Ông Trần Công Quỳnh Lân, Phó Tổng giám đốc VietinBank thảo luận với ông Thái Trí Hùng, Phó Tổng giám đốc phụ trách Trung tâm Công nghệ thông tin, Tập đoàn công nghệ tài chính MoMo
Chỉ cần tìm kiếm cụm từ “tình hình an ninh mạng”, có thể thấy ngay những con số rất đáng giật mình: năm 2024, người Việt bị lừa đảo trực tuyến với thiệt hại ước tính gần 19.000 tỷ đồng; cứ 220 người dùng điện thoại thông minh thì có 1 người là nạn nhân của lừa đảo trực tuyến; và 52% cơ quan, tổ chức, doanh nghiệp tại Việt Nam bị báo cáo là từng bị tấn công mạng. Những con số này khiến đa số người dân không còn dùng chữ “lo ngại” nữa, mà rút ngắn lại thành chữ “sợ”.
Mất tiền là thiệt hại, mất niềm tin là khủng hoảng
Có 4 nỗi sợ đang hiện hữu trong đời sống số hiện nay được xếp hạng đầu tiên và là nỗi sợ phổ biến nhất: sợ mất tiền. Đây là nỗi sợ trực diện, dễ thấy và ai cũng có thể trở thành nạn nhân.
Thứ hai là nỗi sợ tinh vi hơn: không chỉ bản thân mất tiền, mà dữ liệu cá nhân bị lộ có thể bị lợi dụng để lừa chính người thân của mình. Chỉ cần một thông tin căn cước, số điện thoại hay tài khoản bị lộ, cha mẹ, người thân hoàn toàn có thể trở thành nạn nhân của các kịch bản lừa đảo được cá nhân hóa.
Thứ ba là nỗi sợ từ phía doanh nghiệp. Trong năm 2024, nhiều doanh nghiệp lớn, đặc biệt là các tổ chức tài chính, đã chứng kiến giá trị vốn hóa “bốc hơi” hàng nghìn tỷ đồng chỉ trong thời gian ngắn sau các sự cố tấn công mạng, rò rỉ dữ liệu hoặc khủng hoảng niềm tin.
Thứ tư, và cũng là nỗi sợ lớn nhất, là nguy cơ khủng hoảng ở cấp độ quốc gia: điều gì sẽ xảy ra nếu hệ thống tài chính, năng lượng, hạ tầng trọng yếu như thủy điện hay các nhà máy quan trọng bị hacker tấn công?
Tất cả đều xoay quanh một điểm mù mà người dân và doanh nghiệp đều lo ngại nhưng chưa biết nhận diện thế nào để tự bảo vệ mình đúng cách, trong khi đó, theo ông Trần Công Quỳnh Lân, Phó tổng giám đốc VietinBank, khi AI phát triển mạnh, nỗi sợ này còn gia tăng nhiều lần bởi công nghệ đang giúp các hình thức tấn công trở nên tinh vi hơn, khó phát hiện hơn và nguy hiểm hơn trước rất nhiều.
 |
Ông Trần Công Quỳnh Lân, Phó Tổng giám đốc VietinBank thảo luận tại Diễn đàn |
Ông Vũ Duy Hiền, Phó Tổng thư ký kiêm Chánh văn phòng Hiệp hội An ninh mạng quốc gia (NCA) cho rằng, AI đang tạo ra một nghịch lý rất rõ ràng: vừa là công cụ thúc đẩy hiệu quả vận hành, vừa là công cụ giúp tội phạm mạng nâng cấp tốc độ và chất lượng tấn công.
“Trước đây để thực hiện một cuộc tấn công mạng, hacker phải chuẩn bị rất lâu và tốn nhiều nguồn lực. Bây giờ, với AI, khoảng cách thời gian được rút ngắn rất mạnh, thủ đoạn tinh vi hơn rất nhiều và rất khó phát hiện”, ông Hiền nói.
Đặc biệt, sự phát triển của deepfake đang khiến các hình thức giả mạo trở nên nguy hiểm hơn. Chỉ trong vài giây, AI có thể tạo ra video, giọng nói giả danh lãnh đạo ngân hàng, chuyên viên tư vấn hay thậm chí người thân để yêu cầu chuyển tiền. Không chỉ vậy, website giả mạo, email giả danh cũng có thể được tạo ra với tốc độ nhanh hơn rất nhiều so với trước đây.
“Chúng ta đang bước vào một kỷ nguyên mới - kỷ nguyên AI chống lại AI”, ông Hiền nhận định.
Theo ông Hiền, một ngân hàng khi ứng dụng AI phải song song đầu tư cho an ninh mạng. Nếu không, quá trình phát triển nóng có thể khiến chính tổ chức đó trở thành mục tiêu tấn công dễ dàng hơn. “Người ta không đo sự phát triển bằng tốc độ AI nhanh đến đâu, mà đo bằng mức độ niềm tin và khả năng bảo vệ dữ liệu khách hàng đến đâu”, ông Hiền nhấn mạnh.
Giải bài toán bảo vệ người dùng
Từ góc độ quản lý nhà nước, Đại tá, Tiến sĩ Nguyễn Hồng Quân, Phó Cục trưởng Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (A05), Phó Chủ tịch Liên minh Niềm tin số cho rằng, với người dân đó là nỗi sợ, nhưng với doanh nghiệp và cơ quan quản lý, đó là trách nhiệm. “Trách nhiệm là làm thế nào để nỗi sợ đó bớt đi”, ông Quân nói.
 |
Đại tá, Tiến sĩ Nguyễn Hồng Quân, Phó Cục trưởng Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (A05), Phó Chủ tịch Liên minh Niềm tin số |
Theo ông Quân, cùng với sự phát triển của công nghệ và dữ liệu, quyền được bảo vệ dữ liệu cá nhân đang trở thành một quyền cơ bản mới, được pháp luật thừa nhận rộng rãi trên thế giới. Tại Việt Nam, nền tảng pháp lý đã được thiết lập với Nghị định 13 và gần đây nhất là Luật Bảo vệ dữ liệu cá nhân. Ranh giới của doanh nghiệp trong khai thác dữ liệu được xác định rất rõ.
Thứ nhất, việc sử dụng dữ liệu không được gây phương hại đến an ninh quốc gia.
Thứ hai, yếu tố cốt lõi là phải tôn trọng quyền tự quyết dữ liệu của người dùng. Người dân phải được biết dữ liệu của mình được xử lý như thế nào, trong phạm vi nào, có quyền đồng ý và cũng có quyền rút lại sự đồng ý đó.
Thứ ba là trách nhiệm bảo đảm an toàn dữ liệu. Khi doanh nghiệp đã thu thập dữ liệu của khách hàng thì phải có trách nhiệm bảo vệ, không để người khác truy cập trái phép.
Hiện nay, dữ liệu cá nhân bị rao bán tràn lan trên mạng là thực trạng rất đáng lo ngại. Chính từ những dữ liệu đó, các đối tượng lừa đảo có thể cá thể hóa hành vi tấn công, khiến các kịch bản lừa đảo trở nên thuyết phục hơn rất nhiều. “Trách nhiệm của doanh nghiệp là tuân thủ nghiêm túc luật bảo vệ dữ liệu cá nhân”, ông Quân nhấn mạnh.
Ở góc độ doanh nghiệp, ông Thái Trí Hùng, Phó tổng giám đốc phụ trách Trung tâm Công nghệ thông tin, Tập đoàn công nghệ tài chính MoMo cho rằng, chống deepfake không thể chỉ nhìn ở một lớp xác thực duy nhất. Với sự phát triển của eKYC và xác thực căn cước công dân gắn chip, tỷ lệ tấn công bằng deepfake thực tế đã giảm đáng kể so với nhiều hình thức lừa đảo khác.
 |
Ông Thái Trí Hùng, Phó Tổng giám đốc phụ trách Trung tâm Công nghệ thông tin, Tập đoàn công nghệ tài chính MoMo chia sẻ tại Sự kiện |
Về mặt kỹ thuật, giải pháp hiệu quả nhất hiện nay là các bài kiểm tra hoạt động vật lý như ánh sáng, chuyển động, phản xạ khuôn mặt (liveness detection) để xác định đó là người thật hay chỉ là một video giả mạo. Tuy nhiên, MoMo lựa chọn triết lý “bảo vệ nhiều lớp”, tức quyết định không chỉ dựa trên việc có deepfake hay không, mà còn dựa trên hành vi, thói quen sử dụng, dòng tiền, mối liên hệ giữa người giao dịch và người nhận tiền.
“Nghĩa là không chỉ xác thực danh tính, mà còn phải đánh giá hành vi”, ông Hùng nói.
Về quản trị AI, theo ông Hùng, nguyên tắc quan trọng nhất là: việc gì AI giỏi thì để AI làm, việc gì AI không giỏi thì con người phải chịu trách nhiệm. AI có thể đọc tài liệu, tóm tắt thông tin, phân tích nhanh hơn con người, nhưng lại không thể chịu trách nhiệm cho quyết định cuối cùng.
“Dù là AI hay bất kỳ công cụ nào, quyết định cuối cùng vẫn luôn là con người. AI không bao giờ thay thế con người, mà chỉ giúp con người ra quyết định nhanh hơn và bảo vệ khách hàng an toàn hơn”, ông Hùng nhấn mạnh.
Khép lại phiên thảo luận, ông Trần Công Quỳnh Lân cho rằng, chuyển đổi số đang mang lại rất nhiều tiện ích cho người dân, nhưng cũng đồng thời làm gia tăng nỗi lo mất tiền và lộ dữ liệu cá nhân. AI phát triển khiến rủi ro lớn hơn, nhưng cũng chính công nghệ sẽ là công cụ để chống lại công nghệ. Muốn làm được điều đó, doanh nghiệp phải đầu tư mạnh hơn cho bảo mật, còn nền tảng quan trọng nhất vẫn là dữ liệu phải “sạch - sống - đúng - đủ”.
Quan trọng hơn, không một tổ chức nào có thể tự mình giải quyết bài toán này. “Chúng ta không thể hoạt động một mình, mà phải là một liên minh để chia sẻ dữ liệu rủi ro, phát hiện gian lận và cùng nhau củng cố niềm tin cho người dân”, ông Lân nhấn mạnh.
