CEO Meey Group: Vụ hack Upbit và bài toán "con người" trong an ninh Proptech

Theo thông báo mới nhất, sự cố tại Upbit đã dẫn đến thất thoát khoảng 36,9 triệu USD. Đáng chú ý, đây không phải là lần đầu tiên nền tảng này gặp sự cố; cách đây 6 năm (2019), Upbit cũng từng hứng chịu một cuộc tấn công tương tự. Việc tin tặc tiếp tục khai thác thành công qua các vectơ tấn công như ví nóng (hot wallet) và kỹ thuật tấn công xã hội (social engineering) đã đặt ra câu hỏi lớn về tính bền vững của các kiến trúc bảo mật truyền thống.

Để rộng đường dư luận về tác động của sự kiện này đối với các doanh nghiệp công nghệ tại Việt Nam, bà Nguyễn Lý Kiều Anh, Tổng Giám đốc Meey Group đã có những chia sẻ xung quanh vấn đề này:

Thưa bà, sự kiện Upbit vừa qua cho thấy ngay cả những "gã khổng lồ" với kinh nghiệm dày dặn vẫn có thể bị xuyên thủng. Bà đánh giá thế nào về nguyên nhân thực sự và rủi ro này trong bối cảnh số hóa tài sản hiện nay?

Nhiều người lầm tưởng rằng các vụ tấn công mạng luôn xuất phát từ những thuật toán cao siêu, nhưng thực tế vụ việc Upbit lại chỉ ra một điểm yếu chí mạng nhưng rất cổ điển: Con người. Nguyên nhân cốt lõi không nằm ở lỗi toán học, mà đến từ việc chiếm đoạt hoặc mạo danh thông tin đăng nhập quản trị viên (admin credential hijacking) kết hợp với kỹ thuật tấn công xã hội.

Điều đáng lo ngại là lịch sử đã lặp lại. Sáu năm trước, Upbit cũng từng bị tấn công qua ví nóng. Khi một kiến trúc bảo mật không thay đổi về chất, lỗ hổng cũ sẽ tiếp tục là "miếng mồi ngon" cho tin tặc. Trong kỷ nguyên số hóa, dù là tiền mã hóa hay bất động sản số, nếu chúng ta vẫn duy trì tư duy "tin tưởng tuyệt đối" vào các tài khoản quản trị mà không có cơ chế kiểm soát chéo, thì việc sụp đổ chỉ là vấn đề thời gian.

Nhiều chuyên gia lo ngại vụ việc này sẽ làm chậm lại quá trình chấp nhận tài sản số. Dưới góc nhìn của một doanh nghiệp Proptech, bà nhận định thế nào về tâm lý thị trường sau sự cố này?

Tôi có góc nhìn ngược lại. Những sự cố như Upbit không làm chậm quá trình số hóa, mà sẽ thúc đẩy mạnh mẽ quá trình "thanh lọc" thị trường theo hướng "chạy về chất lượng" (flight to quality).

Khách hàng và nhà đầu tư sẽ không quay lưng với công nghệ, nhưng họ sẽ đặt ra những câu hỏi khắt khe hơn. Thay vì chỉ quan tâm đến tính năng tiện lợi, họ sẽ soi xét kỹ lưỡng về hạ tầng bảo mật. Đây chính là lúc thị trường phân hóa: những doanh nghiệp làm ăn bài bản, đầu tư chiều sâu vào an toàn dữ liệu sẽ chiếm lĩnh niềm tin, còn những đơn vị lơ là bảo mật sẽ bị đào thải.

Trong lĩnh vực Proptech, rủi ro còn lớn hơn nhiều. Nếu sàn tiền mã hóa mất tiền, thì Proptech rò rỉ dữ liệu có thể dẫn đến mất danh tính, mất thông tin định giá tài sản và ảnh hưởng đến giao dịch thực tế. Do đó, sự kiện này là một "bài học giáo dục thị trường" đắt giá, giúp người dùng hiểu rằng bảo mật không phải là tùy chọn, mà là tiêu chuẩn bắt buộc.

Để giải quyết bài toán niềm tin đó, tại Meey Group , chiến lược bảo mật và an toàn dữ liệu được xây dựng như thế nào, đặc biệt khi tập đoàn đang hướng tới mục tiêu "go global"?

Tại Meey Group , chúng tôi không xem bảo mật là một "tính năng cộng thêm" hay một "chi phí", mà xác định đó là khoản đầu tư chiến lược và là động lực tạo giá trị (value driver).

Chúng tôi đang triển khai kiến trúc Zero Trust (không tin tưởng tuyệt đối) với nguyên tắc cốt lõi: "Never Trust, Always Verify" (không bao giờ tin tưởng, luôn luôn xác minh). Trong hệ thống của chúng tôi, không có vùng nào là "vùng tin cậy" mặc định. Mọi yêu cầu truy cập, dù đến từ mạng nội bộ hay tài khoản cấp cao, đều phải được xác thực nghiêm ngặt như thể nó đến từ một nguồn không đáng tin cậy.

Các thông tin đăng nhập quản trị viên (admin credentials) tại Meey Group được bảo vệ nhiều lớp bằng khóa bảo mật phần cứng và sinh trắc học. Đặc biệt trong lộ trình "go global", các nhà đầu tư tổ chức thường thẩm định tư thế bảo mật (security posture) của doanh nghiệp rất kỹ lưỡng. Họ coi đây là chỉ số đại diện cho sự trưởng thành trong vận hành. Do đó, việc tuân thủ các chuẩn mực bảo mật quốc tế là tấm vé thông hành không thể thiếu để chúng tôi bước ra biển lớn.

Vụ Upbit cho thấy tin tặc đã tấn công vào yếu tố con người (thông tin đăng nhập của quản trị viên). Điều này khẳng định vai trò tối quan trọng của nhận thức bảo mật. Meey Group có chính sách gì để xây dựng đội ngũ vừa giỏi kỹ thuật, vừa có "sức đề kháng" cao trước các cuộc tấn công tinh vi này?

Trong an ninh mạng, con người vừa là mắt xích yếu nhất nhưng cũng là thế lũy tối thượng. Tại Meey Group , chiến lược nhân sự của chúng tôi tập trung vào 3 trụ cột chính:

Thứ nhất là Tuyển dụng theo vấn đề (problem-first recruitment). Chúng tôi không tìm người chỉ biết viết code (mã), mà tìm những kỹ sư có tư duy giải quyết các bài toán phức tạp về hệ thống phân tán và mật mã học.

Thứ hai là xây dựng môi trường thực chiến. Chúng tôi thường xuyên tổ chức các đợt "diễn tập an ninh" (security war games), chia đội ngũ thành phe tấn công và phòng thủ để mô phỏng các tình huống thực tế. Điều này giúp kỹ sư rèn luyện phản xạ và tư duy cảnh giác, hiểu rằng bảo mật là một quy trình liên tục chứ không phải lý thuyết suông.

Thứ ba là chính sách Sở hữu & Cổ phần. Chúng tôi tạo ra văn hóa nơi sự xuất sắc về kỹ thuật được ghi nhận xứng đáng thông qua chương trình ESOP. Khi kỹ sư coi công ty là của mình, họ sẽ có ý thức bảo vệ tài sản số của công ty như bảo vệ tài sản của chính họ.

Từ bài học của Upbit và thực tế ngành, bà có lời khuyên nào cho các startup công nghệ Việt Nam?

Các startup thường muốn đi nhanh, nhưng hãy nhớ rằng: "Công nghệ có thể bị sao chép, nhưng niềm tin và danh tiếng bảo mật mất nhiều năm để xây dựng và chỉ cần một vụ rò rỉ để phá hủy".

Bài học nhãn tiền từ vụ tấn công vào nhà cung cấp công nghệ bất động sản SitusAMC tại Mỹ hồi tháng 11/2025 vừa qua là ví dụ điển hình. Sự cố đó đã ảnh hưởng đến hàng chục ngân hàng, làm lộ thông tin nhạy cảm như số an sinh xã hội và hồ sơ vay vốn của hàng triệu khách hàng.

Đối với Proptech, chúng ta đang xử lý những tài sản có giá trị lớn nhất trong đời người của khách hàng. Vì vậy, lời khuyên của tôi là hãy tư duy về bảo mật ngay từ khâu thiết kế (security by design). Trong bối cảnh các quy định pháp lý ngày càng thắt chặt, một tư thế bảo mật vững vàng không chỉ giúp doanh nghiệp tuân thủ luật chơi mà còn là yếu tố then chốt để chiến thắng trong dài hạn.

Xin cảm ơn bà về những chia sẻ này!