Tại Hội thảo chuyên đề “Cyber Insurance & AI Defense” do Hiệp hội An ninh mạng quốc gia tổ chức ngày 5/5/2026 tại Hà Nội, ông Yair Bar Touv - Thành viên Hội đồng Quản trị và Chủ tịch Ủy ban An ninh mạng tại Clal Insurance Enterprises Holdings đã mang đến một góc nhìn đáng chú ý: An ninh mạng không còn là vấn đề kỹ thuật thuần túy, mà đã trở thành bài toán quản trị cấp cao.

Chuyên gia Yair Bar Tov - Thành viên Hội đồng Quản trị Clal Insurance (Israel) trình bày tham luận tại Hội thảo "Cyber Insurance & AI Defense", sáng 05/05.

Từ phòng thủ kỹ thuật đến bài toán của hội đồng quản trị

Ông Yair Bar Touv cho biết, ông không tiếp cận vấn đề từ góc độ kỹ thuật chi tiết, mà từ vai trò một thành viên hội đồng quản trị của một tập đoàn bảo hiểm lớn tại Israel. Với hơn 40 năm kinh nghiệm trong lĩnh vực CNTT, phát triển phần mềm và an ninh mạng, ông nhấn mạnh sự khác biệt trong cách nhìn nhận, điều quan trọng không phải là “làm gì về kỹ thuật”, mà là “tổ chức cần đảm bảo điều gì để không rơi vào rủi ro nghiêm trọng”.

Theo ông, trong nhiều năm, các tổ chức thường dành khoảng 5 - 10% ngân sách CNTT cho an ninh mạng, tập trung vào các biện pháp truyền thống như tường lửa hay đào tạo. Tuy nhiên, với sự xuất hiện của AI, cách tiếp cận này có thể không còn đủ hiệu quả.

AI thay đổi hoàn toàn cuộc chơi an ninh mạng

Điểm nhấn quan trọng trong tham luận là sự thay đổi mang tính bước ngoặt của AI, đặc biệt là các mô hình ngôn ngữ lớn (LLM). Ông dẫn ví dụ về một phiên bản AI có khả năng tự động thực hiện kiểm thử xâm nhập và phát hiện lỗ hổng với hiệu quả vượt trội, thậm chí tìm ra những điểm yếu tồn tại hàng chục năm mà chưa từng được phát hiện.

Theo ông, AI không chỉ hỗ trợ phát hiện lỗ hổng mà còn có thể tự động viết mã tấn công gần như ngay lập tức. Nếu trước đây, quá trình từ khi phát hiện lỗ hổng đến khi có công cụ khai thác có thể mất vài tuần, thì hiện nay, AI có thể rút ngắn xuống chỉ còn vài phút.

Đặc biệt, sự xuất hiện của “Agentic AI” - các hệ thống AI có khả năng tự hành động mà không cần chỉ dẫn chi tiết từ con người đang khiến bức tranh an ninh mạng trở nên phức tạp hơn. Những hệ thống này có thể tự tìm kiếm mục tiêu, phân tích dữ liệu, tạo công cụ tấn công và thực thi với tốc độ vượt xa con người.

“Bạn không cần phải là một hacker giỏi. AI sẽ làm điều đó thay bạn,” ông cảnh báo.

Trước thực tế đó, ông Yair Bar Touv nhấn mạnh một nguyên tắc quan trọng: khi AI được sử dụng để tấn công, tổ chức bắt buộc phải sử dụng AI để phòng thủ.

Ông cho biết, trong vai trò quản trị, ông luôn đặt câu hỏi với đội ngũ công nghệ: “Năm nay các bạn đã ứng dụng AI vào phòng thủ khác gì so với năm ngoái?”. Theo ông, việc không thay đổi chính là rủi ro lớn nhất.

Quan điểm này cũng tương đồng với xu hướng chung trên thế giới, khi nhiều tập đoàn công nghệ lớn đang sử dụng AI để phát hiện, ưu tiên và xử lý lỗ hổng trong thời gian thực, thay vì phụ thuộc vào các quy trình thủ công.

Ba yêu cầu cốt lõi từ góc nhìn quản trị

Một vấn đề khác được ông đặc biệt lưu ý là an ninh ứng dụng (AppSec). Trong bối cảnh các công cụ no-code/low-code và AI ngày càng phổ biến, việc phát triển phần mềm trở nên nhanh chóng hơn, nhưng cũng tiềm ẩn nhiều rủi ro.

Theo ông, ngày càng nhiều ứng dụng được tạo ra mà không có quy trình kiểm tra bảo mật đầy đủ. Trong khi đó, cách làm truyền thống - kiểm thử mỗi năm một lần, đã không còn phù hợp.

Thay vào đó, các tổ chức cần chuyển sang mô hình kiểm thử liên tục, đặc biệt là sử dụng các công cụ AI để quét và đánh giá ứng dụng mỗi khi có cập nhật. “Nếu ứng dụng của bạn hoạt động trên Internet mà không được kiểm tra thường xuyên, bạn sẽ gặp rắc rối lớn”, ông nhấn mạnh.

Từ kinh nghiệm thực tiễn, ông Yair Bar Touv đưa ra ba yêu cầu quan trọng mà hội đồng quản trị cần đặt ra đối với hệ thống an ninh mạng:

Thứ nhất, đánh giá tư thế an ninh mạng tổng thể. Doanh nghiệp cần có một đánh giá độc lập từ bên thứ ba, không chỉ về kỹ thuật mà còn về quy trình, đào tạo và kiến trúc hệ thống.

Thứ hai, xây dựng khung quản lý khủng hoảng. Theo ông, việc bị tấn công là điều khó tránh khỏi. Do đó, tổ chức cần chuẩn bị sẵn kịch bản ứng phó, bao gồm cả đội ngũ đàm phán chuyên nghiệp để xử lý các tình huống như tấn công ransomware.

Thứ ba, triển khai kiểm thử liên tục. Việc sử dụng AI để giám sát, phát hiện và ưu tiên xử lý lỗ hổng theo thời gian thực là yếu tố then chốt trong bối cảnh hiện nay.

Theo ông Yair Bartov, khi AI có thể tìm ra lỗ hổng 27 năm chỉ trong vài phút, doanh nghiệp buộc phải thay đổi tư duy phòng vệ truyền thống.

Bảo hiểm an ninh mạng: Cần thiết nhưng chưa đủ

Bên cạnh công nghệ, ông cũng đề cập đến vai trò của bảo hiểm an ninh mạng - một lĩnh vực đang phát triển nhanh. Tuy nhiên, ông cảnh báo rằng phần lớn doanh nghiệp vẫn chưa thực sự được bảo vệ hiệu quả.

Một số rủi ro có thể không được bảo hiểm chi trả, như các cuộc tấn công do quốc gia thực hiện, hoặc trường hợp doanh nghiệp không đảm bảo các biện pháp phòng thủ cơ bản. Đặc biệt, thiệt hại về uy tín - yếu tố có thể ảnh hưởng nghiêm trọng đến sự tồn tại của doanh nghiệp cũng thường không nằm trong phạm vi bảo hiểm.

Ông dẫn chứng một trường hợp tại Israel, nơi một công ty bảo hiểm bị tấn công mạng dẫn đến rò rỉ dữ liệu, khiến giá trị doanh nghiệp sụt giảm mạnh và cuối cùng bị mua lại với giá thấp. “Nếu khách hàng mất niềm tin, họ sẽ rời đi,” ông nhận định.

Khép lại phần chia sẻ, ông Yair Bar Touv nhấn mạnh rằng an ninh mạng không còn là trách nhiệm riêng của bộ phận kỹ thuật, mà là vấn đề của hội đồng quản trị và ở tầm rộng hơn là vấn đề quốc gia.

Trong bối cảnh đó, vai trò của các tổ chức như Hiệp hội An ninh mạng quốc gia trở nên quan trọng trong việc nâng cao nhận thức, chia sẻ thông tin và cảnh báo sớm.

“Tóm lại, hãy biết mình đang ở đâu, kiểm thử liên tục, chuẩn bị cho khủng hoảng và hiểu rõ bảo hiểm của mình”, ông kết luận.

Lệ Thanh