn tập kịch bản endpoint bị nhiễm ransomware: một máy trạm trong mạng nội bộ bắt đầu mã hóa file — phát hiện trong bao lâu, cô lập bằng cách nào, và ngăn lây lan ra toàn mạng như thế nào? Đây là kịch bản cơ bản nhất nhưng nhiều đội SOC chưa từng thực hành dưới áp lực thời gian thực.
9. Bùng phát lừa đảo trực tuyến kết hợp DeepFake (2023–2024)
Chuyện gì đã xảy ra?
Trong giai đoạn 2023–2024, Việt Nam chứng kiến sự bùng nổ của lừa đảo trực tuyến kết hợp công nghệ DeepFake. Kẻ xấu sử dụng dữ liệu cá nhân bị lộ lọt, dựng kịch bản riêng cho từng mục tiêu, giả mạo hình ảnh và giọng nói của người thân, đồng nghiệp hoặc cấp trên để thực hiện lừa đảo. Nhiều nạn nhân mất số tiền lên tới hàng tỷ đồng. Hơn 24 hình thức lừa đảo khác nhau được ghi nhận.
Bài học diễn tập: Lừa đảo bằng social engineering và DeepFake nên trở thành kịch bản diễn tập bắt buộc — đặc biệt cho bộ phận tài chính và kế toán. Kịch bản: nhân viên nhận được video call từ “giám đốc” yêu cầu chuyển khoản khẩn cấp — quy trình xác minh như thế nào? Ai có quyền phê duyệt? Bao nhiêu bước xác nhận là đủ? Đây là bài tập Tabletop đơn giản nhưng hiệu quả cao.
10. Tấn công mạng quy mô lớn nhắm vào hạ tầng trọng yếu (2024)
Chuyện gì đã xảy ra?
Năm 2024, Cục An toàn thông tin ghi nhận hơn 74.000 vụ tấn công mạng nhắm vào các đơn vị trọng yếu của Việt Nam. Theo Viettel Cyber Security, trong năm 2024, họ đã ứng cứu an ninh mạng cho 15 tổ chức và doanh nghiệp trước làn sóng tấn công ransomware dạng phá hủy. Riêng Kaspersky ghi nhận 29.282 vụ tấn công ransomware nhắm vào doanh nghiệp Việt, trung bình 80 vụ mỗi ngày.
Bài học diễn tập: Các con số cho thấy tấn công mạng đã trở thành sự kiện thường nhật, không còn là chuyện “nếu xảy ra” mà là “khi nào xảy ra”. Diễn tập cần được thực hiện định kỳ, liên tục, và nâng cấp kịch bản theo xu hướng tấn công mới nhất — không phải diễn tập một lần rồi để đó.
Mẫu số chung: Tại sao diễn tập có thể thay đổi kết quả?
Nhìn xuyên suốt 10 vụ việc trên, có thể thấy các mẫu số chung:
Thời gian phát hiện quá lâu. Nhiều cuộc tấn công APT tồn tại trong hệ thống hàng tháng, thậm chí hàng năm trước khi bị phát hiện. Diễn tập threat hunting và Purple Team giúp rút ngắn thời gian này bằng cách liên tục kiểm tra khả năng phát hiện trước các kỹ thuật tấn công mới.
Quy trình ứng phó chưa sẵn sàng. Khi sự cố xảy ra, nhiều tổ chức rơi vào lúng túng vì chưa từng thực hành quy trình. Tabletop Exercise giúp ban lãnh đạo và các bộ phận nắm rõ vai trò, trách nhiệm và trình tự hành động trước khi áp lực thực sự đến.
Backup không hoạt động khi cần nhất. Nhiều tổ chức có backup nhưng chưa bao giờ kiểm tra khả năng khôi phục. Cyber Drill nên bao gồm bài tập khôi phục hệ thống từ backup trong điều kiện giả lập ransomware.
Rủi ro từ bên thứ ba bị bỏ qua. Sự cố Vietnam Airlines qua Salesforce cho thấy chuỗi cung ứng công nghệ là mặt trận cần được diễn tập riêng. Khi nhà cung cấp bị tấn công, bạn có kế hoạch phản ứng không?
Nhận thức nhân viên là tuyến phòng thủ đầu tiên. Lừa đảo DeepFake, phishing, social engineering — tất cả đều khai thác con người trước khi khai thác hệ thống. Diễn tập phishing simulation và đào tạo nhận thức nên là hoạt động thường xuyên, không chỉ một lần mỗi năm.
Kết luận
Mỗi vụ tấn công mạng lớn tại Việt Nam đều là một lời cảnh tỉnh — nhưng cũng là một bài học để các tổ chức khác không lặp lại sai lầm tương tự. Điểm chung rõ ràng nhất: những tổ chức từng diễn tập, từng thực hành ứng phó, từng kiểm tra backup sẽ phản ứng nhanh hơn, thiệt hại ít hơn và phục hồi sớm hơn.
Câu hỏi không phải là “tổ chức của bạn có bị tấn công không” mà là “khi bị tấn công, bạn đã sẵn sàng chưa?”
Security365 cung cấp dịch vụ tổ chức diễn tập an toàn thông tin với kịch bản được xây dựng từ các vụ tấn công thực tế tại Việt Nam — giúp tổ chức không chỉ học từ lý thuyết mà từ những bài học đau thương của thị trường. Liên hệ với chúng tôi để bắt đầu chương trình diễn tập phù hợp.
Security365 