Cuộc đua bảo vệ dữ liệu lưu trữ cá nhân trước làn sóng tấn công mạng

Đám mây cá nhân không còn là “vùng trú ẩn an toàn”

Trong nhiều năm qua, lưu trữ đám mây (cloud) được xem là giải pháp gần như mặc định của thời đại số. Phần lớn dữ liệu quan trọng đều nằm trên Google Drive, OneDrive hoặc các hệ thống thiết bị lưu trữ gắn mạng (NAS) vận hành như những “đám mây riêng”. Cloud mang lại sự tiện lợi lớn, cho phép truy cập mọi lúc và đồng bộ đa thiết bị. Tuy nhiên, chính sự phổ biến này cũng biến đám mây cá nhân thành “mỏ vàng” của tội phạm mạng.

Dữ liệu đám mây đang được mọi người sử dụng nhiều nhất.

Theo khảo sát “Chuyển đổi số tại Đông Nam Á 2025” do Synology thực hiện, hơn 55% doanh nghiệp trong khu vực từng trải qua vấn đề về ransomware (mã độc tống tiền) hoặc các nỗ lực tấn công mạng trong thời gian gần đây.

Trong khi đó, Báo cáo An ninh mạng Việt Nam 2025 của tổ chức Foresiet ghi nhận khoảng 552.000 cuộc tấn công mạng nhằm vào các hệ thống trong nước. Đáng chú ý, có tới 52,3% cơ quan, doanh nghiệp thừa nhận từng chịu thiệt hại thực tế bởi các chiến dịch đánh cắp này.

Điểm đáng lo ngại là ransomware hiện không còn hoạt động theo kiểu “mã hóa rồi đòi tiền chuộc” ồn ào. Tin tặc ưu tiên chiến thuật xâm nhập âm thầm, duy trì hiện diện nhiều tuần để thu thập thông tin trước khi kích hoạt đòn đánh quyết định. Hơn nữa, chúng còn áp dụng thủ đoạn "đe dọa kép" - vừa khóa dữ liệu, vừa dọa bán thông tin nhạy cảm lên chợ đen. Điều này khiến ranh giới giữa ransomware và phần mềm gián điệp mạng (spyware) ngày càng mờ nhạt.

Thống kê của Kaspersky cho thấy, năm 2025, hãng đã ngăn chặn 818.939 vụ tấn công spyware nhắm vào khối doanh nghiệp Đông Nam Á, tăng 18% so với năm 2024. Tại Việt Nam, hệ thống ghi nhận 322.821 vụ tấn công, tăng 8%.

Theo thống kê, Việt Nam là quốc gia ghi nhận số vụ tấn công bằng phần mềm gián điệp (spyware) bị phát hiện cao nhất Đông Nam Á trong năm 2025.

Ông Simon Tung, Tổng Giám đốc khu vực ASEAN và AEC của Kaspersky, nhận định: “Dữ liệu của chúng tôi cho thấy tội phạm mạng đang thay đổi mục tiêu tấn công, từ đơn thuần gây gián đoạn hoạt động sang đánh cắp thông tin chiến lược và dữ liệu nhạy cảm của doanh nghiệp”.

Chỉ một tài khoản email bị xâm nhập cũng có thể kéo theo nguy cơ mất tài khoản ngân hàng hoặc lộ thông tin khách hàng. Tuy nhiên, điều nguy hiểm nhất lại nằm ở tâm lý chủ quan “lưu cloud là an toàn”. Phần lớn nền tảng cloud hiện hoạt động theo cơ chế đồng bộ (synchronization) hai chiều thời gian thực. Khi máy tính bị ransomware mã hóa dữ liệu, hệ thống tự động ghi đè tệp tin nhiễm mã độc lên đám mây. Nói cách khác, cloud không phải lúc nào cũng là bản sao lưu dự phòng.

Nhiều tổ chức tại các thành phố lớn như TP Hồ Chí Minh và Hà Nội vẫn nhầm lẫn giữa “đồng bộ” và “sao lưu” (backup). Sao lưu thực sự đòi hỏi tạo ra các phiên bản tách biệt, có khả năng phục hồi độc lập. Ngay cả với thiết bị NAS (hệ thống lưu trữ dữ liệu tập trung được kết nối trực tiếp vào mạng), nếu người dùng cắm trực tiếp vào mạng internet 24/7 để tiện đồng bộ mà bỏ qua các bước phân tách bảo mật, chúng hoàn toàn có thể trở thành mục tiêu bị rà quét và khai thác lỗ hổng từ xa.

Từ sao lưu dữ liệu đến năng lực phục hồi hệ thống

Sự thay đổi của các cuộc tấn công mạng đang buộc doanh nghiệp công nghệ phải thay đổi cách tiếp cận bảo mật. Nếu trước đây trọng tâm nằm ở tường lửa hay chống virus, thì hiện nay nhiều hãng công nghệ bắt đầu chuyển sang chiến lược “data resilience” - năng lực phục hồi dữ liệu sau tấn công.

Trong bối cảnh AI đang làm thay đổi toàn bộ môi trường an ninh mạng, giới công nghệ cũng bắt đầu thúc đẩy các chiến lược bảo vệ dữ liệu theo hướng dài hạn hơn. Đây cũng là xu hướng được nhiều chuyên gia nhấn mạnh tại Vietnam Security Summit 2026 diễn ra mới đây, do Hiệp hội An ninh mạng Quốc gia phối hợp cùng Tập đoàn IEC tổ chức.

Vietnam Security Summit lần thứ 8 quy tụ hơn 1.500 đại biểu, doanh nghiệp và chuyên gia an toàn thông tin trong nước và quốc tế.

Với chủ đề bảo vệ tương lai số trong kỷ nguyên hậu lượng tử và trí tuệ nhân tạo AI, các chuyên gia tập trung thảo luận về tác động của AI đến vận hành doanh nghiệp, tự động hóa và an ninh mạng. Theo các chuyên gia, AI không chỉ giúp doanh nghiệp tăng tốc vận hành và tự động hóa, mà đồng thời cũng làm gia tăng các rủi ro như tấn công mạng tinh vi, giả mạo danh tính và đánh cắp dữ liệu.

Trong bối cảnh đó, nhiều tổ chức được khuyến nghị chủ động xây dựng chiến lược phòng thủ mới để thích ứng với môi trường an ninh mạng ngày càng phức tạp, đồng thời chuẩn bị cho kỷ nguyên mật mã hậu lượng tử (Post-Quantum Cryptography).

Ông Henry Nguyễn, Quản lý kinh doanh Synology Việt Nam, chia sẻ: “Trong bối cảnh doanh nghiệp tăng tốc chuyển đổi số, đồng thời phải đối mặt với các cuộc tấn công mạng ngày càng tinh vi, chúng tôi mong muốn mang đến một góc nhìn thực tế hơn về cách xây dựng nền tảng bảo vệ dữ liệu và năng lực phục hồi bền vững cho tổ chức”.

Theo Synology, nhiều doanh nghiệp hiện vẫn nghĩ rằng chỉ cần có bản sao lưu là đủ an toàn. Tuy nhiên, thực tế cho thấy không ít hệ thống sao lưu chưa từng được kiểm tra khả năng khôi phục, dữ liệu dự phòng vẫn kết nối trực tiếp với mạng nội bộ hoặc không có cơ chế lưu nhiều phiên bản.

Điều này tạo ra các “điểm mù” nguy hiểm. Khi ransomware tấn công, hacker không chỉ mã hóa dữ liệu chính mà còn tìm cách xóa hoặc mã hóa luôn cả dữ liệu sao lưu. Kết quả là doanh nghiệp có thể mất toàn bộ hệ thống dù trước đó vẫn duy trì backup định kỳ.

Theo Synology, doanh nghiệp hiện không nên xem sao lưu là lớp bảo vệ cuối cùng, mà cần xây dựng chiến lược bảo vệ dữ liệu nhiều lớp. Các tổ chức phải bảo đảm dữ liệu sao lưu có thể phục hồi thực tế khi xảy ra sự cố, thay vì chỉ tồn tại trên hệ thống lưu trữ.

Trong bối cảnh đó, nhiều nền tảng lưu trữ hiện đại - trong đó có ActiveProtect - đang áp dụng công nghệ lưu trữ bất biến (immutable storage). Có thể hiểu đơn giản, sau khi dữ liệu được sao lưu, hệ thống sẽ “khóa” dữ liệu đó trong một khoảng thời gian nhất định. Trong thời gian này, không ai có thể chỉnh sửa hoặc xóa dữ liệu, kể cả khi hacker chiếm được quyền quản trị hệ thống.

Ransomware và spyware đang khiến dữ liệu lưu trữ trên cloud cá nhân trở thành mục tiêu ưu tiên của tội phạm mạng.

Song song đó là mô hình “air-gap”, tức tách riêng hệ thống sao lưu khỏi mạng vận hành chính nhằm hạn chế nguy cơ mã độc lây lan. Một số hệ thống hiện còn có thể tự động ngắt kết nối mạng và chỉ kết nối trở lại đúng thời điểm sao lưu dữ liệu.

Theo giới phân tích, đây là thay đổi lớn của ngành an ninh mạng. Thay vì cố xây dựng một hệ thống “không thể bị hack”, doanh nghiệp giờ tập trung bảo đảm dữ liệu vẫn có thể phục hồi và duy trì vận hành sau khi bị tấn công.

Cuộc đua này càng phức tạp khi AI tham gia vào cả hai phía. Tin tặc hiện có thể dùng AI để tạo email lừa đảo giống thật, giả giọng nói hoặc tạo các AI Agent đóng vai trò “nội gián số” nhằm thu thập dữ liệu và mở đường cho mã độc xâm nhập hệ thống.

Ở chiều ngược lại, các nền tảng bảo mật cũng bắt đầu ứng dụng AI để giám sát hành vi bất thường theo thời gian thực, phát hiện sớm dấu hiệu tấn công và tự động cô lập thiết bị nghi nhiễm chỉ trong vài phút.

Tuy nhiên, giới chuyên gia cho rằng công nghệ chỉ giải quyết được một phần vấn đề. Điểm yếu lớn nhất hiện nay vẫn là thói quen người dùng như sử dụng chung mật khẩu, bỏ qua xác thực đa lớp hoặc không kiểm tra định kỳ khả năng phục hồi dữ liệu.

Các chuyên gia Kaspersky khuyến nghị, doanh nghiệp cần thường xuyên cập nhật hệ thống để vá lỗ hổng bảo mật, hạn chế công khai các dịch vụ điều khiển từ xa trên internet và duy trì bản sao lưu tách biệt khỏi mạng nội bộ. Bên cạnh đó, việc diễn tập khôi phục dữ liệu cũng cần được xem là yêu cầu bắt buộc thay vì giải pháp dự phòng.

Trong bối cảnh dữ liệu ngày càng gắn chặt với hoạt động doanh nghiệp và đời sống số, bảo mật cloud không còn là câu chuyện riêng của bộ phận IT. Điều quan trọng hiện nay không chỉ là lưu dữ liệu ở đâu,mà là dữ liệu có thể phục hồi nhanh đến mức nào sau một cuộc tấn công mạng.