“Vào như sư tử, ra như cừu” là mô tả chính xác về năm 2023. Đó là một khởi đầu năm đầy thử thách với nhiều ngân hàng phá sản, sa thải liên tục trong lĩnh vực công nghệ và sự xuất hiện của các biện pháp thắt lưng buộc bụng của doanh nghiệp. Tuy nhiên, đến mùa xuân năm 2023, lạm phát đã giảm bớt; Tăng trưởng GDP đã quay trở lại; và sự đổi mới đã bắt đầu mang lại cho các tổ chức sự lạc quan mới. Thật vậy, năm 2023 chứng kiến sự đầu tư ngày càng tăng vào thứ mà chúng tôi gọi là sự thay đổi về công nghệ và kinh doanh lớn nhất trong đời chúng ta – Generative AI (genAI).
Vào năm 2024, sẽ tiếp tục tập trung vào đổi mới khi ngày càng có nhiều doanh nghiệp áp dụng thử nghiệm nhanh chóng và đưa ra các sáng kiến genAI mới. Tuy nhiên, điều quan trọng đối với các tổ chức là chuyển đổi an toàn từ thử nghiệm sang triển khai các công nghệ dựa trên AI mới. Theo dữ liệu năm 2023 của Forrester, 53% những người ra quyết định về AI mà tổ chức của họ đã thực hiện các thay đổi chính sách liên quan đến genAI đang phát triển các chương trình quản trị AI của họ để hỗ trợ các trường hợp sử dụng AI. Do đó, các nhà lãnh đạo về an ninh, rủi ro và quyền riêng tư sẽ cần phải cân bằng tốc độ đổi mới với quản trị và trách nhiệm giải trình ngoài các nhiệm vụ quy định trong bối cảnh có nhiều rủi ro liên kết với nhau.
Mã AI không an toàn và OpenAI
Thật không may, do sự tập trung ngày càng tăng vào genAI, vào năm 2024, có khả năng chúng ta sẽ chứng kiến ít nhất ba vụ vi phạm dữ liệu được công khai đổ lỗi cho mã do AI tạo ra. Thật vậy, chúng ta đang thấy các nhà phát triển ngày càng dựa vào các trợ lý phát triển AI – được gọi là TuringBots – để tạo mã và tăng năng suất. Trong khi nhiều tổ chức chịu trách nhiệm và sẽ quét mã để tìm lỗi bảo mật, chúng ta cũng sẽ chứng kiến các nhà phát triển quá tự tin sẽ có lập trường đáng tin cậy hơn và cho rằng mã do AI tạo ra là an toàn.
Forrester cũng dự đoán rằng vào năm 2024, một ứng dụng sử dụng ChatGPT sẽ bị phạt vì xử lý PII. Chúng tôi đã thấy các cơ quan quản lý tập trung vào genAI, trong đó OpenAI chịu sự giám sát chặt chẽ từ các cơ quan quản lý – và vì lý do chính đáng. Ở châu Âu, chúng ta đã chứng kiến một cuộc điều tra OpenAI đang diễn ra ở Ý, trong khi các luật sư ở Ba Lan đang giải quyết một vụ kiện mới về một số vi phạm GDPR tiềm ẩn. Ủy ban Bảo vệ Dữ liệu Châu Âu cũng đã thành lập một đội đặc nhiệm để điều phối các hành động thực thi chống lại ChatGPT của OpenAI.
Vấn đề là OpenAI có thể có đủ nguồn lực để tự bảo vệ mình trước các cơ quan quản lý, tuy nhiên nhiều ứng dụng của bên thứ ba chạy trên ChatGPT thì không. Hơn nữa, một số ứng dụng thực sự có nguy cơ bị phạt thậm chí còn cao hơn chính OpenAI, vì chúng gây ra rủi ro thông qua nhà cung cấp công nghệ bên thứ ba nhưng thiếu nguồn lực tài chính và kỹ thuật cần thiết để giảm thiểu chúng. Sau đó, chúng tôi cần thấy các công ty xác định các ứng dụng có khả năng tăng mức độ rủi ro và tăng cường quản lý rủi ro của bên thứ ba.
Sự bùng nổ không tin cậy và lỗi của con người
Theo dự đoán của Forrester, chúng ta cũng sẽ thấy vai trò của các chức danh không tin cậy tăng gấp đôi trong các khu vực công và tư nhân vào năm 2024. Tại thời điểm viết bài, đã có 81 vị trí không tin cậy được quảng cáo trên LinkedIn ở Mỹ, 6 vị trí ở Anh và một ở Singapore. Tuy nhiên, sự kết hợp giữa sự gia tăng các nhiệm vụ và mệnh lệnh điều hành không tin cậy ở Hoa Kỳ và việc không tin cậy cuối cùng đã trở thành xu hướng chủ đạo ở APAC và EMEA, sẽ dẫn đến nhu cầu ngày càng tăng về các vai trò an ninh mạng dành riêng cho kiến trúc, kỹ thuật không tin cậy, quản lý, chiến lược và lãnh đạo. Kết quả là, không chỉ số lượng vai trò sẽ tăng gấp đôi ở mỗi khu vực trong năm tới mà những vai trò này sẽ bắt đầu xuất hiện ở các quốc gia như Úc và Ấn Độ.
Chúng ta cũng sẽ thấy lỗi của con người đóng vai trò nổi bật trong các vụ vi phạm dữ liệu vào năm 2024. Lỗi của con người, liên quan đến việc nhân viên hoặc người dùng vô tình tạo điều kiện cho hành vi vi phạm dữ liệu thông qua việc lạm dụng đặc quyền, sử dụng thông tin xác thực bị đánh cắp hoặc kỹ thuật lừa đảo xã hội, luôn là thách thức đối với các chuyên gia bảo mật và rủi ro, với nhiều ấn phẩm vi phạm toàn cầu và địa phương ước tính rằng họ là nguyên nhân. 74% vi phạm. Tuy nhiên, Forrester dự đoán rằng con số này sẽ tăng lên 90% số vụ vi phạm dữ liệu vào năm 2024, chủ yếu là do sự gia tăng của genAI và sự phổ biến của các kênh liên lạc khiến các cuộc tấn công lừa đảo qua mạng trở nên đơn giản và nhanh hơn. Sự gia tăng này cũng sẽ phơi bày những gì thường được quảng cáo là viên đạn bạc để giảm thiểu các hành vi vi phạm của con người – nhận thức và đào tạo về an ninh. Do đó, vào năm 2024, chúng ta sẽ thấy nhiều CISO chuyển sang bảo vệ con người thích ứng và áp dụng cách tiếp cận dựa trên dữ liệu để thay đổi hành vi, đồng thời bổ sung rủi ro con người vào quản lý rủi ro bảo mật.
Bảo hiểm mạng: nhà cung cấp sẽ quan trọng
Cuối cùng, vào năm 2024, Forrester kỳ vọng hai nhà cung cấp công nghệ bảo mật sẽ bị các hãng bảo hiểm coi là cờ đỏ. Sau nhiều năm thiếu hụt dữ liệu, các nhà cung cấp bảo hiểm mạng hiện có những hiểu biết sâu sắc có giá trị về các dịch vụ bảo mật, quan hệ đối tác công nghệ và yêu cầu bảo hiểm. Điều này sẽ bắt đầu tác động đến cách họ xem xét và xử lý các yêu cầu bồi thường. Thật vậy, chúng ta có thể sẽ thấy quy định ngày càng tăng về các biện pháp bảo mật và các công nghệ bảo mật cụ thể được các chủ hợp đồng sử dụng. Sẽ không còn đủ nếu chỉ có một giải pháp bảo mật cụ thể; việc sử dụng các nhà cung cấp được các công ty bảo hiểm cho là có rủi ro sẽ dẫn đến phí bảo hiểm tăng lên, sự giám sát bổ sung, các yêu cầu mới về quản lý lỗ hổng và có thể bị từ chối bảo hiểm trừ khi họ chọn một phương án ít rủi ro hơn.
Alla Valente là nhà phân tích cấp cao tại Forrester. Cô chuyên về quản trị, rủi ro và tuân thủ, quản lý rủi ro bên thứ ba, quản lý vòng đời hợp đồng và rủi ro chuỗi cung ứng.