MinhSec
Writer
Doanh nghiệp đánh giá quá cao khả năng kiểm soát rủi ro AI
Khảo sát mới do Kiteworks công bố về rủi ro tuân thủ và bảo mật dữ liệu AI đã chỉ ra một khoảng cách rõ rệt giữa việc ứng dụng công nghệ trí tuệ nhân tạo và năng lực quản trị bảo mật, đặc biệt tại khu vực Châu Á - Thái Bình Dương (APAC) và toàn cầu.
Dựa trên phản hồi từ 461 chuyên gia trong lĩnh vực an ninh mạng, CNTT, quản lý rủi ro và tuân thủ, báo cáo cho thấy chỉ 17% tổ chức đang triển khai biện pháp kỹ thuật nhằm chặn quyền truy cập vào các công cụ AI công cộng kết hợp với giải pháp ngăn chặn mất dữ liệu (DLP). Dù vậy, 26% số người tham gia thừa nhận hơn 30% dữ liệu nhân viên nhập vào các công cụ AI là thông tin riêng tư, và tỷ lệ này là 27% tại APAC.
Bối cảnh này trở nên đáng lo ngại hơn khi báo cáo Chỉ số AI 2025 của Đại học Stanford cho thấy số sự cố liên quan đến quyền riêng tư AI đã tăng 56,4% so với năm trước, lên 233 vụ. Theo khảo sát, chỉ 40% tổ chức giới hạn sử dụng AI bằng đào tạo và kiểm toán, 20% chỉ đưa ra cảnh báo không giám sát và 13% hoàn toàn không có chính sách cụ thể.
Tim Freestone, Giám đốc Chiến lược tại Kiteworks, cảnh báo: "Chúng ta đang chứng kiến sự thất bại trong quản trị khi chỉ có 17% tổ chức có kiểm soát kỹ thuật. Trong khi đó, Google báo cáo rằng 44% các cuộc tấn công zero-day nhắm vào hệ thống trao đổi dữ liệu những công cụ cốt lõi mà các doanh nghiệp tin tưởng để bảo vệ chính mình."
Sự tự tin thái quá cũng là vấn đề lớn. Dù 40% tổ chức tin rằng họ đã xây dựng đầy đủ khuôn khổ quản trị AI, dữ liệu từ Gartner cho thấy chỉ 12% có cấu trúc quản trị chuyên biệt, và tới 55% chưa hề có khung quản trị nào.
Tình hình còn tệ hơn khi nghiên cứu của Deloitte cho thấy chỉ 9% đạt mức "sẵn sàng", dù 23% cho rằng mình "đã chuẩn bị kỹ". 86% tổ chức không theo dõi được luồng dữ liệu AI một điểm yếu nghiêm trọng trong khi các mối đe dọa đang gia tăng.
EY cũng ghi nhận xu hướng đẩy mạnh AI trong ngành công nghệ, với 48% công ty đã dùng tác nhân AI và 92% dự kiến tăng đầu tư tăng 10% kể từ tháng 3/2024. Tuy nhiên, tốc độ này đi kèm áp lực phải chứng minh lợi nhuận, dễ dẫn đến bỏ qua yếu tố bảo mật.
"Khoảng cách giữa tự đánh giá và thực tế cho thấy một dạng mù quáng tổ chức," Freestone nói. "91% tổ chức chỉ đạt mức quản trị AI cơ bản hoặc đang hoàn thiện, nhưng lại có mức độ tự tin quá cao."
Chính sách lỏng lẻo và rủi ro bảo mật tăng mạnh tại APAC
Ngành pháp lý thể hiện sự quan tâm rõ rệt hơn đến rò rỉ dữ liệu, với 31% chuyên gia nhận đây là rủi ro hàng đầu. Tuy nhiên, 15% vẫn không có chính sách kiểm soát AI công cộng, và 19% chỉ dùng cảnh báo mà không giám sát. Chỉ 23% có hệ thống kiểm soát quyền riêng tư và kiểm toán trước khi triển khai AI.
Riêng trong lĩnh vực pháp lý, 15% tổ chức không có kiểm soát chính thức nhưng vẫn đẩy mạnh AI thấp hơn mức trung bình 23% của các ngành khác nhưng vẫn đáng lo trong một ngành yêu cầu tối ưu hóa rủi ro. Dữ liệu từ Thomson Reuters cho biết chỉ 41% công ty luật có chính sách về AI, dù 95% tin rằng AI sẽ là trọng tâm trong 5 năm tới.
Tại APAC, tình hình gần giống với toàn cầu: 40% dựa vào đào tạo và kiểm toán, 17% dùng kiểm soát kỹ thuật kết hợp DLP, 20% chỉ cảnh báo. 11% chỉ đưa ra hướng dẫn, 12% không có chính sách tức 83% thiếu kiểm soát tự động, dù khu vực này đang dẫn đầu thị trường AI.
Về dữ liệu riêng tư, 27% tổ chức ở APAC báo cáo rằng trên 30% dữ liệu dùng cho AI là thông tin nhạy cảm, 24% nói tỷ lệ này ở mức 6–15%, và 15% thừa nhận không rõ mức độ phơi bày dữ liệu. Mặc dù có chút cải thiện trong khả năng theo dõi dữ liệu, rủi ro vẫn hiện hữu.
Về quản trị AI, 40% tổ chức ở APAC cho biết đã triển khai đầy đủ, 41% mới ở mức một phần, 9% chưa có kế hoạch và 3% đang lên kế hoạch kiểm soát.
Bên cạnh đó, khu vực APAC còn đối mặt với thách thức từ khung pháp lý đa dạng như luật bảo vệ thông tin cá nhân của Trung Quốc, PDPA của Singapore, APPI của Nhật, và PIPA của Hàn Quốc. Khoảng cách 60% về khả năng theo dõi luồng dữ liệu làm cản trở khả năng tuân thủ quy định, đặc biệt là về bản địa hóa và chuyển dữ liệu xuyên biên giới.
Về chiến lược quyền riêng tư, 34% tổ chức chọn cách tiếp cận cân bằng, 23% có kiểm soát và kiểm toán toàn diện, 10% vẫn ưu tiên đổi mới AI, và 10% khác chỉ quan tâm đến quyền riêng tư khi luật yêu cầu. Trong khi đó, 23% không có biện pháp chính thức nhưng vẫn thúc đẩy áp dụng AI nhanh.
Kiteworks khuyến nghị các tổ chức nên đánh giá lại mức độ trưởng thành quản trị của mình, triển khai biện pháp tự động có thể kiểm chứng, và chuẩn bị cho việc siết chặt quy định bằng cách định lượng và xử lý các rủi ro hiện tại.
Freestone kết luận: "Với số sự cố tăng, các cuộc tấn công zero-day lan rộng và phần lớn tổ chức không có khả năng theo dõi hoặc kiểm soát thực tế, thời gian để triển khai biện pháp bảo vệ hiệu quả đang dần cạn kiệt."
Most firms overestimate AI governance as privacy risks surge
Most firms overestimate their AI governance despite rising privacy risks and growing AI-related incidents, with only 17% deploying strong technical controls globally.
itbrief.com.au
