Khi một vụ vi phạm xảy ra, tốc độ xử lý là yếu tố then chốt. Nhưng điều khiến các nhóm ứng cứu chậm lại không phải là mã độc hay lỗ hổng, mà chính là sự rối loạn bên trong. Kế hoạch thì đẹp trên giấy, nhưng khi áp lực đến, chúng dễ dàng sụp đổ.

Một nghiên cứu dựa trên cuộc khảo sát đối với 480 lãnh đạo an ninh mạng cấp cao, trong đó có 165 Giám đốc An ninh Thông tin (CISO), cho thấy cùng một mô hình lặp lại ở nhiều ngành. Quyền ra quyết định bị thay đổi giữa chừng. Bộ phận pháp lý và truyền thông tham gia quá muộn.

Hệ thống công cụ phân tán, hỗn độn, gây mâu thuẫn khi từng giây đều quý giá. Và hầu như không có mấy tổ chức tiến hành tập dượt những kịch bản phức tạp mà sự cố thực tế mang lại. Vấn đề không nằm ở việc thiếu công nghệ, mà ở sự bất lực trong khâu triển khai.

Ảnh minh họa

Ông Nimrod Kozlovski, nhà sáng lập kiêm CEO của Cytactic, nói thẳng: “Để chuyển từ thực tế hỗn loạn này sang quản trị ứng phó sự cố có chiến lược, các tổ chức phải chấp nhận những công nghệ mang tính đột phá, được hỗ trợ bởi AI, nhằm giảm thiểu thiệt hại khi sự cố mạng xảy ra.

Báo cáo đã nêu rõ: chuẩn bị trước và thực hiện tốt trong lúc xảy ra sự cố là yếu tố then chốt để giảm thiệt hại về thương hiệu và tài chính. Khi đa số lãnh đạo an ninh thừa nhận rằng sự hỗn loạn nội bộ - do thiếu thẩm quyền, rõ ràng và phối hợp dưới áp lực - còn tệ hơn cả hành động của kẻ tấn công, thì nhu cầu về những công cụ được tổ chức, phối hợp chặt chẽ là điều không thể phủ nhận".

Điểm gãy của kế hoạch

Nguồn gốc hỗn loạn thường nằm ở khoảng trống quyền hạn. Hơn một nửa lãnh đạo cho biết quyền ra quyết định bị thay đổi giữa sự cố, trong khi 41% thừa nhận họ trì hoãn hành động vì không ai có quyền quyết định cuối cùng. Các nhóm chờ chỉ đạo, dữ liệu tiếp tục bị di chuyển và cơ hội khống chế ngày càng thu hẹp.

Ông Tim Brown, CISO của SolarWinds và cố vấn hội đồng Cytactic, giải thích rằng vấn đề thực sự là cách tổ chức chuẩn bị: “Mọi người đều nói cần tập dượt, muốn tập dượt, nhưng khi thực hiện thì các bài tập lại không đủ thực tế, không mang nhiều ý nghĩa. Họ cần tập dượt những kịch bản giống ngoài đời, đưa mọi người lại với nhau trong môi trường sát thực, để sẵn sàng phối hợp dưới áp lực.” Nếu không có tập dượt, kế hoạch trên giấy chỉ là ảo tưởng.

Vấn đề tách biệt giữa các bộ phận

Ông Joshua Ferenczi, Trưởng phòng Lab Đổi mới tại Cytactic, bổ sung rằng điểm yếu cốt lõi là việc các bộ phận hiếm khi phối hợp trước sự cố: “Chúng tôi thấy rất nhiều trường hợp, đặc biệt ở doanh nghiệp toàn cầu, các nhóm làm việc trong ‘làn đường riêng’. Nhưng khi sự cố xảy ra, họ phải cùng nhau xử lý cùng một quy trình, kế hoạch và kênh liên lạc. Và đó là lúc xảy ra đổ vỡ.” Khi pháp lý, truyền thông và an ninh chỉ lần đầu phối hợp trong lúc sự cố diễn ra, xung đột là điều chắc chắn.

Cả ông Brown và ông Ferenczi đều cho rằng AI có khả năng đặc biệt trong việc thu hẹp khoảng cách này. Ông Ferenczi nhận định: “AI rất giỏi trong việc kết nối các điểm rời rạc, giúp xây dựng câu chuyện chung, mang lại sự tự tin cho đội ngũ về những gì họ thấy.” ông Brown bổ sung: “AI còn có thể làm lớp ‘phiên dịch’: Bạn có pháp lý, marketing, IT, kỹ sư cùng làm việc. Nếu tôi nhờ AI tóm lược một cách đơn giản các điểm pháp lý chính, nó sẽ đưa ra thông tin hữu ích, giảm thiểu độ trễ.”

Dữ liệu báo cáo củng cố nhận định này: 86% lãnh đạo cho rằng “thời gian để các bộ phận hiểu nhau và đồng bộ hành động” giữa kỹ thuật, pháp lý và truyền thông gây chậm trễ tốn kém. 93% tin rằng sự hỗ trợ của AI có thể đã ngăn chặn ít nhất một sai lầm lớn trong sự cố gần nhất.

Vai trò CISO đang mở rộng

Vai trò của CISO đang thay đổi. Kiểm soát sự cố vẫn là trọng tâm, nhưng giao tiếp với lãnh đạo nay trở thành yêu cầu hàng đầu.

Họ được đánh giá không chỉ dựa vào khả năng xử lý kỹ thuật, mà còn ở khả năng biến dữ liệu rời rạc, thiếu toàn diện thành ngữ cảnh kinh doanh rõ ràng. Như ông Brown nói, một CISO xây dựng được niềm tin với CEO và hội đồng trong thời bình sẽ trở thành “người quan trọng nhất trong phòng” khi khủng hoảng xảy ra.

Bài học cho lãnh đạo

Nghiên cứu chỉ ra ba ưu tiên cấp bách:

Tập dượt thực sự: Nhận thức không phải là sẵn sàng. Tổ chức diễn tập liên ngành bao gồm pháp lý, truyền thông, tài chính và IT - không chỉ riêng an ninh. Làm cho sát thực tế. Đo tốc độ ra quyết định, không chỉ tốc độ phát hiện.

Chuẩn hóa quyền quyết định: Ghi rõ ai quyết định việc gì. Phê duyệt trước ngưỡng cách ly tài sản, thông báo cơ quan quản lý hay chuyển đổi chế độ liên lạc. Thử nghiệm trực tiếp những ngưỡng đó.

Dùng AI giảm mâu thuẫn: AI có thể hợp nhất công cụ phân tán, liên kết tín hiệu và tạo báo cáo phù hợp vai trò theo thời gian thực. Không thay thế con người - mà giảm tải những vướng víu, cản trở xung quanh họ.

Từ ứng biến đến phối hợp

Báo cáo nhấn mạnh điều nhiều CISO đã biết: tổ chức không thua kẻ tấn công vì thiếu công cụ, mà vì quy trình của chính họ quá chậm. Công nghệ có vai trò, nhưng yếu tố quyết định là mức độ tích hợp vào quy trình liên ngành đã tập dượt. Quyền hạn rõ ràng, tập dượt kỷ luật và phối hợp nhanh quan trọng hơn bất kỳ sản phẩm đơn lẻ nào.

Kết luận là, không phải AI hay tự động hóa sẽ “thần kỳ” khắc phục ứng phó sự cố, mà là các tổ chức phải thay đổi cách chuẩn bị. Các kịch bản mẫu có cấu trúc, diễn tập thực tế và hợp tác chặt chẽ hơn giữa nhóm kỹ thuật, pháp lý và điều hành mới biến hỗn loạn tiềm tàng thành hành động có tổ chức. Cuối cùng, khả năng phục hồi ít phụ thuộc vào việc thêm công nghệ, mà phụ thuộc nhiều hơn vào việc xây dựng văn hóa và quy trình có thể đứng vững dưới áp lực.

Nguyễn Yến (theo Forbes)