AI Crazy
New member
AI đã trở thành công cụ gần như không thể thiếu trong công việc hàng ngày, nhưng liệu nhân viên của bạn có đang sử dụng AI một cách an toàn? Các rủi ro như shadow AI, rò rỉ dữ liệu và lỗ hổng tài khoản đang tạo ra blind spot lớn cho doanh nghiệp.
AI nhanh chóng từ lĩnh vực nghiên cứu chuyển thành công cụ được dùng rộng rãi trong công việc. Nhiều khảo sát cho thấy tỉ lệ sử dụng Generative AI tại nơi làm việc tăng mạnh, và sự lan tỏa này diễn ra chủ yếu từ phía nhân viên — những người mang công cụ riêng vào môi trường công ty.
Hiện tượng "shadow AI" (AI bóng tối) xảy ra khi nhân viên sử dụng ứng dụng AI chưa được phê duyệt trên mạng công ty hoặc trên tài khoản cá nhân. Nghiên cứu cho thấy phần lớn người dùng AI mang công cụ cá nhân vào chỗ làm, và gần một nửa truy cập AI bằng tài khoản cá nhân không được quản lý, tạo ra vùng mù cho đội an ninh.
Rủi ro lớn nhất là rò rỉ dữ liệu: nhân viên thường dán thông tin nhạy cảm, mã nguồn hay ghi chú cuộc họp vào các công cụ AI mà họ nghĩ là tiện lợi. Ví dụ điển hình là sự cố năm 2023 khi một số kỹ sư gửi mã nội bộ và ghi chú mật vào chatbot công cộng, khiến công ty mất quyền kiểm soát dữ liệu đó.
Tài khoản AI bị lộ hoặc chat/ prompt bị rò rỉ cũng có thể cung cấp cho kẻ tấn công manh mối quan trọng (như thông tin xác thực, cấu trúc hệ thống, IP nội bộ). Khi một tài khoản AI bị truy cập trái phép, tổn thất có thể lan rộng ngay lập tức do khối lượng thông tin thường được đưa vào các công cụ này.
Ngoài ra, việc sử dụng AI không kiểm soát còn gây ra khoảng trống về tuân thủ và quản trị: các quy định bảo vệ dữ liệu, hợp đồng với khách hàng hay yêu cầu ngành nghề có thể bị vi phạm nếu dữ liệu được xử lý bởi bên thứ ba không được kiểm soát.
Doanh nghiệp không cần (và không nên) cấm hoàn toàn AI — điều cần là khung quản trị hiệu quả. Một số bước thực tế nên thực hiện ngay gồm: lập chính sách sử dụng AI rõ ràng, xây dựng danh mục công cụ được phép, yêu cầu đăng ký và phê duyệt công cụ mới, triển khai DLP để phát hiện nội dung nhạy cảm khi gửi ra ngoài, và áp dụng SSO + MFA cho các tài khoản AI doanh nghiệp.
Về mặt kỹ thuật, cân nhắc dùng proxy hoặc gateway API để kiểm soát luồng dữ liệu đến dịch vụ AI, chặn hoặc làm mờ các trường chứa thông tin nhạy cảm, và áp dụng giám sát nhật ký để phát hiện hành vi bất thường. Đồng thời, đào tạo nhân viên về rủi ro khi đưa dữ liệu nhạy cảm vào AI, hướng dẫn cách soạn prompt an toàn và quy trình báo cáo sự cố.
Cuối cùng, chuẩn bị quy trình ứng phó sự cố (incident response) cho sự cố liên quan AI: xác định nguồn lộ, cách cô lập tài khoản, thông báo với các bên liên quan và rà soát hợp đồng với nhà cung cấp AI để hạn chế rủi ro pháp lý. Quản trị tốt sẽ giúp doanh nghiệp tận dụng lợi ích AI mà vẫn giữ được an toàn và tuân thủ.
Nguồn: Techradar
AI nhanh chóng từ lĩnh vực nghiên cứu chuyển thành công cụ được dùng rộng rãi trong công việc. Nhiều khảo sát cho thấy tỉ lệ sử dụng Generative AI tại nơi làm việc tăng mạnh, và sự lan tỏa này diễn ra chủ yếu từ phía nhân viên — những người mang công cụ riêng vào môi trường công ty.
Hiện tượng "shadow AI" (AI bóng tối) xảy ra khi nhân viên sử dụng ứng dụng AI chưa được phê duyệt trên mạng công ty hoặc trên tài khoản cá nhân. Nghiên cứu cho thấy phần lớn người dùng AI mang công cụ cá nhân vào chỗ làm, và gần một nửa truy cập AI bằng tài khoản cá nhân không được quản lý, tạo ra vùng mù cho đội an ninh.
Rủi ro lớn nhất là rò rỉ dữ liệu: nhân viên thường dán thông tin nhạy cảm, mã nguồn hay ghi chú cuộc họp vào các công cụ AI mà họ nghĩ là tiện lợi. Ví dụ điển hình là sự cố năm 2023 khi một số kỹ sư gửi mã nội bộ và ghi chú mật vào chatbot công cộng, khiến công ty mất quyền kiểm soát dữ liệu đó.
Tài khoản AI bị lộ hoặc chat/ prompt bị rò rỉ cũng có thể cung cấp cho kẻ tấn công manh mối quan trọng (như thông tin xác thực, cấu trúc hệ thống, IP nội bộ). Khi một tài khoản AI bị truy cập trái phép, tổn thất có thể lan rộng ngay lập tức do khối lượng thông tin thường được đưa vào các công cụ này.
Ngoài ra, việc sử dụng AI không kiểm soát còn gây ra khoảng trống về tuân thủ và quản trị: các quy định bảo vệ dữ liệu, hợp đồng với khách hàng hay yêu cầu ngành nghề có thể bị vi phạm nếu dữ liệu được xử lý bởi bên thứ ba không được kiểm soát.
Doanh nghiệp không cần (và không nên) cấm hoàn toàn AI — điều cần là khung quản trị hiệu quả. Một số bước thực tế nên thực hiện ngay gồm: lập chính sách sử dụng AI rõ ràng, xây dựng danh mục công cụ được phép, yêu cầu đăng ký và phê duyệt công cụ mới, triển khai DLP để phát hiện nội dung nhạy cảm khi gửi ra ngoài, và áp dụng SSO + MFA cho các tài khoản AI doanh nghiệp.
Về mặt kỹ thuật, cân nhắc dùng proxy hoặc gateway API để kiểm soát luồng dữ liệu đến dịch vụ AI, chặn hoặc làm mờ các trường chứa thông tin nhạy cảm, và áp dụng giám sát nhật ký để phát hiện hành vi bất thường. Đồng thời, đào tạo nhân viên về rủi ro khi đưa dữ liệu nhạy cảm vào AI, hướng dẫn cách soạn prompt an toàn và quy trình báo cáo sự cố.
Cuối cùng, chuẩn bị quy trình ứng phó sự cố (incident response) cho sự cố liên quan AI: xác định nguồn lộ, cách cô lập tài khoản, thông báo với các bên liên quan và rà soát hợp đồng với nhà cung cấp AI để hạn chế rủi ro pháp lý. Quản trị tốt sẽ giúp doanh nghiệp tận dụng lợi ích AI mà vẫn giữ được an toàn và tuân thủ.
Nguồn: Techradar
Bài viết liên quan
