An ninh dữ liệu tài chính: 'Khi tuân thủ chưa đồng nghĩa với an toàn'

Ông Vũ Ngọc Sơn, Trưởng ban Công nghệ và Hợp tác Quốc tế (Hiệp hội An ninh mạng Quốc gia - NCA) đã có cuộc trao đổi với Đầu tư Tài chính để phân tích những lỗ hổng hệ thống điển hình và lý do tại sao doanh nghiệp cần chuyển dịch sang tư duy "phòng thủ chủ động" để không bị tụt hậu trong cuộc đua với tội phạm AI.

- Thưa ông, trong kỷ nguyên AI, các cuộc tấn công nhắm vào dữ liệu tài chính không còn đơn thuần là lừa đảo qua tin nhắn hay link lạ. Theo quan sát của ông, AI đã tiếp tay như thế nào để các tổ chức tội phạm mạng nâng cấp phương thức tấn công, đặc biệt là việc sử dụng Deepfake hay AI tạo hình ảnh/giọng nói để vượt qua các hàng rào bảo mật ngân hàng hiện nay?

Ông Vũ Ngọc Sơn: Trong kỷ nguyên AI, chúng ta đang chuyển từ các cuộc tấn công diện rộng (spam) sang các cuộc tấn công nhắm mục tiêu chính xác được tự động hóa. Deepfake không chỉ dừng lại ở việc tạo video, hình ảnh giả mà đã tiến sang giai đoạn Deepfake Live (giả mạo thời gian thực).

Về mặt kỹ thuật, tội phạm sử dụng các công cụ AI để học mẫu giọng nói và khuôn mặt chỉ từ một đoạn tư liệu ngắn vài giây trên mạng xã hội. Khi tấn công, chúng bơm trực tiếp luồng dữ liệu video giả vào camera ảo, đánh lừa thuật toán Liveness Detection (kiểm tra thực thể sống) của hệ thống eKYC. Điều này biến các hàng rào bảo mật sinh trắc học nếu được thiết kế không đủ tốt sẽ bị vượt qua.

- Dữ liệu hiện nay được ví như loại “dầu mỏ mới”, nhưng trong lĩnh vực tài chính, đó lại là mục tiêu béo bở nhất. Tại sao trong bối cảnh công nghệ phòng thủ cũng phát triển, số lượng các vụ rò rỉ dữ liệu tài chính cá nhân tại Việt Nam vẫn có dấu hiệu gia tăng và ngày càng phức tạp?

Có một nghịch lý là công nghệ càng hiện đại thì bề mặt tấn công (Attack Surface) càng mở rộng. Sự bùng nổ của Open Banking và kết nối API giữa ngân hàng với các bên thứ ba (Fintech, sàn thương mại điện tử) tạo ra nhiều "điểm chạm" dữ liệu. Phân tích sâu hơn, lỗ hổng thường nằm ở các Shadow API (API không được quản lý) hoặc việc thiếu thực thi mô hình Zero Trust (Không tin tưởng bất kỳ ai).

Tội phạm hiện nay không tấn công trực diện vào các hệ thống được bảo vệ chặt chẽ của ngân hàng, không thử thách các giải pháp an ninh mạng như tường lửa, phần mềm diệt mà tấn công vào các đối tác trung gian có hệ thống bảo mật yếu hơn để từ đó thâm nhập vào luồng dữ liệu tài chính.

- Thực tế hiện nay, khi có sự cố xảy ra, tâm lý chung của nhiều bên là chờ đợi sự can thiệp hoặc hướng dẫn từ cơ quan quản lý nhà nước. Ông đánh giá thế nào về quan điểm: Trong cuộc đua với tội phạm AI, nếu doanh nghiệp chỉ dừng lại ở việc đợi luật hoặc làm cho đủ quy định thì đã nắm chắc phần thất bại?

Trong an ninh mạng, có một khái niệm là "Compliance is not Security" (Tuân thủ không có nghĩa là an toàn). Các quy định pháp luật thường là khung sàn, mang tính chất hậu kiểm, tối thiểu và chủ yếu để tham chiếu khi triển khai các giải pháp an ninh mạng. Trong khi đó, các công cụ tấn công, khai thác lỗ hổng liên tục được cải tiến, nâng cấp, thậm chí dùng AI để học cách né tránh các chữ ký nhận dạng (Signature) của các giải pháp an ninh mạng.

Nếu doanh nghiệp chỉ phòng thủ theo kiểu "trả sau" - đợi sự cố mới khắc phục thì chi phí thực tế sẽ gấp hàng chục lần chi phí đầu tư ban đầu. Chúng ta cần chuyển dịch sang tư duy "phòng thủ chủ động", sử dụng các hệ thống SOC (Trung tâm điều hành an ninh mạng) ứng dụng AI để săn tìm mối đe dọa (Threat Hunting) ngay cả khi chưa có cuộc tấn công nào được ghi nhận.

Nghị định 13 về bảo vệ dữ liệu cá nhân đã có hiệu lực, nhưng việc thực thi tại các doanh nghiệp vẫn còn nhiều khoảng trống. Theo ông, đâu là những lỗ hổng lớn nhất mà các doanh nghiệp tài chính thường mắc phải khi triển khai hệ thống bảo mật? Liệu họ có đang đầu tư nhầm chỗ khi chỉ chú trọng mua sắm thiết bị mà quên mất yếu tố con người và quy trình?

Lỗ hổng lớn nhất là sự thiếu nhất quán, đồng bộ giữa công nghệ - quy trình - con người. Nhiều doanh nghiệp chi hàng triệu USD cho các giải pháp DLP (chống thất thoát dữ liệu) hay SIEM (quản lý sự kiện an ninh) đắt tiền nhưng lại thiếu một quy trình phân loại dữ liệu (Data Classification) khoa học hoặc thiếu người đủ khả năng vận hành, giám sát. Kết quả cũng không hơn nhiều so với các doanh nghiệp không trang bị gì cả.

Một yếu tố khác là việc quản quyền truy cập đặc trị thường bị buông lỏng. Nhân viên quản trị hệ thống đôi khi có quyền hạn quá lớn nhưng không được giám sát hành vi. Thêm vào đó, nhiều đơn vị chỉ chú trọng bảo mật lớp ngoài mà quên mất bảo mật dữ liệu tại chỗ, cũng như thiếu kiểm soát dữ liệu truyền đi.

Ngoài ra, việc thiếu các kịch bản diễn tập ứng cứu sự cố cũng khiến doanh nghiệp lúng túng khi đối mặt với các cuộc tấn công thực tế, điển hình như tấn công mã hoá dữ liệu hay đánh cắp dữ liệu.

- Một hệ thống bảo mật được coi là "đầu tư bài bản" trong kỷ nguyên AI cần đáp ứng những tiêu chí cốt lõi nào? Liệu việc ứng dụng chính AI để phòng thủ dữ liệu có phải là con đường duy nhất để đối đầu với các cuộc tấn công tự động hóa hiện nay không, thưa ông?

Một hệ thống bài bản trong kỷ nguyên AI phải dựa trên cả công nghệ, quy trình và con người. Về mặt công nghệ, cần xây dựng hệ thống theo 4 định hướng quan trọng gồm: Dự đoán trước các nguy cơ (Predict); phát hiện sớm nhất có thể; phản ứng nhanh để ngăn chặn và phục hồi thật sớm theo các kịch bản lập trình sẵn.

Việc ứng dụng AI để phòng thủ dữ liệu giúp chúng ta xây dựng các "Baseline" (ngưỡng hành vi bình thường) cho từng người dùng. Khi có bất kỳ sự sai lệch nhỏ nào (như truy cập dữ liệu vào giờ lạ, từ IP lạ với tốc độ tải bất thường), AI sẽ kích hoạt chế độ tự động ngăn chặn trong mili giây. AI chính là công cụ duy nhất đủ tốc độ để đối đầu với các cuộc tấn công tự động hóa (Botnet) hiện nay.

Về quy trình, cần phân loại dữ liệu nghiêm ngặt, phân quyền truy cập tối thiểu, xác định những dữ liệu cần bảo vệ trọng yếu. Cuối cùng, cần đào tạo đội ngũ nhân sự có khả năng làm chủ công nghệ, liên tục nâng cao nhận thức nhân viên để họ trở thành "mắt xích" phòng thủ, thay vì là nạn nhân của tấn công mạng.

- Thưa ông, chúng ta thường nói về AI chống lại AI. Tuy nhiên, con người vẫn là mắt xích yếu nhất trong chuỗi bảo mật. Trong một tổ chức tài chính, liệu một nhân viên bình thường có thể vô tình trở thành cánh cổng cho AI tội phạm xâm nhập dù hệ thống có hiện đại đến đâu?

Đúng là con người có thể trở thành mắt xích yếu nhất, nhưng quan điểm của tôi là điểm yếu của con người thường chỉ bị khai thác thành công khi hệ thống thiếu đi các lớp công nghệ và quy trình bọc lót đủ mạnh. Trong kỷ nguyên AI, chúng ta không thể chỉ kỳ vọng vào sự cảnh giác của cá nhân mà phải xây dựng các hàng rào hỗ trợ để triệt tiêu rủi ro từ sai lầm của con người.

Về mặt kỹ thuật, ngay cả khi một nhân viên vô tình click vào liên kết chứa mã độc, một hệ thống bài bản phải có khả năng ngăn chặn hậu quả ngay lập tức. Ví dụ, việc áp dụng kiến trúc Zero Trust (không tin tưởng bất kỳ ai) đảm bảo rằng việc chiếm được quyền điều khiển máy tính cũng không giúp kẻ tấn công đi sâu vào hệ thống nếu không có các lớp xác thực đa nhân tố (MFA) hoặc xác thực sinh trắc học bổ sung cho từng tác vụ nhạy cảm.

Bên cạnh đó, các công nghệ như EDR (phát hiện và phản ứng điểm cuối) hay Sandbox (môi trường cô lập) sẽ đóng vai trò là "lưới bảo hiểm", tự động nhận diện và cô lập mã độc ngay khi nó vừa thực thi, trước khi nó kịp lây lan. Quy trình quản trị đặc quyền (PAM) cũng phải được thiết lập để đảm bảo không một cá nhân nào có quyền năng tuyệt đối mà không có sự giám sát chéo. Nói cách khác, an ninh mạng hiện đại là dùng công nghệ và quy trình để bao bọc con người, biến con người từ một "điểm yếu" trở thành một "cảm biến" trong một hệ thống phòng thủ đa tầng.

- Ông đánh giá thế nào về năng lực của các kỹ sư an ninh mạng Việt Nam hiện nay trong cuộc đua với tội phạm xuyên quốc gia? Chúng ta đang làm chủ công nghệ hay chỉ đang là những người dùng các công cụ bảo mật ngoại quốc?

Khả năng thực chiến và độ linh hoạt của các kỹ sư Việt Nam là những tố chất vô cùng giá trị. Trong cuộc đua với tội phạm xuyên quốc gia, lợi thế lớn nhất của chúng ta không chỉ nằm ở kỹ thuật thuần túy mà còn ở tư duy "tiếp thu nhanh và ứng biến giỏi".

Thay vì phụ thuộc hoàn toàn vào những giải pháp đắt đỏ, các kỹ sư Việt Nam đang thể hiện sự nhạy bén bằng cách tận dụng tối đa những nền tảng công nghệ sẵn có, kết hợp với việc tiếp thu những tri thức mới nhất của thế giới để tùy biến theo đặc thù tại thị trường trong nước. Chúng ta đang từng bước làm chủ công nghệ lõi, phát triển, nâng cấp chúng dựa trên đặc thù của người dùng Việt.

Thực tế đã chứng minh, nhiều sản phẩm "Make in Vietnam" do các thành viên Hiệp hội An ninh mạng quốc gia phát triển, đã đạt tiêu chuẩn quốc tế và bảo vệ hiệu quả cho các cơ quan, tổ chức tại Việt Nam. Lộ trình của chúng ta cũng rất rõ ràng: đi từ việc sử dụng công cụ thành thạo đến việc hiểu sâu, làm chủ và cuối cùng là tự tạo ra những "vũ khí" bảo mật riêng, mang đậm bản sắc và trí tuệ Việt Nam để bảo vệ không gian mạng quốc gia.

- Đối với các doanh nghiệp vừa và nhỏ (SMEs) trong lĩnh vực tài chính/fintech vốn có nguồn lực hạn chế, ông có lời khuyên gì để họ vẫn có thể đảm bảo an toàn dữ liệu khách hàng mà không bị hụt hơi về chi phí đầu tư công nghệ?

SMEs không cần phải “chạy đua vũ trang” bằng các thiết bị phần cứng, giải pháp phần mềm ngoại nhập đắt đỏ. Thay vào đó, hãy tập trung vào 3 chiến lược: sử dụng các nền tảng đám mây đã tích hợp sẵn các lớp bảo mật tiêu chuẩn cao; thuê dịch vụ giám sát an ninh mạng chuyên nghiệp để tối ưu chi phí nhân sự vận hành 24/7; thực hiện tốt các yêu cầu an ninh mạng cơ bản nhưng hiệu quả cao như xác thực đa yếu tố (MFA) bắt buộc, cập nhật bản vá phần mềm (Patch Management) ngay lập tức và phân quyền truy cập tối thiểu (Principle of Least Privilege).

Đầu tư vào quy trình và nhận thức con người luôn mang lại hiệu suất bảo mật cao hơn so với việc mua thiết bị mà không có người vận hành giỏi.

Xin cảm ơn ông về cuộc trao đổi này!