Mở đầu

Năm 2025, khi TP.HCM thúc đẩy tích hợp HVAC vào BMS thông qua BACnet/IP và Modbus TCP mà không phân đoạn mạng, câu hỏi then chốt không nằm ở công nghệ mà ở trách nhiệm. Nhà thầu HVAC và đơn vị quản lý tòa nhà cao tầng đang để ngỏ một vectơ xâm nhập mà ransomware có thể khai thác mà không cần vượt qua tường lửa doanh nghiệp. Tình huống này mang tính giả định; độc giả cần tự đánh giá mức độ hiện hữu của rủi ro trong thực tế.

Vectơ tấn công qua BACnet MS/TP sang IP và điểm yếu xác thực mặc định

Khi gateway chuyển đổi BACnet MS/TP sang BACnet/IP mà không có phân đoạn mạng, toàn bộ mạng điều khiển DDC trở thành phần mở rộng của mạng IT. Nhiều bộ điều khiển DDC của Honeywell, Johnson Controls và Schneider Electric đang vận hành tại Việt Nam vẫn giữ tài khoản xác thực mặc định. Kẻ tấn công chỉ cần đạt được kết nối IP là có thể gửi lệnh ghi đè set-point hoặc override van mà không gặp rào cản xác thực hai yếu tố.

Ai chịu trách nhiệm khi một bộ điều khiển DDC cũ hơn ba năm trở thành điểm vào ransomware? Nhà thầu HVAC hay đơn vị quản lý tòa nhà?

Vai trò nhà thầu HVAC trong cấu hình VLAN và firewall rules

Nhà thầu HVAC thường được giao nhiệm vụ tích hợp hệ thống nhưng chỉ tối ưu thông số nhiệt độ, độ ẩm. Việc cấu hình VLAN tách biệt BMS khỏi mạng OT hoặc đặt firewall rules chặn lệnh BACnet từ nguồn không tin cậy hiếm khi nằm trong hợp đồng thi công. Firmware controller không được hardening vì điều này nằm ngoài phạm vi “đảm bảo vận hành ổn định”.

Khi ransomware lây lan từ một bộ điều khiển HVAC sang hệ thống BMS, liệu nhà thầu có thể viện dẫn “chúng tôi chỉ làm HVAC” để thoái thác? Hay trách nhiệm đã được chuyển giao ngay từ lúc ký hợp đồng mà không có điều khoản hardening?

Trách nhiệm giám sát log và phát hiện bất thường của quản lý tòa nhà

Đơn vị quản lý tòa nhà có quyền truy cập hệ thống BMS nhưng hiếm khi triển khai giám sát log lệnh set-point hoặc override valve theo thời gian thực. Việc thiếu MFA trên tài khoản vận hành HVAC khiến mọi thay đổi từ xa đều không để lại dấu vết kiểm chứng. Khi xuất hiện lệnh thay đổi bất thường vào ban đêm, hệ thống không có cơ chế cảnh báo tự động.

Ai phải chịu trách nhiệm khi log không được xem xét và ransomware đã mã hóa toàn bộ controller? Quản lý tòa nhà có thể đổ lỗi cho nhà thầu vì không cung cấp công cụ giám sát, hay chính họ đã bỏ qua nghĩa vụ vận hành an toàn?

So sánh rủi ro remote access không phân quyền và firmware không được vá

Nhà thầu HVAC sử dụng VPN truy cập từ xa mà không phân quyền theo từng thiết bị, cho phép một tài khoản có thể điều khiển nhiều DDC. Ngược lại, quản lý tòa nhà thường trì hoãn cập nhật firmware controller đã quá ba năm tuổi vì lo ngại ảnh hưởng vận hành. Hai rủi ro này bổ trợ lẫn nhau: VPN không phân quyền tạo lối vào, firmware cũ cung cấp bề mặt khai thác mà không cần zero-day.

Khi ransomware khai thác cả hai lỗ hổng đồng thời, hợp đồng hiện hành buộc ai phải bồi thường thiệt hại? Nhà thầu vì cấu hình VPN lỏng lẻo, hay quản lý tòa nhà vì không duy trì patch?

Kết luận

Khoảng trống pháp lý và hợp đồng tại Việt Nam hiện nay chưa buộc nhà thầu HVAC và đơn vị quản lý tòa nhà ký kết SLA về an ninh mạng, bao gồm yêu cầu phân đoạn mạng, hardening firmware và giám sát log. Khi hệ thống HVAC trở thành điểm vào ransomware, cả hai bên đều có cơ sở để chuyển giao trách nhiệm cho đối phương. Tình huống giả định trên chỉ ra rằng, nếu không có cơ chế ràng buộc rõ ràng, rủi ro an ninh mạng của tòa nhà cao tầng sẽ tiếp tục bị đẩy sang phía sau lợi ích vận hành tức thì.