100% doanh nghiệp Việt có mã độc, mỗi phút mất 8,6 tỷ đồng, ngành ngân hàng là mục tiêu số 1

Dữ liệu gây sốc từ báo cáo Tổng hợp An ninh mạng của Công ty An ninh mạng Việt Nam VSEC - Thành viên Tập đoàn Công nghệ G-Group, giám sát hơn 10.000 máy chủ và 30.000 máy trạm trên toàn cầu của VSEC đã bóc trần một thực tế nghiệt ngã: 100% doanh nghiệp Việt khi được kiểm tra đều phát hiện mã độc đang "nằm vùng" trong hệ thống.

Trong khi các CEO mải mê chi hàng tỷ đồng cho những "bức tường" kỹ thuật đắt đỏ, họ lại bỏ quên một lỗ hổng chí mạng: Đó là danh tính của nhân viên.

Cơn ác mộng bảo mật lớn nhất năm 2025 không đến từ các cuộc tấn công trực diện vào tường lửa, mà bắt nguồn từ chính sự lỏng lẻo trong quản trị "con người" từ bên trong.

100% doanh nghiệp đều có lỗ hổng

Sự tự tin về độ bảo mật của các doanh nghiệp Việt dường như đang bị lung lay dữ dội trước những con số thực tế. Theo ông Phan Hoàng Giáp, Phó Tổng giám đốc VSEC chia sẻ trong Báo cáo An ninh mạng 2025: "100% doanh nghiệp khi kiểm tra đánh giá xâm nhập (Compromise Assessment) thì đều có mã độc đã nằm vùng".

Điều này đồng nghĩa với việc, dù bạn có cảm thấy hệ thống đang vận hành trơn tru đến đâu, khả năng cao là một "con ngựa thành Troy" nào đó đã âm thầm vượt qua lớp bảo vệ và đang chờ đợi thời cơ để bùng phát. Mã độc không còn chỉ là những cuộc tấn công chớp nhoáng, chúng chọn cách "nằm vùng", thu thập dữ liệu và quan sát hành vi người dùng trong thời gian dài.

Đáng báo động hơn, số liệu từ VSEC cho thấy cứ 10 doanh nghiệp được rà soát thì có đến 8 đơn vị gặp lỗi trong quản trị danh tính (Identity Management). Tình trạng này đặc biệt nghiêm trọng ở nhóm doanh nghiệp vừa và nhỏ (SMB) với tỷ lệ sai phạm chạm mốc 100%.

“Cứ 10 doanh nghiệp tại Việt Nam tham gia rà soát, kiểm thử hay đánh giá bảo mật thì có tới 8 doanh nghiệp gặp phải các điểm yếu về quản trị danh tính (Identify Management). Tỷ lệ này thậm chí lên đến 100% đối với các doanh nghiệp vừa và nhỏ (SMB)", báo cáo từ chuyên gia của VSEC tổng hợp từ trung bình 100 case đánh giá bảo mật thực hiện trong năm 2025.

Quản trị danh tính không chỉ đơn thuần là tên đăng nhập và mật khẩu. Đó là cả một hệ thống phân quyền, giám sát và xác thực. Việc cấp quyền quá tay cho nhân viên, không thu hồi tài khoản của người đã nghỉ việc, hay thiếu các lớp xác thực đa yếu tố mạnh mẽ đang biến danh tính người dùng thành một "con đường trải thảm" để hacker danh chính ngôn thuận bước vào hệ thống core của doanh nghiệp.

Khi danh tính bị chiếm đoạt, hacker không cần phải "bẻ khóa" cửa sổ, chúng đơn giản là dùng chìa khóa vạn năng để đi qua cửa chính dưới cái tên của một nhân viên mẫn cán.

Bên cạnh đó, báo cáo của VSEC cũng cho thấy tổng thiệt hại do tội phạm mạng năm 2025 ước tính đạt 10,5 nghìn tỷ USD trên toàn cầu (tăng 31% so với năm 2024), tương đương mức tổn thất 333.000 USD mỗi phút (8,6 tỷ đồng).

Ngoài ra, số liệu cho thấy tấn công mã hóa dữ liệu (Ransomware) trong 6 tháng đầu năm 2025 tại riêng Việt Nam gây thiệt hại hơn 250 tỷ VNĐ. Lừa đảo trực tuyến (giai đoạn 2020-2025) gây thiệt hại gần 40.000 tỷ VNĐ. Tổng thiệt hại do các hình thức tấn công mạng nhắm vào doanh nghiệp là 18.900 tỷ VNĐ.

Ngành Ngân hàng - Tài chính (BFSI) vẫn là mục tiêu số 1 với 43% sự kiện an ninh mạng trên máy chủ và 48% trên thiết bị mạng thuộc về khối này.

Deepfake và sự trỗi dậy của "Kỹ nghệ lừa đảo" 2.0

Sự bùng nổ của trí tuệ nhân tạo (AI) trong năm 2025 đã tiếp tay cho những hình thức tấn công tinh vi hơn bao giờ hết. Các cuộc tấn công có sự hỗ trợ của AI đạt tỷ lệ thành công lên tới 70%, cao hơn đáng kể so với mức 47,6% của phương thức truyền thống.

Theo báo cáo, uớc tính có hơn 28 triệu vụ tấn công sử dụng AI trên toàn cầu (tăng 72% so với 2024). Tại Việt Nam, hơn 46% số cuộc tấn công DDoS (tương đương khoảng 117.000 cuộc) có liên quan đến AI.

Thậm chí các kỹ thuật lừa đảo Deepfake mạo danh lãnh đạo đang ghi nhận mức tăng trưởng chóng mặt lên đến 120%.

Thay vì những email lừa đảo đầy lỗi chính tả như trước đây, hacker giờ đây có thể tạo ra các cuộc gọi video với hình ảnh và giọng nói của sếp tổng hoặc kế toán trưởng để yêu cầu chuyển tiền gấp hoặc cung cấp thông tin nhạy cảm. Khi khâu quản trị danh tính bị lỏng lẻo, nhân viên dưới quyền dễ dàng sập bẫy vì họ tin tưởng vào những gì họ thấy và nghe.

Theo báo cáo, sự kết hợp giữa Deepfake và việc chiếm quyền điều khiển tài khoản đang biến con người trở thành "mắt xích yếu nhất" trong chuỗi bảo mật. Một khi danh tính số của một cá nhân bị thỏa hiệp, toàn bộ uy tín và tài sản của doanh nghiệp đều bị đặt dưới lưỡi gươm của tội phạm mạng.

Thị trường an ninh mạng năm 2026 được dự báo sẽ còn khốc liệt hơn khi AI không chỉ là công cụ của phe phòng thủ mà còn là vũ khí sắc bén của phe tấn công. Việc đầu tư vào công cụ là cần thiết, nhưng đã đến lúc các nhà lãnh đạo cần nhìn nhận lại chiến lược quản trị danh tính như một ưu tiên hàng đầu.

Không có hệ thống nào là bất khả xâm phạm nếu người sử dụng nó không được bảo vệ và trang bị kiến thức. Đầu tư vào quy trình xác thực nghiêm ngặt, thực hiện kiểm tra định kỳ và xây dựng văn hóa an toàn thông tin cho nhân viên chính là cách duy nhất để thu hẹp những "lỗ hổng" danh tính đang rình rập bên trong doanh nghiệp.

*Nguồn: Báo cáo Tổng hợp An ninh mạng của Công ty An ninh mạng Việt Nam VSEC - Thành viên Tập đoàn Công nghệ G-Group