Bạn có đang an toàn trong kỷ nguyên IoT?

Bản chất của “gián điệp” trong hệ sinh thái IoT

Trong thời đại số, IoT đã và đang làm thay đổi sâu sắc mọi lĩnh vực đời sống xã hội. Tuy vậy, đằng sau sự tiện nghi là một nghịch lý đáng lo ngại: Càng kết nối, chúng ta càng dễ bị tổn thương. Khi mọi vật dụng từ tủ lạnh, camera đến robot hút bụi đều trở thành các thiết bị thu thập dữ liệu, ranh giới giữa sự riêng tư và giám sát trở nên mong manh hơn bao giờ hết.

Về bản chất, IoT là mạng lưới kết nối các thiết bị điện tử thông minh thông qua Internet, nơi vạn vật có thể gửi và nhận dữ liệu không ngừng. Các thiết bị này thu thập dữ liệu thông qua hai cơ chế: chủ động theo lệnh người dùng và thụ động thông qua cảm biến. Dữ liệu sau khi thu thập từ các cảm biến sẽ được gửi đến cơ sở hạ tầng đám mây để xử lý.

Vấn đề ở chỗ, các thiết bị này thường được sản xuất nhanh chóng để đáp ứng nhu cầu thị trường mà bỏ qua các tiêu chuẩn bảo mật tối thiểu. Điều này biến chúng thành những “gián điệp thầm lặng”, có thể ghi nhận từ lịch sử tìm kiếm, tình trạng sức khỏe đến cả thói quen sinh hoạt của cá nhân.

Lấy ví dụ, chỉ cần truy cập các sàn thương mại điện tử, người tiêu dùng có thể dễ dàng tìm thấy hàng ngàn sản phẩm camera giám sát có mức giá rất rẻ với điểm chung là yêu cầu phải cài đặt ứng dụng di động đi kèm để có thể vận hành.

Tuy nhiên, không ít trong số các sản phẩm này có xuất xứ không rõ ràng, thường được gắn mác “hàng nhập khẩu” mà không có thông tin cụ thể về nhà sản xuất hay chứng nhận an toàn thông tin. Các ứng dụng đi kèm thường yêu cầu hàng loạt quyền truy cập vượt xa chức năng cần thiết của một camera giám sát thông thường, dẫn tới lo ngại chúng không chỉ đóng vai trò quan sát không gian vật lý xung quanh, mà còn có thể trở thành “cánh cửa sau” để thu thập toàn bộ dữ liệu trên thiết bị di động của người dùng.

Các mối đe dọa phổ biến

Vấn đề bảo mật IoT đang đối mặt với những lỗ hổng nghiêm trọng, bắt đầu từ sự yếu kém trong công tác mã hóa dữ liệu. Phần lớn dữ liệu IoT hiện nay không được mã hóa, tạo điều kiện thuận lợi cho tin tặc dễ dàng nghe lén và thu thập các thông tin nhạy cảm. Khi các thiết bị này bị xâm nhập, chúng trở thành các “bot” dưới sự kiểm soát từ xa của hacker, tạo nên các mạng lưới Botnet khổng lồ.

Bên cạnh đó, người dùng còn phải đối mặt với hình thức tấn công Man-in-the-middle (MitM), nơi kẻ tấn công chặn và sửa đổi thông tin khi nó đang được truyền tải giữa người dùng và máy chủ nhằm đánh cắp thông tin hoặc can thiệp vào các giao dịch thời gian thực.

Thách thức và khoảng trống trong khung pháp lý tại Việt Nam

Mặc dù Việt Nam đã có những nỗ lực đáng ghi nhận trong việc xây dựng hành lang pháp lý như ban hành Luật Bảo vệ dữ liệu cá nhân 2025 hay Quyết định 736/QĐ-BTTTT (ngày 31-5-2025) về Ban hành Danh mục yêu cầu cơ bản bảo đảm an toàn thông tin mạng cho thiết bị IoT tiêu dùng, nhưng khung pháp lý hiện hành vẫn bộc lộ nhiều hạn chế và khoảng trống đáng lo ngại. Đối với IoT là thiếu tính bắt buộc trong các quy định bảo mật cụ thể dành cho thiết bị IoT tiêu dùng.

Quyết định 736/QĐ-BTTTT tuy đã đưa ra danh mục các yêu cầu bảo mật cơ bản nhưng phần lớn chỉ mang tính chất khuyến nghị, định hướng chung, thiếu sự cụ thể, chi tiết cần thiết để đảm bảo tính khả thi trong việc triển khai trên thực tế.

Ngay cả Luật Bảo vệ dữ liệu cá nhân vẫn chỉ tập trung chủ yếu vào khía cạnh quản lý hành chính và bảo vệ dữ liệu nói chung mà chưa bao quát hết các yêu cầu kỹ thuật tối thiểu cho thiết bị, quy trình phát triển an toàn hay cơ chế quản lý lỗ hổng bảo mật cho hệ sinh thái IoT. Điều này tạo ra một môi trường mà các nhà sản xuất có thể tự do đưa ra thị trường những sản phẩm có mức độ bảo mật thấp, đặt toàn bộ rủi ro lên vai người tiêu dùng.

Rủi ro pháp lý đối với người dùng khi bị thu thập dữ liệu

Trong bối cảnh dữ liệu cá nhân được thu thập tràn lan từ thiết bị IoT, người dùng đối mặt với những rủi ro pháp lý mang tính hệ thống và khó khắc phục:

Thứ nhất, rủi ro về “sự chấp thuận không tự nguyện” và bất đối xứng thông tin. Mặc dù Luật Bảo vệ dữ liệu cá nhân nhấn mạnh quyền tự quyết của chủ thể dữ liệu, nhưng trong thực tế, người dùng thường bị đặt vào tình thế “chấp nhận hoặc không thể sử dụng”. Các điều khoản sử dụng phức tạp che giấu mục đích thu thập dữ liệu của bên thứ ba, khiến sự đồng ý của người dùng không thực sự dựa trên sự hiểu biết đầy đủ. Rủi ro pháp lý phát sinh khi dữ liệu bị lạm dụng cho các mục đích thao túng hành vi hoặc xây dựng hồ sơ tâm lý trái phép mà người dùng không có công cụ pháp lý để ngăn chặn hiệu quả.

Thứ hai, rủi ro pháp lý xuyên biên giới và sự bế tắc trong bồi thường. Khi thiết bị IoT của một thương hiệu nước ngoài thu thập dữ liệu và chuyển về máy chủ tại quốc gia có tiêu chuẩn bảo vệ thấp hơn Việt Nam, người dùng đứng trước nguy cơ mất trắng quyền kiểm soát dữ liệu cá nhân. Nếu xảy ra sự cố rò rỉ, việc khởi kiện nhà cung cấp dịch vụ nước ngoài đòi bồi thường thiệt hại trở thành một quy trình bất khả thi về mặt chi phí và thẩm quyền tài phán đối với một cá nhân đơn lẻ.

Thứ ba, sự xâm phạm quyền riêng tư không gian sống tuyệt đối. Vụ việc camera Ring bị hacker xâm nhập trực tiếp để theo dõi và giao tiếp âm thanh quấy rối chủ nhà là minh chứng cho thấy rủi ro vật chất và tinh thần. Khi các thiết bị này “phản chủ”, người dùng mất đi quyền được bảo vệ bí mật đời tư ngay tại nơi an toàn nhất là nhà mình. Trong khi đó, khung pháp lý về bồi thường thiệt hại tinh thần do rò rỉ dữ liệu tại Việt Nam vẫn còn mơ hồ, gây khó khăn cho việc lượng hóa thiệt hại để yêu cầu công lý.

Thứ tư, tính vĩnh viễn và không thể đảo ngược của dữ liệu bị lộ. Khác với các loại tài sản thông thường, dữ liệu cá nhân, đặc biệt là dữ liệu sinh trắc học thu thập qua IoT là thứ không thể thay đổi. Một khi dữ liệu đã bị khai thác trái phép và phát tán trên không gian mạng, người dùng sẽ phải đối mặt với rủi ro bị mạo danh và tấn công lừa đảo kéo dài suốt đời mà các chế tài hành chính hiện nay hầu như không thể giúp thu hồi hay xóa bỏ triệt để.

(*) Khoa Luật, Đại học Kinh tế TPHCM (UEH)

Mai Nguyễn Dũng - Nguyễn Trung Tín (*)