Một nhân viên copy đoạn mã nguồn quan trọng từ email nội bộ, paste vào ChatGPT để hỏi cách tối ưu. Thao tác đơn giản này vừa khiến công ty mất bí mật thương mại mà không hề có cảnh báo nào từ hệ thống bảo mật. Đây không phải viễn tưởng mà là hiện thực đang diễn ra hàng triệu lần mỗi ngày tại các doanh nghiệp trên toàn cầu. Nghiên cứu mới từ Keep Aware cho thấy các giải pháp DLP (Data Loss Prevention - ngăn chặn rò rỉ dữ liệu) truyền thống đang trở nên bất lực trước xu hướng làm việc hiện đại.

Cuộc cách mạng thầm lặng trên trình duyệt web

Chúng tôi đang chứng kiến một cuộc dịch chuyển căn bản trong cách thức làm việc. Thay vì sử dụng các phần mềm desktop truyền thống, nhân viên ngày nay thực hiện hầu hết công việc trực tiếp trên trình duyệt web. Gmail thay thế Outlook, Google Docs thay thế Word, Notion thay thế các hệ thống quản lý nội bộ. Quan trọng hơn, họ tương tác với các công cụ AI như ChatGPT, Claude, Gemini để hỗ trợ công việc hàng ngày.

Vấn đề nằm ở chỗ các hệ thống DLP được thiết kế từ thập niên trước, khi dữ liệu chủ yếu được truyền qua email hoặc USB. Chúng giám sát lưu lượng mạng, quét email, kiểm soát thiết bị lưu trữ nhưng lại "mù tịt" với những gì diễn ra bên trong tab trình duyệt. Khi nhân viên copy dữ liệu nhạy cảm từ CRM nội bộ và paste vào ChatGPT, không một cảnh báo nào được kích hoạt vì về mặt kỹ thuật, đây chỉ là hoạt động bình thường trong cùng một ứng dụng trình duyệt.

Kẻ thù vô hình trong clipboard và form input

Keep Aware đã tiến hành khảo sát và phát hiện ra hai "điểm mù" chính trong hệ thống bảo mật hiện tại. Thứ nhất là clipboard activity - hoạt động copy/paste giữa các tab và website. Nhân viên có thể dễ dàng copy dữ liệu từ hệ thống nội bộ và paste vào các nền tảng bên ngoài mà không bị phát hiện. Thứ hai là form submission - việc nhập dữ liệu vào các biểu mẫu web, đặc biệt là các chatbot AI.

Chúng tôi cho rằng đây là lỗ hổng nghiêm trọng nhất trong bảo mật doanh nghiệp hiện tại. Các hacker không cần tấn công hệ thống phức tạp khi nhân viên tự "tặng" dữ liệu cho bên thứ ba thông qua các thao tác vô tình. Một nghiên cứu gần đây cho thấy 73% nhân viên văn phòng đã từng paste dữ liệu công ty vào các công cụ AI mà không nhận thức được rủi ro bảo mật. Con số này tăng lên 89% đối với nhân viên thuộc thế hệ Gen Z.

Tác động domino từ những click chuột vô tư

Hậu quả từ lỗ hổng này không chỉ dừng lại ở việc rò rỉ thông tin. Khi dữ liệu nhạy cảm được upload lên các nền tảng AI công cộng, chúng có thể được sử dụng để training model, nghĩa là thông tin này sẽ tồn tại vĩnh viễn và có khả năng được tái tạo trong các phản hồi cho người dùng khác. Một trường hợp điển hình là khi Samsung phát hiện nhân viên đã vô tình chia sẻ mã nguồn quan trọng với ChatGPT, buộc công ty phải ban hành lệnh cấm sử dụng AI công cộng.

Theo thống kê từ IBM, chi phí trung bình cho một vụ rò rỉ dữ liệu năm 2024 là 4.88 triệu USD, tăng 10% so với năm trước. Đối với thị trường Việt Nam, mặc dù con số tuyệt đối thấp hơn nhưng tác động tương đối lại rất lớn, đặc biệt với các doanh nghiệp vừa và nhỏ chiếm đa số trong nền kinh tế. Chúng tôi nhận định rằng nhiều doanh nghiệp Việt Nam thậm chí chưa nhận thức được mình đang đối mặt với rủi ro này.

Lộ trình bảo vệ doanh nghiệp trước kẻ thù vô hình

Giải pháp không phải là cấm nhân viên sử dụng trình duyệt hay AI, mà là triển khai các công cụ DLP thế hệ mới có khả năng giám sát hoạt động browser-based. Các doanh nghiệp cần ưu tiên deploy browser monitoring solution có thể theo dõi clipboard activity, form submission và file upload trong thời gian thực. Microsoft Purview, Google Chronicle, Forcepoint Next Generation DLP là những lựa chọn đáng cân nhắc.

Bước đầu tiên, IT team cần audit toàn bộ browser extension và web application đang được sử dụng trong tổ chức. Thiết lập policy cụ thể cho từng loại dữ liệu: thông tin tài chính, dữ liệu khách hàng, mã nguồn không được phép copy ra ngoài hệ thống nội bộ. Triển khai employee training về data classification - phân loại dữ liệu và safe AI usage - sử dụng AI an toàn. Cuối cùng, xây dựng incident response plan cho các trường hợp rò rỉ dữ liệu qua browser để có thể phản ứng nhanh chóng khi sự cố xảy ra.