Quang Trương
Pearl
Nếu ngân sách an ninh mạng vẫn tăng mà rủi ro không giảm, vấn đề thực sự nằm ở đâu?
Nhiều CISO thừa nhận họ đang chi nhiều tiền hơn bao giờ hết, nhưng các nguyên tắc cốt lõi của giảm thiểu rủi ro không theo kịp tốc độ thay đổi của mối đe dọa. Hệ thống ngày càng phức tạp, bề mặt tấn công mở rộng, trong khi hiệu quả phòng thủ không cải thiện tương xứng. Cảm giác phổ biến là làm nhiều hơn, nhanh hơn, nhưng vẫn luôn chậm hơn kẻ tấn công một bước.
Một suy nghĩ đáng lo khác cũng ngày càng phổ biến, đó là niềm tin rằng vụ vi phạm tiếp theo gần như chắc chắn sẽ xảy ra. 84% CISO cho rằng việc bị tấn công thành công chỉ là vấn đề thời gian. Điều họ lo nhất không phải là có bị tấn công hay không, mà là đội ngũ của mình có đủ nhanh để hiểu chuyện gì đang xảy ra, khoanh vùng và hạn chế thiệt hại hay không. Chính tâm thế “vi phạm là điều không tránh khỏi” này đang định hình lại cách họ lập ngân sách, xây dựng nhân sự và chuẩn bị cho khủng hoảng.
Trong bối cảnh đó, việc báo cáo sự cố lên cấp quản lý cao hơn lại không phải lúc nào cũng đầy đủ. Các cuộc tấn công ngày càng thường xuyên và nghiêm trọng hơn, nhưng khoảng cách nhận thức giữa CISO và lãnh đạo doanh nghiệp vẫn tồn tại. Nhiều CISO cho rằng ban điều hành đánh giá thấp mức độ nguy hiểm của các mối đe dọa mạng, cũng như vai trò của rủi ro nội bộ. Sự lệch pha này khiến việc chuẩn bị cho các kịch bản tấn công trong tương lai trở nên khó khăn hơn.
Một lỗ hổng khác nằm ở yếu tố con người. Phần lớn tổ chức đã từng bị tấn công kỹ thuật xã hội qua các kênh như WhatsApp hay Signal, nhưng gần như không CISO nào mô phỏng các kịch bản tấn công trên những nền tảng này. Nhân viên thì sử dụng ứng dụng mã hóa hàng ngày, còn đội ngũ an ninh lại thiếu niềm tin vào khả năng phát hiện rủi ro của họ ở đó. Chạy theo vá lỗ hổng kỹ thuật trong khi bỏ quên rủi ro con người đang trở thành một nghịch lý phổ biến.
Vấn đề nằm ở chỗ công nghệ đi nhanh hơn chiến lược. Doanh nghiệp đẩy mạnh đầu tư vào AI, đám mây và các công nghệ mới nổi, trong khi hạ tầng bảo mật và cách quản trị lại tụt hậu. 85% thừa nhận tư thế an ninh mạng của họ mang tính phản ứng, xử lý sự cố nhiều hơn là ngăn chặn từ đầu.
GenAI còn phơi bày khoảng trống lớn về kỹ năng, chiến lược và nguồn lực. Lãnh đạo cấp cao tin rằng GenAI sẽ thúc đẩy đổi mới, nhưng CISO và đội vận hành lại thiếu hướng dẫn rõ ràng để xử lý các rủi ro đi kèm. Trong khi đó, tội phạm mạng đang tận dụng AI hiệu quả hơn, từ deepfake đến lừa đảo có tổ chức, khiến cán cân ngày càng nghiêng về phía kẻ xấu.
Giữa mớ hỗn độn của công cụ, mối đe dọa và sự bất định quanh AI, nhiều CISO buộc phải thay đổi cách tiếp cận. Kiểm thử xâm nhập, quản lý rủi ro chuỗi cung ứng, bảo mật OT và tích hợp thông tin tình báo về mối đe dọa đang trở thành ưu tiên. Tuy vậy, phần lớn vẫn gặp khó trong việc biến rủi ro thành hành động cụ thể mà ban điều hành có thể hiểu và quyết định.
Một điểm sáng là vai trò của CISO đang dần được nâng tầm. Ngày càng nhiều người báo cáo trực tiếp cho CEO, tham gia thường xuyên vào các cuộc họp hội đồng quản trị và được trao tiếng nói chiến lược. Các tổ chức cũng điều chỉnh chính sách để giảm rủi ro pháp lý cá nhân cho CISO, đồng thời tăng đầu tư cho diễn tập khủng hoảng, như một cách thừa nhận rằng vấn đề không còn là “có bị tấn công hay không” mà là “sẵn sàng đến mức nào khi chuyện xảy ra”.
Ở Việt Nam, khi doanh nghiệp tăng tốc chuyển đổi số và ứng dụng AI, câu chuyện này không hề xa lạ. Câu hỏi đặt ra là chúng ta đang đầu tư để thực sự giảm rủi ro, hay chỉ để cảm thấy an tâm hơn trong ngắn hạn? (helpnetsecurity)
CISO đang quản lý rủi ro như đang “chạy sinh tồn”
Bạn thử đặt mình vào vị trí một CISO hiện nay. Ngân sách an ninh mạng tăng, công nghệ mới như AI và điện toán đám mây liên tục được đưa vào, hội đồng quản trị thì kỳ vọng ngày càng cao. Nghe có vẻ thuận lợi, nhưng thực tế lại giống một cuộc chạy đường dài không có vạch đích.Nhiều CISO thừa nhận họ đang chi nhiều tiền hơn bao giờ hết, nhưng các nguyên tắc cốt lõi của giảm thiểu rủi ro không theo kịp tốc độ thay đổi của mối đe dọa. Hệ thống ngày càng phức tạp, bề mặt tấn công mở rộng, trong khi hiệu quả phòng thủ không cải thiện tương xứng. Cảm giác phổ biến là làm nhiều hơn, nhanh hơn, nhưng vẫn luôn chậm hơn kẻ tấn công một bước.
Một suy nghĩ đáng lo khác cũng ngày càng phổ biến, đó là niềm tin rằng vụ vi phạm tiếp theo gần như chắc chắn sẽ xảy ra. 84% CISO cho rằng việc bị tấn công thành công chỉ là vấn đề thời gian. Điều họ lo nhất không phải là có bị tấn công hay không, mà là đội ngũ của mình có đủ nhanh để hiểu chuyện gì đang xảy ra, khoanh vùng và hạn chế thiệt hại hay không. Chính tâm thế “vi phạm là điều không tránh khỏi” này đang định hình lại cách họ lập ngân sách, xây dựng nhân sự và chuẩn bị cho khủng hoảng.
Áp lực, kiệt sức và những khoảng trống nguy hiểm
Áp lực không chỉ đến từ công nghệ. CISO đang bị kẹt giữa hàng loạt kỳ vọng chồng chéo. Sự cố thì liên tục, công cụ thì quá nhiều, hội đồng quản trị thì đòi hỏi câu trả lời rõ ràng cho những rủi ro ngày càng trừu tượng. Không ít người thừa nhận họ đã chạm ngưỡng kiệt sức và nghiêm túc nghĩ đến việc rời bỏ vị trí này.Trong bối cảnh đó, việc báo cáo sự cố lên cấp quản lý cao hơn lại không phải lúc nào cũng đầy đủ. Các cuộc tấn công ngày càng thường xuyên và nghiêm trọng hơn, nhưng khoảng cách nhận thức giữa CISO và lãnh đạo doanh nghiệp vẫn tồn tại. Nhiều CISO cho rằng ban điều hành đánh giá thấp mức độ nguy hiểm của các mối đe dọa mạng, cũng như vai trò của rủi ro nội bộ. Sự lệch pha này khiến việc chuẩn bị cho các kịch bản tấn công trong tương lai trở nên khó khăn hơn.
Một lỗ hổng khác nằm ở yếu tố con người. Phần lớn tổ chức đã từng bị tấn công kỹ thuật xã hội qua các kênh như WhatsApp hay Signal, nhưng gần như không CISO nào mô phỏng các kịch bản tấn công trên những nền tảng này. Nhân viên thì sử dụng ứng dụng mã hóa hàng ngày, còn đội ngũ an ninh lại thiếu niềm tin vào khả năng phát hiện rủi ro của họ ở đó. Chạy theo vá lỗ hổng kỹ thuật trong khi bỏ quên rủi ro con người đang trở thành một nghịch lý phổ biến.
AI, GenAI và bài toán chưa có lời giải
AI hiện diện ở khắp nơi trong chương trình nghị sự của CISO. Vừa là cơ hội, vừa là mối lo. Nhiều CISO xem AI tạo sinh là một rủi ro an ninh thực sự, đặc biệt là nguy cơ rò rỉ dữ liệu nhạy cảm qua các công cụ công cộng. Nhưng thay vì cấm đoán hoàn toàn, đa số tổ chức chọn cách dựng hàng rào, cho phép sử dụng có kiểm soát, dù chính họ cũng chưa thực sự chắc chắn những rào chắn đó đủ vững.Vấn đề nằm ở chỗ công nghệ đi nhanh hơn chiến lược. Doanh nghiệp đẩy mạnh đầu tư vào AI, đám mây và các công nghệ mới nổi, trong khi hạ tầng bảo mật và cách quản trị lại tụt hậu. 85% thừa nhận tư thế an ninh mạng của họ mang tính phản ứng, xử lý sự cố nhiều hơn là ngăn chặn từ đầu.
GenAI còn phơi bày khoảng trống lớn về kỹ năng, chiến lược và nguồn lực. Lãnh đạo cấp cao tin rằng GenAI sẽ thúc đẩy đổi mới, nhưng CISO và đội vận hành lại thiếu hướng dẫn rõ ràng để xử lý các rủi ro đi kèm. Trong khi đó, tội phạm mạng đang tận dụng AI hiệu quả hơn, từ deepfake đến lừa đảo có tổ chức, khiến cán cân ngày càng nghiêng về phía kẻ xấu.
Giữa mớ hỗn độn của công cụ, mối đe dọa và sự bất định quanh AI, nhiều CISO buộc phải thay đổi cách tiếp cận. Kiểm thử xâm nhập, quản lý rủi ro chuỗi cung ứng, bảo mật OT và tích hợp thông tin tình báo về mối đe dọa đang trở thành ưu tiên. Tuy vậy, phần lớn vẫn gặp khó trong việc biến rủi ro thành hành động cụ thể mà ban điều hành có thể hiểu và quyết định.
Một điểm sáng là vai trò của CISO đang dần được nâng tầm. Ngày càng nhiều người báo cáo trực tiếp cho CEO, tham gia thường xuyên vào các cuộc họp hội đồng quản trị và được trao tiếng nói chiến lược. Các tổ chức cũng điều chỉnh chính sách để giảm rủi ro pháp lý cá nhân cho CISO, đồng thời tăng đầu tư cho diễn tập khủng hoảng, như một cách thừa nhận rằng vấn đề không còn là “có bị tấn công hay không” mà là “sẵn sàng đến mức nào khi chuyện xảy ra”.
Ở Việt Nam, khi doanh nghiệp tăng tốc chuyển đổi số và ứng dụng AI, câu chuyện này không hề xa lạ. Câu hỏi đặt ra là chúng ta đang đầu tư để thực sự giảm rủi ro, hay chỉ để cảm thấy an tâm hơn trong ngắn hạn? (helpnetsecurity)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
