Bảo mật dữ liệu – Doisongnhandan.com

Ngăn chặn ‘AI bóng tối’ trong tổ chức bằng cách quản lý thông minh

Linh — Wed, 08 Oct 2025 12:05:38 +0000

Hiện tượng AI ‘ngầm’ (shadow AI) đang ngày càng lan rộng trong các doanh nghiệp trên toàn cầu, đặc biệt là trong ngành ngân hàng và viễn thông. Sự phổ biến của công nghệ trí tuệ nhân tạo (AI) đã dẫn đến việc nhiều nhân viên sử dụng các công cụ AI không được chính thức cho phép hoặc hỗ trợ bởi công ty. Theo khảo sát của BCG trên hơn 10.600 nhân viên tại 11 quốc gia, hơn một nửa (54%) cho biết sẽ sử dụng công cụ AI kể cả khi không được phép hoặc không có hỗ trợ chính thức từ công ty.

Biểu đồ thể hiện tỷ lệ nhân viên sẵn sàng sử dụng AI bất chấp chính sách công ty cấm, với 54% vượt rào để dùng công cụ không được phê duyệt.

Nhóm tuổi trẻ, Gen Z và Millennials, là những người đi đầu trong việc sử dụng AI không chính thức, với 62% chấp nhận tự dùng AI bên ngoài hệ sinh thái doanh nghiệp. Tỷ lệ này cao hơn 19 điểm phần trăm so với các nhóm tuổi khác. Điều này cho thấy một sự thay đổi đáng kể trong cách nhân viên tiếp cận và sử dụng công nghệ trong công việc.

Thực trạng này đang đặt ra những thách thức lớn cho các tổ chức, đặc biệt là về quản lý rủi ro và tuân thủ quy định. Các ngành như ngân hàng và viễn thông dễ bị tổn thương do quản lý dữ liệu nhạy cảm kép, hạ tầng on-premise lạc hậu và chính sách siết chặt quá mức. Việc sử dụng AI không được phê duyệt tăng trưởng 250% chỉ trong năm qua tại các ngành này.

Về rủi ro pháp lý và tuân thủ, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân tại Việt Nam đã tạo ra khung pháp lý chặt chẽ. Đặc biệt, việc chuyển dữ liệu cá nhân ra nước ngoài thông qua các công cụ AI không được kiểm soát có thể kích hoạt các điều khoản xử phạt nghiêm khắc nhất của nghị định này.

Các tổ chức cần chuyển từ tư duy ‘cấm đoán’ sang ‘quản lý thông minh’ để kiểm soát rủi ro mà vẫn tận dụng được tiềm năng công nghệ. Điều này đòi hỏi sự kết hợp khéo léo giữa chính sách thông minh, công nghệ phù hợp và văn hóa tổ chức mở.

Một số giải pháp toàn diện có thể được áp dụng để quản lý shadow AI:

1. Khung chính sách ‘mở nhưng có lan can’: Xây dựng chính sách sử dụng AI chấp nhận được với các nguyên tắc cụ thể.

2. Hạ tầng AI nội bộ tiện lợi: Triển khai giải pháp Azure OpenAI với private endpoint hoặc self-hosted solution.

3. Văn hóa minh bạch và đào tạo liên tục: Xây dựng mạng lưới AI Champions nội bộ và tổ chức chương trình đào tạo.

Bên cạnh đó, công nghệ hỗ trợ như Data Loss Prevention (DLP) cho AI và SIEM tích hợp AI cũng cần được nâng cấp để phát hiện và ngăn chặn việc sử dụng AI không được phê duyệt.

Chiến lược triển khai cần được thực hiện theo các giai đoạn, bao gồm đánh giá và lập kế hoạch, triển khai hạ tầng, đào tạo và triển khai. Tóm lại, việc quản lý shadow AI đòi hỏi sự kết hợp giữa chính sách thông minh, công nghệ phù hợp và văn hóa tổ chức mở. Doanh nghiệp nên bắt đầu từ việc xây dựng chính sách rõ ràng, đầu tư vào hạ tầng AI an toàn, và quan trọng nhất là nuôi dưỡng văn hóa minh bạch – nơi nhân viên cảm thấy được hỗ trợ thay vì bị trừng phạt khi sử dụng AI một cách có trách nhiệm.

Tấn công mạng nhắm vào ngành dầu khí tăng mạnh

Linh — Fri, 19 Sep 2025 03:18:36 +0000

Công nghệ thông tin và y tế tiếp tục là những ngành mục tiêu hàng đầu của các cuộc tấn công mạng. Tuy nhiên, gần đây, lĩnh vực dầu khí đang nổi lên như một mục tiêu bị nhắm tới nhiều hơn do quá trình số hóa và tự động hóa các hệ thống điều khiển công nghiệp. Sự phát triển này đồng nghĩa với việc phạm vi tấn công của tin tặc ngày càng được mở rộng.

Trong giai đoạn vừa qua, Mỹ là quốc gia ghi nhận một nửa số vụ tấn công mạng, với số vụ ransomware tăng hơn gấp đôi, lên tới 3.671 vụ. Con số này còn cao hơn tổng số của 14 quốc gia khác trong top 15 cộng lại. Sự gia tăng đáng kể này cho thấy mức độ ảnh hưởng ngày càng lớn của các cuộc tấn công mạng đối với các tổ chức và doanh nghiệp tại Mỹ.

Lượng dữ liệu bị đánh cắp đã tăng vọt trong thời gian gần đây. Theo báo cáo của Zscaler, trong vòng một năm, lượng dữ liệu bị tin tặc đánh cắp đã tăng 92%, đạt mức 238 terabyte. Các nhóm ransomware không chỉ mã hóa dữ liệu như trước đây mà còn chuyển sang đánh cắp và đe dọa công bố dữ liệu để gia tăng áp lực với nạn nhân. Số vụ tống tiền kiểu này đã tăng 70% so với năm ngoái.

10 nhóm ransomware lớn nhất đã đánh cắp gần 250 terabyte dữ liệu, tăng gần 93%. Ba nhóm hoạt động mạnh nhất gồm: RansomHub với 833 nạn nhân; Akira với 520 nạn nhân; và Clop với 488 nạn nhân. Akira và Clop đều có sự tăng hạng so với năm trước. Akira phát triển nhanh nhờ hợp tác với các nhóm liên kết và các ‘nhà môi giới truy cập ban đầu’. Còn Clop nổi bật vì biết khai thác các lỗ hổng trong phần mềm bên thứ ba phổ biến để thực hiện các cuộc tấn công chuỗi cung ứng.

Chỉ trong vòng một năm, đã có thêm 34 nhóm ransomware mới xuất hiện, nâng tổng số nhóm mà Zscaler đang theo dõi lên tới 425. Sự gia tăng này cho thấy sự đa dạng và nguy hiểm ngày càng tăng của các nhóm ransomware.

Các chiến dịch ransomware thường nhắm vào những lỗ hổng nghiêm trọng trong các phần mềm quen thuộc. Một số mục tiêu phổ biến bao gồm thiết bị VPN của SonicWall và Fortinet, phần mềm sao lưu Veeam, công cụ ảo hóa VMware, và phần mềm truy cập từ xa SimpleHelp. Những công nghệ này rất phổ biến trong doanh nghiệp nhưng lại dễ bị tin tặc phát hiện và khai thác vì chúng kết nối trực tiếp với Internet và thường lộ diện khi quét hệ thống.

Việc nhận diện và cập nhật các lỗ hổng bảo mật trong các phần mềm và công nghệ phổ biến là rất quan trọng để ngăn chặn các cuộc tấn công mạng. Các tổ chức và doanh nghiệp cần phải tăng cường biện pháp bảo mật và nâng cao nhận thức về các mối đe dọa an ninh mạng để giảm thiểu rủi ro bị tấn công.

Bảo vệ thông tin sức khỏe: Cần có sự đồng ý của chủ thể dữ liệu

Linh — Mon, 11 Aug 2025 05:48:55 +0000

Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 đã thiết lập các quy định cụ thể nhằm bảo vệ dữ liệu cá nhân trong lĩnh vực sức khỏe và kinh doanh bảo hiểm. Theo đó, việc thu thập và xử lý dữ liệu cá nhân liên quan đến sức khỏe và bảo hiểm yêu cầu sự đồng ý của chủ thể dữ liệu cá nhân, trừ một số trường hợp được quy định tại khoản 1 Điều 19 của Luật này.

Các cơ quan, tổ chức và cá nhân hoạt động trong lĩnh vực sức khỏe và bảo hiểm phải tuân thủ đầy đủ các quy định về bảo vệ dữ liệu cá nhân và các quy định khác có liên quan. Đặc biệt, họ không được phép cung cấp dữ liệu cá nhân cho bên thứ ba mà không có yêu cầu bằng văn bản của chủ thể dữ liệu cá nhân hoặc không thuộc các trường hợp được phép theo luật. Điều này nhằm đảm bảo quyền kiểm soát và bảo mật thông tin của cá nhân.

Tổ chức và cá nhân phát triển ứng dụng về y tế và kinh doanh bảo hiểm cũng phải tuân thủ đầy đủ các quy định về bảo vệ dữ liệu cá nhân. Trong trường hợp doanh nghiệp kinh doanh tái bảo hiểm và nhượng tái bảo hiểm, việc chuyển dữ liệu cá nhân cho đối tác cần được nêu rõ trong hợp đồng với khách hàng. Điều này giúp tăng cường minh bạch và trách nhiệm trong việc xử lý dữ liệu cá nhân.

Lutật cũng quy định các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu cá nhân. Các tình huống này bao gồm các trường hợp cấp bách liên quan đến bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền và lợi ích hợp pháp của chủ thể dữ liệu cá nhân hoặc người khác; các trường hợp khẩn cấp cần bảo vệ lợi ích của Nhà nước, cơ quan tổ chức; phục vụ hoạt động của cơ quan nhà nước; thực hiện thỏa thuận của chủ thể dữ liệu cá nhân với cơ quan, tổ chức có liên quan; và các trường hợp khác theo quy định của pháp luật.

Nhìn chung, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 đã đặt ra những quy định chặt chẽ để bảo vệ quyền lợi của cá nhân và đảm bảo việc xử lý dữ liệu cá nhân được thực hiện một cách minh bạch và trách nhiệm. Việc tuân thủ các quy định này là bắt buộc đối với tất cả các cơ quan, tổ chức và cá nhân hoạt động trong lĩnh vực sức khỏe và bảo hiểm, góp phần xây dựng một môi trường an toàn và tin cậy cho việc thu thập, xử lý và sử dụng dữ liệu cá nhân.