Cách tìm hiểu nhà cung cấp AI có rủi ro bảo mật hay không

Nếu nhà cung cấp AI thiếu các biện pháp kiểm soát bảo mật cơ bản sẽ gây ra rủi ro.

Một trong những mối quan tâm cấp bách nhất khi áp dụng AI là rò rỉ dữ liệu. Ví dụ một nhân viên đăng nhập vào chatbot AI mà họ yêu thích, dán dữ liệu nhạy cảm của công ty vào đó và yêu cầu tóm tắt. Cứ như vậy, vô tình, thông tin bí mật được đưa vào mô hình của bên thứ ba một cách mất kiểm soát.

Ngay cả với các chính sách chống thất thoát dữ liệu (Data Loss Prevention - DLP) thì rò rỉ dữ liệu AI vẫn rất khó ngăn chặn. Nếu hệ thống AI dựa trên đám mây và nhân viên có thể truy cập bên ngoài cơ quan thì các công ty có thể không bao giờ biết được khi nào dữ liệu của họ bị xâm phạm.

Ngoài ra, hầu hết các nhà cung cấp AI hỗ trợ rất nhiều giao diện web đồng thời họ cũng cung cấp quyền truy có lập trình (programmatic access) trên các API. Tuy nhiên, các API cũng tạo ra điểm mù bảo mật đáng kể.

Nếu nhà cung cấp AI cho phép truy cập các API từ xa thì làm thế nào để có thể xác minh ai đang sử dụng nó? Nếu kẻ tấn công có quyền truy cập vào mã thông báo của API thì chúng có thể trích xuất hoặc thao túng dữ liệu mà không bị phát hiện.

Những điều cần tìm kiếm ở một nhà cung cấp để kiểm tra bảo mật AI

Khi vẫn còn đang đánh giá một nhà cung cấp AI thì bảo mật phải là ưu tiên hàng đầu, đặc biệt là khi xử lý dữ liệu kinh doanh nhạy cảm. Dưới đây là các tính năng bảo mật bắt buộc phải có khi chọn nhà cung cấp AI được ông Adam Burt, Trưởng Bộ phận nghiên cứu của Vorlon khuyến nghị:

Những chuẩn xác thực và ủy quyền

Không bao giờ được cấp quyền truy cập API thông qua tên người dùng và mật khẩu. Thay vào đó, hãy tìm kiếm tra tính xác thực dựa trên mã thông báo (token), bao gồm:

- Nhà cung cấp phải hỗ trợ OAuth 2.0 (Open Authorization - một tiêu chuẩn được thiết kế để cho phép một trang web hoặc ứng dụng truy cập vào các tài nguyên do các ứng dụng web khác lưu trữ thay mặt cho người dùng) để tạo mã thông báo an toàn;

- Các mã thông báo phải có tính kế thừa hoặc có quyền gán để đảm bảo quyền truy cập ít đặc quyền nhất;

- Không chia sẻ mã thông báo.

Với mỗi hệ thống hoặc người dùng thông tin xác thực phải có tính duy nhất.

Giám sát mã thông báo và quản lý vòng đời

Các nhà cung cấp nên cung cấp danh sách tập trung các mã thông báo xác thực đang hoạt động và các mã thông báo nên bao gồm siêu dữ liệu như: Ai đã tạo ra mã thông báo? Khi nào mã thông báo được tạo? Lần sửa đổi cuối cùng và lần sử dụng cuối cùng là khi nào? Quyền được chỉ định? Mã thông báo vẫn đang hoạt động hay đã hết hạn?

Ghi nhật ký và theo dõi API toàn diện

Các nhà cung cấp AI phải cung cấp các nhật ký kiểm tra (audit logs) để truy cập API và các nhật ký này phải có khả năng giám sát được API theo thời gian thực.

Tối thiểu, mỗi mục nhật ký phải bao gồm: Ngày và giờ truy cập; Địa chỉ IP nguồn; Mã thông báo được sử dụng để truy cập; Hành động đã thực hiện (ví dụ: "đã tạo mã thông báo mới", "đã truy xuất dữ liệu"); Trạng thái thành công hay thất bại; Ghi nhật ký nâng cao phải bao gồm điểm cuối của API hoàn chỉnh, phương thức HTTP và mã phản hồi HTTP để có thông tin chi tiết.

Tài liệu minh bạch

Các nhà cung cấp AI nên cung cấp tài liệu API đầy đủ theo định dạng mở (ví dụ: OpenAPI hoặc Swagger). Các tổ chức không biết cách tương tác AI của họ được ghi lại và bảo mật như thế nào nếu không có tài liệu phù hợp?.

Các cuộc khủng hoảng bảo mật API được ẩn giấu

Hiện nay, hầu hết các nhà cung cấp API vẫn thiếu các tính năng ghi nhật ký, giám sát. API không có đủ tính năng ghi nhật ký sẽ tạo ra bề mặt tấn công tàng hình (invisible attack), nơi có thể xảy ra truy cập trái phép mà không bị phát hiện.

Đã có những câu chuyện kinh hoàng về mã thông báo API bị rò rỉ trong kho lưu trữ GitHub hoặc được bán trên các diễn đàn dark web. Khi kẻ tấn công có mã thông báo API hợp lệ, chúng có thể khai thác nó vô thời hạn cho đến khi nào có người nhận ra.

AI sẽ tồn tại mãi mãi, nhưng bảo mật không còn là thứ được nghĩ đến sau cùng nữa. Các tổ chức phải yêu cầu bảo mật API minh bạch, giám sát chặt chẽ và kiểm soát xác thực mạnh mẽ trước khi tin tưởng bất kỳ nhà cung cấp AI nào với dữ liệu nhạy cảm.

Khi các tổ chức ngày càng phụ thuộc vào API để thúc đẩy chuyển đổi số, việc duy trì sự bảo mật cho các API trở thành yếu tố then chốt để bảo vệ dữ liệu nhạy cảm và đảm bảo sự ổn định của hạ tầng kỹ thuật số.

Nếu nhà cung cấp AI thiếu các biện pháp kiểm soát bảo mật cơ bản, họ sẽ gây ra rủi ro. Các nhà cung cấp AI phải chịu trách nhiệm về bảo mật. Nếu nhà cung cấp AI không thể trả lời ai đang sử dụng API của họ, thời điểm truy cập gần nhất và cách sử dụng chúng thì đây là vấn đề cần xem xét lại trước khi chọn nhà cung cấp.

Hơn nữa, trong thời đại số hiện nay, API không chỉ là cầu nối giữa các ứng dụng mà còn là mối nguy cơ tiềm ẩn nếu không được quản lý chặt chẽ. Các tổ chức cần nhanh chóng nâng cao năng lực bảo mật để giảm thiểu rủi ro và bảo vệ tài sản số, đảm bảo nền tảng phát triển phần mềm hiện đại luôn được bảo vệ một cách tối ưu./.