AI thúc đẩy nhiều tổ chức thay đổi nhận thức về an ninh mạng

Báo cáo Nghiên cứu toàn cầu về nhận thức và đào tạo An ninh mạng năm 2025 vừa được Fortinet phát hành cho thấy, các mối đe dọa do AI gây ra đã thay đổi cách nhân viên và lãnh đạo các tổ chức suy nghĩ về an ninh mạng.

Các mối đe dọa do AI trí tuệ nhân tạo gây ra đã thay đổi cách nhân viên và lãnh đạo các tổ chức suy nghĩ về an ninh mạng. Gần 9/10 tổ chức cho biết việc tin tặc sử dụng AI đã nâng cao nhận thức của nhân viên về tầm quan trọng của đào tạo an ninh mạng. Nhưng nhận thức không đồng nghĩa với sự sẵn sàng. Chỉ khoảng 40% lãnh đạo cho biết nhân viên của họ thực sự được chuẩn bị để xác định, tránh và báo cáo các mối đe dọa mạng dựa trên AI.

Nhiều tổ chức thay đổi nhận thức về an ninh mạng nhờ AI. Ảnh minh họa

Hầu hết các tổ chức đang phản ứng bằng cách đào tạo nhân viên về cách sử dụng đúng các công cụ AI tạo sinh (GenAI), giám sát hoặc hạn chế chia sẻ dữ liệu nhạy cảm và triển khai các chính sách an ninh AI chính thức. Gần như tất cả những người được hỏi đều cho biết họ đã có hoặc đang tích cực triển khai các chính sách an ninh cho AI và các công cụ mô hình ngôn ngữ lớn. Hướng đi đã rõ ràng, khoảng cách nằm ở khâu thực thi và tính nhất quán.

Các mối đe dọa bên ngoài, các vụ vi phạm trong quá khứ và các sự cố trong ngành vẫn là những lý do hàng đầu khiến các tổ chức đầu tư vào đào tạo nâng cao nhận thức về bảo mật. Hơn 40% người được hỏi cho rằng đây là động lực chính. Điều đã thay đổi là sự gia tăng mối lo ngại về rủi ro nội bộ. Hơn một phần tư các tổ chức hiện nay chỉ ra rủi ro nội bộ là lý do để áp dụng đào tạo, một sự gia tăng mạnh so với năm ngoái.

Các ưu tiên đào tạo phản ánh sự thay đổi này. Trong khi bảo mật dữ liệu và quyền riêng tư dữ liệu vẫn là những chủ đề hàng đầu, các công cụ và mối đe dọa dựa trên AI cũng không hề kém cạnh. Sự phù hợp này rất quan trọng. Nó cho thấy các tổ chức đang bắt đầu kết nối rủi ro thực tế với những gì nhân viên được dạy, thay vì coi đào tạo như hình thức tuân thủ chung chung.

Một trong những phát hiện mạnh mẽ nhất trong báo cáo lần này là đào tạo có hiệu quả. 67% các tổ chức đã công nhận việc giảm các vụ xâm nhập, sự cố và vi phạm sau khi triển khai đào tạo và nâng cao nhận thức về an ninh mạng.

Các phương pháp đo lường cũng đang được hoàn thiện. Các chỉ số phổ biến nhất bao gồm giảm sự cố an ninh, phản hồi của nhân viên và kiểm toán an ninh. Nhiều tổ chức hiện nay kết hợp đào tạo trực tiếp và đào tạo trên máy tính với mô phỏng, đánh giá và củng cố liên tục. Điều này phản ánh sự chuyển dịch từ đào tạo một lần sang các chương trình dài hạn, được thiết kế để thay đổi hành vi và giảm rủi ro theo thời gian.

Mặc dù có phương pháp đo lường tốt hơn và kết quả khả quan hơn, hầu hết các tổ chức vẫn gặp khó khăn trong việc thực hiện đến cùng. Chỉ một tỷ lệ nhỏ các tổ chức báo cáo đã hoàn thành toàn bộ khóa đào tạo. Đồng thời, gần 7/10 nhà lãnh đạo cho biết nhân viên vẫn thiếu nhận thức đầy đủ về an ninh mạng.

Hầu hết các nhà lãnh đạo hiện nay coi nhận thức về an ninh mạng là trách nhiệm chung của toàn tổ chức chứ không chỉ là trách nhiệm của bộ phận công nghệ thông tin hoặc bảo mật.