Bức thư từ năm 2035

Tôi là kỹ sư an ninh mạng đã nghỉ hưu, từng tham gia đánh giá và ứng cứu các hệ thống tự động hóa tòa nhà tại khu vực Đông Nam Á từ 2028 đến 2034. Tôi viết thư này năm 2035 vì hầu hết các tòa nhà thông minh được xây dựng tại Việt Nam giai đoạn 2023–2027 đã bị chiếm quyền kiểm soát hoặc ngừng hoạt động hoàn toàn do cùng một tập hợp lỗ hổng giao thức và kiến trúc mạng.

BACnet/IP và Modbus TCP – Hai giao thức vẫn còn trần trụi sau một thập kỷ

BACnet/IP vẫn cho phép bất kỳ thiết bị nào trên cùng broadcast domain gửi Who-Is và nhận I-Am mà không có cơ chế xác thực nguồn gốc. Kẻ tấn công có thể quét toàn bộ mạng OT trong vòng vài giây, thu thập object identifier của mọi controller. Sau đó thực hiện COV subscription flooding bằng cách gửi SubscribeCOV-Request liên tục với process-identifier giả mạo, làm cạn kiệt bộ nhớ của DDC controller và buộc hệ thống chuyển sang chế độ fail-safe hoặc mất điều khiển hoàn toàn.

Modbus TCP tiếp tục cho phép function code 16 (Write Multiple Registers) mà không yêu cầu authentication hay session. Từ một điểm truy cập trong mạng, attacker có thể ghi trực tiếp giá trị setpoint nhiệt độ, tốc độ quạt và trạng thái van vào DDC controller của hệ thống HVAC mà không cần qua BMS server. Kết quả là toàn bộ hệ thống điều hòa của tòa nhà bị điều khiển từ xa mà không để lại log ở lớp ứng dụng.

Việc tách mạng OT khỏi IT đã thất bại như thế nào

Việc chỉ đặt VLAN và firewall rule “allow any-any trong subnet” không ngăn được lateral movement. Traffic giữa các controller DDC, gateway Modbus-to-BACnet và hệ thống giám sát vẫn đi ngang (East-West) mà không bị kiểm tra nội dung. Khi một thiết bị IoT bị xâm nhập, attacker dễ dàng gửi lệnh Modbus hoặc BACnet đến các controller khác trong cùng VLAN mà không phải vượt qua North-South firewall.

Micro-segmentation với intent-based policy và inspection East-West ngay tại tủ điều khiển là yêu cầu bắt buộc. Mọi luồng traffic giữa các thiết bị phải được xác định trước bởi policy engine và bị từ chối nếu không khớp intent đã khai báo.

Zero Trust cho Building Automation – Những gì đáng lẽ phải làm từ 2025

Mọi thiết bị BACnet phải vận hành trên BACnet Secure Connect (BACnet/SC) với certificate-based authentication do CA nội bộ của chủ tòa nhà cấp phát và thu hồi. TLS 1.3 là bắt buộc cho toàn bộ kết nối BACnet/SC; không cho phép fallback về TLS 1.2.

Controller phải trang bị TPM 2.0 để thực hiện firmware attestation trước khi khởi động và sau mỗi lần cập nhật. Firmware không có chữ ký hợp lệ hoặc không khớp PCR value trong TPM sẽ bị từ chối boot. Các chính sách này cần được áp dụng đồng thời cho cả lớp mạng và lớp thiết bị, không thể chỉ triển khai một phần.

Rủi ro từ thiết bị IoT và phần mềm BMS Việt hóa

Gateway Modbus-to-BACnet sản xuất thường chứa tài khoản backdoor mặc định hoặc cổng dịch vụ ẩn cho phép truy cập shell mà không cần xác thực. Firmware của các gateway này không được ký số, cho phép attacker thay thế toàn bộ firmware bằng phiên bản chứa mã độc.

Từ một gateway bị chiếm quyền, attacker dễ dàng chuyển sang hệ thống chiếu sáng (thường dùng cùng giao thức Modbus), sau đó di chuyển đến hệ thống kiểm soát ra vào vì hai hệ thống này thường nằm trong cùng phân đoạn mạng logic.

Yêu cầu hành động

Đến hết quý 2/2025, chủ đầu tư và quản lý tòa nhà phải hoàn thành ba việc sau:

1. Thay thế toàn bộ gateway Modbus-to-BACnet không hỗ trợ signed firmware và certificate authentication bằng thiết bị có khả năng TLS 1.3 và TPM 2.0 attestation.

2. Triển khai micro-segmentation với intent-based policy cho toàn bộ tủ điều khiển, đảm bảo East-West traffic giữa DDC controller được kiểm tra và chỉ cho phép các flow đã được định nghĩa trước.

3. Yêu cầu nhà thầu BMS cung cấp bằng chứng audit độc lập xác nhận 100% thiết bị BACnet đã chuyển sang BACnet/SC với certificate do chủ tòa nhà kiểm soát và không còn sử dụng function code Modbus không xác thực.

Nếu ba yêu cầu trên không được thực hiện, đến năm 2030 các tòa nhà của các bạn sẽ không còn thuộc về các bạn nữa.