Báo cáo An ninh Dữ liệu 2025 của Fortinet vừa được công bố cho thấy, tình trạng thất thoát dữ liệu tiếp tục gia tăng dù các biện pháp bảo mật ngày càng thông minh và ngân sách dành cho an ninh mạng đã ở mức cao.

Ngân sách tăng nhưng dữ liệu vẫn bị thất thoát

Theo đại diện của Fortinet - ông David Lorti, báo cáo An ninh Dữ liệu 2025 của Fortinet và Cybersecurity Insiders cho thấy nhiều lãnh đạo phụ trách bảo mật đang chuyển từ tư duy thuần kỹ thuật sang cách tiếp cận bài bản hơn nhằm bảo vệ dữ liệu nhạy cảm. Xu hướng ngân sách bảo mật cũng có dấu hiệu tích cực, khi các tổ chức báo cáo tăng chi cho quản lý rủi ro nội bộ và bảo vệ dữ liệu trong năm qua, minh chứng cho việc đội ngũ phụ trách bảo mật đã thuyết phục thành công lãnh đạo cấp cao đầu tư cho an ninh, bảo mật.

Tuy nhiên, dù áp dụng chiến lược thông minh hơn và tăng cường ngân sách, tình trạng thất thoát dữ liệu vẫn tiếp diễn. 77% số tổ chức ghi nhận ít nhất một sự cố liên quan đến yếu tố nội bộ trong 18 tháng qua, và 58% báo cáo có từ 6 sự cố trở lên. Câu hỏi đặt ra là: Vì sao?

Nguyên nhân nằm ở công cụ. Dù phần lớn tổ chức đã triển khai giải pháp ngăn chặn thất thoát dữ liệu (DLP), nhiều công cụ đã cũ, được thiết kế cho môi trường bảo mật đơn giản, truyền thống. Chúng thiếu khả năng quan sát cách nhân viên thật sự tương tác với dữ liệu - đặc biệt trong các ứng dụng SaaS và công cụ AI tạo sinh - do đó bỏ lỡ bối cảnh giúp phân biệt sự cố vô tình với rủi ro thực sự.

Trong môi trường doanh nghiệp phân tán và phụ thuộc nhiều vào đám mây hiện nay, những hạn chế đó khiến các giải pháp DLP truyền thống không còn phù hợp.

Đâu là lỗ hổng thật sự?

Theo báo cáo, 72% số tổ chức đã tăng ngân sách để xử lý rủi ro nội bộ và bảo vệ dữ liệu trong năm qua, trong đó hơn 1/4 tư ghi nhận mức tăng đáng kể. Nhiều đơn vị cũng đã bổ sung công cụ và triển khai các chương trình nhằm thu hẹp khoảng trống bảo mật.

Tuy nhiên, gần một nửa số tổ chức vẫn chịu tổn thất tài chính lớn, nhiều trường hợp lên tới hàng triệu đô la cho mỗi sự cố. Điều đó cho thấy, dù đã thực hiện những thay đổi mạnh mẽ, tình hình vẫn ngày càng xấu đi.Vấn đề không nằm ở việc thiếu đầu tư, mà là do nhiều tổ chức vẫn phụ thuộc vào các công cụ lạc hậu, không được thiết kế cho những rủi ro hiện nay.

Những hạn chế của giải pháp DLP truyền thống

Các công cụ DLP truyền thống được thiết kế để ngăn dữ liệu quan trọng như dữ liệu an sinh xã hội, thông tin thẻ tín dụng hay hồ sơ y tế bị đánh cắp khỏi hệ thống lưu trữ của tổ chức. Các công cụ này chủ yếu tập trung vào vành đai bảo mật và tuân thủ quy định, quét dữ liệu có cấu trúc tại hệ thống nội bộ, vì các mối đe dọa được xem là xuất phát từ bên ngoài.

Thực tế ngày nay đã khác. Dữ liệu nhạy cảm, bao gồm cả tài sản trí tuệ, liên tục được tạo ra và chia sẻ qua dịch vụ đám mây, nền tảng SaaS và công cụ AI. Các nhà phân tích lưu trữ toàn bộ dữ liệu khách hàng trong các bảng tính. Các kỹ sư chia sẻ bản thiết kế cho nhà thầu. Nhân viên thậm chí sao chép dữ liệu mật vào trợ lý AI. Tất cả những hoạt động này đều bình thường và góp phần tăng hiệu quả công việc, nhưng thực ra mỗi hoạt động đều tiềm ẩn rủi ro.

Theo phân tích từ báo cáo, giải pháp DLP truyền thống bộc lộ nhiều hạn chế bởi:

• Thiếu khả năng quan sát: 72% số tổ chức không thể theo dõi cách nhân viên tương tác với dữ liệu nhạy cảm.

• Thiếu bối cảnh khi đánh giá rủi ro dữ liệu: Gần một nửa số sự cố bắt nguồn từ sự bất cẩn hoặc lỗi thao tác, không phải từ hành vi ác ý.

• Hoạt động rời rạc: DLP trên thiết bị đầu cuối, email và mạng hiếm khi phối hợp hiệu quả với nhau.

• Mất quá nhiều thời gian để tạo giá trị: 3 trong 4 tổ chức phải chờ nhiều tuần, thậm chí nhiều tháng sau khi triển khai mới thu được thông tin hữu ích. Hệ quả là số lượng cảnh báo tăng lên, nhưng thông tin thiếu rõ ràng, tạo cảm giác an toàn giả tạo.

Chuyển hướng sang bảo mật dựa trên hành vi và ngữ cảnh

Điều mà các nhà lãnh đạo phụ trách bảo mật hiện nay cần từ công cụ DLP chính là bối cảnh. Biết một tập tin được gửi đi là chưa đủ. Bạn cần biết ai gửi, vì sao gửi và hành động đó có phù hợp với hành vi bình thường hay không. Nếu thiếu bối cảnh rõ ràng, đội ngũ bảo mật sẽ bị “chìm” trong hàng loạt cảnh báo mà không hiểu được toàn bộ câu chuyện.

Chính vì vậy, các nhà lãnh đạo phụ trách bảo mật cho rằng DLP thế hệ mới phải bao gồm khả năng:

• Phân tích hành vi (66%) để phân biệt lỗi vô ý với hành vi có chủ đích và cảnh báo những bất thường.

• Khả năng quan sát ngay từ ngày đầu (61%) để có dữ liệu phân tích tức thì, hỗ trợ xây dựng chính sách thông minh hơn.

• Giám sát Shadow AI và ứng dụng SaaS (52%) để bịt lỗ hổng nơi dữ liệu nhạy cảm có thể bị rò rỉ mà không ai nhận ra.

Các nền tảng DLP hiện đại phải kết nối các sự kiện riêng lẻ thành bối cảnh rủi ro hoàn chỉnh, giúp đội ngũ bảo mật nhận diện mô hình, ưu tiên xử lý rủi ro và hành động với sự tự tin. Đây là sự chuyển dịch từ việc cưỡng chế tĩnh sang khả năng quan sát dựa trên hành vi, cho thấy điều gì đang diễn ra và vì sao điều đó quan trọng.

Hệ lụy thực sự

Thất thoát dữ liệu không chỉ là vấn đề vi phạm tuân thủ quy định, mà là rủi ro kinh doanh ảnh hưởng trực tiếp đến doanh thu, uy tín và khả năng tồn tại lâu dài của doanh nghiệp.

Gần một nửa số tổ chức báo cáo chịu thiệt hại tài chính trực tiếp từ các sự cố do yếu tố nội bộ. 41% ước tính thiệt hại từ 1-10 triệu USD trong sự cố nghiêm trọng nhất, và 9% ghi nhận tổn thất vượt 10 triệu USD. 43% bị ảnh hưởng về danh tiếng, trong khi 39% gián đoạn hoạt động. Đặc biệt, trong các lĩnh vực như công nghệ sinh học hay sản xuất, chỉ một tập dữ liệu hay bản thiết kế bị rò rỉ cũng có thể xóa sạch nhiều năm đầu tư và đánh mất lợi thế cạnh tranh của doanh nghiệp.

Nhiều tổ chức vẫn đang vận hành một hệ sinh thái các công cụ bảo mật rời rạc và thiếu tính tích hợp , thường xoay quanh giải pháp DLP truyền thống vốn không còn phù hợp với môi trường phức tạp hiện nay và tạo thêm gánh nặng cho đội ngũ an ninh.

Giải pháp cho tương lai

Báo cáo An ninh Dữ liệu 2025 nhấn mạnh: dù các đội ngũ an ninh mạng đã áp dụng chiến lược thông minh hơn và nhận được sự ủng hộ cũng như ngân sách đầu tư từ lãnh đạo, các tổ chức vẫn phải đối mặt với các sự cố rủi ro nội bộ ở mức khó chấp nhận.

Nguyên nhân chính là sự phụ thuộc quá mức vào các giải pháp DLP truyền thống chưa bắt kịp sự phức tạp của môi trường công nghệ và yêu cầu bảo mật dữ liệu hiện nay.

Các tổ chức ngày nay cần một nền tảng hợp nhất DLP với quản lý rủi ro nội bộ, mang lại khả năng quan sát theo thời gian thực, dựa trên hành vi, trên toàn bộ thiết bị đầu cuối, SaaS, đám mây và AI. Fortinet tích hợp dữ liệu danh tính, quyền truy cập và hoạt động thông qua FortiDLP và Fortinet Security Fabric, giúp đội ngũ bảo mật có cái nhìn tổng quan rõ ràng để ngăn những sai sót nhỏ trở thành sự cố nghiêm trọng.

Các chương trình bảo mật sẽ tiếp tục được cải tiến, nhưng tiến bộ thực sự phụ thuộc vào việc lựa chọn những nền tảng mang đến lời giải rõ ràng - chứ không chỉ dừng lại ở cảnh báo.

Phạm Lê