Định hướng vượt qua các thách thức bảo mật OT trong môi trường sản xuất châu Á

Chuyển đổi số tiếp tục là chủ đề trung tâm của nhiều doanh nghiệp tại châu Á, nơi các hệ thống, quy trình và hạ tầng vẫn còn khá lạc hậu, đồng thời tồn tại những văn hóa chống lại sự thay đổi. Internet of Things (IoT) cũng không ngoại lệ, thậm chí được xem như một trong những “thành trì” cuối cùng của câu ngạn ngữ những năm 1970: “Nếu nó không hỏng, thì đừng sửa!”

Cụm từ “thành trì cuối cùng” có thể khá chính xác khi rất khó xác định đầy đủ số lượng các công nghệ phi IT hiện tồn tại ngoài thực tế, chỉ chờ được phát hiện hoặc đã bị hỏng và đang trong quá trình lên kế hoạch nâng cấp hay thay thế.

Dự báo từ các chuyên gia cho thấy thị trường IoT tại khu vực châu Á-Thái Bình Dương sẽ đạt giá trị 355 tỷ USD vào năm 2029, nhờ vào sự phát triển của tự động hóa công nghiệp, các thành phố thông minh và việc áp dụng công nghệ 5G. Riêng tại Trung Quốc, đã có hơn 3 tỷ thiết bị IoT hoạt động trong năm 2023, khẳng định vị thế thống trị trong việc sinh dữ liệu của khu vực. Dự kiến, châu Á sẽ chiếm đến 58% tổng lượng dữ liệu IIoT toàn cầu vào năm 2025.

Tuy nhiên, sự bùng nổ kết nối IoT cũng kéo theo nhiều rủi ro đáng chú ý như các mối đe dọa bảo mật ngày càng gia tăng và những lỗ hổng trong chuỗi cung ứng, bên cạnh các lợi ích về hiệu quả và khả năng phục hồi được cải thiện.

Lập bản đồ và xác thực các biện pháp kiểm soát bảo mật

Thách thức lớn nhất trong bối cảnh kết nối rộng khắp của châu Á là đảm bảo an ninh trên mọi luồng dữ liệu. Nhiều tổ chức thường hay bỏ qua việc theo dõi thực tế các luồng dữ liệu, thay vào đó chỉ tập trung vào thiết kế lý thuyết.

Theo Wai Kit Cheah, APAC CISO và lãnh đạo hệ sinh thái kết nối tại Lumen Technologies: “Nhiều tổ chức coi đây như một bài tập kiểm kê, nhưng thực tế rất ít nhóm có bức tranh tổng thể về cách dữ liệu chính xác di chuyển. Điều này là nguyên nhân khiến an ninh dễ bị đe dọa.”

Khoảng trống này càng sâu sắc hơn trong IoT công nghiệp (IIoT), nơi sự tồn tại của các thiết bị cũ cùng việc phụ thuộc vào nhà cung cấp càng làm gia tăng rủi ro. Trên khắp khu vực châu Á-Thái Bình Dương, các điểm yếu phổ biến nằm ở thiết bị không thể vá lỗi và việc giám sát phân tán, đặc biệt các lỗi thường xảy ra trong quá trình chuyển giao dữ liệu trên nền tảng đám mây.

Việc xác thực kiểm soát bảo mật cần ưu tiên dựa trên thực tế vận hành thay vì chỉ kiểm tra hình thức, bởi các sự cố mạng được đánh giá là rủi ro toàn cầu hàng đầu vào năm 2026, với 42% người tham gia khảo sát Phong vũ biểu rủi ro Allianz đã phản ánh điều này.

Cân bằng giữa độ tin cậy, độ trễ và bảo mật

Chiến lược kết nối tại châu Á phải linh hoạt để thích nghi với các loại địa hình đa dạng, từ các khu đô thị sầm uất đến những vùng hẻo lánh. Trong khi khu vực thành thị đối mặt với mạng phức tạp làm gia tăng bề mặt tấn công, thì những vùng xa xôi lại gặp giới hạn băng thông, độ trễ cao và thường phải giảm bớt các biện pháp bảo mật để duy trì thời gian hoạt động.

Cheah phân tích: “Môi trường đô thị có mạng giữ ổn định nhưng phức tạp. Ngược lại, những khu vực xa xôi hoạt động với băng thông hạn chế, độ trễ lớn và thường chủ động nới lỏng kiểm soát bảo mật để duy trì hoạt động liên tục.”

Việc phân loại tài sản theo mức độ quan trọng và thử nghiệm các kịch bản dự phòng chuyển đổi là tối quan trọng. Các cơ hội nổi bật trong truyền thông của 5G, với khả năng hỗ trợ đến một triệu thiết bị trên mỗi km², mở rộng quy mô IIoT cho Logistics và sản xuất. Tại ASEAN, sự phát triển chuỗi cung ứng tích hợp AI giúp phân tích dự báo, giảm thiểu lỗi và cải thiện giám sát.

Phân đoạn mạng và cách ly từng người thuê

Ngăn chặn chuyển động ngang sau vi phạm đòi hỏi các biện pháp kiểm soát dựa trên danh tính, không chỉ dựa vào cấu trúc vật lý mạng. Cheah chia sẻ: “Phân đoạn và cách ly hiệu quả đòi hỏi các chính sách độc lập với bố cục vật lý, dựa trên danh tính, cùng các quy tắc mặc định từ chối và mặt phẳng riêng biệt.”

“Quá trình thực thi sau đó được xác nhận bằng việc mô phỏng một thiết bị hay khách thuê bị xâm nhập và chắc chắn rằng chuyển động ngang đã bị chặn theo thiết kế, thay vì chỉ phát hiện khi sự việc xảy ra.” Wai Kit Cheah

Xác thực qua mô phỏng vi phạm là bước không thể thiếu. Tại châu Á, nơi tích hợp OT và IoT là mối quan tâm hàng đầu (chiếm 49% trong khảo sát của Diễn đàn Kinh tế Thế giới – WEF), các cách tiếp cận rời rạc đang cản trở khả năng phục hồi hệ thống.

Chuyên gia cảnh báo: “Đến năm 2026, các quốc gia và doanh nghiệp tại ASEAN cần bắt đầu chuyển từ phương thức rời rạc hiện tại sang một hệ sinh thái khu vực thống nhất, có thể tương tác và lấy dữ liệu làm trung tâm”. Logic không dây là nền tảng của quá trình này.

Bắt buộc mã hóa dữ liệu trong quá trình truyền tải

Mã hóa vẫn là yêu cầu bắt buộc trong bối cảnh rủi ro bảo mật gia tăng khi trao đổi dữ liệu. Cheah khuyên: “Tất cả dữ liệu IoT trong quá trình truyền tải cần được bảo vệ bằng mã hóa đầu cuối (E2EE), không phân biệt vị trí hoặc loại mạng sử dụng”, ông nhấn mạnh việc áp dụng TLS cho ứng dụng và IPsec cho nhà cung cấp dịch vụ.

Chuyển giao dữ liệu qua các ranh giới không tin cậy giúp ngăn chặn nguy cơ bị giải mã trái phép. Dữ liệu nên được mã hóa xuyên suốt cho tới khi đến môi trường doanh nghiệp hoặc đám mây được kiểm soát nghiêm ngặt.

Người đứng đầu hệ sinh thái kết nối tại Lumen Technologies nhận xét: “Việc giải mã lưu lượng bên trong mạng là rủi ro không cần thiết, mở rộng phạm vi xâm phạm nếu bị tấn công”.

Theo báo cáo của Zscaler, các cuộc tấn công vào IoT tăng tới 400% vào năm 2025, mức độ đe dọa từ thiết bị di động và IoT tại châu Á đang vượt quá khả năng phòng vệ. Song đây cũng là cơ hội lớn cho sự phát triển của AIoT trong lĩnh vực chăm sóc sức khỏe theo thời gian thực, với dự đoán tăng trưởng thị trường CAGR 15% đến năm 2030.

Triển khai lọc đầu ra và quản lý danh sách phép giao tiếp

Kiểm soát giao tiếp ra ngoài là bước quan trọng để hạn chế rò rỉ dữ liệu. Cheah cho biết: “Miễn là các chính sách được thực thi đồng bộ và quản lý tập trung, phương pháp từ chối mặc định sẽ đảm bảo các thiết bị IoT chỉ giao tiếp với những điểm được phê duyệt, còn mọi lưu lượng khác đều bị từ chối.”

Ông nhấn mạnh: “Mọi trường hợp ngoại lệ đều cần được giới hạn thời gian, có thể kiểm tra và rà soát thường xuyên để tránh quyền truy cập tạm thời biến thành quyền vĩnh viễn”.

Ở khu vực châu Á nhiều đám mây, các biện pháp kiểm soát dựa trên danh tính càng trở nên khẩn cấp. Các mối đe dọa DDoS và malware—chiếm tới 49% tổng rủi ro IoT—đã thúc đẩy các quy định như Đạo luật về khả năng phục hồi mạng của EU áp dụng chuẩn mực đến thị trường APAC.

Kiểm soát chặt chẽ quyền truy cập đặc quyền

Quyền truy cập tối thiểu giúp giảm thiểu rủi ro từ bên trong. Cheah phân tích: “Phương pháp này dựa trên nguyên tắc giới hạn ai được truy cập, họ có thể làm gì và thời gian được phép truy cập”, bao gồm phân tách vai trò, cấp phép tạm thời và kiểm tra định kỳ.

“Việc kiểm tra thường xuyên cần thiết để phát hiện các đặc quyền không dùng đến, các trường hợp ngoại lệ kéo dài hoặc quyền truy cập không phù hợp với vai trò hiện tại. Nếu không được rà soát đều đặn, đặc quyền tối thiểu chỉ tồn tại trên giấy tờ.” Wai Kit Cheah

Thiếu hụt nhân sự chuyên môn (chiếm 56% theo dữ liệu WEF) làm tăng rủi ro, song việc ứng dụng giám sát dựa trên AI mang đến cơ hội tự động hóa hiệu quả trong môi trường sản xuất.

Đánh giá và kiểm tra chứng nhận nhà cung cấp

Các chứng chỉ như ISO 27001 dù rất cần thiết nhưng thường chưa giải quyết trọn vẹn các lỗ hổng trong hệ sinh thái. Cheah cảnh báo: “Mặc dù ISO 27001 hay SOC 2 quan trọng, song hiếm khi bao quát hết hệ sinh thái IoT. Do đó, chúng cần được đánh giá kết hợp với mô hình trách nhiệm và hợp đồng vận hành.”

Ở châu Á, nơi các cuộc tấn công vào chuỗi cung ứng gia tăng, 65% doanh nghiệp lớn cho rằng lỗ hổng từ bên thứ ba là thách thức hàng đầu. “Rủi ro an ninh mạng từ năm 2026 tiếp tục tăng, được thúc đẩy bởi các tiến bộ AI, làm sâu sắc thêm sự phân mảnh địa chính trị và phức tạp của chuỗi cung ứng”, theo nhận xét từ Jeremy Jurgens và Paolo Dal Cin tại Diễn đàn Kinh tế Thế giới.

Xác thực danh tính thiết bị và đảm bảo tính toàn vẹn dữ liệu

Để ngăn chặn giả mạo, quá trình bảo mật phải bắt đầu ngay tại điểm truyền tải. Cheah nhấn mạnh: “Mỗi thiết bị cần được xác định như một thực thể bảo mật riêng biệt, được cấp một danh tính độc lập dựa trên chứng chỉ hoặc thông tin xác thực phần cứng, và luôn phải được kiểm tra trước khi dữ liệu được chấp nhận”.

Việc này phải diễn ra song hành với truyền tải dữ liệu, bởi nếu kiểm tra danh tính hay tính toàn vẹn bị trì hoãn, dữ liệu độc hại hoặc giả mạo sẽ đã lọt vào hệ thống. Việc luân chuyển thông tin xác thực thường xuyên cùng cơ chế từ chối những lưu lượng không xác thực hoàn thiện quy trình bảo vệ.

Sự bùng nổ IoT tại châu Á, với Đông Bắc Á kiểm soát 70% kết nối di động toàn cầu vào năm 2025, càng làm tăng nhu cầu nghiêm ngặt về bảo mật này. Đồng thời, AI biên hỗ trợ xác minh theo thời gian thực, tăng cường bảo trì dự đoán trong sản xuất.

Xây dựng khả năng phục hồi trước các rủi ro đặc thù theo khu vực

Châu Á chịu nhiều rủi ro đa dạng từ mất điện đột ngột đến thiên tai, đòi hỏi các hệ thống có khả năng chuyển đổi dự phòng được thiết kế sẵn. Cheah lưu ý, “khả năng phục hồi hiệu quả phụ thuộc vào việc hệ thống có được xây dựng để chấp nhận thất bại từ đầu hay không.”

Ông cũng cảnh báo rằng: “Nếu khả năng phục hồi chỉ hoạt động trong điều kiện lý tưởng, nó sẽ thất bại khi đối mặt với gián đoạn thực sự như thiên tai, đứt cáp quang hay thay đổi quy định địa phương”.

Việc đảm bảo tính liên tục tại chỗ và thử nghiệm các bản sao lưu là rất quan trọng. Những cơ hội mới xuất hiện trong các lưới điện thông minh và hệ thống giám sát môi trường, phù hợp với mục tiêu phát triển bền vững, đồng thời giảm chi phí vận hành cho các IoT công suất thấp.

Đảm bảo tuân thủ các quy định ngày càng phức tạp

Chủ quyền dữ liệu đang phát triển nhanh chóng và việc tuân thủ bắt đầu từ khả năng quan sát và kiểm soát xuyên suốt. Cheah nhấn mạnh: “Phải biết dữ liệu được tạo ra, xử lý và lưu trữ ở đâu trên các thiết bị, mạng và nền tảng.”

“Các biện pháp kiểm soát về quyền riêng tư và bảo mật cốt lõi như mã hóa, kiểm soát truy cập, ghi nhật ký và lưu trữ dữ liệu phải được ứng dụng đồng bộ theo mặc định, với các yêu cầu pháp lý cụ thể địa phương được tích hợp vào một kiến trúc chung thay vì triển khai rời rạc theo từng quốc gia.” Wai Kit Cheah

Kết luận, Cheah khuyên rằng việc xác định quyền sở hữu dữ liệu rõ ràng xuyên suốt vòng đời là điều thiết yếu nhằm đảm bảo trách nhiệm giải trình và xử lý kịp thời các lỗ hổng khi các quy định không ngừng phát triển.

Tại châu Á, các khung pháp lý như sáng kiến ủy thác kỹ thuật số của Singapore đóng vai trò thúc đẩy đổi mới trong bối cảnh địa chính trị đầy thách thức.

Hành trình phát triển IoT tại châu Á mở ra nhiều cơ hội to lớn, từ giảm 30% thời gian ngừng hoạt động của nhà máy đến tối ưu hóa chuỗi cung ứng bằng AIoT. Song với tỉ lệ lỗ hổng AI đứng đầu thế giới (87% trong khảo sát WEF), bảo mật chủ động là yếu tố sống còn. Việc bắt kịp và xử lý các xu hướng bảo mật này sẽ giúp doanh nghiệp tận dụng tối đa sức mạnh của kết nối để phát triển bền vững.