và công cụ AI tạo sinh đang làm tăng nguy cơ: Nhân viên vô tình tiết lộ dữ liệu nhạy cảm

Khoảng 2 trong số 5 tệp tin tải lên các công cụ AI chứa dữ liệu nhạy cảm, và 39% trong số đó được tải từ các tài khoản không phải của doanh nghiệp.

Một nghiên cứu gần đây từ công ty an ninh mạng LayerX chỉ ra rằng, sự bùng nổ của và các công cụ trí tuệ nhân tạo tạo sinh (GenAI) đang thay đổi cách thức nhận diện 'rủi ro CNTT ngầm' trong các doanh nghiệp. Nhiều nhân viên hiện nay đang tự ý sử dụng các công cụ AI mà không có sự phê duyệt từ bộ phận công nghệ thông tin, và thậm chí vô tình tiết lộ các thông tin nhạy cảm như dữ liệu cá nhân định danh (PII) hay dữ liệu ngành thẻ thanh toán (PCI).

CNTT ngầm thời đại AI: Mối nguy bảo mật gia tăng

CNTT ngầm (shadow IT) là thuật ngữ dùng để chỉ việc nhân viên sử dụng phần mềm, ứng dụng hoặc dịch vụ công nghệ mà không được bộ phận CNTT của công ty phê duyệt. Các công cụ này thường được chọn vì tính tiện lợi và dễ sử dụng, ví dụ như:

• Công cụ chuyển đổi file trực tuyến
• WhatsApp
• Dịch vụ lưu trữ đám mây cá nhân như Dropbox, Google Drive…

Tuy nhiên, nghiên cứu từ LayerX chỉ ra rằng việc sử dụng các công cụ AI tạo sinh mà không kiểm soát đang tạo ra những lỗ hổng bảo mật nghiêm trọng, từ nguy cơ nhiễm mã độc đến việc rò rỉ dữ liệu nhạy cảm trên các nền tảng không được bảo vệ.

dẫn đầu với hơn 90% nhân viên sử dụng

45% nhân viên sử dụng AI tạo sinh, 1/5 trong số họ chia sẻ dữ liệu nhạy cảm

Theo báo cáo bảo mật dữ liệu SaaS & AI trong doanh nghiệp 2025 từ LayerX:

• 45% nhân viên văn phòng hiện đang sử dụng GenAI theo nhiều hình thức khác nhau
• Trong số đó, 77% đã sao chép và dán dữ liệu vào các công cụ AI
• 22% đã chia sẻ những thông tin nhạy cảm như PII hoặc PCI

Điều đáng lo ngại là 82% lượng dữ liệu này đến từ các tài khoản cá nhân không thuộc quản lý doanh nghiệp, tạo ra một 'điểm mù' lớn trong việc kiểm soát và đảm bảo tuân thủ bảo mật.

Ngoài ra, có khoảng 2 trong số 5 tệp tin được tải lên các công cụ AI chứa dữ liệu nhạy cảm, và 39% trong số đó đến từ các tài khoản không thuộc doanh nghiệp, làm gia tăng nguy cơ rò rỉ thông tin mà công ty không hề hay biết.

Doanh nghiệp cần xây dựng những chính sách rõ ràng về việc sử dụng AI

dẫn đầu, Gemini và Copilot theo sau

Trong số các công cụ GenAI được sử dụng hiện nay:

• chiếm ưu thế với hơn 90% nhân viên sử dụng
• 83% nhân viên chỉ sử dụng một công cụ AI duy nhất
• Các công cụ khác bao gồm: Gemini (15%), Claude (5%), và Copilot (3%)

Doanh nghiệp cần hành động ngay lập tức

Báo cáo nhấn mạnh rằng các doanh nghiệp cần xây dựng những chính sách rõ ràng về việc sử dụng AI, kết hợp với giải pháp giám sát và kiểm soát quyền truy cập để bảo vệ dữ liệu. Đồng thời, việc đào tạo nhân viên về an ninh thông tin và các rủi ro khi sử dụng GenAI cũng là yếu tố quan trọng để giảm thiểu các vi phạm không chủ ý.