Doanh nghiệp Việt nguy cơ lộ dữ liệu vì Shadow AI
Nhiều doanh nghiệp Việt có nguy cơ rò rỉ dữ liệu do dùng AI không kiểm soát, trong khi bảo mật chưa theo kịp công nghệ.
Shadow AI là hiện tượng phổ biến khi người lao động sử dụng các nền tảng AI công cộng như chatbot, công cụ dịch thuật, viết nội dung hay tạo mã nguồn để xử lý công việc hàng ngày, nhưng không được phê duyệt hoặc giám sát bởi bộ phận công nghệ thông tin. Hành vi này dù không mang ý đồ xấu ,nhưng vẫn vô tình đẩy dữ liệu nội bộ ra khỏi hệ thống bảo vệ, tạo ra khoảng trống lớn trong quản lý bảo mật.
Điều khoản sử dụng ChatGPT quy định cách xử lý và quyền sở hữu đối với nội dung của người dùng.
Theo Báo cáo An ninh mạng toàn cầu của Cisco năm 2025, có đến 62% tổ chức tại Việt Nam thừa nhận không đủ khả năng phát hiện việc nhân viên sử dụng AI bên ngoài. Bên cạnh đó, 72% đơn vị chưa có chính sách rõ ràng về các công cụ AI được phép dùng trong môi trường làm việc.
Nguy cơ rõ nhất là rò rỉ dữ liệu. Khi một báo cáo tài chính, hợp đồng khách hàng hoặc chiến lược sản phẩm bị tải lên hệ thống AI công cộng, nó có thể bị thu thập để huấn luyện mô hình. Một khi đã rơi vào hệ thống bên ngoài, doanh nghiệp gần như không còn quyền kiểm soát dữ liệu của mình nữa.
Ngoài ra, việc sử dụng các nền tảng AI không được mã hóa phù hợp cũng có thể mở đường cho các cuộc tấn công lừa đảo tinh vi. Tin tặc có thể lợi dụng dữ liệu bị rò rỉ để xây dựng hồ sơ giả, chiếm đoạt danh tính nhân viên hoặc cài cắm mã độc vào hệ thống từ bên trong.
Trong khi đó, các quy định pháp luật như Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã chính thức có hiệu lực, yêu cầu doanh nghiệp phải có biện pháp bảo vệ dữ liệu nghiêm ngặt. Nếu vi phạm, mức phạt có thể lên đến hàng trăm triệu đồng, chưa kể đến tổn thất uy tín và niềm tin của khách hàng.
Giải pháp được nhiều chuyên gia khuyến nghị là doanh nghiệp cần khẩn trương thiết lập bộ quy tắc sử dụng AI nội bộ. Trong đó, cần chỉ rõ những công cụ được phép dùng, phân loại mức độ nhạy cảm của dữ liệu, kiểm soát quyền truy cập và theo dõi hành vi bất thường.
Cùng với đó, nên áp dụng các công cụ bảo mật như hệ thống giám sát hoạt động trên nền tảng đám mây (CASB) hoặc giải pháp bảo vệ dữ liệu (DLP) để phát hiện và ngăn chặn sớm các hành vi chia sẻ dữ liệu trái phép. Việc đào tạo nhận thức cho toàn thể nhân viên là yếu tố then chốt. Theo báo cáo của IBM năm 2024, 95% sự cố an ninh mạng trên toàn cầu có yếu tố con người, phần lớn do thiếu hiểu biết hoặc vô tình chia sẻ dữ liệu nhạy cảm.
Trong cuộc đua chuyển đổi số, AI có thể giúp doanh nghiệp tăng tốc, nhưng nếu không kiểm soát Shadow AI, chính công nghệ sẽ trở thành lỗ hổng bảo mật lớn nhất mà các tổ chức phải đối mặt.
