Người dùng nội bộ trở thành “điểm yếu” lớn nhất về an ninh mạng trong doanh nghiệp

Một tập đoàn toàn cầu từng dự đoán sẽ tìm thấy khoảng vài trăm quy trình tự động hóa do người dùng nội bộ tạo ra. Con số thực tế là hơn 3.000. Doanh nghiệp khác phát hiện rằng chỉ riêng một nhân viên tài chính, người không hề có nền tảng kỹ thuật, đã tạo hơn 150 quy trình tự động. Lại có trường hợp phát hiện công cụ âm thầm chuyển tiếp email công ty của một nhân viên sang tài khoản Gmail cá nhân. Không quy trình nào trong số này được ghi nhận, kiểm tra rủi ro bảo mật hay giám sát, theo TechNewsWorld.

Đây không phải là câu chuyện cá biệt; mà là dấu hiệu của sự dịch chuyển mang tính cấu trúc. Doanh nghiệp trở nên bối rối trước định nghĩa gọi là hạ tầng “trong bóng tối” – không được nhìn thấy, không được quản lý và không được bảo vệ.

MỐI ĐE DỌA BỊ CHE GIẤU

Hầu hết tổ chức cho rằng các tác vụ tự động hóa do người dùng nội bộ tạo ra khá đơn giản, ít rủi ro và phạm vi hạn chế. Thực tế phức tạp hơn nhiều. Số lượng “lập trình viên không chuyên” hiện nay nhiều hơn lập trình viên truyền thống cả chục lần, họ không chỉ tạo tác vụ tự động hóa cơ bản hay công cụ nội bộ, mà còn kết nối nguồn dữ liệu hay kích hoạt quy trình đa hệ thống.

Do các tự động hóa này được tạo ra ngoài khuôn khổ quản trị của bộ phận kỹ thuật, công cụ giám sát truyền thống không hề “nhìn thấy” được. Toàn bộ không trải qua kiểm tra mã bảo mật cũng như không được mô hình hóa mối đe dọa nhưng lại có thể tác động trực tiếp đến dữ liệu sản xuất và quy trình kinh doanh.

Điểm mù này thường dẫn đến việc thông tin xác thực được nhúng thẳng vào luồng công việc, cũng có thể tạo ra lỗ hổng trong các công cụ như Microsoft Power BI khiến dữ liệu nhạy cảm bị phơi bày ra bên ngoài. Trong trường hợp tệ nhất, tác nhân AI có thể truy cập toàn bộ bảng dữ liệu chỉ vì một tùy chọn cấu hình mặc định không bao giờ thay đổi.

Không rủi ro nào trong số này xuất phát từ ý đồ xấu. Chúng là hệ quả tất yếu của hệ thống được tối ưu cho sự tiện lợi thay vì giám sát.

KHÓ TRUY XUẤT NGUỒN GỐC

Khi bộ phận bảo mật nhận ra quy mô của hoạt động phát triển tự động hóa không chuyên, một vấn đề sâu xa hơn xuất hiện: quyền sở hữu.

Nhiều quy trình được gắn với tài khoản dịch vụ dùng chung, mỗi tài khoản có thể vận hành hàng trăm tự động hóa. Nhưng một số lại thuộc về nhóm nhân viên đã nghỉ việc. Khoảng trống về quyền sở hữu tồn tại vì bộ phận nghiệp vụ phát triển độc lập, IT cấp quyền truy cập mà không trang bị logic quản trị hay kiểm soát luồng dữ liệu, còn bộ phận bảo mật chỉ nhìn thấy những tài sản gắn với công cụ của công ty.

Tác nhân AI càng làm trầm trọng thêm vấn đề. Khi nhân viên chỉ cần mô tả mục tiêu bằng ngôn ngữ tự nhiên như “tóm tắt giao dịch”, “định tuyến trường hợp ngoại lệ”, “trích xuất hồ sơ khách hàng”, và nền tảng tự động tạo ra kết quả, thì vai trò tác giả trở nên mờ nhạt. Đầu ra của AI có thể được chỉnh sửa theo thời gian mà không rõ ai là người chịu trách nhiệm. Câu hỏi “Ai sở hữu quy trình tự động hóa này?” trở nên khó trả lời hơn rất nhiều.

Khoảng trống về quyền sở hữu khiến khả năng ứng phó sự cố gần như bất khả thi. Nếu công cụ bắt đầu rò rỉ dữ liệu, hoặc một mắt xích đột ngột nâng quyền truy cập, đội bảo mật không biết tìm ai để hiểu logic hoạt động, ai đưa ra quyết định thiết kế, hay liệu hành vi đó có nằm trong dự kiến hay không. Cách duy nhất còn lại là tắt hàng loạt nền tảng, đồng thời làm gián đoạn quy trình cốt lõi.

RỦI RO TỪ NHỮNG LẬP TRÌNH VIÊN KHÔNG CHUYÊN

Khi nhận ra vấn đề, hầu hết tổ chức sẽ tìm đến công cụ bảo mật quen thuộc nhằm kiểm thử xâm nhập và rà soát chính sách. Tuy nhiên, phương pháp thường không hiệu quả vì hoạt động tự động hóa không chuyên hiếm khi tạo ra mã code mà trình quét có thể phân tích hoặc chạy trong môi trường an toàn để kiểm thử.

Kết quả là lớp logic nghiệp vụ “trong bóng tối” hình thành, nằm hoàn toàn ngoài ranh giới của chương trình quản trị an ninh mạng truyền thống. Chừng nào quyền sở hữu còn phân mảnh và việc phát hiện còn mơ hồ, hỗ đen bảo mật sẽ tiếp tục gia tăng không kiểm soát.

QUẢN TRỊ RỦI RO BẢO MẬT

Việc phát triển tác vụ tự động hóa riêng lẻ sẽ không biến mất; trên thực tế, tần suất nhân viên tạo quy trình làm việc có sự hỗ trợ của AI còn đang gia tăng. Siết chặt hay cấm đoán chỉ làm kìm hãm đổi mới và không phải giải pháp khả thi. Cách tiếp cận tốt hơn là tăng khả năng quan sát và thiết lập cơ chế quản trị.

Chúng ta đang bước vào kỷ nguyên mà những lỗ hổng nguy hiểm nhất không nằm trong mã code do nhóm phát triển viết ra, mà nằm trong hàng nghìn quy trình tự động hóa do người dùng nội bộ tự tạo. Doanh nghiệp càng sớm nhận ra và đối mặt với “tài sản vô hình” này thì càng nhanh chóng giảm được rủi ro bảo mật đang tích tụ bên trong hạ tầng.