'Đầu tư an toàn dữ liệu là đầu tư năng lực chống chịu của quốc gia'

Trong những năm gần đây, trí tuệ nhân tạo (AI) nổi lên như một động lực quan trọng thúc đẩy chuyển đổi số trong doanh nghiệp. Các khảo sát quốc tế cho thấy hơn 70% doanh nghiệp đã ứng dụng AI vào nhiều quy trình vận hành nhằm nâng cao năng suất, giảm chi phí và cải thiện trải nghiệm khách hàng.

Tại Việt Nam, Bộ Khoa học và Công nghệ xác định AI là công nghệ trọng tâm trong chiến lược chuyển đổi số quốc gia, góp phần đổi mới mô hình kinh doanh và tối ưu hóa hoạt động doanh nghiệp. Tuy nhiên, bên cạnh lợi ích, AI cũng mở ra nhiều rủi ro mới cho an ninh mạng. Khả năng tạo sinh nội dung, mô phỏng hành vi và tự động phân tích của AI có thể bị tội phạm mạng lợi dụng để thực hiện các cuộc tấn công tinh vi hơn. Để làm rõ hơn về vấn đề này, Đầu tư Tài chính có cuộc trao đổi với ông Nguyễn Hùng Sơn, Phó Chủ tịch HĐQT FSI.

- Là một doanh nghiệp nghiên cứu và phát triển các sản phẩm bảo vệ dữ liệu, ông đánh giá thế nào về tình trạng an toàn dữ liệu tại Việt Nam hiện nay?

Ông Nguyễn Hùng Sơn: Theo tôi, bức tranh an toàn dữ liệu tại Việt Nam đang bước vào một giai đoạn mang tính bản lề: nhận thức đã đi trước, nhưng năng lực bảo vệ vẫn chưa theo kịp. Điểm tích cực là dữ liệu đã được nhìn nhận đúng vai trò – từ “tài nguyên vận hành” trở thành “tài sản chiến lược” của doanh nghiệp và nền kinh tế. Tuy nhiên, tốc độ số hóa và mở rộng hệ sinh thái số hiện nay đang nhanh hơn đáng kể so với khả năng kiểm soát rủi ro dữ liệu của phần lớn tổ chức.

Thực tế cho thấy, rủi ro không còn nằm ở câu chuyện hệ thống có bị tấn công hay không, mà là khi bị xâm nhập thì dữ liệu có bị lấy ra ngoài hay không, có bị lạm dụng hay không, và doanh nghiệp có phát hiện đủ sớm hay không. Năm 2026 đánh dấu một bước ngoặt quan trọng khi Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực. Điều này đưa bảo mật dữ liệu từ “khuyến nghị” thành yêu cầu bắt buộc trong quản trị doanh nghiệp.

Tuy nhiên, thách thức cốt lõi của Việt Nam hiện nay không nằm ở công nghệ, mà nằm ở tư duy bảo vệ dữ liệu chưa đầy đủ theo vòng đời. Nhiều tổ chức đầu tư mạnh vào bảo vệ đầu vào, nhưng lại thiếu kiểm soát dòng dữ liệu đi ra – chính là điểm yếu mang tính hệ thống.

Sự phát triển của AI đi cùng những bước tiến đột phá là những thách thức an ninh phi truyền thống ngày càng tinh vi. Giờ đây, AI không chỉ là công cụ tối ưu hóa vận hành mà còn là "vũ khí" của tội phạm mạng. Theo quan sát của ông, đâu là những biến thể tấn công dữ liệu tài chính nguy hiểm nhất mà các tổ chức tại Việt Nam đang phải đối mặt?

Theo quan sát của chúng tôi, hiện nay có 4 nhóm biến thể đặc biệt nguy hiểm đối với dữ liệu tài chính. Thứ nhất là lừa đảo giả mạo có hỗ trợ AI, đặc biệt là deepfake giọng nói, hình ảnh và video. Xu hướng này đang gia tăng rất mạnh. NCA (Hiệp hội An ninh mạng quốc gia) đã dự báo trong năm 2026, tội phạm mạng sẽ đẩy mạnh ứng dụng deepfake để mạo danh người quen, lãnh đạo cơ quan, cán bộ công quyền hoặc đại diện tổ chức tài chính; INTERPOL cũng cảnh báo deepfake đang bị lợi dụng trong các chiến dịch lừa đảo đầu tư và mạo danh lãnh đạo doanh nghiệp, gây thiệt hại tài chính đáng kể.

Thứ hai là phishing thế hệ mới. Trước đây, email lừa đảo thường dễ nhận biết. Còn bây giờ, với AI, nội dung giả mạo có thể được cá nhân hóa rất sâu, ngôn ngữ tự nhiên hơn, đúng ngữ cảnh hơn, thậm chí mô phỏng phong cách giao tiếp nội bộ. IBM cho biết trong các vụ vi phạm dữ liệu họ khảo sát năm 2025, 16% có sự tham gia của công cụ AI từ phía kẻ tấn công, chủ yếu cho phishing và deepfake impersonation; đồng thời, khối lượng infostealer phát tán qua phishing tăng mạnh.

Thứ ba là mã độc đánh cắp thông tin và chiếm quyền điều khiển thiết bị đầu cuối, nhất là trên di động. Ở Việt Nam, khảo sát năm 2025 cho thấy 34,13% người dùng từng gặp ít nhất một sự cố liên quan đến mã độc, và hệ thống nTrust ghi nhận tới 62.952 loại mã độc mới trên điện thoại di động trong năm 2025. Với ngành tài chính, đây là mối nguy rất lớn vì thiết bị di động ngày càng trở thành điểm giao dịch, phê duyệt và xác thực.

Thứ tư là tấn công sau xâm nhập, tức là hacker không dừng ở chỗ "vào được hệ thống", mà tìm cách âm thầm kết nối ra ngoài, nhận lệnh từ máy chủ điều khiển và trích xuất dữ liệu. Đây là kiểu tấn công mà nhiều tổ chức tài chính Việt Nam đang hoàn toàn "mù" - vì các công cụ phòng thủ truyền thống như firewall hay antivirus được thiết kế để chặn mối đe dọa từ bên ngoài vào, không phải để theo dõi luồng dữ liệu bí mật đi ra.

Mã độc sau khi đã cài cắm bên trong có thể nằm im hàng tuần, hàng tháng, rồi mới bắt đầu thiết lập kết nối tới máy chủ điều khiển để rút dữ liệu theo từng đợt nhỏ - rất khó phát hiện nếu không có giải pháp giám sát chuyên biệt cho loại lưu lượng này. Đây là biến thể nguy hiểm nhất với các tổ chức tài chính, vì khi dữ liệu khách hàng, dữ liệu giao dịch, hồ sơ KYC hay dữ liệu chiến lược bị đưa ra ngoài, thiệt hại không chỉ là tiền, mà còn là niềm tin và trách nhiệm pháp lý.

- Trong quá trình tư vấn cho các định chế tài chính lớn, ông nhận thấy đâu là "điểm yếu chết người" thường bị bỏ qua trong quy trình bảo vệ dữ liệu khách hàng hiện nay?

Trong quá trình tư vấn cho các tổ chức tài chính, chúng tôi nhận thấy một thực tế đáng lo ngại: Phần lớn doanh nghiệp bảo vệ tốt “cửa vào”, nhưng gần như bỏ ngỏ “cửa ra” của dữ liệu. Rất nhiều tổ chức đã đầu tư cho firewall, endpoint protection, anti-virus, SIEM, thậm chí cả SOC. Nhưng trong thực tế vận hành, nếu một mã độc hoặc một tài khoản bị chiếm quyền đã lọt vào bên trong, thì câu hỏi quan trọng nhất là dữ liệu có đang bị âm thầm đưa ra ngoài hay không? có đang có kết nối bất thường tới máy chủ điều khiển hay không? ai phát hiện, phát hiện lúc nào và ngăn bằng cách nào?

Tôi cho rằng đây là lỗ hổng phổ biến vì nhiều đơn vị vẫn tiếp cận bảo mật theo tư duy phòng thủ chu vi. Trong khi đó, môi trường hiện nay là hybrid, đa điểm cuối, nhiều nhà cung cấp, nhiều ứng dụng, nhiều API, nhiều luồng chia sẻ dữ liệu. Một khi không giám sát được luồng dữ liệu đi ra, doanh nghiệp rất dễ rơi vào trạng thái "hệ thống vẫn chạy bình thường nhưng dữ liệu đã mất". Chính điều này mới gây ra hậu quả lớn nhất với ngành tài chính.

Bên cạnh đó, một điểm yếu không kém phần nguy hiểm mà các định chế tài chính thường chủ quan chính là rủi ro từ nội bộ. Thực tế cho thấy nhiều vụ rò rỉ dữ liệu khách hàng - từ số tài khoản, lịch sử giao dịch cho đến hồ sơ KYC - xuất phát từ chính nhân viên, có thể là cố ý (bán data cho bên thứ ba) hoặc vô ý (gửi nhầm file, lưu dữ liệu vào thiết bị cá nhân không được kiểm soát). Kiểm soát quyền truy cập đặc quyền (Privileged Access Management), logging hành vi người dùng nội bộ và review định kỳ là những biện pháp cần được ưu tiên, nhưng hiện vẫn đang bị nhiều tổ chức tài chính Việt Nam bỏ ngỏ.

Ngoài ra, trong bối cảnh Open Banking và tích hợp fintech ngày càng mở rộng, mỗi điểm kết nối API với đối tác bên thứ ba - ví điện tử, app fintech, đối tác bảo hiểm, cổng thanh toán - đều là một bề mặt rò rỉ dữ liệu tiềm năng nếu không có API security gateway và kiểm soát luồng dữ liệu ra vào đúng chuẩn. Đây là khoảng trống rất thực tế tại các ngân hàng và công ty chứng khoán Việt Nam hiện nay, nhất là khi tốc độ tích hợp đang đi nhanh hơn tốc độ kiểm soát bảo mật tương ứng.

- Trong kỷ nguyên AI, dữ liệu không chỉ cần được bảo vệ khi lưu trữ mà còn khi đang xử lý. Ông đánh giá thế nào về tầm quan trọng của các giải pháp công nghệ bảo mật?

Tôi cho rằng trong kỷ nguyên AI, giải pháp công nghệ bảo mật không còn là lớp hỗ trợ, mà đã trở thành hạ tầng thiết yếu của vận hành số. Bởi AI khiến dữ liệu được sử dụng nhiều hơn, di chuyển nhanh hơn, kết nối rộng hơn và được xử lý trong nhiều môi trường hơn. Điều đó có nghĩa là bề mặt tấn công mở rộng ra rất mạnh. IBM cho biết chi phí trung bình toàn cầu của một vụ vi phạm dữ liệu trong năm 2025 là khoảng 4,44 triệu USD; riêng các môi trường dữ liệu phân tán trên nhiều nền tảng có mức thiệt hại trung bình còn cao hơn. Điều này cho thấy doanh nghiệp không thể tiếp tục bảo mật theo cách rời rạc, chắp vá.

Tầm quan trọng của công nghệ bảo mật hiện nay nằm ở 3 điểm. Một là phát hiện sớm các hành vi bất thường. Hai là ngăn chặn theo thời gian thực, không chờ đến khi sự cố đã xảy ra rồi mới phản ứng. Ba là hỗ trợ tuân thủ, tức là giúp doanh nghiệp chứng minh được rằng mình đã có biện pháp phù hợp để bảo vệ dữ liệu cá nhân, dữ liệu khách hàng và dữ liệu nghiệp vụ trọng yếu.

Ngoài ra, trong bối cảnh Open Banking và tích hợp fintech ngày càng mở rộng, mỗi điểm kết nối API với đối tác bên thứ ba đều là một bề mặt rò rỉ dữ liệu tiềm năng nếu không có kiểm soát luồng dữ liệu ra vào đúng chuẩn - đặc biệt khi tốc độ tích hợp đang đi nhanh hơn tốc độ kiểm soát bảo mật tương ứng. Nói ngắn gọn, trong kỷ nguyên AI, bảo mật không thể đứng sau chuyển đổi số. Bảo mật phải đi cùng, thậm chí đi trước một bước.

- An toàn dữ liệu tài chính không phải là câu chuyện của riêng một đơn vị nào. Theo ông, các doanh nghiệp cần phối hợp như thế nào với các cơ quan quản lý nhà nước để xây dựng một "hệ miễn dịch chung" cho quốc gia?

Tôi cho rằng muốn xây dựng một "hệ miễn dịch chung" cho quốc gia thì cần chuyển từ tư duy "mỗi đơn vị tự phòng thủ" sang tư duy liên thông cảnh báo, đồng bộ chuẩn mực và phối hợp ứng phó.

Thứ nhất, doanh nghiệp cần chủ động tuân thủ và cập nhật nhanh các quy định mới. Việc Luật Bảo vệ dữ liệu cá nhân có hiệu lực từ đầu năm 2026 là một bước ngoặt rất lớn, vì nó tạo ra chuẩn chung về trách nhiệm xử lý dữ liệu.

Thứ hai, cần tăng cường chia sẻ chỉ báo tấn công, mô hình gian lận, mẫu lừa đảo, địa chỉ hạ tầng độc hại giữa doanh nghiệp với cơ quan quản lý, hiệp hội ngành nghề và hệ sinh thái an ninh mạng. Thực tế, hiệu quả của phòng thủ tập thể phụ thuộc rất lớn vào khả năng chia sẻ dữ liệu cảnh báo sớm.

Thứ ba, với lĩnh vực tài chính, tôi cho rằng cần đẩy mạnh các cơ chế phối hợp ba bên giữa cơ quan quản lý – tổ chức tài chính – doanh nghiệp công nghệ bảo mật. Cơ quan quản lý ban hành chuẩn và yêu cầu; tổ chức tài chính cung cấp bài toán thực tế; còn doanh nghiệp công nghệ phải biến các yêu cầu đó thành giải pháp vận hành được, triển khai được, đo lường được.

Cuối cùng, chúng ta phải coi đầu tư cho an toàn dữ liệu là đầu tư cho năng lực chống chịu quốc gia. Vì một sự cố lớn trong tài chính không chỉ ảnh hưởng một ngân hàng hay một công ty chứng khoán, mà có thể gây hiệu ứng lan truyền tới niềm tin thị trường.

- Nếu phải đưa ra một lời khuyên ngắn gọn cho các doanh nghiệp ngành tài chính trước khi họ quyết định đầu tư vào một nền tảng bảo mật mới trong năm nay, ông sẽ nói điều gì?

Tôi sẽ nói rất ngắn gọn thế này: Đừng chỉ mua một công cụ để "thêm lớp bảo mật"; hãy đầu tư vào một giải pháp thực sự giúp doanh nghiệp phát hiện sớm, ngăn chặn kịp thời và kiểm soát được dữ liệu khi sự cố xảy ra.

Nói cách khác, trước khi chọn một nền tảng bảo mật mới, doanh nghiệp hãy tự trả lời 4 câu hỏi: Giải pháp đó có giúp ngăn dữ liệu bị đưa ra ngoài không? Có cảnh báo theo thời gian thực không. Đặc biệt với các hành vi đáng ngờ diễn ra sau khi mã độc đã xâm nhập, chứ không chỉ tại thời điểm xâm nhập? Có phù hợp với yêu cầu tuân thủ hiện nay không? Khi hệ thống đã bị xâm nhập, nó bảo vệ doanh nghiệp được đến đâu?

Nếu trả lời được 4 câu hỏi đó, doanh nghiệp sẽ đầu tư đúng hơn, thay vì đầu tư nhiều hơn. Và tôi muốn nhấn mạnh thêm, trong năm 2026, câu hỏi không còn là "liệu chúng tôi có bị tấn công không" mà là "liệu chúng tôi có biết khi dữ liệu đang bị rút ra ngoài hay không". Đó là tiêu chí quan trọng nhất khi lựa chọn một giải pháp bảo mật thực sự phù hợp với ngành tài chính.

Xin cảm ơn ông về cuộc trao đổi này!