Những cú đánh vô hình, thiệt hại hữu hình

Không có tiếng súng, không có khói lửa, nhưng thiệt hại là rất thật: tiền bạc, thời gian, uy tín và cả rủi ro đối với an toàn con người. Trong một thế giới số hóa sâu, an ninh mạng đã rời khỏi phạm vi “chuyện kỹ thuật”, trở thành bài toán điều hành, năng lực ứng phó và sức bền xã hội.

Một minh họa tiêu biểu xuất hiện ngay trước Giáng sinh. Dịch vụ bưu chính quốc gia của Pháp, La Poste, cùng mảng ngân hàng trực thuộc hứng một cuộc tấn công từ chối dịch vụ phân tán, khiến ứng dụng và trang web gián đoạn, ảnh hưởng theo dõi bưu kiện và một phần dịch vụ ngân hàng trực tuyến đúng vào mùa cao điểm giao nhận.

Đòn đánh kiểu này không nhất thiết nhằm đánh cắp dữ liệu hay đòi tiền chuộc; mục tiêu thường là làm nghẽn hệ thống, tạo cảm giác bất ổn và buộc nạn nhân tiêu tốn nguồn lực để khôi phục. Khi một hạ tầng dân sinh cũng có thể bị “bóp nghẹt” trong vài giờ, câu chuyện không còn là sự cố công nghệ, mà là phép thử đối với lòng tin công chúng.

Ở Romania, câu chuyện nhạy cảm hơn vì chạm tới hạ tầng thiết yếu. Cơ quan quản lý nước quốc gia (ANAR) bị mã độc tống tiền tấn công, nhiều hệ thống bị ảnh hưởng, website gián đoạn, các đơn vị địa phương phải xử lý trong trạng thái khẩn. Nhà chức trách khuyến cáo không trả tiền và không thương lượng, phản ánh thế lưỡng nan quen thuộc: trả tiền có thể mở khóa nhanh nhưng nuôi dưỡng thị trường tội phạm; không trả thì cái giá vận hành và xã hội có thể kéo dài, nhất là khi dữ liệu và dịch vụ đã trở thành “mạch máu” của quản trị hiện đại. Hai lát cắt cuối tháng 12/2025 gợi một kết luận rộng hơn: tấn công mạng đã đi xa khỏi hình dung cũ về “đánh cắp dữ liệu” hay “đòi tiền chuộc”.

Nhiều chiến dịch mang dáng dấp có chủ đích, nhắm trúng các mắt xích nhạy cảm như dịch vụ công, y tế, giao thông, tài chính, năng lượng và chuỗi cung ứng số. Khi mọi hoạt động chuyển dần lên nền tảng trực tuyến, một cú đánh vào hệ thống xác thực, mạng nội bộ hoặc nhà cung cấp phần mềm trung gian có thể làm hàng loạt dịch vụ “đứng hình”. Thiệt hại vì thế không chỉ là vài ngày gián đoạn, mà là sự xói mòn niềm tin: người dân nghi ngờ khả năng bảo vệ dữ liệu, khách hàng hoài nghi độ an toàn dịch vụ, doanh nghiệp lo rủi ro lây lan từ đối tác.

Biến số khiến năm 2025 trở nên đặc biệt là trí tuệ nhân tạo (AI). Xu hướng nổi bật là tác nhân đe dọa tận dụng AI để tăng tốc và tăng độ tinh vi của tấn công: tự động hóa dò quét lỗ hổng, tạo biến thể để né hệ thống phát hiện, và nhất là nâng cấp các thủ thuật lừa đảo nhắm vào con người. Khi “đầu vào” cho tấn công rẻ hơn và nhanh hơn, tính đại trà tăng lên, còn bên phòng thủ bị đẩy vào cuộc đua vá lỗi gần như liên tục.

Điều đáng nói là AI không chỉ giúp kẻ xấu làm nhanh, mà còn làm giống thật, khiến việc phân biệt thật - giả trở nên mệt mỏi và tốn kém hơn trước. Công cụ tạo nội dung giả mạo giúp thư lừa đảo giống thật đến mức khó nhận ra; giọng nói giả mạo khiến xác thực qua điện thoại mong manh; tin nhắn giả danh có thể đẩy nạn nhân vào hành động sai chỉ trong vài phút.

Tháng 4/2025, cơ quan thực thi pháp luật của Mỹ đã cảnh báo về một chiến dịch nhắn tin và gọi điện giả mạo quan chức, nhắm vào những người có liên hệ với giới chức chính quyền, nhằm dẫn dụ nạn nhân và mở đường cho xâm nhập hoặc chiếm đoạt. Chi tiết này chỉ ra một thực tế khó chịu: “cửa ngõ” của tấn công không nhất thiết nằm ở tường lửa, mà có thể nằm ở một cú bấm tin nhắn, một cuộc gọi “nghe rất đúng người”.

Tuy nhiên, nếu chỉ nhìn an ninh mạng như câu chuyện lừa đảo và tội phạm, bức tranh 2025 sẽ thiếu một lớp nền quan trọng: không gian mạng ngày càng bị kéo sát vào cạnh tranh chiến lược. Ranh giới giữa tội phạm mạng thuần túy và tác nhân mang dấu vết nhà nước mờ dần, tạo ra “vùng xám” khó quy trách nhiệm. Một chiến dịch có thể bắt đầu bằng động cơ tài chính rồi chuyển sang gây gián đoạn; ngược lại, hoạt động mang màu sắc địa chính trị cũng dễ khoác vỏ “tội phạm” để phủ nhận. Chính sự mập mờ ấy làm răn đe khó hơn: phản ứng quá mạnh khi chưa đủ chứng cứ có thể dẫn tới leo thang; phản ứng quá nhẹ lại tạo tiền lệ cho các đòn “thử phản ứng” lặp lại.

Hạ tầng giao thông là ví dụ cho mức độ nhạy cảm của rủi ro. Tháng 9/2025, cơ quan an ninh mạng của Liên minh châu Âu (EU) xác nhận một loạt gián đoạn tại sân bay có liên quan tấn công mã độc tống tiền xuất phát từ bên thứ ba, ảnh hưởng hệ thống làm thủ tục tự động. Kiểu tấn công “đi đường vòng” cho thấy kẻ xấu không cần đột nhập trực tiếp mục tiêu; chỉ cần đục thủng một nhà cung cấp dịch vụ, cả chuỗi vận hành có thể bị kéo chậm.

Với hàng không, mỗi phút gián đoạn có thể biến thành dây chuyền trễ chuyến, quá tải và thiệt hại kinh tế. Từ đây, chuỗi cung ứng số nổi lên như điểm yếu mang tính cấu trúc. Nếu chuỗi cung ứng vật chất gồm linh kiện, container, cảng biển, thì chuỗi cung ứng phần mềm gồm thư viện mã nguồn, gói cài đặt, công cụ quản trị và bản cập nhật. Chỉ một mắt xích bị cài cắm, rủi ro có thể lan ra hàng nghìn tổ chức.

Bài toán vì vậy không còn là “đơn vị nào bị tấn công”, mà là “hệ sinh thái nào bị đục thủng”. Khi mức độ phụ thuộc lẫn nhau tăng, an ninh của một tổ chức không thể tách rời an ninh của đối tác; một điểm yếu nhỏ ở “vệ tinh” có thể kéo “hành tinh” vào khủng hoảng.

Hệ quả trực tiếp là chi phí phòng thủ tăng theo hướng khó có điểm dừng. Doanh nghiệp phải đầu tư giám sát, sao lưu, phân tách hệ thống; các ngành thiết yếu phải tập dượt kịch bản vận hành thủ công; nhà nước phải dựng cơ chế ứng cứu và điều phối liên ngành.

Nhưng nghịch lý nằm ở chỗ: chi phí cho bên phòng thủ thường lớn, còn chi phí cho bên tấn công lại có thể rẻ, nhất là khi tội phạm mạng đã “công nghiệp hóa” thành chuỗi dịch vụ. Càng nhiều tiền đổ vào số hóa, bề mặt tấn công càng rộng; bề mặt càng rộng, xác suất mắc sai lầm càng cao. Trong bức tranh đó, khoảng trống hợp tác pháp lý quốc tế là vấn đề cốt lõi.

Điều tra xuyên biên giới, chuẩn hóa thu thập và chia sẻ chứng cứ điện tử, tương trợ tư pháp và dẫn độ đều là những mắt xích mà nếu thiếu, tội phạm sẽ tiếp tục ẩn nấp sau biên giới pháp lý và kỹ thuật. Công nghệ thay đổi theo tuần, nhưng thể chế thường đi theo nhịp nhiều năm; khoảng cách này tạo vùng thuận lợi cho các cuộc tấn công “không quốc tịch”, nơi nạn nhân chịu thiệt còn kẻ gây hại tận dụng sự phân mảnh để thoát truy cứu.

Chính vì thế, việc cộng đồng quốc tế thông qua Công ước Liên hợp quốc về chống tội phạm mạng, còn được gọi là Công ước Hà Nội, cần được nhìn nhận như một bước đi nền tảng chứ không phải khẩu hiệu. Giá trị của công ước không nằm ở kỳ vọng “chấm dứt” tấn công mạng ngay lập tức, mà ở việc tạo khung hợp tác để xử lý phần cứng nhất: phối hợp điều tra, tương trợ tư pháp và thu hẹp “vùng xám” chứng cứ xuyên biên giới.

Tuy nhiên, một văn bản có tầm toàn cầu sẽ không tự động tạo “lá chắn” nếu cơ chế chia sẻ thông tin chậm, nếu cơ quan thực thi thiếu nguồn lực, hoặc nếu một số tác nhân vẫn coi không gian số là công cụ gây sức ép “ít rủi ro, nhiều lợi ích”. Hiệu quả của Công ước Hà Nội, sẽ được đo bằng mức độ các vụ việc được điều tra đến nơi đến chốn, mức độ dòng tiền tội phạm bị cắt, và mức độ tội phạm bị thu hẹp không gian ẩn náu.

Năm 2025, nhìn như vậy, là một điểm bản lề. Những cú đánh vô hình đã chứng minh thiệt hại hữu hình có thể đến nhanh và lan rộng; nhưng đồng thời, thế giới cũng bắt đầu đặt viên gạch thể chế để thu hẹp khoảng trống hợp tác. Khi Công ước Hà Nội được triển khai nghiêm túc, tội phạm mạng sẽ khó ẩn nấp hơn, chi phí phạm tội sẽ tăng lên, còn các cú đánh “đi đường vòng” qua biên giới pháp lý sẽ bị chặn lại ở nhiều lớp.