Love AI
New member
Sự áp dụng AI nhanh chóng đang khiến các mô hình bảo mật truyền thống bị quá tải. Khi con người và đại lý AI cùng làm việc, rủi ro nhân sự biến đổi nhanh hơn và khó quản lý hơn trước.
Nhiều mô hình an ninh từng hiệu quả vài năm trước đang đứng trước áp lực lớn vì thay đổi nhanh của tổ chức. Việc triển khai AI ồ ạt, tăng tự động hóa và dịch chuyển lên mây cùng nền tảng cộng tác đã làm phức tạp bức tranh rủi ro, trong khi tội phạm mạng lại có nhiều công cụ như phishing-as-a-service (PhaaS) để tấn công với quy mô lớn hơn.
AI tạo ra hai loại rủi ro chính. Ở bên trong, nhân viên có thể vô tình chia sẻ dữ liệu nhạy cảm vào các công cụ AI mà không rõ cách dữ liệu đó được lưu trữ hoặc bảo vệ. Ở bên ngoài, tội phạm lợi dụng AI để tạo deepfake, mạo danh những người đáng tin cậy và tự động hóa các chiến dịch tấn công với tốc độ, độ chính xác đáng kể. Song song đó, việc nhân viên dùng tài khoản cá nhân trên các mô hình ngôn ngữ (shadow AI) tạo ra các vectơ rủi ro gần như vô hình với bộ phận bảo mật.
Cách tiếp cận truyền thống tập trung vào đào tạo nâng cao nhận thức vẫn cần thiết — nghiên cứu cho thấy yếu tố con người góp phần lớn vào sự gia tăng các sự cố — nhưng giờ đây không còn đủ. Khi rủi ro xuất hiện ở khắp nơi nhân viên làm việc và giao tiếp, biện pháp phòng thủ biên giới và chu kỳ đào tạo hàng năm trở nên kém hiệu quả. Đặc biệt là khi các đại lý AI được nhúng trực tiếp vào quy trình làm việc và tương tác với dữ liệu nhạy cảm, các tổ chức thường không áp dụng cùng mức đào tạo hành vi cho các mô hình này như với nhân viên.
Một khoảng trống sâu hơn đang xuất phát từ sự mơ hồ về quyền sở hữu dữ liệu. Gần một nửa nhân viên không tin rằng dữ liệu họ xử lý thuộc quyền sở hữu của tổ chức, dẫn tới các quy tắc cá nhân về chia sẻ, lưu trữ và sử dụng AI. Điều này cho thấy văn hoá, động lực và công cụ vận hành có tác động mạnh mẽ hơn các văn bản chính sách khô khan; quản trị rủi ro nhân sự cần tạo ra sự rõ ràng và hướng dẫn thực tiễn thay vì chỉ phạt lỗi.
Giải pháp hiệu quả cần là một sự kết hợp: triển khai các biện pháp kỹ thuật như DLP, CASB, giám sát hoạt động AI và ghi nhật ký chi tiết; cùng lúc thiết kế cơ chế kiểm soát thời gian thực (real-time guardrails) để ngăn rò rỉ khi nhân viên tương tác với công cụ AI. Quy trình phê duyệt công cụ được đơn giản hoá để nhân viên có lựa chọn an toàn thay vì chuyển sang dùng các dịch vụ không được quản lý.
Ngoài công nghệ, lãnh đạo phải thay đổi cách tiếp cận: ưu tiên rõ ràng về quyền sở hữu dữ liệu, khuyến khích báo cáo sự cố thay vì trừng phạt, và liên tục huấn luyện theo kịch bản thực tế. Sự cân bằng giữa năng suất và bảo mật là then chốt — nếu chính sách quá cứng nhắc, người dùng sẽ tìm con đường thay thế và rủi ro sẽ tăng lên.
Bước vào 2026, các tổ chức cần một chiến lược tích hợp: công nghệ, quy định và văn hoá phối hợp nhịp nhàng để quản trị rủi ro con người trong môi trường làm việc được AI hỗ trợ. Bảo mật không còn chỉ là dán nhãn nguy hiểm hay đào tạo một lần mà là một hệ thống liên tục, minh bạch và thích ứng với sự tồn tại song song của con người và đại lý AI.
Nguồn: Techradar
Nhiều mô hình an ninh từng hiệu quả vài năm trước đang đứng trước áp lực lớn vì thay đổi nhanh của tổ chức. Việc triển khai AI ồ ạt, tăng tự động hóa và dịch chuyển lên mây cùng nền tảng cộng tác đã làm phức tạp bức tranh rủi ro, trong khi tội phạm mạng lại có nhiều công cụ như phishing-as-a-service (PhaaS) để tấn công với quy mô lớn hơn.
AI tạo ra hai loại rủi ro chính. Ở bên trong, nhân viên có thể vô tình chia sẻ dữ liệu nhạy cảm vào các công cụ AI mà không rõ cách dữ liệu đó được lưu trữ hoặc bảo vệ. Ở bên ngoài, tội phạm lợi dụng AI để tạo deepfake, mạo danh những người đáng tin cậy và tự động hóa các chiến dịch tấn công với tốc độ, độ chính xác đáng kể. Song song đó, việc nhân viên dùng tài khoản cá nhân trên các mô hình ngôn ngữ (shadow AI) tạo ra các vectơ rủi ro gần như vô hình với bộ phận bảo mật.
Cách tiếp cận truyền thống tập trung vào đào tạo nâng cao nhận thức vẫn cần thiết — nghiên cứu cho thấy yếu tố con người góp phần lớn vào sự gia tăng các sự cố — nhưng giờ đây không còn đủ. Khi rủi ro xuất hiện ở khắp nơi nhân viên làm việc và giao tiếp, biện pháp phòng thủ biên giới và chu kỳ đào tạo hàng năm trở nên kém hiệu quả. Đặc biệt là khi các đại lý AI được nhúng trực tiếp vào quy trình làm việc và tương tác với dữ liệu nhạy cảm, các tổ chức thường không áp dụng cùng mức đào tạo hành vi cho các mô hình này như với nhân viên.
Một khoảng trống sâu hơn đang xuất phát từ sự mơ hồ về quyền sở hữu dữ liệu. Gần một nửa nhân viên không tin rằng dữ liệu họ xử lý thuộc quyền sở hữu của tổ chức, dẫn tới các quy tắc cá nhân về chia sẻ, lưu trữ và sử dụng AI. Điều này cho thấy văn hoá, động lực và công cụ vận hành có tác động mạnh mẽ hơn các văn bản chính sách khô khan; quản trị rủi ro nhân sự cần tạo ra sự rõ ràng và hướng dẫn thực tiễn thay vì chỉ phạt lỗi.
Giải pháp hiệu quả cần là một sự kết hợp: triển khai các biện pháp kỹ thuật như DLP, CASB, giám sát hoạt động AI và ghi nhật ký chi tiết; cùng lúc thiết kế cơ chế kiểm soát thời gian thực (real-time guardrails) để ngăn rò rỉ khi nhân viên tương tác với công cụ AI. Quy trình phê duyệt công cụ được đơn giản hoá để nhân viên có lựa chọn an toàn thay vì chuyển sang dùng các dịch vụ không được quản lý.
Ngoài công nghệ, lãnh đạo phải thay đổi cách tiếp cận: ưu tiên rõ ràng về quyền sở hữu dữ liệu, khuyến khích báo cáo sự cố thay vì trừng phạt, và liên tục huấn luyện theo kịch bản thực tế. Sự cân bằng giữa năng suất và bảo mật là then chốt — nếu chính sách quá cứng nhắc, người dùng sẽ tìm con đường thay thế và rủi ro sẽ tăng lên.
Bước vào 2026, các tổ chức cần một chiến lược tích hợp: công nghệ, quy định và văn hoá phối hợp nhịp nhàng để quản trị rủi ro con người trong môi trường làm việc được AI hỗ trợ. Bảo mật không còn chỉ là dán nhãn nguy hiểm hay đào tạo một lần mà là một hệ thống liên tục, minh bạch và thích ứng với sự tồn tại song song của con người và đại lý AI.
Nguồn: Techradar
Bài viết liên quan
