Ngay trước khi xảy ra sự kiện Công ty Cổ phần Chứng khoán VNDIRECT bị tấn công mạng cuối tháng 3/2024 vừa qua, The Hong Kong Institute of Bankers (HKiB) đã tổ chức hội thảo Các giải pháp về An ninh mạng vào ngày 15 tháng 3 năm 2024 tại Hong Kong, thu hút sự chú ý rộng rãi từ các chuyên gia an ninh mạng và ngân hàng trên toàn cầu. Trong bối cảnh các mối đe dọa an ninh mạng ngày càng phức tạp và đa dạng, việc áp dụng trí tuệ nhân tạo (AI) trong bảo vệ an ninh mạng đã trở thành chủ đề trọng tâm của hội thảo.
Malware và Ransomware: Mối Đe Dọa Không Ngừng
Một trong những điểm nhấn của hội thảo là việc nhận diện các mối đe dọa tiếp tục đe dọa ngành ngân hàng, đặc biệt là malware và ransomware. Điều này được khẳng định bởi số liệu thống kê của Viện nghiên cứu Giá trị Kinh doanh IBM cho thấy 84% doanh nghiệp lo ngại về rủi ro an ninh mạng khi sử dụng các công cụ AI tạo sinh. Đáng chú ý, 64% doanh nghiệp đang chịu áp lực phải đưa AI vào sử dụng nhưng lại lo ngại về yếu tố bảo mật.[1]
Kể từ khi các công cụ AI tạo sinh như ChatGPT hay Midjourney xuất hiện trên thị trường, nhiều cá nhân và doanh nghiệp đã tham gia vào cuộc đua tận dụng loại công cụ mới mẻ và có tính ứng dụng cao này. Tuy nhiên, không phải ai cũng hiểu rõ các công cụ hoạt động thế nào, và khi sử dụng sẽ có những rủi ro gì đi kèm với các lợi ích đang được thổi phồng qua các kênh quảng cáo. Rõ ràng là tư duy của người làm bảo mật khác hẳn với tư duy của những người sử dụng thông thường. Độ vênh này là sự khác biệt giữa cách mà các doanh nghiệp và tập đoàn lớn đang nhìn vào AI so với các doanh nghiệp vừa và nhỏ, hoặc siêu nhỏ.
Phishing và Lừa Đảo: Vấn Đề Cũ, Thủ Đoạn Mới
Hội thảo cũng đã chỉ ra rằng, dù không mới, nhưng các chiến thuật phishing và lừa đảo thông tin vẫn đang phát triển với công nghệ AI, làm gia tăng nguy cơ cho người dùng. Sự phức tạp của các ứng dụng trên các app store không thể đảm bảo 100% an toàn, tạo thêm lớp rủi ro cho người dùng cuối.
Không chỉ dừng ở lừa đảo phishing (bằng email), các tổ chức lừa đảo đang ứng dụng gần như mọi kênh tiếp cận để tìm đến được những người dùng chưa được trang bị kiến thức trước các rủi ro mạng. Hình thức tấn công lừa đảo bằng tin nhắn (smishing) đang tỏ ra rất hiệu quả với hàng trăm, thậm chí hàng nghìn người dùng lớn tuổi, tin tưởng vào các tin nhắn SMS ghi tên ngân hàng mà họ đang sử dụng. Bộ Công An cũng đã có nhiều động thái phổ biến thông tin qua nhiều cách như tuyên truyền tại địa phương, tổ chức họp báo, hoặc đăng cảnh báo trên các trang chính thức, nhưng vẫn chưa thể ngăn chặn được hoàn toàn rủi ro này.
AI và An Ninh Mạng: Lợi Ích và Thách Thức
Trong khi AI mở ra những cơ hội mới trong việc phát hiện và đối phó với các mối đe dọa, việc triển khai nó trong thực tế lại gặp phải nhiều thách thức. Đối với một số doanh nghiệp trong lĩnh vực chuyên môn cao, khi triển khai một công cụ AI mới phải trải qua một quá trình “huấn luyện” và chuẩn bị kỹ lưỡng cho công cụ AI đó, đồng thời phải có một đội ngũ chuyên môn cao để xử lý và quản lý những công việc phát sinh.
Các chuyên gia trong hội thảo nhấn mạnh tầm quan trọng của việc áp dụng triết lý ZeroTrust trong thiết kế mô hình an ninh, đồng thời cảnh báo về hiện tượng “Shadow IT” và “Shadow AI”, khi mà các nhân viên đang sử dụng các phần mềm không được kiểm soát, tăng rủi ro an ninh cho tổ chức và doanh nghiệp. Nếu như doanh nghiệp nào không có đội công nghệ thông tin chuyên trách quản lý các công cụ AI lạ, doanh nghiệp đó đứng trước rủi ro chịu các cuộc tấn công bất ngờ mà nguồn phát sinh rủi ro lại đến từ chính các nhân viên của doanh nghiệp đó. Để tăng cường an ninh cho nội bộ tổ chức, ông Shain Singh – Giám đốc Công nghệ của công ty F5 đề xuất Mô hình Kiểm soát đa điểm cho các ứng dụng AI [2] như sau:
Giáo Dục và Nhận Thức: Chìa Khóa Đối Phó Mối Đe Dọa
Một thông điệp rõ ràng từ hội thảo là nhu cầu cấp thiết về việc giáo dục và nâng cao nhận thức an ninh cho người dùng. Điều này bao gồm cách nhận biết các email lừa đảo, phân biệt các cuộc gọi và tin nhắn giả mạo, và nhận diện các ứng dụng độc hại. Việc tạo ra một nền văn hóa an toàn thông tin trong tổ chức ngân hàng không chỉ giúp bảo vệ thông tin cá nhân và tài sản của khách hàng mà còn là yếu tố quan trọng giúp ngăn chặn sự phát triển của các hình thức tấn công mạng mới.
Để làm được điều này, Ban lãnh đạo các ngân hàng bắt buộc phải là nơi đầu mối, tổ chức triển khai các chương trình đào tạo thường xuyên, đào tạo từ xa, tạo sự thuận lợi trong việc truyền đạt các kiến thức quan trọng này đến toàn bộ nhân viên trong ngân hàng. Bởi vì sẽ không có gì tệ hơn là một hàng rào bảo vệ tưởng như vô cùng vững chắc lại có vết nứt xuất phát từ bên trong. Việc triển khai các chương trình tập huấn hoặc bồi dưỡng kiến thức cho đội ngũ cán bộ có thể được coi như một chỉ tiêu đánh giá của khối Nhân sự, và ngược lại, việc học được các kĩ năng an ninh mạng này cũng có thể coi là một chỉ tiêu đánh giá của từng nhân viên ngân hàng.
Cải Tiến và Đổi Mới: Đón Đầu Thách Thức
Các nhà lãnh đạo và chuyên gia an ninh mạng đã thảo luận về việc ứng dụng các công cụ AI tiên tiến như AI-driven Extended Detection and Response (XDR) để phát hiện và phản hồi tự động trước mối đe dọa. Sự đổi mới này không chỉ giúp tự động hóa quy trình phát hiện và ứng phó với mối đe dọa mà còn giảm thiểu thời gian cần thiết để giải quyết vấn đề. Trên thế giới đã xuất hiện nhiều đơn vị chuyên trách về loại công nghệ này. Thậm chí, một số đơn vị nghiên cứu sử dụng cả mô hình dùng AI đối đầu với AI để xem công cụ nào chiến thắng trong cuộc chiến xây dựng hệ thống phòng thủ và dàn cảnh tấn công thử nghiệm. Bản thân các ngân hàng cũng có thể tự tổ chức các cuộc đánh trận giả (red-teaming) như vậy để kiểm tra hệ thống phòng thủ của mình đã sẵn sàng đối đầu với các nguy cơ hay chưa.
Định Hình Tương Lai An Ninh Mạng
Trong tương lai, ngành ngân hàng sẽ cần phải không ngừng đổi mới và thích ứng với các mối đe dọa an ninh mạng ngày càng tinh vi. Việc tích hợp AI trong các chiến lược an ninh mạng là bước tiến quan trọng giúp ngân hàng không chỉ bảo vệ dữ liệu mà còn tạo dựng niềm tin và an tâm cho khách hàng. Tuy nhiên, điều quan trọng là phải nhận thức rõ ràng về những thách thức và rủi ro liên quan đến việc áp dụng AI, đồng thời phát triển các kế hoạch đào tạo, giáo dục và nâng cao nhận thức an ninh cho mọi tầng lớp cán bộ nhân viên trong tổ chức.
Lê Minh Đức
Viện trưởng Viện nghiên cứu Quản trị Tài chính và Công nghệ Giáo dục, Công ty Cổ phần Tập đoàn UB.
Nguồn tài liệu:
[1] IBM Institute of Business Value Study, 2023, Enterprise generative AI: State of the market.
[2] Shain Singh, 2024, Protecting critical digital infrastructure in an era of AI. HKiB – Ensuring Vigilance: AI-Powered Cybersecurity for a Changing Landscape. [Presented 2024 Mar 15].
