Để ứng phó, các tổ chức tài chính đang tìm kiếm các giải pháp công nghệ mới. Tuy nhiên, việc ứng dụng công nghệ một cách “phong trào” lại có nguy cơ tạo ra những rủi ro mới cho hệ thống.

Chia sẻ tại Diễn đàn Đổi mới Tài chính Thế giới (WFIS 2026), ông Lukas Toman, Trưởng phòng an ninh công nghệ thông tin tại Home Credit Việt Nam cho biết, trí tuệ nhân tạo (AI) chắc chắn là một trong những ưu tiên hàng đầu trong công tác an toàn, an ninh thông tin, nhưng sẽ không phải là ưu tiên duy nhất.

"Mỗi công ty sẽ có cách vận hành khác nhau. Các tổ chức không nên chỉ tập trung vào AI, đơn giản vì ai cũng đang làm như vậy. Câu hỏi quan trọng hơn là liệu chúng ta có đang áp dụng cách tiếp cận đúng đắn hay không", ông Lukas nhận định.

Theo vị chuyên gia, mọi chiến lược liên quan tới bảo mật, an toàn thông tin trong doanh nghiệp, nhất là trong lĩnh vực tài chính, cần bắt đầu bằng việc xác định những rủi ro cốt lõi nhất, hiểu rõ các tài sản quan trọng và nhận diện các khoảng trống. Thay vì lập một kế hoạch bảo mật và bám vào đó suốt 2-3 năm theo tư duy cũ, doanh nghiệp cần rà soát lại rủi ro liên tục mỗi tháng, mỗi quý để kịp thời cập nhật các biện pháp phòng vệ tương ứng.

Ông dẫn chứng, một số định chế tài chính hiện nay đang bộc lộ nhiều điểm yếu khi vội vã chuyển dịch hạ tầng lên môi trường điện toán đám mây (cloud).

Các chuyên gia về bảo mật, an ninh thông tin tham dự Diễn đàn Đổi mới Tài chính Thế giới.

“Việc ứng dụng nhanh các mô hình đám mây lai (hybrid cloud) hoặc đa đám mây (multi-cloud) đang tạo ra những rủi ro kỹ thuật. Thứ nhất là việc mất khả năng quan sát toàn cảnh. Nhiều công ty cố áp dụng cách tiếp cận bảo mật trong môi trường vật lý lên đám mây, dẫn đến việc xuất hiện hàng loạt "điểm mù" và mất kiểm soát hệ thống”, ông Lukas Toman nói.

Thứ hai là thách thức trong quản lý danh tính và phân quyền truy cập. Trên môi trường đám mây, một số tài khoản có thể được cấp đặc quyền lớn hơn mức cần thiết không đáp ứng nguyên tắc phân quyền theo nhu cầu sử dụng thực tế, qua đó làm gia tăng nguy cơ gián đoạn hệ thống do các hành vi cố ý hoặc vô ý.Thứ ba là rủi ro quản trị dữ liệu khi thông tin được đồng bộ hóa, hoặc phân tán qua nhiều nền tảng đám mây khác nhau nhưng thiếu kiểm soát chặt chẽ, hoặc không tuân thủ các quy định của cơ quan quản lý.

"Trước khi bàn đến việc phát triển nhanh trên đám mây, câu hỏi cần đặt ra là liệu chúng ta có thể triển khai theo cách đúng đắn và tuân thủ hay không. Đảm bảo tuân thủ quy định pháp luật tại Việt Nam phải là ưu tiên trước khi tận dụng bất kỳ tiện ích công nghệ nào", đại diện Home Credit Việt Nam nhấn mạnh.

Chia sẻ câu chuyện tại Home Credit Việt Nam, ông Lukas Toman cho rằng, cách tiếp cận đúng đắn luôn là dựa trên rủi ro thực tế, xác định rõ đâu là tài sản cần được bảo vệ của doanh nghiệp, chuẩn bị các kịch bản dễ bị tấn công và ưu tiên đầu tư vào những khâu giúp giảm thiểu thiệt hại, thay vì chỉ chạy theo những công nghệ mới nhất.

Thay đổi tư duy

Thực tế, câu chuyện công nghệ cũng chỉ giải quyết được một nửa bài toán an ninh mạng. Nửa còn lại theo các chuyên gia, nằm ở tư duy quản trị, chất lượng nhân sự và phương thức vận hành của tổ chức.

Ông Lukas Toman, Trưởng phòng an ninh công nghệ thông tin tại Home Credit Việt Nam.

Tại cùng phiên thảo luận, ông Trần Anh Nghĩa, Giám đốc công nghệ thông tin (CIO) tại VietBank chỉ ra rằng, trách nhiệm bảo đảm an toàn thông tin hiện nay đã vượt ra khỏi phạm vi của phòng công nghệ. Với sự ra đời của hàng loạt khung pháp lý về an ninh mạng và bảo vệ dữ liệu cá nhân, đây trở thành trách nhiệm chung của cả ban điều hành và hội đồng quản trị tại các tổ chức tài chính.

Bổ sung thêm về trách nhiệm bảo mật trên không gian số, ông Nguyễn Khoa, Giám đốc an ninh thông tin (CISO) tại Timo Việt Nam lưu ý, các tổ chức cần phân bổ nguồn lực đồng đều vào ba trụ cột: con người, công nghệ và quy trình.

Ông Khoa nhấn mạnh, việc phát hiện ra lỗ hổng hay cuộc tấn công mạng mới chỉ là bước khởi đầu. Vấn đề cốt lõi thực sự nằm ở hành động tiếp theo của tổ chức, bao gồm tốc độ ra quyết định, sự điều phối trong ban lãnh đạo và khả năng phục hồi của hệ thống.

Để tránh bị động, hệ thống dự phòng và sao lưu dữ liệu là điều kiện bắt buộc. Các chuyên gia đều đồng tình rằng, ban lãnh đạo doanh nghiệp cần tạo điều kiện để các bộ phận chuyên môn tổ chức diễn tập ứng phó sự cố thường xuyên, nhằm chuẩn bị sẵn sàng cho các kịch bản tấn công mạng.