Liên hệ
14/03/2026
Bình luận(0)Một cuộc gọi điện thoại — và 35 triệu đồng biến mất
Đầu năm 2025, một kế toán tại một công ty sản xuất ở TP.HCM nhận cuộc gọi video từ “giám đốc” yêu cầu chuyển tiền khẩn cấp cho đối tác nước ngoài. Giọng nói đúng, khuôn mặt đúng, cử chỉ quen thuộc. Chị chuyển tiền ngay trong buổi chiều hôm đó. Ba mươi lăm triệu đồng. Mãi đến tối, khi gặp giám đốc thật ở văn phòng, chị mới hiểu mình vừa nói chuyện với một AI.
Đây không phải câu chuyện cá biệt. Công nghệ deepfake — tổng hợp giọng nói và khuôn mặt bằng AI — đã đủ trưởng thành để lừa được người trong nội bộ doanh nghiệp. Và chi phí để tạo ra một cuộc tấn công kiểu này ngày càng rẻ hơn, dễ hơn, đáng sợ hơn.
AI lan nhanh, nhận thức bảo mật chưa theo kịp
Không có gì lạ khi AI bùng nổ tại Việt Nam. ChatGPT, Copilot, Gemini — nhiều nhân viên văn phòng dùng hằng ngày, thậm chí không báo cáo với IT. Theo khảo sát của Cisco năm 2024, 49% nhân viên toàn cầu đã dùng AI vào công việc mà công ty không biết. Tại Việt Nam, con số này có thể còn cao hơn.
Vấn đề không phải ở AI. Vấn đề nằm ở khoảng cách giữa tốc độ áp dụng và mức độ kiểm soát. Doanh nghiệp cho phép nhân viên dùng AI để soạn email, phân tích tài liệu, tóm tắt báo cáo — nhưng ít ai hỏi: dữ liệu đó đi về đâu?
Ba rủi ro bảo mật AI mà doanh nghiệp Việt đang bỏ ngỏ
Rủi ro thứ nhất — rò rỉ dữ liệu qua AI tools. Khi nhân viên dán hợp đồng khách hàng, danh sách đối tác, hoặc báo cáo tài chính vào ChatGPT để “tóm tắt” hay “dịch”, dữ liệu đó có thể được dùng để huấn luyện mô hình AI của bên thứ ba. Điều này không chỉ là nguy cơ bí mật thương mại — theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, nếu trong tài liệu đó có thông tin cá nhân khách hàng, doanh nghiệp đã vô tình vi phạm quy định bảo vệ dữ liệu mà không hề hay biết.
Rủi ro thứ hai — phishing thế hệ mới, bằng tiếng Việt hoàn hảo. Trước đây, email lừa đảo tiếng Việt thường sai chính tả, dùng từ ngữ cứng nhắc — đủ để người cảnh giác nhận ra. Ngày nay, hacker dùng LLM để tạo email phishing cực kỳ tự nhiên, nhắc đúng tên, đúng chức danh, đúng tình huống kinh doanh. Tỷ lệ nhấp vào link độc hại tăng đáng kể khi nội dung không còn lỗi.
Rủi ro thứ ba — Shadow AI và dữ liệu không kiểm soát. “Shadow AI” là những ứng dụng AI mà nhân viên tự cài đặt, tự dùng mà không qua bộ phận IT. Một số plugin AI trong trình duyệt, ứng dụng hỗ trợ viết lách, hay chatbot tích hợp vào Zalo Work đều thu thập dữ liệu theo điều khoản riêng của họ. Khi không có danh sách kiểm soát, doanh nghiệp không thể biết dữ liệu của mình đang nằm ở đâu.
Deepfake — không chỉ là trò lừa đảo cá nhân
Trong giới tội phạm mạng, deepfake đang leo thang từ lừa đảo cá nhân sang tấn công doanh nghiệp có chủ đích. Kẻ tấn công nghiên cứu tổ chức trước — xem LinkedIn, Facebook công ty, video hội nghị được đăng công khai — để thu thập mẫu giọng nói và hình ảnh của lãnh đạo. Sau đó, chỉ cần một cuộc gọi đúng lúc đúng chỗ.
Cách phòng thủ hiệu quả nhất không phải là phần mềm phát hiện deepfake — công nghệ đó chạy theo sau không kịp. Cách phòng thủ là quy trình xác minh giao dịch: yêu cầu mã xác nhận riêng cho mọi lệnh chuyển tiền, bất kể cuộc gọi từ ai.
Nghị định 13 và trách nhiệm pháp lý trong thời đại AI
Nhiều doanh nghiệp Việt chưa kết nối được điểm này: việc nhân viên dùng AI công cộng để xử lý dữ liệu khách hàng là vi phạm Nghị định 13/2023 nếu không có thỏa thuận xử lý dữ liệu với nhà cung cấp AI đó.
Theo Nghị định 13, tổ chức phải xác định rõ mục đích xử lý dữ liệu cá nhân, phải có biện pháp bảo vệ, và phải chịu trách nhiệm khi dữ liệu bị lộ lọt — kể cả qua bên thứ ba. “Nhân viên tự dùng, tôi không biết” không phải lý do miễn trách được.
Doanh nghiệp nên làm gì ngay bây giờ
Không cần cấm AI. Cần kiểm soát AI đúng cách.
Bước đầu tiên là có danh sách trắng — những AI tool nào được phép dùng, trong tình huống nào, với dữ liệu thuộc loại gì. Đây không phải chính sách IT thuần túy; đây là yêu cầu quản trị dữ liệu theo Nghị định 13.
Tiếp theo, đào tạo nhận thức. Không phải một buổi hội thảo mỗi năm. Đào tạo ngắn, lặp lại, với ví dụ thực tế từ Việt Nam — deepfake giả giám đốc, email phishing tiếng Việt, link giả mạo ngân hàng qua Zalo.
Và cuối cùng — đánh giá rủi ro AI là một phần của bất kỳ kế hoạch bảo mật nào từ 2025 trở đi. Doanh nghiệp nào chưa đặt câu hỏi “AI đang được dùng như thế nào trong tổ chức của mình?” thì câu trả lời gần như chắc chắn là “không ai biết”.
Evvo Labs hỗ trợ gì?
Evvo Labs cung cấp dịch vụ đánh giá rủi ro AI và tư vấn tuân thủ Nghị định 13 cho doanh nghiệp tại Việt Nam. Từ chính sách sử dụng AI nội bộ, đến kiểm tra phishing simulation và đào tạo nhận thức bảo mật — chúng tôi giúp bạn kiểm soát AI trước khi rủi ro kiểm soát bạn.
Liên hệ đội ngũ Evvo Labs để trao đổi cụ thể về tình hình của doanh nghiệp bạn tại evvolabs.vn/lien-he.