Nhân viên dùng AI tự phát khiến doanh nghiệp dễ bị tấn công mạng

Nhân viên dùng AI và nguy cơ rò rỉ dữ liệu

Mối đe dọa an ninh mạng lớn nhất hiện nay không chỉ bắt đầu từ các cuộc tấn công kỹ thuật từ bên ngoài, mà xuất phát ngay từ tiến trình ứng dụng AI chưa kiểm soát trong nội bộ tổ chức. Dữ liệu được các chuyên gia, doanh nghiệp chia sẻ tại sự kiện Vietnam Security Summit 2026 mới đây ở Hà Nội cho thấy làn sóng chuyển dịch mạnh mẽ khi có tới 45% nhân viên dùng AI thường xuyên trên các thiết bị thuộc sở hữu của cơ quan và 67% tự ý truy cập các công cụ này bằng tài khoản cá nhân. Trong khi đó, có đến 63% doanh nghiệp hoàn toàn chưa ban hành chính sách quản trị AI.

Ảnh: CTV

Sự mâu thuẫn giữa nhu cầu sử dụng thực tế và hành lang quản lý lỏng lẻo đã tạo nên lỗ hổng lớn, thường được gọi là "Shadow AI". Ông Nguyễn Xuân Việt, Giám đốc Khối Dịch vụ Công nghệ mới (FPT IS) cho biết AI đang biến dữ liệu thành "trung tâm quyền lực" của mọi hệ thống số. Khi dữ liệu được AI khai thác liên tục, việc nhân viên vô tình đưa các thông tin nhạy cảm của tổ chức hoặc khách hàng lên nền tảng AI công cộng sẽ xóa nhòa ranh giới giữa giá trị và rủi ro.

Hậu quả của sự mất kiểm soát này không còn là cảnh báo trên lý thuyết. Theo ông Việt, tội phạm mạng hiện nay đã bắt đầu lợi dụng chính AI để tự động hóa các cuộc tấn công, khai thác sâu các thông tin rò rỉ nhằm tổ chức các chiến dịch lừa đảo (phishing), phát tán mã độc với tốc độ vượt xa khả năng phản ứng của con người. Con số hơn 552.000 cuộc tấn công mạng tại Việt Nam với 52,3% tổ chức chịu thiệt hại trong năm qua là minh chứng cho thấy hệ thống phòng thủ truyền thống đang bị xuyên thủng từ chính các điểm mù nội bộ.

Điểm nghẽn về khả năng phục hồi

Khi lỗ hổng từ thói quen của người dùng kết hợp với các dòng ransomware có sự trợ giúp của AI, mục tiêu của tin tặc không dừng lại ở việc đánh cắp dữ liệu, chuyển thành khóa chặt toàn bộ hạ tầng thông tin để đòi tiền chuộc. Khảo sát từ Synology chỉ ra một thực tế diện rộng: hơn 55% doanh nghiệp tại khu vực Đông Nam Á từng trải qua sự cố liên quan đến mã độc tống tiền hoặc đối mặt với nỗ lực tấn công tương tự trong những năm gần đây.

Ảnh: CTV

Tuy nhiên, mối nguy lớn nhất không nằm ở việc bị tấn công, mà ở việc doanh nghiệp "bất lực" trong việc tự cứu mình. Ông Henry Nguyễn, Quản lý Kinh doanh Synology Việt Nam nhận định phần lớn doanh nghiệp cho rằng chỉ cần sao lưu dữ liệu định kỳ là đã hoàn thành nghĩa vụ an toàn. Trên thực tế, việc sao lưu đơn thuần không thể đảm bảo được tính liên tục cho hoạt động vận hành nếu tổ chức vướng phải các điểm mù về năng lực khôi phục.

Theo đại diện Synology, nhiều doanh nghiệp sở hữu các kho dữ liệu dự phòng nhưng chưa từng được kiểm tra thử nghiệm, lưu trữ tập trung thiếu cơ chế cách ly an toàn khỏi môi trường mạng (air-gapped), hoặc không có chính sách lưu trữ nhiều phiên bản. Khi ransomware tấn công và mã hóa toàn bộ hệ thống gốc, các bản sao lưu này cũng dễ dàng bị lây nhiễm hoặc không thể sử dụng. Việc mất quá nhiều thời gian tìm cách khôi phục hệ thống sẽ khiến hoạt động kinh doanh bị tê liệt, kéo theo tổn thất tài chính và làm xói mòn niềm tin của đối tác.

Một trong những giải pháp được khuyến nghị là ActiveProtect, nền tảng bảo vệ dữ liệu được thiết kế để doanh nghiệp xây dựng năng lực phục hồi an ninh mạng theo hướng tập trung, đơn giản và dễ triển khai hơn, củng cố khả năng sao lưu và khôi phục dữ liệu, tăng độ an toàn cho bản sao lưu với các cơ chế như sao lưu bất biến và cách ly mạng...

Synology cũng nhấn mạnh cách tiếp cận bảo vệ dữ liệu nhiều lớp. Theo đó, ngoài bản sao dữ liệu, doanh nghiệp bảo đảm các bản sao đó có thể phục hồi, được cách ly phù hợp và duy trì tính toàn vẹn khi sự cố xảy ra. Đây cũng là nền tảng để doanh nghiệp giảm thiểu gián đoạn, bảo vệ hoạt động kinh doanh và duy trì niềm tin của khách hàng trong môi trường rủi ro ngày càng khó lường.