Dùng AI và những nguy cơ tự lộ bí mật của doanh nghiệp
Một nghịch lý đang diễn ra trong kỷ nguyên AI: nhiều doanh nghiệp không bị hack, mà đang tự làm lộ bí mật thông qua chính hoạt động nội bộ khi chỉ cần một nhân viên nhập dữ liệu nội bộ lên một công cụ AI công cộng và nhờ AI đó hỗ trợ.
75% nhân viên đã dùng AI - nhưng ai đang kiểm soát?
Gần đây, theo báo cáo Work Trend Index của Microsoft, 75% nhân viên tri thức toàn cầu đã sử dụng AI trong công việc. McKinsey cũng cho biết gần 40% nhân viên từng đưa dữ liệu nội bộ vào các công cụ AI công cộng để hỗ trợ xử lý công việc. Trong khi đó, báo cáo IBM Cost of a Data Breach chỉ ra chi phí trung bình của một vụ rò rỉ dữ liệu toàn cầu đã lên tới 4,45 triệu USD - mức cao kỷ lục.
Những con số này cho thấy AI đã đi trước một bước so với hệ thống quản trị. Khi hợp đồng khách hàng, kế hoạch kinh doanh, dữ liệu tài chính hoặc mã nguồn sản phẩm được nhập vào một nền tảng AI công cộng, dữ liệu đó đã rời khỏi vùng kiểm soát nội bộ. Mọi thứ diễn ra hợp pháp, bởi người gửi là người có quyền truy cập. Nhưng rủi ro thì hoàn toàn có thật.
Shadow AI - rủi ro đến từ bên trong
Hiện tượng này được gọi là Shadow AI, tương tự khái niệm Shadow IT nhưng có mức độ nhạy cảm dữ liệu cao hơn. Shadow AI không xuất phát từ hành vi ác ý; nhân viên sử dụng AI nhằm tăng năng suất làm việc, tối ưu quy trình xử lý và giảm thời gian thực hiện công việc.
Tuy nhiên, việc chia sẻ dữ liệu với các nền tảng AI bên ngoài có thể khiến dữ liệu bị lưu trữ, xử lý hoặc tái sử dụng ngoài phạm vi kiểm soát của doanh nghiệp. Khác với tấn công mạng truyền thống, Shadow AI không tạo ra dấu hiệu xâm nhập trái phép, không kích hoạt cảnh báo bảo mật và không tạo log bất thường.
Do đó, dữ liệu có thể bị chia sẻ mà tổ chức không nhận biết được rủi ro. Trong bối cảnh Việt Nam tăng cường chuyển đổi số và hoàn thiện khung pháp lý về bảo vệ dữ liệu cá nhân, đây không chỉ là vấn đề kỹ thuật mà còn là vấn đề quản trị và tuân thủ.
Từ bảo mật công nghệ sang quản trị rủi ro AI
Theo chuyên gia bảo mật của CMC Telecom, Shadow AI là biểu hiện của một thực tế lớn hơn: doanh nghiệp đang vận hành trong môi trường số phức tạp, nhưng lại quản trị an ninh theo cách phân mảnh.
“AI không nguy hiểm. Nguy hiểm là việc sử dụng AI không được quản trị. Nếu không có chiến lược an toàn, an ninh thông tin toàn diện, doanh nghiệp đang tự mở thêm một cánh cửa dữ liệu mà không hề hay biết”, chuyên gia bảo mật CMC Telecom nhận định.
Thực tế cho thấy nhiều tổ chức vẫn xem bảo mật là nhiệm vụ của bộ phận IT, thay vì một cấu phần trong chiến lược điều hành. Trong khi đó, AI đã hiện diện ở tài chính, nhân sự, marketing, pháp chế và R&D. Khi AI len vào mọi phòng ban, an ninh không thể đứng ngoài cấu trúc quản trị.
Chiến lược an toàn an ninh thông tin toàn diện - yêu cầu bắt buộc ở cấp CXO
Các chuyên gia cho rằng thay vì cấm đoán AI, doanh nghiệp cần xây dựng chiến lược an toàn, an ninh thông tin toàn diện ở cấp điều hành.
Trước hết, AI phải được đưa vào khung quản trị rủi ro doanh nghiệp. Ban lãnh đạo cần xác định rõ loại dữ liệu nào được phép xử lý qua AI, loại nào tuyệt đối không được rời khỏi hệ thống nội bộ và cơ chế giám sát phải vận hành ra sao.
Tiếp theo là phân loại và kiểm soát dữ liệu theo mức độ nhạy cảm. Nếu không biết đâu là tài sản chiến lược, mọi chính sách bảo mật đều chỉ mang tính hình thức.
Song song đó, doanh nghiệp cần triển khai cơ chế giám sát hành vi và phát hiện bất thường dựa trên ngữ cảnh. Shadow AI không tạo ra tín hiệu tấn công truyền thống; vì vậy, hệ thống bảo mật phải có khả năng quan sát tập trung, phân tích dữ liệu lớn và cảnh báo sớm nguy cơ rò rỉ.
Quan trọng hơn cả, bảo mật cần được tích hợp vào toàn bộ hạ tầng số - từ mạng, cloud, ứng dụng đến lớp dữ liệu và quản trị rủi ro. Thay vì các giải pháp rời rạc, doanh nghiệp cần một kiến trúc bảo mật thống nhất, có khả năng điều phối tập trung và ứng dụng AI để dự báo, phản ứng nhanh với sự cố.
Theo chuyên gia CMC Telecom, xu hướng toàn cầu đang chuyển dịch từ chỉ phản ứng khi sự cố xảy ra sang dự báo rủi ro và điều phối bảo mật trên một nền tảng thống nhất, một Comprehensive Security Platform.
Khả năng kiểm soát rủi ro số - vũ khí mới của doanh nghiệp
Trong kỷ nguyên AI, lợi thế cạnh tranh không chỉ nằm ở tốc độ ứng dụng công nghệ, mà còn ở khả năng kiểm soát rủi ro số. Shadow AI không phải là câu chuyện tương lai; nó đang diễn ra trong từng email, từng báo cáo và từng đoạn mã được gửi vào các nền tảng AI công cộng mỗi ngày.
Khi dữ liệu trở thành tài sản chiến lược quan trọng nhất, việc vô thức chia sẻ dữ liệu có thể tạo ra những hệ quả dài hạn về cạnh tranh, pháp lý và uy tín thương hiệu.
Để hiểu rõ hơn về bản chất của Shadow AI, các kịch bản rủi ro thực tế và cách xây dựng chiến lược quản trị an ninh phù hợp trong kỷ nguyên AI, độc giả có thể tham khảo loạt phân tích chuyên sâu tại Security Hub của CMC Telecom - nơi tập trung các nghiên cứu và góc nhìn về AI Security, quản trị dữ liệu và nền tảng bảo mật toàn diện.
Doanh nghiệp có thể không bị hack. Nhưng nếu không có chiến lược an toàn, an ninh thông tin toàn diện, họ hoàn toàn có thể tự làm lộ bí mật của chính mình.
