Trí tuệ nhân tạo (AI) đang nổi lên như một trong những xu hướng công nghệ được chú ý nhất toàn cầu và tại Việt Nam. Từ các tập đoàn lớn đến doanh nghiệp vừa và nhỏ, nhiều đơn vị kỳ vọng AI sẽ trở thành công cụ giúp tối ưu vận hành, cải thiện trải nghiệm khách hàng và mở ra mô hình kinh doanh mới. Ở Việt Nam, không ít doanh nghiệp đã bắt đầu nghiên cứu, thử nghiệm triển khai các ứng dụng AI. 

Tuy nhiên, để những nỗ lực này mang lại hiệu quả lâu dài, các chuyên gia cho rằng bài toán an toàn – an ninh dữ liệu phải được đặt lên hàng đầu. Theo ông Hà Quang Thái, Giám đốc tư vấn AI FPT Digital, tập đoàn FPT, bảo mật trong AI không phải là phần gắn thêm sau cùng, mà cần được đặt ra ngay từ đầu, giống như việc “xây móng trước khi xây nhà”.

Tạp chí Kinh tế Việt Nam / VnEconomy đã có cuộc trao đổi với ông Hà Quang Thái xung quanh vấn đề này.

DỊCH CHUYỂN TỪ TƯ DUY “BIẾT SỢ RỦI RO” SANG “BIẾT HÀNH ĐỘNG CHIẾN LƯỢC”

Ở góc độ của một chuyên gia tư vấn chuyển đổi số và AI, ông đánh giá như thế nào về mức độ quan tâm của doanh nghiệp Việt Nam hiện nay đối với vấn đề an ninh dữ liệu trong quá trình chuyển đổi số và ứng dụng AI?

Các doanh nghiệp Việt Nam hiện nay rất quan tâm đến an ninh dữ liệu khi ứng dụng AI. Tôi thấy gần như mọi lãnh đạo khi bàn đến chuyển đổi số đều đặt câu hỏi: ‘Liệu dữ liệu của mình có an toàn không?’. Tuy nhiên, khi bước vào triển khai thì còn nhiều lúng túng.

Có thể hình dung thế này. Doanh nghiệp biết dữ liệu là ‘tài sản số’, nhưng vẫn đang loay hoay giữa việc phân loại, lập ngân sách, xây dựng đội ngũ và chọn giải pháp bảo mật phù hợp. Thống kê cho thấy chỉ khoảng 6% doanh nghiệp ở Việt Nam đạt mức trưởng thành cao về an ninh mạng, trong khi gần một nửa từng bị tấn công trong năm qua. Nghĩa là doanh nghiệp đã có nhận thức về vấn đề an ninh dữ liệu, nhưng năng lực thực thi còn rất hạn chế.

Tôi cho rằng điều quan trọng là chúng ta phải dịch chuyển từ tư duy “biết sợ rủi ro” sang “biết hành động chiến lược”. An ninh dữ liệu không phải là chi phí phụ thêm, mà là điều kiện tiên quyết để AI phát huy giá trị.

Nói cách khác, muốn tận dụng được AI, doanh nghiệp phải đầu tư bảo mật như một phần cốt lõi trong chiến lược tăng trưởng. AI chỉ thật sự tạo ra giá trị khi được vận hành trên nền tảng dữ liệu an toàn. Nếu thiếu an ninh dữ liệu, mọi tham vọng về AI đều có nguy cơ trở thành con dao hai lưỡi.

Dữ liệu đang là "tài nguyên" cốt lõi cho mọi mô hình AI. Tuy nhiên, không ít doanh nghiệp Việt lại chưa có chiến lược quản trị dữ liệu bài bản. Theo ông, những nguy cơ lớn nhất khi dữ liệu không được bảo vệ đúng cách là gì?

Dữ liệu là chất liệu xây dựng mọi hệ thống AI, nên nếu chất liệu này không được bảo đảm, toàn bộ hệ thống sẽ mất nền tảng. Có ba nguy cơ lớn nhất doanh nghiệp cần lưu tâm. 

Thứ nhất là chi phí vi phạm và tổn thất tài chính. Báo cáo của IBM chỉ ra chi phí trung bình toàn cầu cho một vụ rò rỉ dữ liệu lên tới khoảng 4,9 triệu USD. 

Thứ hai là rò rỉ, mất bí mật kinh doanh. Nếu dữ liệu về khách hàng, sản phẩm hay chiến lược bị lộ, doanh nghiệp dễ đánh mất lợi thế cạnh tranh. 

Thứ ba là những rủi ro gián đoạn AI. Dữ liệu bị “đầu độc” (data poisoning) có thể khiến mô hình cho kết quả sai lệch hoặc bị khai thác lộ thông tin nhạy cảm. Quá trình AI có thể bị thao túng, dù bạn không biết kẻ xấu đã chèn gì vào dữ liệu.

Nếu dữ liệu không được bảo vệ, AI sẽ không còn là đòn bẩy tăng trưởng mà có thể trở thành rủi ro khó lường cho doanh nghiệp.

CHIẾN LƯỢC TỐT NHẤT LÀ THIẾT LẬP CÁC “CỔNG KIỂM SOÁT” TRONG LỘ TRÌNH AI

Vậy với kinh nghiệm tư vấn và triển khai tại nhiều doanh nghiệp, theo ông, bảo mật nên được đặt ở đâu trong lộ trình chuyển đổi AI? Phải chăng nên song hành ngay từ đầu, chứ không chờ đến khi "có dữ liệu rồi mới bảo vệ"?

Cần phải nói rằng bảo mật trong AI không phải là phần gắn thêm sau cùng, mà cần được đặt ra ngay từ đầu, giống như việc xây móng trước khi xây nhà. Nếu để đến khi hệ thống đã chạy mới nghĩ tới bảo mật, chi phí khắc phục sự cố thường cao gấp nhiều lần so với việc thiết kế an toàn từ đầu.

Trong thực tế, chúng tôi thấy nhiều doanh nghiệp thử nghiệm AI khá nhanh, nhưng đến giai đoạn mở rộng thì vướng phải rào cản pháp lý, rủi ro dữ liệu khách hàng hoặc yêu cầu kiểm toán. Kết quả là dự án bị chậm lại, thậm chí phải xây dựng lại từ đầu.

Ngược lại, những tổ chức nào đặt bảo mật làm “cơ chế kiểm soát” song song với từng giai đoạn – từ thí điểm đến triển khai quy mô lớn – thì tiến trình diễn ra ổn định và bền vững hơn.

Vì vậy, chiến lược tốt nhất là thiết lập các “cổng kiểm soát” trong lộ trình AI: ở giai đoạn ý tưởng có đánh giá tác động dữ liệu; ở giai đoạn thử nghiệm có kiểm tra rủi ro và bảo mật; và khi mở rộng thì có giám sát liên tục. Cách làm này giúp doanh nghiệp chạy nhanh nhưng không liều lĩnh, tận dụng AI để tăng trưởng mà không bị kéo lùi bởi sự cố an ninh.

Trong bối cảnh AI phát triển mạnh, ông có cho rằng các doanh nghiệp cần xây dựng một chiến lược an ninh mạng “AI-oriented”, tức là bảo mật được thiết kế để hiểu và ứng phó với những rủi ro đặc thù do AI gây ra?

Câu trả lời của tôi là: cần thiết, và nên bắt đầu ngay từ bây giờ. Những rủi ro mà AI mang lại rất khác với các hệ thống CNTT truyền thống. Không chỉ có tấn công mạng theo kiểu cũ, mà còn xuất hiện các hình thức mới như “đầu độc dữ liệu” (data poisoning), “lừa chatbot tiết lộ bí mật” (prompt injection) hay việc mô hình bị khai thác để truy ngược dữ liệu gốc. Nếu chỉ áp dụng tư duy an ninh mạng cũ, doanh nghiệp sẽ không đủ sức phòng vệ.

Nhìn ra thế giới, nhiều tổ chức đã bắt đầu có đội ngũ chuyên trách về AI Security, Việt Nam cũng cần đi theo xu hướng này nếu muốn AI phát triển bền vững. Bởi lẽ, AI không chỉ là cơ hội kinh doanh, mà còn là mặt trận an ninh mới – doanh nghiệp không chuẩn bị, dễ phải trả giá bằng niềm tin của khách hàng và cả uy tín thị trường.

Chúng ta cần hiểu rằng an ninh AI không phải là bản sao của bảo mật truyền thống, mà là lớp phòng thủ mới phải được thiết kế riêng cho kỷ nguyên trí tuệ nhân tạo.

Ngoài công nghệ, ông đánh giá vai trò của yếu tố con người như thế nào trong bảo vệ an toàn dữ liệu doanh nghiệp? Liệu vấn đề đào tạo và nâng cao nhận thức đã được quan tâm đúng mức?

Tất nhiên, bảo vệ dữ liệu không chỉ là việc của hệ thống, mà là văn hóa tổ chức – bắt đầu từ mỗi cá nhân. Công nghệ có thể dựng tường lửa hay mã hóa dữ liệu, nhưng con người mới là lớp phòng thủ cuối cùng.

Nếu nhân viên vô tình đưa dữ liệu nhạy cảm vào một công cụ AI công cộng, hay bấm nhầm vào một đường link độc hại, mọi giải pháp kỹ thuật đều trở nên vô nghĩa.

Vai trò con người thể hiện ở nhiều tầng. Ở cấp cá nhân, cần nhận thức rõ dữ liệu nào được phép chia sẻ, dữ liệu nào tuyệt đối không. Ở cấp doanh nghiệp, phải có chính sách rõ ràng, quy định minh bạch và đào tạo định kỳ, chứ không chỉ dừng ở vài buổi tập huấn. Ở cấp tổ chức lớn hơn, như hiệp hội ngành hay cơ quan quản lý, cần đưa ra khung hướng dẫn và chuẩn chung để mọi doanh nghiệp có thể dựa vào.

Thực tế tại Việt Nam, vẫn còn hơn 1/4 doanh nghiệp chưa có chương trình đào tạo an ninh dữ liệu thường xuyên. Đây là lỗ hổng rất lớn. Những tập đoàn quốc tế đi trước đã thành công khi thiết lập đội ngũ “champion” về bảo mật trong từng phòng ban, gắn KPI an toàn dữ liệu với đánh giá nhân sự.

Điều quan trọng là phải coi đào tạo và nâng cao nhận thức không chỉ là nghĩa vụ, mà là khoản đầu tư để giảm thiểu rủi ro dài hạn. Bởi cuối cùng, công nghệ chỉ mạnh bằng mức độ kỷ luật và ý thức của những người sử dụng nó.