Tường lửa cao cấp nhất cũng có lúc "chịu thua". Chúng tôi vừa chứng kiến một thực tế đáng báo động: ngay cả khi doanh nghiệp đầu tư hàng tỷ đồng cho hệ thống bảo mật hiện đại, vẫn có những cuộc tấn công mà công nghệ không thể ngăn chặn. Lúc này, nhân viên chính là tuyến phòng thủ đầu tiên và duy nhất của tổ chức.

Khi AI gặp "điểm mù" trước kẻ tấn công

Các nghiên cứu gần đây cho thấy có bốn loại tấn công mà ngay cả hệ thống AI bảo mật thông minh nhất cũng không thể phát hiện kịp thời. Social Engineering (kỹ thuật lừa đảo xã hội) đứng đầu danh sách này. Kẻ tấn công không cần phá vỡ tường lửa hay khai thác lỗ hổng phần mềm. Họ chỉ cần một cuộc gọi điện thoại thuyết phục nhân viên IT cung cấp mật khẩu quản trị viên.

Phishing tiến hóa (Advanced Phishing) cũng thuộc nhóm "bất khả chiến bại" này. Những email giả mạo ngày nay được tạo ra bằng AI, có thể bắt chước hoàn hảo giọng văn của CEO thực sự. Hệ thống lọc spam truyền thống hoàn toàn bó tay trước những "kiệt tác lừa đảo" này. Chúng tôi đã ghi nhận tại Việt Nam ít nhất 15 trường hợp doanh nghiệp mất tiền tỷ vì nhân viên kế toán "nghe lời" email giả mạo từ lãnh đạo.

Cuộc chiến không cân sức giữa máy móc và tâm lý học

Business Email Compromise (BEC - tấn công email doanh nghiệp) và Insider Threats (mối đe dọa nội bộ) hoàn thiện "tứ đại thiên vương" mà công nghệ không thể đương đầu. BEC khai thác điểm yếu tâm lý con người thay vì lỗ hổng kỹ thuật. Kẻ tấn công nghiên cứu kỹ về cấu trúc tổ chức, thói quen làm việc, thậm chí cả lịch nghỉ phép của từng nhân viên để tạo ra kịch bản lừa đảo hoàn hảo.

Còn với Insider Threats, nguy cơ đến từ chính những người có quyền truy cập hợp pháp vào hệ thống. Làm sao một phần mềm antivirus có thể phân biệt được hành động của nhân viên bất mãn đang âm thầm sao chép dữ liệu khách hàng với công việc bình thường? Theo báo cáo của Cục An toàn thông tin (Bộ TT&TT), 23% vụ rò rỉ dữ liệu tại Việt Nam năm 2023 có liên quan đến yếu tố con người bên trong tổ chức.

Cái giá đắt của sự "tin tưởng mù quáng" vào công nghệ

Thiệt hại từ bốn loại tấn công này không chỉ dừng ở con số tài chính. IBM Security ước tính trung bình một vụ BEC thành công gây thiệt hại 4,9 triệu USD, gấp đôi so với các loại tấn công malware truyền thống. Tại thị trường Việt Nam, chúng tôi ghi nhận thiệt hại trung bình từ 500 triệu đến 2 tỷ đồng cho mỗi vụ tấn công Social Engineering thành công.

Đáng lo ngại hơn là tác động lâu dài đến uy tín thương hiệu. Khi khách hàng biết dữ liệu cá nhân bị rò rỉ do nhân viên "tình cờ" click vào link độc hại, họ sẽ mất niềm tin vào khả năng bảo vệ thông tin của doanh nghiệp. Một nghiên cứu của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) cho thấy 67% khách hàng Việt Nam sẽ chuyển sang đối thủ cạnh tranh sau khi biết về sự cố bảo mật liên quan đến yếu tố con người.

Xây dựng "tường lửa sống" từ chính nhân viên

Giải pháp không nằm ở việc mua thêm phần mềm bảo mật đắt tiền mà ở việc đầu tư vào "wetware" - bộ não con người. Doanh nghiệp cần tổ chức training bảo mật định kỳ ít nhất 3 tháng một lần, không phải dạng "đọc slides" nhàm chán mà phải là các tình huống thực tế. Ví dụ: mô phỏng cuộc gọi giả mạo từ "nhà cung cấp IT" yêu cầu cung cấp thông tin đăng nhập.

Chúng tôi khuyến nghị triển khai ngay "Quy tắc xác thực kép con người" (Human Double Verification): mọi yêu cầu chuyển tiền, thay đổi thông tin nhạy cảm đều phải được xác nhận qua ít nhất hai kênh liên lạc khác nhau. Đồng thời, thiết lập văn hóa "nghi ngờ tích cực" - khuyến khích nhân viên đặt câu hỏi và báo cáo các tình huống bất thường mà không sợ bị đổ lỗi. Cuối cùng, xây dựng hệ thống phần thưởng cho những ai phát hiện và ngăn chặn thành công các nỗ lực tấn công. Bởi trong cuộc chiến an ninh mạng, con người vừa là điểm yếu nhất, vừa là vũ khí mạnh nhất.