Sớm hoàn thiện hành lang pháp lý về AI để giảm thiểu rủi ro tấn công mạng

Tội phạm dùng AI phát triển các phần mềm độc hại mới

Theo Bộ TT&TT, AI đề cập đến khoa học mô phỏng trí thông minh của nhân loại trong máy móc với mục tiêu cho phép suy nghĩ và bắt chước các hành động của con người. AI đang thực hiện các nhiệm vụ mà trước đây chỉ con người mới có thể xử lý được, thậm chí vượt qua con người trong một số lĩnh vực.

Ông Trần Đăng Khoa, Phó Cục trưởng phụ trách Cục An toàn thông tin (ATTT - Bộ TT&TT), cho biết tại Việt Nam, AI cũng được nhắc tới nhiều trong những năm gần đây. Là một công nghệ lưỡng dụng, AI được sử dụng cho cả mục đích tấn công và cả mục đích phòng thủ. Mối đe dọa lớn nhất là các hacker sử dụng AI để tạo ra các cuộc tấn công tinh vi hơn; tạo ra các phần mềm độc hại, dò quét,phát hiện những lỗ hổng để từ đó vượt qua các phương pháp bảo vệ và tấn công vào hệ thống thông tin. “Khi phát động các cuộc tấn công lừa đảo có mục tiêu, hacker còn dùng AI tạo thông tin giả lan truyền trên mạng xã hội. Dù cơ quan chức năng đã triển khai nhiều giải pháp, song việc ứng dụng AI để tạo ra các kịch bản và tổ chức lừa đảo trên mạng xã hội rất phổ biến, khiến cho nhiều người dân bị lừa đảo, chiếm đoạt tài sản, gây bức xúc trong xã hội”, ông Trần Đăng Khoa chia sẻ.

Bên cạnh rủi ro lớn khi AI hỗ trợ các chiến dịch lừa đảo trực tuyến, ông Trần Đăng Khoa cũng chỉ ra một số rủi ro chính khác mà công nghệ AI đưa đến cho lĩnh vực an toàn thông tin mạng, đó là: Hacker sử dụng AI để tối ưu hóa các cuộc tấn công mạng, phát triển các phần mềm độc hại và đặc biệt là mã độc mã hóa dữ liệu tống tiền ransomware...

Đồng quan điểm, ông Nguyễn Anh Tuấn, Phó Giám đốc Trung tâm dữ liệu quốc gia về dân cư, Cục Cảnh sát quản lý hành chính về trật tự xã hội (Bộ Công an), cũng cho rằng AI đang mang lại nhiều rủi ro và thách thức về cả xã hội, pháp lý và an ninh mạng. Các thách thức an ninh mạng từ AI có thể kể đến như tấn công thông qua tệp tin độc hại được hỗ trợ bởi AI, hacker dùng các công nghệ đặc biệt của AI để mô phỏng hệ thống nhằm tìm điểm yếu, hay việc đối tượng lừa đảo sử dụng AI khiến nhiều người dân khó nhận biết...

Trong năm 2023, ước tính các cuộc tấn công mạng trên thế giới gây thiệt hại tới 8.000 tỷ USD (tương đương gần 21 tỷ USD mỗi ngày), con số đó dự kiến sẽ tăng lên 9.500 tỷ USD vào năm 2024. Cứ sau 11 giây lại có một tổ chức trên toàn cầu bị tấn công bằng ransomware. Tại Việt Nam, theo thống kê của Cục An toàn thông tin (Bộ TT&TT), con số thiệt hại lên tới 8.000 đến 10.000 tỷ đồng.

Ứng dụng AI để xử lý các cuộc tấn công mạng bằng AI

Theo ông Nguyễn Anh Tuấn, nhằm giảm thiểu rủi ro, về mặt pháp lý, chính sách, theo thống kê tại legalnodes.com, có khoảng 33 quốc gia đã xây dựng dự thảo pháp lý về AI nhưng còn hạn chế, chưa có bộ quy chuẩn chung về AI mang tính tổng thể. Các nước chia thành hai trường phái: sửa đổi luật pháp hiện hành và lồng ghép AI vào từng lĩnh vực; ban hành văn bản pháp luật quy định về AI mang tính tổng thể. Việt Nam đang ở mức tiếp cận và chưa có chính sách, văn bản pháp lý, thể chế cụ thể liên quan đến AI.

Về an ninh mạng, tất cả các hình thức tấn công mạng hiện nay đều có thể ứng dụng AI để tăng khả năng chủ động của kẻ tấn công, gây thiệt hại nặng hơn. Có những hình thức tấn công như qua tệp tin độc hại, mô phỏng, lừa đảo, tấn công từ chối dịch vụ quy mô lớn, qua học máy. Hiện nay, ngoài hệ thống mạng Internet, các bộ, ban, ngành, địa phương đều có mạng riêng. Đã có những đợt tấn công, truy cập trái phép và AI có thể được ứng dụng để tăng quy mô, mức độ tấn công. Do đó, qua thực tế quản trị, triển khai cơ sở dữ liệu quốc gia (CSDLQG) về dân cư, ông Nguyễn Anh Tuấn đề xuất ba giải pháp giảm thiểu rủi ro AI.

Một là, sớm hoàn thiện hành lang pháp lý về AI để đón đầu xu thế, ban hành văn bản quy định về đạo đức trong quá trình phát triển, sản xuất, ứng dụng AI như bảo vệ quyền riêng tư, dữ liệu cá nhân, quyền con người của các đơn vị trong và ngoài nước.

Theo ông Nguyễn Anh Tuấn, Việt Nam đã có Nghị định bảo vệ dữ liệu cá nhân, nhưng việc áp dụng thực tế chưa đáp ứng yêu cầu bảo đảm an ninh, an toàn dữ liệu. Do đó, ông đề xuất có luật dữ liệu hoặc luật bảo vệ dữ liệu cá nhân. Ngoài ra, nên quy định rõ ràng hơn các hành vi phạm tội bằng AI, có quy chuẩn cụ thể về nền tảng kết nối, chia sẻ, trao đổi liên quan đến AI.

Thứ hai, nghiên cứu, ứng dụng các công trình AI để chống lại rủi ro về AI. AI do con người tạo ra, là sản phẩm của tri thức nên sẽ có biến thể “AI tốt” và “AI xấu”. Để ngăn cản sự phát triển của AI có thể dùng chính AI.

Thứ ba, phát triển AI phải song hành với vấn đề an ninh mạng và an toàn thông tin để tránh việc bị tấn công, chiếm quyền điều khiển gây ra hậu quả nghiêm trọng. Mức độ quan tâm đến an toàn thông tin của các đơn vị chưa đúng mức.

Ông Trần Đăng Khoa, Phó Cục trưởng phụ trách Cục An toàn thông tin nhấn mạnh: ATTT là yêu cầu “bắt buộc”, không phải là yếu tố để “lựa chọn”. Theo đó, 100% bộ, ngành, địa phương cần tổ chức kiểm tra, đánh giá tuân thủ quy định của pháp luật về ATTT, trong đó, ưu tiên, tập trung kiểm tra tuân thủ quy định pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ và bảo vệ thông tin, dữ liệu cá nhân; ưu tiên kiểm tra, đánh giá đối với các đơn vị, tổ chức, doanh nghiệp đang được giao quản lý, vận hành nhiều hệ thống thông tin hoặc hệ thống thông tin quan trọng, dùng chung.

“ATTT mạng là quá trình lâu dài, các cơ quan, tổ chức, doanh nghiệp cần xác định rõ đây là ưu tiên của mình trong công tác, kinh doanh, chứ không phải là vấn đề kỹ thuật thông thường. Với ứng dụng của AI, các công nghệ mới vào trong tấn công mạng, trong phòng thủ mạng, chúng tôi lưu ý một điều là đảm bảo an toàn, an ninh mạng, chúng ta cần thay đổi căn bản về nhận thức, cách làm để thích ứng một cách chủ động, linh hoạt và giảm thiểu các nguy cơ, đe dọa về an toàn, an ninh mạng, đặc biệt trong thời kỳ bùng nổ về AI”, ông Trần Đăng Khoa cho biết.