CIO CSO 2025: Xây dựng chiến lược an ninh mạng vững chắc trong kỷ nguyên AI

Ngày 1/10, tại Hà Nội đã diễn ra Hội nghị Lãnh đạo Công nghệ thông tin và An toàn thông tin 2025 (CIO CSO 2025) với chủ đề "Chiến lược An ninh mạng - Kiến tạo tương lai bền vững trong kỷ nguyên vận hành bởi AI". Sự kiện do Viện Nghiên cứu Chính sách và Chiến lược phối hợp cùng Công ty An ninh mạng Viettel và IEC tổ chức.

Hội nghị được thiết kế như một diễn đàn uy tín, nơi các nhà lãnh đạo, chuyên gia công nghệ và an ninh mạng thảo luận sâu về xu hướng mới, đồng thời chia sẻ kinh nghiệm ứng phó với những thách thức an toàn thông tin trong thời đại trí tuệ nhân tạo (AI). Bên cạnh các phiên thảo luận chuyên đề, đại biểu còn trực tiếp tham gia những hoạt động thực tiễn như mô phỏng kịch bản tấn công mạng, trình diễn giải pháp phòng thủ, quản trị rủi ro hệ thống. Đây là cơ hội giúp lãnh đạo doanh nghiệp, tổ chức hoạch định chiến lược bảo vệ dữ liệu, hệ thống AI một cách toàn diện, đồng thời hỗ trợ đội ngũ kỹ thuật nâng cao năng lực ứng phó trước các mối đe dọa ngày càng tinh vi. Qua đó, sự kiện góp phần đưa các chủ trương, chính sách của Đảng và Nhà nước về phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia đi vào thực tiễn.

Toàn cảnh hội nghị Lãnh đạo Công nghệ thông tin và An toàn thông tin 2025 (CIO CSO 2025). Ảnh: BTC

Từ nghị quyết đến hành động: Xây dựng chiến lược an ninh mạng vững chắc trước làn sóng AI

Mở đầu phiên toàn thể, TS. Nguyễn Đức Hiển - Phó Trưởng Ban Chính sách, Chiến lược Trung ương nhấn mạnh, trước sự bùng nổ và tác động sâu rộng của Cách mạng công nghiệp lần thứ tư, Bộ Chính trị đã ban hành nhiều nghị quyết quan trọng như Nghị quyết 29-NQ/TW (ngày 25/7/2018) về "Chiến lược bảo vệ Tổ quốc trên không gian mạng"; Nghị quyết 30-NQ/TW (ngày 25/7/2018) về "Chiến lược an ninh mạng quốc gia"; Nghị quyết 52-NQ/TW (ngày 27/9/2019) về một số chủ trương, chính sách chủ động tham gia cuộc Cách mạng công nghiệp lần thứ tư và gần đây nhất là Nghị quyết 57-NQ/TW (ngày 22/12/2024) về đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia.

Ngành công nghiệp an toàn, an ninh mạng hiện được xác định là một trong những lĩnh vực ưu tiên. Để cụ thể hóa các nghị quyết, Quốc hội và Chính phủ đã ban hành nhiều khuôn khổ pháp lý quan trọng như Luật An ninh mạng 2018, Chiến lược An toàn An ninh mạng quốc gia 2022, Luật Công nghiệp công nghệ số 2025, Luật Khoa học, Công nghệ và Đổi mới sáng tạo 2025, cùng Luật Bảo vệ dữ liệu cá nhân 2025. Những văn bản này tạo nền tảng để triển khai hiệu quả các chính sách, đồng thời đáp ứng yêu cầu phát triển kinh tế số và bảo đảm an ninh quốc gia.

TS. Nguyễn Đức Hiển - Phó Trưởng Ban Chính sách, Chiến lược Trung ương phát biểu tại hội nghị. Ảnh: BTC

Trí tuệ nhân tạo hiện được coi là một trong những động lực then chốt cho phát triển kinh tế - xã hội toàn cầu, đồng thời trở thành “vũ khí mềm” trong không gian mạng. AI có khả năng tăng cường năng lực phòng thủ, nhưng cũng mang đến những rủi ro mới. Thực tế cho thấy 86% tổ chức từng trải qua ít nhất một sự cố an ninh mạng liên quan đến AI, song chỉ 49% cho rằng hiểu rõ mối đe dọa này. Dù 96% tổ chức dự định nâng cấp hạ tầng thông tin, chỉ 45% trong số đó dành tối thiểu 10% ngân sách CNTT cho an ninh mạng. Nếu không được quản trị đúng cách, chính hệ thống AI có thể bị lợi dụng để gây tổn hại nghiêm trọng đến an ninh quốc gia và kinh tế - xã hội.

Thống kê đến cuối năm 2024 cho thấy đã có 132 quốc gia ban hành Chiến lược An ninh mạng quốc gia, tăng từ 107 quốc gia vào năm 2021. Xu hướng chung là chuyển từ phòng thủ thụ động sang phòng vệ chủ động, trong đó nhấn mạnh phát hiện sớm, truy vết nguồn gốc các lỗ hổng an ninh mạng. Tuy nhiên, cùng với cơ hội, thế giới cũng đối mặt với những thách thức không nhỏ khi AI ngày càng bùng nổ. Bên cạnh các rủi ro, AI cũng được ứng dụng trong điều tra, kiểm soát tài sản và tư vấn rủi ro an ninh mạng theo thời gian thực.

Theo TS. Nguyễn Đức Hiển, hội nghị CIO CSO 2025 vì thế mang ý nghĩa đặc biệt quan trọng, giúp cộng đồng lãnh đạo công nghệ và an toàn thông tin nhìn rõ bức tranh toàn cảnh, từ đó định hình chiến lược bảo mật vững chắc, tạo nền tảng cho một tương lai số an toàn và bền vững.

Ứng dụng Data & AI trong ngân hàng: Lợi ích song hành thách thức

Trong phần tham luận "Ứng dụng Data & AI trong Ngân hàng: Thực tiễn triển khai và Thách thức" ông Nguyễn Công Thương - Phó Giám đốc Khối Dữ liệu & Trí tuệ Nhân tạo của VietinBank cho biết, trong lĩnh vực ngân hàng, Data và AI đang trở thành công cụ đắc lực để đổi mới hoạt động và nâng cao hiệu quả quản trị.

Trước hết, AI được ứng dụng mạnh mẽ trong quản trị và tự động hóa dịch vụ khách hàng với các giải pháp như Chatbot 24/7, Contact Center AI, xác thực sinh trắc học hay công nghệ OCR kết hợp AI để tự động nhập liệu và xử lý tác vụ, góp phần nâng cao trải nghiệm người dùng.

Ở mảng phân tích am hiểu khách hàng, hệ thống dữ liệu lớn hỗ trợ phân khúc khách hàng chi tiết, từ đó cung cấp sản phẩm - dịch vụ cá nhân hóa và triển khai các chiến dịch marketing có mục tiêu, giúp gia tăng hiệu quả kinh doanh.

Trong quản trị rủi ro, AI cho phép xây dựng hệ thống cảnh báo sớm rủi ro tín dụng, đồng thời nhận diện và phát hiện các dấu hiệu gian lận nội bộ, ngăn chặn kịp thời những giao dịch bất thường. AI cũng được ứng dụng trong quản trị nhân sự với khả năng tìm kiếm, lọc và đánh giá hồ sơ ứng viên, phân tích hiệu suất làm việc, dự báo nhu cầu nhân sự, cũng như cá nhân hóa chương trình đào tạo và phát triển nhân tài.

Về mặt tài chính, AI góp phần tối ưu chi phí thông qua việc dự báo thanh khoản các thị trường, tối ưu hóa danh mục đầu tư và điều chỉnh lượng tiền mặt tại ATM/PGD, vừa giảm lãng phí, vừa nâng cao hiệu quả vận hành. Đồng thời, trong nâng cao hiệu quả nội bộ, các ứng dụng như AI văn phòng, Chatbot hỗ trợ nghiệp vụ và kho tri thức doanh nghiệp đang giúp chuẩn hóa quy trình, tiết kiệm thời gian và tối ưu năng suất lao động.

Ông Nguyễn Công Thương - Phó Giám đốc Khối Dữ liệu & Trí tuệ Nhân tạo của VietinBank chia sẻ về thực tiễn triển khai và thách thức về việc ứng dụng Data & AI trong ngân hàng. Ảnh: BTC

Tuy nhiên, ông Nguyễn Công Thương cũng chỉ rõ, bên cạnh những lợi ích nổi bật, việc triển khai AI trong ngân hàng vẫn tiềm ẩn nhiều thách thức về an toàn thông tin. Nguy cơ rò rỉ dữ liệu ở cả đầu vào và đầu ra có thể khiến thông tin nhạy cảm bị khai thác trái phép. Ngoài ra, tình trạng lạm dụng AI vượt ngoài quyền hạn cho phép, khó kiểm chứng nguồn gốc kết quả hay hiện tượng "Shadow AI" - các hệ thống AI vận hành ngoài tầm quản lý chính thức đều đặt ra mối nguy lớn. Bên cạnh đó, các hình thức tấn công thông qua API và pipeline ngày càng phổ biến, mở ra nhiều lỗ hổng an ninh mới. Đặc biệt, với sự phát triển của Agentic AI - AI có khả năng tự động hành động, nguy cơ mất kiểm soát càng trở nên rõ rệt, đòi hỏi các tổ chức phải có cơ chế giám sát và quản trị chặt chẽ hơn.

AI - vũ khí mới của hacker và bài toán phòng thủ của doanh nghiệp

Tại phiên thảo luận, ông Nguyễn Sơn Hải - CEO Viettel Cyber Security đã đặt câu hỏi: “AI sinh ra ảnh hưởng gì tới an ninh mạng của chúng ta?”. Theo ông, thứ nhất tác động của AI là rất sâu rộng, khi an ninh mạng vốn đã là một “cuộc chiến bất tận” giữa tấn công và phòng thủ. Dẫn lời chuyên gia Bruce Schneier (Harvard Kennedy School), ông nhấn mạnh: “Trên Internet, tấn công luôn dễ hơn phòng thủ”.

Giải thích rõ hơn, ông Hải cho rằng lợi thế của kẻ tấn công đến từ sự bất đối xứng giữa hai phía. Trong khi bên phòng thủ phải đảm bảo hệ thống an toàn ở mọi nơi, mọi thời điểm, thì kẻ tấn công chỉ cần khai thác một điểm yếu nhỏ cũng có thể gây hậu quả nghiêm trọng. Chẳng hạn, năm 2020, một nhóm hacker đã chiếm quyền kiểm soát hàng loạt tài khoản Twitter tích xanh của Barack Obama, Elon Musk,… để đăng tải thông tin lừa đảo, thu về hơn 100.000 USD chỉ trong một giờ.

Thứ hai, sự bất đối xứng còn thể hiện ở chi phí. Kẻ tấn công có thể bỏ ra nguồn lực nhỏ nhưng thu về lợi ích khổng lồ. Điển hình là vụ tấn công vào Colonial Pipeline - công ty điều hành hệ thống đường ống dẫn nhiên liệu lớn nhất nước Mỹ khi chỉ bằng một cuộc tấn công ransomware giá rẻ, hacker đã buộc doanh nghiệp phải trả tới 4,4 triệu USD để khôi phục hệ thống.

Thứ ba, bề mặt tấn công của bên phòng thủ ngày càng mở rộng theo cấp số nhân do sự phát triển của hạ tầng và khối lượng dữ liệu, khiến nỗ lực bảo vệ hệ thống ngày càng tốn kém. Ngược lại, kẻ tấn công không cần gia tăng nguồn lực tương xứng, tạo nên khoảng cách chi phí ngày càng lớn giữa hai phía.

Cuối cùng, kẻ tấn công thường ẩn danh trong bóng tối, trong khi bên phòng thủ lại “ở dưới ánh sáng”, dễ bị theo dõi và nắm bắt. Điều này giúp hacker có thể quan sát, lựa chọn thời điểm ra tay và hành động quyết liệt mà không lo bị phát hiện ngay.

Bốn yếu tố bất đối xứng này, chính là nguyên nhân khiến mỗi ngày trên toàn cầu vẫn xảy ra hàng loạt vụ tấn công mạng. Sự xuất hiện của AI càng mở rộng bề mặt tấn công, tạo thêm nhiều hình thức rủi ro mới. Do đó, việc triển khai AI trong an ninh mạng không chỉ mở ra cơ hội mà còn đặt ra thách thức buộc các tổ chức phải chuẩn bị kỹ lưỡng để phòng vệ hiệu quả.

Ông Nguyễn Sơn Hải - CEO Viettel Cyber Security chia sẻ về bất đối xứng tấn công - phòng thủ trong lĩnh vực an ninh mạng. Ảnh: BTC

Theo ông Hải, để đối phó với thực trạng tấn công mạng ngày càng tinh vi, doanh nghiệp cần cân nhắc một số giải pháp cốt lõi. Trước hết là thu hẹp bề mặt tấn công: cần thiết kế, cấu hình và vận hành hệ thống sao cho hacker gặp càng nhiều khó khăn càng tốt khi tiếp cận các điểm yếu, từ đó giảm thiểu nguy cơ bị khai thác. Thứ hai là giảm thiểu thiệt hại khi sự cố xảy ra: hệ thống phải được xây dựng theo nguyên tắc chịu lỗi an toàn, tức khi bị tấn công vẫn duy trì được các chức năng nền tảng - giống như cơ chế “miễn dịch cộng đồng” trong an ninh. Thứ ba là giải phóng chi phí vận hành cho phòng thủ: bằng cách giảm workload, tăng tốc độ phản ứng và triển khai biện pháp phòng ngừa sớm ở quy mô rộng, tránh đẩy tất cả vấn đề lên các tuyến điều hành cao hơn.

Ông Hải lưu ý thêm 1rằng trong thời đại AI bùng nổ, những hướng tiếp cận này càng trở nên cấp thiết, bởi hacker có thể tận dụng AI như một dịch vụ để tự động hóa và hạ giá thành tấn công. Đây là xu hướng rất rõ ràng và có lợi cho kẻ tấn công nếu các tổ chức không chủ động nâng cấp năng lực phòng vệ.

Bích Ngọc - Kim Thanh