Báo cáo 2025 State of AI Data Security Report đã tiết lộ một mâu thuẫn đáng chú ý trong cách thức các doanh nghiệp quản lý và bảo vệ dữ liệu khi tích hợp trí tuệ nhân tạo (AI). Mặc dù việc áp dụng AI gần như phổ biến, các cơ chế giám sát và kiểm soát dữ liệu nhạy cảm lại còn rất hạn chế, tạo ra những rủi ro bảo mật đáng kể đối với bảo mật dữ liệu AI.

Nghiên cứu chỉ ra rằng 83% tổ chức đã sử dụng AI trong các hoạt động hàng ngày. Tuy nhiên, chỉ có 13% trong số đó khẳng định có tầm nhìn rõ ràng về cách các hệ thống AI này xử lý dữ liệu nhạy cảm. Khoảng cách lớn giữa mức độ sử dụng và khả năng kiểm soát đang đặt ra thách thức nghiêm trọng cho an ninh thông tin tổng thể.

Thực trạng Triển khai AI và Khoảng cách về An toàn Thông tin

Báo cáo, được thực hiện bởi Cybersecurity Insiders với sự hỗ trợ nghiên cứu từ Cyera Research Labs, thu thập phản hồi từ 921 chuyên gia an ninh mạng và CNTT từ nhiều ngành và quy mô tổ chức khác nhau. Dữ liệu này cung cấp một cái nhìn toàn diện về tình hình hiện tại.

Nghiên cứu cho thấy AI ngày càng hoạt động như một danh tính không được kiểm soát. Đây là một người dùng không phải con người, có khả năng đọc nhanh hơn, truy cập nhiều hơn và hoạt động liên tục mà không cần nghỉ ngơi.

Tuy nhiên, hầu hết các tổ chức vẫn đang áp dụng các mô hình danh tính truyền thống, vốn được thiết kế cho con người. Những mô hình này trở nên không hiệu quả khi phải đối phó với tốc độ xử lý và phạm vi hoạt động của máy móc.

Hậu quả là hai phần ba số tổ chức đã phát hiện các công cụ AI truy cập quá mức thông tin nhạy cảm. Ngoài ra, 23% thừa nhận họ không có bất kỳ cơ chế kiểm soát nào đối với các lời nhắc (prompts) hoặc đầu ra (outputs) của AI.

Các Điểm Yếu Chính trong Bảo mật Dữ liệu AI

Các đại lý AI tự trị (Autonomous AI agents) nổi lên như một biên giới dễ bị tổn thương nhất. 76% số người được hỏi cho rằng những hệ thống này là khó bảo mật nhất. Điều này cho thấy một sự thiếu hụt nghiêm trọng về khả năng kiểm soát các tác nhân AI tiên tiến.

Đáng lo ngại hơn, 57% các tổ chức thiếu khả năng chặn các hành động rủi ro của AI trong thời gian thực. Điều này tạo ra một lỗ hổng lớn, cho phép các tác vụ AI không mong muốn hoặc độc hại có thể gây ra thiệt hại đáng kể trước khi được phát hiện và ngăn chặn.

Tầm nhìn về việc sử dụng AI vẫn còn rất hạn chế. Gần một nửa số doanh nghiệp báo cáo không có tầm nhìn nào về việc AI được sử dụng như thế nào. Một phần ba khác chỉ có cái nhìn sâu sắc tối thiểu, khiến hầu hết các tổ chức không chắc chắn về nơi AI đang hoạt động hoặc dữ liệu nào mà nó đang tương tác.

Cấu trúc quản trị cũng tụt hậu so với tốc độ ứng dụng. Chỉ có 7% tổ chức có một nhóm quản trị AI chuyên trách. Chỉ 11% cảm thấy sẵn sàng đáp ứng các yêu cầu quy định mới nổi, điều này nhấn mạnh mức độ các khoảng trống về sự sẵn sàng đang ngày càng mở rộng nhanh chóng.

Giải pháp Nâng cao Bảo mật Dữ liệu AI và Quản trị Rủi ro

Báo cáo kêu gọi một sự chuyển đổi trong cách tiếp cận giám sát AI, hướng tới một mô hình tập trung vào dữ liệu. Điều này yêu cầu một chiến lược toàn diện hơn để đảm bảo bảo mật dữ liệu AI và giảm thiểu các rủi ro bảo mật tiềm ẩn.

Các giải pháp được đề xuất bao gồm:

• Phát hiện liên tục việc sử dụng AI: Đảm bảo các tổ chức luôn biết được các hệ thống AI nào đang hoạt động và ở đâu, cũng như loại dữ liệu chúng đang xử lý.
• Giám sát thời gian thực các lời nhắc và đầu ra: Theo dõi chặt chẽ cách AI tương tác với dữ liệu, bao gồm cả đầu vào mà nó nhận được và kết quả mà nó tạo ra, để phát hiện các hành vi bất thường hoặc truy cập không mong muốn.
• Chính sách danh tính dành riêng cho AI: Xử lý AI như một tác nhân riêng biệt, với các quyền truy cập được giới hạn chặt chẽ dựa trên độ nhạy cảm của dữ liệu. Điều này giúp ngăn chặn AI truy cập vào các nguồn tài nguyên không cần thiết hoặc nhạy cảm quá mức.

Theo Holger Schulze từ Cybersecurity Insiders, “AI không còn chỉ là một công cụ – nó đang hoạt động như một danh tính mới trong doanh nghiệp, một danh tính không bao giờ ngủ và thường bỏ qua các ranh giới. Nếu không có tầm nhìn và quản trị mạnh mẽ, các doanh nghiệp sẽ tiếp tục tìm thấy dữ liệu của họ ở những nơi mà chúng không bao giờ được phép có.” Đây là một lời cảnh báo mạnh mẽ về tầm quan trọng của việc thiết lập các cơ chế kiểm soát chặt chẽ cho bảo mật dữ liệu AI.

Báo cáo nhấn mạnh một nguyên tắc cốt lõi: “Bạn không thể bảo mật một tác nhân AI mà bạn không xác định được, và bạn không thể quản lý những gì bạn không thể thấy.” Để đạt được mức độ an toàn thông tin cần thiết, các tổ chức phải ưu tiên khả năng hiển thị và kiểm soát đầy đủ đối với tất cả các hoạt động liên quan đến AI.

Việc triển khai các giải pháp này là rất quan trọng để đảm bảo rằng lợi ích của AI không bị lu mờ bởi các rủi ro bảo mật và thách thức về tuân thủ. Các doanh nghiệp cần chủ động xây dựng một khuôn khổ quản trị AI mạnh mẽ để bảo vệ thông tin nhạy cảm và duy trì niềm tin.

Toàn bộ Báo cáo 2025 State of AI Data Security Report có sẵn để tải về tại: 2025 State of AI Data Security Report.

Cybersecurity Insiders cung cấp cái nhìn chiến lược cho các nhà lãnh đạo bảo mật, dựa trên hơn một thập kỷ nghiên cứu độc lập và được tin cậy bởi cộng đồng toàn cầu gồm 600.000 chuyên gia an ninh mạng. Tổ chức này chuyển đổi các xu hướng thị trường đang thay đổi thành hướng dẫn rõ ràng, dễ thực hiện, giúp các CISO tăng cường chương trình của họ, đưa ra quyết định công nghệ sáng suốt và dự đoán các rủi ro mới nổi liên quan đến bảo mật dữ liệu AI.