Khi góc khuất chuỗi cung ứng trở thành mồi ngon của hacker

Chọn chủ đề đang giành được nhiều sự quan tâm nhất ở thời điểm này: “Lỗ hổng An ninh mạng trong Chuỗi cung ứng của Blockchain”, những chia sẻ của ông Quang Hùng - Giám đốc Phát triển Kinh doanh đến từ Công ty Eclypsium tại GM Blockchain Security Forum 2025 cho thấy, chuỗi cung ứng blockchain đang là mắt xích yếu trong phòng tuyến an ninh mạng.

Theo ông Quang Hùng, dù các giao thức blockchain được thiết kế để an toàn bằng phương pháp mã hóa, nhưng hạ tầng mà chúng hoạt động, như máy chủ vật lý, GPU, switch lại không miễn nhiễm với các mối đe dọa xâm nhập ở cấp độ firmware/BIOS.

Bởi, tất cả lại đang được chạy, vận hành trên một nền tảng phần cứng, liên quan đến server, thiết bị, hạ tầng. Một giải pháp tin cậy những đặt ở trên nền tảng mà chúng ta lại không thể biết được rằng có thực sự tin cậy được hay không?

Ông Quang Hùng phân tích, thử hình dung rằng một thiết bị chúng ta có trong tay đến từ bao nhiêu nhà cung cấp khác nhau? Mỗi nhà cung cấp nhỏ lẻ như vậy, họ có đảm bảo được về độ an toàn cho các sản phẩm của họ để đưa đến một nhà tích hợp tổng thành hay không? Do vậy, thực trạng kiểm soát chuỗi cung ứng và sản xuất là một vấn đề nhức nhối.

Những nguyên nhân lý giải cho câu hỏi vì sao rủi ro gì trên cơ sở hạ tầng blockchain lại là một mối quan ngại nghiêm trọng được ông Quang Hùng đưa ra. Đó là bởi mô hình tin cậy của blockchain phụ thuộc vào tính toàn vẹn của các node; Các mối đe dọa ở cấp độ firmware rất dai dẳng và khó phát hiện; Xâm nhập phần cứng có thể phá vỡ ngay cả môi trường cách ly; Blockchain thì Bất biến nhưng phần cứng thì Không.

Ông Quang Hùng - Giám đốc Phát triển Kinh doanh đến từ Công ty Eclypsium với bài trình bày ấn tượng tại GM Blockchain Security Forum 2025

Firmware trở thành vũ khí…

Với nhận định này, ông Quang Hùng đưa ra ví dụ. Một người lính điều khiển drone mà không biết rằng firmware đã bị kẻ thù thay thế. Drone lúc này là vật phản chủ, khi về với người điều khiển đã gửi tọa độ điểm hạ cánh cho đối phương. Ngay lập tức pháo chính xác đổ xuống vị trí drone cung cấp. Rất may binh sỹ này đã thoát hiểm.

Một dẫn chứng nữa được đưa ra. Có một thông tin khiến cả thế giới kinh ngạc trong thời gian vừa rồi, đó là vụ 3000 máy nhắn tin của khủng bố đồng thời phát nổ. Vụ nổ này gây ra nhiều thiệt hại về người.

Tại sao lại có thể xảy ra được như vậy? Theo phân tích, các thiết bị, máy nhắn tin đó đã bị cấy firmware trước khi được lắp ráp tại nhà máy. Trên đường vận chuyển từ nhà máy tới tay người dùng, máy nhắn tin đã được rút lõi và thay đổi pin, và chất nổ được cấy vào trong đó.

Hai ví dụ nêu trên phần nào đã cho thấy sự nguy hiểm của việc tấn công firmware vào các thiết bị hiện nay. Khi số lượng các nhà cung cấp quá lớn không kiểm soát hết được các firmware và Bios đơn lẻ của từng thiết bị. Khi sử dụng máy tính, điện thoại… chúng ta không thể biết được khi nào nó xảy ra sự cố, và khi nào chúng ta có thể bị mất những tài sản hữu hình cũng như là vô hình.

Hacker đã phát hiện và khai thác điểm yếu trong chuỗi cung ứng toàn cầu. Trên thực tế, việc tấn công vào chuỗi cung ứng đã không còn quá lạ lẫm. Năm năm trước đây, vào năm 2020, hãng phần mềm SolarWind đã bị tấn công và vụ việc này đã khiến thiệt hại rất lớn cho khách hàng và chính bản thân SolarWind. Nhóm tấn công đã tấn công, vô hiệu hoá giải pháp SolarWind từ trong chuỗi cung ứng của những nhà cung cấp phần mềm, tích hợp phần mềm của SolarWind để giải mã và tấn công trên toàn cầu.

… cũng là “điểm mù” lớn nhất cho bảo mật blockchain

Từ sự kiện của SolarWind, giới công nghệ đã bừng tỉnh trước thực tế hacker đã tấn công vào chuỗi cung ứng. Cứ nghĩ rằng chuỗi cung ứng của nhà sản xuất, nhưng trên thực tế, chúng ta lại chính là nạn nhân của việc tấn công chuỗi cung ứng này.

Theo ông Quang Hùng, điều đáng nói là firmware hiện diện ở khắp mọi nơi. Khi chúng ta dùng con chuột để kết nối máy tính, cũng phải có firmware thì hai thiết bị mới có thể “nói chuyện” được với nhau. Thậm chí, một chiếc đèn USB vốn được sử dụng khá phổ biến hiện giờ, nếu không có firmware thì cũng không thể “cắm” được vào máy tính để có ánh sáng cho bạn làm việc. Vấn đề là chúng ta phải ứng xử với firmware như thế nào?

Trên thế giới hiện nay đang có hàng tỷ thiết bị công nghệ, từ máy chủ, máy trạm, thiết bị mạng… có xuất xứ từ rất nhiều các nhà cung cấp khác nhau, các hãng công nghệ khác nhau. Đơn cử như một chiếc máy tính xách tay, để cấu hình nên nó phải có bao nhiêu linh kiện, bao nhiêu firmware với bao nhiêu nhà cung cấp khác nhau.

Theo ông Quang Hùng, đây chính là những lỗ hổng mà tin tặc, hacker nhắm vào, thậm chí có kế hoạch tấn công chủ đích từ trước đó, trước cả khi sản phẩm đến tay người dùng.

Trong khi các lớp ứng dụng bề nổi như hệ điều hành, cơ sở dữ liệu… đã được bảo vệ một cách chặt chẽ, nhưng đó là phần nhìn thấy, còn tảng băng chìm ở dưới -  firmware/BIOS chính là ĐIỂM MÙ lớn nhất mà chúng ta không nhìn thấy được. Nguy cơ đó đã xảy ra và hiện hữu.

Không để chuỗi cung ứng trở thành “gót chân Achilles” của niềm tin số

Trong bối cảnh tài sản số và blockchain không ngừng mở rộng, các mối đe dọa an ninh mạng cũng ngày càng gia tăng, đòi hỏi một cách tiếp cận chủ động và bền vững để bảo vệ tính toàn vẹn hệ thống và củng cố niềm tin vào công nghệ.

Nhìn ra quốc tế, Chính phủ Mỹ đã có sự quan tâm rất nhiều về nâng cấp, bổ sung các điều khoản luật để tăng cường an ninh thông tin cho tài sản số và blockchain. Luật năm 2023 của Chính phủ Mỹ đã bổ sung tất cả những quy định cho các nhà sản xuất, người dùng về quản lý, bảo mật cho firmware.

Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) thuộc thuộc Bộ Thương mại Mỹ cũng đã nâng cấp Cybersecurity Framework lên 2.0 bổ sung trọng tâm bảo mật firmware (rủi ro từ chuỗi cung ứng toàn cầu).

Nền kinh tế số của Việt Nam đang ngày càng phụ thuộc vào blockchain để lưu trữ và giao dịch tài sản, việc đảm bảo an ninh cho blockchain chính là đảm bảo an toàn cho tài sản số quốc gia. Do đó, chúng ta cần một chiến lược mang tính tổng thể, gắn kết giữa công nghệ, pháp lý và tăng cường nhận thức cộng đồng.

Đó chính là lý do GM Blockchain Security Forum 2025 được tổ chức, với kỳ vọng sẽ là bước khởi đầu cho nhiều sáng kiến hợp tác, giúp Việt Nam chủ động hơn trên mặt trận an ninh blockchain khu vực và toàn cầu.

Chia sẻ bên lề sự kiện GM Blockchain Security Forum 2025 với phóng viên, ông Vũ Ngọc Sơn - Trưởng Ban Nghiên cứu, tư vấn, phát triển công nghệ và hợp tác quốc tế của Hiệp hội An ninh mạng quốc gia bày tỏ sự đồng tình với quan điểm: Bảo mật blockchain không còn là lựa chọn mà là điều kiện tiên quyết để xây dựng niềm tin số.

Theo ông Vũ Ngọc Sơn, về bản chất, blockchain và các ứng dụng giao dịch tài sản số không phải chịu sự quản lý của bất cứ hệ thống nào. Đây hoàn toàn dựa trên sự tự nguyện của người tham gia. Với việc tự nguyện tham gia đòi hỏi niềm tin rất lớn. Sự cạnh tranh giữa các công ty, giữa các sàn giao dịch đều phải dựa trên niềm tin. Nếu một sàn giao dịch tài sản số được lập ra dù có đảm bảo an toàn đến đâu nếu không có được niềm tin thì sẽ không có người dùng.

Ông Vũ Ngọc Sơn chia sẻ tại toạ đàm mở của GM Blockchain Security Forum 2025

Bài toán đặt ra đó là chúng ta phải xây dựng hệ thống đảm bảo an ninh mạng và quan trọng nhất là minh bạch thông tin về việc bảo vệ người dùng như thế nào? Cơ chế để quản lý các rủi ro ra làm sao? Đây không phải là khuyến nghị nữa mà trở thành sự bắt buộc các doanh nghiệp, tổ chức muốn kinh doanh trên lĩnh vực, ngành công nghiệp này phải đặt vấn đề an ninh mạng lên hàng đầu.

Theo ông Vũ Ngọc Sơn, sự kiện GM Blockchain Security Forum 2025 được tổ chức lần này không phải là đích đến, mà là sự khởi đầu. Hội thảo đã mở ra rất nhiều vấn đề cho các bên liên quan phải xem xét, nghiên cứu. Hiệp hội An ninh mạng quốc gia sẽ đồng hành cùng với bốn trụ cột liên quan đến blockchain và giao dịch tài sản số.

Thứ nhất, tham mưu, tư vấn cho Chính phủ xây dựng khung hành lang pháp lý;

Thứ hai, Hiệp hội sẽ đồng hành trong việc cung cấp các tư vấn cũng như nghiên cứu về các công nghệ, đặc biệt là các tiêu chuẩn an ninh mạng cho các tài sản số;

Thứ ba, Hiệp hội sẽ đồng hành trong việc nâng cao nhận thức, hiểu biết, kỹ năng cho cộng đồng, trong đó có những khoá đào tạo, cấp chứng chỉ cho những chuyên gia, cán bộ vận hành blockchain. Đây có thể nói là điều kiện tiên quyết để bắt đầu một hệ thống. Ngoài ra, Hiệp hội cũng có chương trình phổ biến kiến thức cho những cá nhân, cộng đồng, những người không chuyên về CNTT, nhưng có mong muốn và giao dịch trên không gian mạng, trên các sàn giao dịch tài sản số.

Và cuối cùng, Hiệp hội phải là đơn vị tiên phong kết nối với các tổ chức, hiệp hội nước ngoài để chúng ta có thể chia sẻ thông tin, đặc biệt là thông tin liên quan đến tình báo an ninh mạng, các vụ tấn công, các kỹ thuật, thủ đoạn mới của tội phạm mạng; Đồng thời có những hợp tác, chia sẻ về công nghệ trong đó có những công nghệ tiên tiến, mới nhất của thế giới. Hiệp hội sẽ là cầu nối, giúp đem công nghệ đó về Việt Nam, chia sẻ cho các doanh nghiệp, tổ chức của Việt Nam.

Hiền Mai