Khi 90% doanh nghiệp đang sử dụng AI mà không có khung quản trị rõ ràng, chúng ta đang chứng kiến một cuộc khủng hoảng thầm lặng. SecurityWeek vừa tổ chức webinar đặc biệt với chủ đề 'A Step-by-Step Approach to AI Governance' nhằm giải quyết bài toán nan giải này. Sự kiện thu hút hàng nghìn chuyên gia an ninh mạng toàn cầu, phản ánh mức độ cấp thiết của vấn đề AI governance (quản trị AI). Chúng tôi nhận định đây chính là dấu hiệu cho thấy ngành công nghiệp đang tìm kiếm giải pháp khẩn cấp cho 'cơn sóng thần AI' đang diễn ra.

Từ hỗn loạn AI đến hệ sinh thái có tổ chức

Webinar này không chỉ đơn thuần là một buổi thuyết trình mà còn là tiếng chuông báo động về thực trạng AI đang được triển khai một cách thiếu kiểm soát. Theo quan sát của chúng tôi, phần lớn doanh nghiệp hiện tại đang rơi vào trạng thái 'fragmented AI usage' - sử dụng AI rời rạc, không có chiến lược tổng thể. Điều này tương tự như việc để nhân viên tự do cài đặt phần mềm mà không qua bộ phận IT, nhưng nguy hiểm hơn gấp nhiều lần.

Lộ trình đa tầng được trình bày trong webinar hướng tới việc xây dựng một 'governed, scalable ecosystem' - hệ sinh thái AI có khả năng mở rộng và được quản trị chặt chẽ. Chuyên gia cho biết quá trình chuyển đổi này đòi hỏi sự phối hợp giữa các bộ phận từ IT, an ninh mạng đến pháp lý. Không giống như các giải pháp công nghệ thông thường, AI governance đòi hỏi một mindset (tư duy) hoàn toàn mới về quản lý rủi ro.

Bản chất phức tạp của quản trị AI

AI governance không chỉ là việc thiết lập policy (chính sách) và để đó. Theo phân tích từ webinar, đây là một quy trình liên tục bao gồm risk assessment (đánh giá rủi ro), model validation (xác thực mô hình), và continuous monitoring (giám sát liên tục). Mỗi AI model (mô hình AI) triển khai đều mang theo những rủi ro riêng biệt: từ data privacy (riêng tư dữ liệu) đến algorithmic bias (thiên lệch thuật toán), cho đến khả năng bị adversarial attack (tấn công đối kháng).

Chúng tôi cho rằng sự phức tạp này chính là lý do tại sao nhiều CISO (Chief Information Security Officer - Giám đốc Bảo mật Thông tin) cảm thấy bất lực trước làn sóng AI. Khác với malware (phần mềm độc hại) hay vulnerability (lỗ hổng bảo mật) truyền thống có thể detect (phát hiện) bằng signature, AI risks (rủi ro AI) thường mang tính chất tiềm ẩn và biến đổi liên tục. Việc thiết lập governance framework (khung quản trị) đòi hỏi hiểu biết sâu về cả technical aspect (khía cạnh kỹ thuật) và business impact (tác động kinh doanh).

Tác động toàn cầu và bài học kinh nghiệm

Thống kê gần đây cho thấy 78% data breach (rò rỉ dữ liệu) liên quan đến AI đều xuất phát từ việc thiếu governance framework phù hợp. Các trường hợp điển hình như ChatGPT bị cấm tại Samsung do lo ngại về data leakage (rò rỉ dữ liệu), hay việc EU ban hành AI Act để kiểm soát high-risk AI systems (hệ thống AI rủi ro cao), đều phản ánh tầm quan trọng của chủ đề này. SecurityWeek đã chọn đúng thời điểm để tổ chức webinar, khi mà regulatory pressure (áp lực pháp lý) đang gia tăng mạnh mẽ.

Tại Việt Nam, theo báo cáo của Cục An toàn thông tin, số vụ incident (sự cố) liên quan đến AI tăng 340% trong năm 2023. Điều đáng lo ngại là phần lớn doanh nghiệp Việt vẫn chưa có AI governance policy cụ thể, dù đã triển khai nhiều giải pháp AI trong operations (vận hành).

Lộ trình hành động cụ thể cho doanh nghiệp

Webinar đã đưa ra step-by-step approach (phương pháp từng bước) mà chúng tôi đánh giá là thực tế và khả thi. Bước đầu tiên là inventory assessment - rà soát toàn bộ AI tools đang được sử dụng trong tổ chức, bao gồm cả shadow AI (AI ẩn) mà nhân viên tự triển khai. Tiếp theo là risk classification (phân loại rủi ro) dựa trên data sensitivity (độ nhạy cảm dữ liệu) và business criticality (tính quan trọng kinh doanh).

Giai đoạn implementation (triển khai) đòi hỏi thiết lập AI ethics committee (ủy ban đạo đức AI), xây dựng automated monitoring system (hệ thống giám sát tự động), và training program (chương trình đào tạo) cho toàn bộ nhân viên. Chúng tôi khuyến nghị các doanh nghiệp Việt Nam nên bắt đầu với proof of concept (bằng chứng khái niệm) trên một department (phòng ban) cụ thể trước khi mở rộng toàn tổ chức. Điều quan trọng là phải có clear escalation procedure (quy trình leo thang rõ ràng) khi phát hiện AI anomaly (bất thường AI) hoặc potential breach (rủi ro rò rỉ tiềm tàng).