Chi Tiêu An Ninh AI Tăng Không Đồng Nghĩa Với Giảm Rủi Ro AI

Ngân sách an ninh AI đang tăng nhanh. Ở nhiều tổ chức, chúng còn tăng nhanh hơn cả các hệ thống mà chúng được kỳ vọng sẽ bảo vệ. Sự mất cân đối này rất dễ bị bỏ qua. Đầu tư vào trí tuệ nhân tạo tiếp tục tăng tốc, với nguồn vốn tư nhân toàn cầu đạt 33,9 tỷ USD chỉ riêng trong năm 2025. Đồng thời, các nhà lãnh đạo an ninh đang được yêu cầu phải giải trình cho những rủi ro mới liên quan đến hành vi mô hình, phơi nhiễm dữ liệu và thao túng đối kháng. Phản ứng đã có thể đoán trước: thêm công cụ, thêm kiểm soát và thêm ngân sách. Thật dễ dàng để biến điều này thành một cuộc thảo luận về chi phí kinh doanh, một câu hỏi đơn giản về việc các tổ chức cần chi bao nhiêu để bảo mật AI. Tuy nhiên, đó là cách tiếp cận sai lầm đối với vấn đề mới này. Thay vào đó, các tổ chức cần xem xét liệu khoản đầu tư AI của họ có thực sự bảo mật đúng các công cụ hay không. Ở hầu hết các doanh nghiệp, AI vẫn đang được giới thiệu ở cấp độ nhiệm vụ. Các nhóm thử nghiệm với tóm tắt, hỗ trợ viết mã, phân tích hoặc tự động hóa quy trình làm việc để cải thiện năng suất cá nhân. Những công cụ này mang lại lợi ích cục bộ, nhưng chúng hiếm khi thay đổi cách đưa ra quyết định hoặc cách hệ thống vận hành ở cấp độ rộng hơn. Khoảng cách đó đang bắt đầu thể hiện trong kết quả. Mặc dù việc áp dụng rộng rãi, chỉ khoảng 20% tổ chức báo cáo tác động có ý nghĩa đến lợi nhuận cuối cùng của họ. Đầu tư an ninh đang được mở rộng song song với quá trình thử nghiệm này. Tuy nhiên, trong nhiều trường hợp, nó đang được áp dụng cho một tập hợp ngày càng nhiều các công cụ rời rạc thay vì các hệ thống gắn kết định hình cách doanh nghiệp thực sự vận hành. AI được đánh giá ở cấp độ nhiệm vụ, được bảo mật ở cấp độ hệ thống và không bao giờ được thiết kế đầy đủ ở cấp độ quy trình làm việc – nơi giá trị thực sự được tạo ra.

Việc Áp Dụng AI Đang Mở Rộng Nhanh Hơn So Với Tích Hợp

Hầu hết các triển khai AI ngày nay đều hẹp về mặt thiết kế. Chúng được xây dựng để làm cho các nhiệm vụ cá nhân nhanh hơn thay vì định hình lại cách công việc luân chuyển giữa các nhóm hoặc hệ thống. Một nhóm bán hàng có thể áp dụng AI để soạn thảo email hoặc tóm tắt cuộc gọi. Các nhóm kỹ thuật sử dụng nó để tăng tốc tạo mã. Các nhóm vận hành thử nghiệm với hỗ trợ phân tích hoặc dự báo. Mỗi trường hợp sử dụng này mang lại lợi ích năng suất có thể đo lường được ở cấp độ cá nhân, và điều đó thường đủ để biện minh cho khoản đầu tư ban đầu. Sự phức tạp bắt đầu khi những lợi ích biệt lập này tích lũy lại. Mỗi lần triển khai đều giới thiệu các mô hình, mẫu truy cập dữ liệu, API và các phụ thuộc riêng của nó. Theo thời gian, các tổ chức thấy mình đang quản lý một hệ sinh thái ngày càng phát triển các khả năng AI vốn không được thiết kế để hoạt động cùng nhau. Ngay cả bây giờ, một phần lớn doanh nghiệp vẫn đang trong giai đoạn thử nghiệm ban đầu, với nhiều sáng kiến chưa được nhúng vào hoạt động kinh doanh cốt lõi. Các nhóm an ninh kế thừa môi trường này khi nó hình thành. Họ được yêu cầu bảo mật không phải một hệ thống duy nhất, mà là một tập hợp các công cụ, tích hợp và luồng dữ liệu liên tục thay đổi, mở rộng theo từng thử nghiệm mới. Nếu không có một kiến trúc thống nhất, an ninh trở thành một bài tập về phạm vi bao phủ hơn là kiểm soát.

Rủi Ro Thực Sự Không Phải Là Các Công Cụ Cá Nhân. Mà Là Sự Phân Mảnh Hệ Thống

Khi việc thử nghiệm AI tiếp tục, kỳ vọng của lãnh đạo bắt đầu thay đổi. Hội đồng quản trị và các nhóm điều hành đang đặt câu hỏi làm thế nào chi tiêu AI tăng lên chuyển thành kết quả kinh doanh có thể đo lường được. Khi các sáng kiến ban đầu không đạt, các tổ chức hiếm khi chậm lại. Họ mở rộng nỗ lực. Nhiều dự án thí điểm được triển khai. Nhiều công cụ được giới thiệu. Nhiều tích hợp được tạo ra để tìm kiếm giá trị vẫn chưa thành hiện thực. Các dự đoán đã cho thấy rằng hơn một nửa dự án AI có thể thất bại trong việc đưa vào sản xuất hoặc mang lại kết quả như mong đợi trong những năm tới. Đối với các nhóm an ninh, chu kỳ này tạo ra một loại rủi ro mới. Thách thức không còn chỉ là bảo vệ các ứng dụng hoặc mô hình riêng lẻ. Mà là quản lý một môi trường nơi hệ thống cơ bản liên tục thay đổi. Mỗi công cụ mới đều giới thiệu thêm các danh tính, luồng dữ liệu và hành vi mô hình mở rộng bề mặt tấn công trước khi những người bảo vệ có thời gian hiểu đầy đủ về nó. Trong bối cảnh này, tăng chi tiêu an ninh không nhất thiết làm giảm rủi ro. Thay vào đó, nó có thể làm tăng độ phức tạp vận hành. Bảo vệ các hệ thống phân mảnh đòi hỏi nhiều công cụ hơn, giám sát nhiều hơn và phối hợp nhiều hơn, nhưng nó không giải quyết được vấn đề gốc rễ, đó là sự vắng mặt của một cấu trúc gắn kết cho cách AI được triển khai và sử dụng.

Chi Tiêu An Ninh Chỉ Trở Nên Chiến Lược Khi AI Trở Thành Một Phần Vận Hành

Chúng ta đang ở một vị trí tuyệt vời nhờ đầu tư an ninh AI; mức độ đổi mới là vô cùng lớn, và trong khi tương lai sáng sủa cho các trường hợp sử dụng AI, thì đầu tư an ninh thường bị tách rời khỏi nơi AI thực sự tạo ra giá trị. Khi AI được triển khai chủ yếu như một tập hợp các công cụ năng suất biệt lập, nỗ lực an ninh buộc phải đi theo sự phân mảnh đó. Các nhóm cuối cùng bảo vệ hàng chục ứng dụng rời rạc có ảnh hưởng hạn chế đến kết quả kinh doanh cốt lõi. Giá trị lớn hơn xuất hiện khi AI được nhúng vào các quy trình làm việc thúc đẩy cách tổ chức vận hành. Lập kế hoạch, dự báo, phân bổ nguồn lực và ra quyết định vận hành là nơi AI bắt đầu ảnh hưởng đến kết quả một cách có ý nghĩa. Đây cũng là những môi trường nơi đầu tư an ninh trở nên chiến lược hơn. Bảo mật một công cụ rời rạc là bảo vệ một nhiệm vụ. Bảo mật một hệ thống tích hợp là bảo vệ một quy trình kinh doanh. Đây là nơi sự khác biệt giữa việc áp dụng ở cấp độ nhiệm vụ và thiết kế ở cấp độ quy trình làm việc trở nên quan trọng. AI không được tích hợp vào cách đưa ra quyết định sẽ khó có thể mang lại tác động có thể đo lường. An ninh không phù hợp với các hệ thống ra quyết định đó sẽ khó có thể giảm thiểu rủi ro có ý nghĩa.

Thay Đổi Phải Đến Sớm Hơn Là Muộn

Các tổ chức không cần ít sáng kiến AI hơn. Họ cần những sáng kiến có chủ đích hơn. Sự thay đổi đầu tiên nằm ở cách đánh giá thành công của AI. Nếu một lần triển khai không thay đổi cách đưa ra quyết định hoặc cách công việc di chuyển giữa các nhóm, tác động của nó sẽ vẫn còn hạn chế, bất kể nó được áp dụng rộng rãi đến đâu. Đo lường thành công ở cấp độ quy trình làm việc thay vì cấp độ nhiệm vụ cung cấp tín hiệu rõ ràng hơn về nơi AI thực sự mang lại giá trị. Sự thay đổi thứ hai là cách ưu tiên đầu tư an ninh. Thay vì phân phối các biện pháp kiểm soát trên mọi công cụ thử nghiệm, các tổ chức nên tập trung bảo vệ xung quanh các hệ thống ảnh hưởng đến việc lập kế hoạch, vận hành và ra quyết định. Đây là những môi trường nơi rủi ro và giá trị giao nhau. Sự thay đổi thứ ba là về cấu trúc. Các hệ thống AI giới thiệu các hình thức sở hữu mới vượt ra ngoài ranh giới ứng dụng truyền thống. Các mô hình, dữ liệu đào tạo, đường ống dữ liệu và đầu ra do AI tạo ra đều đòi hỏi trách nhiệm giải trình rõ ràng. Nếu không có quyền sở hữu được xác định, quản trị sẽ trở nên không nhất quán và các lỗ hổng bảo mật trở nên khó xác định hơn. Kết hợp lại, những thay đổi này đưa các tổ chức ra khỏi việc bảo mật hoạt động và hướng tới việc bảo mật kết quả.

Xây Dựng Các Hệ Thống AI Có Thể Thực Sự Mở Rộng Quy Mô

Các tổ chức phù hợp việc áp dụng AI với thiết kế ở cấp độ quy trình làm việc sẽ có được con đường rõ ràng hơn để đạt được cả giá trị lẫn kiểm soát. Nguồn lực an ninh trở nên hiệu quả hơn khi chúng tập trung vào các hệ thống quan trọng nhất thay vì trải rộng trên các thử nghiệm rời rạc. Lãnh đạo có được tầm nhìn tốt hơn về cách các khoản đầu tư AI chuyển thành tác động vận hành. Theo thời gian, các chương trình AI trở nên bền vững hơn vì chúng được xây dựng dựa trên các hệ thống có cấu trúc thay vì các công cụ tích lũy. Đầu tư AI không chậm lại. Chi tiêu an ninh sẽ tiếp tục tăng cùng với nó. Sự khác biệt sẽ phụ thuộc vào cách những khoản đầu tư đó được áp dụng. Các tổ chức tiếp tục mở rộng quy mô AI ở cấp độ nhiệm vụ sẽ thấy mình đang bảo mật một bề mặt ngày càng mở rộng của các công cụ rời rạc. Những tổ chức thiết kế AI ở cấp độ quy trình làm việc sẽ bảo mật các hệ thống thực sự đáng để bảo vệ.