Giải pháp nào cho doanh nghiệp trước deepfake và thông tin sai lệch?

Theo báo cáo năm 2024 của Global Initiative, Việt Nam hiện là quốc gia ghi nhận mức tăng lừa đảo deepfake cao nhất khu vực, lên tới 25,3% so với cùng kỳ. Trong bối cảnh đó, nhiều doanh nghiệp đối mặt với rủi ro nghiêm trọng liên quan đến uy tín thương hiệu, dữ liệu nội bộ và cả an ninh kinh doanh. Để tìm giải pháp ứng phó với thực trạng này, Diễn đàn Doanh nghiệp đã có buổi trao đổi với ông Phạm Huân, Giám đốc Kỹ thuật khu vực, ManageEngine, một công ty chuyên về phát triển phần mềm.

- Ông đánh giá thế nào về việc doanh nghiệp nên chuyển từ tư duy “phản ứng khi có khủng hoảng” sang “chủ động phát hiện và ngăn chặn từ gốc” trong vấn đề tin giả và deepfake? Chiến lược công nghệ nào có thể hiện thực hóa được điều này?

Tôi tin rằng đây là một bước đi quan trọng mang tính chuyển đổi trong bối cảnh các mối đe dọa deepfake và thông tin sai lệch ngày càng tinh vi. Bối cảnh an ninh mạng đã thay đổi đáng kể với sự phát triển nhanh chóng của AI. Năm năm trước, mục tiêu chính của an ninh mạnglà bảo vệ các tài sản nội bộ như mạng lưới, dữ liệu và những tài sản có giá trị của tổ chức. Tuy nhiên ngày nay, AI đã hoàn toàn thay đổi cục diện. Nó không chỉ tạo ra các hình thức đe dọa mới, như deepfake, mà còn đẩy nhanh tốc độ và sự tinh vi của chúng, khiến các đội ngũ an ninh mạng ngày càng khó ứng phó chỉ với các phương pháp truyền thống.

Chủ động phát hiện và ngăn chặn các mối đe dọa ngay từ gốc rễ là chiến lược phòng thủ hiệu quả nhất để bảo vệ giá trị thương hiệu và niềm tin của khách hàng. Theo IDC, 86% doanh nghiệp Việt Nam đã triển khai AI trong các hoạt động an ninh mạng của họ, chủ yếu trong các lĩnh vực như phản ứng tự động với sự cố, dự đoán mối đe dọa, điều phối dựa trên AI và phân tích hành vi. Ngân sách an ninh mạng của các doanh nghiệp Việt Nam cũng đang tăng lên, với gần 90% tổ chức tăng cường chi tiêu cho lĩnh vực này.

Để chuyển từ tư duy bị động sang phát hiện và phòng ngừa chủ động, các doanh nghiệp cần kết hợp cả năng lực công nghệ và con người. Về mặt công nghệ, các tổ chức nên tận dụng phân tích hành vi người dùng và thực thể dựa trên AI, các giải pháp quản lý định danh và quyền truy cập tập trung (IAM), cùng các hệ thống giám sát chủ động có khả năng phát hiện sớm các dấu hiệu thao túng dữ liệu hoặc nội dung bịa đặt. Thêm vào đó, việc triển khai xác thực đa lớp và cơ chế phản hồi bảo mật tự động cho phép doanh nghiệp khóa chặt các cổng rủi ro tiềm ẩn trước khi khủng hoảng xảy ra.

Ngoài các biện pháp trên, các công ty cũng có thể triển khai hệ thống xác minh nội dung dựa trên AI để phân tích dấu vân tay kỹ thuật số, các bất thường về pixel và mẫu giọng nói nhằm phát hiện nội dung bị thao túng. Các công nghệ đóng dấu bản quyền kỹ thuật số, công cụ phát hiện deepfake dựa trên học máy, và nguồn gốc nội dung được hỗ trợ bởi blockchain có thể giúp xác minh tính xác thực của các thông tin chính thức và ngăn chặn sự lan truyền của tài liệu giả mạo. Ngoài ra, việc giám sát các chiến dịch thông tin sai lệch theo thời gian thực có thể được thực hiện bằng các công cụ lắng nghe mạng xã hội và tình báo mối đe dọa, cho phép doanh nghiệp nhận biết và ngăn chặn các câu chuyện sai sự thật trước khi chúng vượt tầm kiểm soát.

Quan trọng hơn hết, con người vẫn là tuyến phòng thủ đầu tiên. Khi mọi nhân viên đều hiểu rõ cả sức mạnh lẫn mặt tối của AI, họ sẽ trở thành một "bức tường lửa" sống, giúp duy trì sự minh bạch và niềm tin trong thời đại số.

- Trong bối cảnh công nghệ luôn thay đổi nhanh chóng, liệu đầu tư vào công nghệ phòng chống deepfake có thực sự hiệu quả nếu văn hóa nội bộ và tư duy phản biện của nhân viên không được đồng bộ, thưa ông? Bài toán này nên được giải như thế nào?

Trong bất kỳ chiến lược bảo vệ nào, đặc biệt là chống lại các mối đe dọa tinh vi như deepfake, công nghệ chỉ là một nửa của giải pháp, nửa còn lại chính là con người. Một công ty có thể đầu tư hàng triệu USD vào các hệ thống phát hiện, giám sát và xác thực, nhưng nếu văn hóa nội bộ không được đồng bộ hóa, những công nghệ đó sẽ khó phát huy hết tiềm năng phòng thủ của chúng. Giải pháp thực sự nằm ở sự cân bằng hài hòa giữa yếu tố công nghệ và yếu tố con người.

Các doanh nghiệp cần nuôi dưỡng một văn hóa số có trách nhiệm, nơi mỗi nhân viên đều được trang bị kiến thức an ninh mạng, kỹ năng tư duy phản biện và khả năng xác minh thông tin trước khi chia sẻ. Ngoài ra, cần có các quy trình nội bộ rõ ràng; chẳng hạn, khi một yêu cầu đáng ngờ hoặc sự cố bất thường xảy ra, nhân viên phải biết phải làm gì, báo cáo cho ai và làm thế nào để kích hoạt các quy trình điều tra nội bộ nhằm xác minh tính hợp pháp của yêu cầu hoặc giao dịch tài chính đó.

Cuối cùng, công nghệ nên đóng vai trò là công cụ hỗ trợ cho con người, với các giải pháp phát hiện mối đe dọa được hỗ trợ bởi AI giúp doanh nghiệp chủ động ngăn chặn rủi ro và đưa ra các quyết định sáng suốt, thay vì chỉ phản ứng sau khi khủng hoảng đã xảy ra.

- Khi AI vừa là công cụ tạo ra rủi ro (deepfake, tự động hóa lan truyền tin giả), vừa là giải pháp phòng ngừa, theo ông, đâu là giới hạn đạo đức trong việc ứng dụng AI vào quản trị thông tin tại doanh nghiệp? Doanh nghiệp cần đặt ra nguyên tắc kiểm soát nội bộ ra sao để không trở thành một phần của vấn đề?

AI có thể giúp doanh nghiệp phát hiện, lọc bỏ và phản ứng nhanh chóng với thông tin sai lệch, nhưng nếu bị lạm dụng, AI cũng có thể trở thành nguồn gốc của những rủi ro mới. Khi AI thúc đẩy quá trình chuyển đổi số trên toàn khu vực, 60% doanh nghiệp tại Châu Á – Thái Bình Dương đang trải qua những xáo trộn từ vừa phải đến đáng kể đối với hoạt động công nghệ thông tin của họ do các quy định về quyền riêng tư dữ liệu, an ninh mạng và AI không ngừng phát triển.

Trong khi các quốc gia như Hàn Quốc, Singapore và Nhật Bản đang tiến tới các khuôn khổ pháp lý tương tự như GDPR, Việt Nam đang theo đuổi cách tiếp cận dựa trên chủ quyền dữ liệu. Chính phủ hiện đang xem xét dự thảo về khuôn khổ quản trị AI, trong đó bao gồm bộ quy tắc ứng xử cho AI có trách nhiệm.

Các doanh nghiệp cũng đang dần tích hợp các cân nhắc về quy định vào thiết kế và quản lý cơ sở hạ tầng số của mình, từ kiến trúc đám mây cho đến các mô hình AI. Điều này đảm bảo rằng ranh giới đạo đức cho ứng dụng AI luôn đặt tính minh bạch, trách nhiệm giải trình và lấy con người làm trung tâm là cốt lõi của mọi quyết định công nghệ. AI nên được sử dụng để hỗ trợ con người đưa ra các quyết định chính xác hơn, chứ không phải để thao túng dư luận, xuyên tạc thông tin hoặc thay thế hoàn toàn khả năng phán đoán của con người.

Các doanh nghiệp cần thiết lập các nguyên tắc quản trị nội bộ rõ ràng cho việc triển khai AI, bao gồm xác định phạm vi sử dụng, thực hiện các quy trình đánh giá rủi ro đạo đức trước khi áp dụng, và đảm bảo rằng tất cả các mô hình AI đều có thể kiểm chứng, giám sát và giải thích được.

- Trong 2-3 năm tới, ông nhận định mô hình quản trị thông tin, dữ liệu và an ninh mạng tại các doanh nghiệp Việt Nam sẽ cần thay đổi ra sao để thích ứng với kỷ nguyên deepfake và tin giả do AI tạo ra và những năng lực nào doanh nghiệp cần xây dựng từ bây giờ?

Khả năng của AI đang ngày càng tiên tiến hơn. Từ góc độ kinh doanh, tôi tin rằng AI không phải là điều đáng sợ mà là một công cụ mạnh mẽ nếu được sử dụng đúng cách, với các cơ chế quản trị và kiểm soát phù hợp. Với một nền tảng quản trị vững chắc, các tổ chức có thể sử dụng AI để nâng cao hiệu quả, cải thiện khả năng phát hiện rủi ro và tăng cường năng lực ứng phó. Tuy nhiên, nếu chúng ta buông lỏng, AI cũng có thể trở thành một mối đe dọa tiềm tàng hoặc thậm chí là một lỗ hổng trong các hệ thống mà nó được triển khai. Do đó, chiến lược quan trọng nhất là thiết lập các quy trình, chính sách và cơ chế giám sát mạnh mẽ khi triển khai AI trong tổ chức.

Trong 2-3 năm tới, tôi tin rằng phương thức quản lý thông tin và an ninh mạng của các doanh nghiệp Việt Nam sẽ trải qua một chuyển đổi lớn, trở nên tích hợp, chủ động hơn và lấy dữ liệu làm trọng tâm. Trước đây, an ninh mạng thường được coi là một bức tường xây dựng để ngăn chặn các mối đe dọa bên ngoài. Tuy nhiên, ngày nay, doanh nghiệp cần một hệ sinh thái bảo mật linh hoạt, nơi con người và công nghệ cùng nhau làm việc để phát hiện, ứng phó và nhanh chóng phục hồi khỏi các rủi ro mới nổi, đặc biệt là những rủi ro phát sinh từ deepfake và thông tin sai lệch do AI tạo ra.

Có ba năng lực cốt lõi mà các doanh nghiệp cần bắt đầu xây dựng ngay lúc này: Thứ nhất, năng lực phân tích và xác minh dữ liệu bằng AI, cho phép các tổ chức phân biệt giữa thông tin xác thực và thông tin giả mạo trong khối lượng dữ liệu khổng lồ mà họ xử lý mỗi ngày.

Thứ hai, năng lực quản lý danh tính kỹ thuật số và quyền truy cập (IAM) – một yếu tố then chốt để đảm bảo đúng người có quyền truy cập vào đúng dữ liệu.

Thứ ba, khả năng phối hợp phản ứng chủ động với các sự cố bảo mật trên các phòng ban, đảm bảo rằng an ninh mạng không chỉ là trách nhiệm của riêng đội ngũ IT mà là cam kết chung của toàn bộ tổ chức.

Trân trọng cảm ơn ông!