Khi các cuộc tấn công ransomware như Akira và Ryuk bắt đầu làm tê liệt các tổ chức trên toàn thế giới, phản ứng ban đầu của ngành an ninh mạng là điều có thể đoán trước: xây dựng những bức tường lớn hơn, triển khai các phản ứng tự động tích cực hơn và khóa chặt mọi thứ. Nhưng theo Romanus Prabhu Raymond, Giám đốc Công nghệ tại ManageEngine, một vấn đề khác đang nổi lên.

Khách hàng của công ty đang yêu cầu các tính năng ngăn chặn mạnh mẽ, nhưng việc tự động cách ly một máy tính bệnh viện hoặc hệ thống giao dịch viên ngân hàng đáng ngờ có thể gây hậu quả tàn khốc hơn cả mối đe dọa ban đầu. Tình huống khó xử này – cân bằng giữa phản ứng nhanh chóng với mối đe dọa và những hậu quả trong thế giới thực – minh họa lý do tại sao các thực hành an ninh mạng có đạo đức đã trở thành một trong những thách thức cốt lõi của năm 2025.

Trong cuộc phỏng vấn độc quyền của chúng tôi ngay trước bài thuyết trình của ông tại Triển lãm An ninh mạng của Amsterdam, Raymond đã tiết lộ cách các tổ chức hàng đầu đang thoát khỏi sự đánh đổi truyền thống giữa bảo mật và quyền riêng tư và tại sao các công ty nắm bắt “cuộc cách mạng tin cậy” này có thể định hình lại an ninh doanh nghiệp.

Đầu tiên, ngành an ninh mạng đang đứng trước một bước ngoặt quan trọng. Các vụ vi phạm dữ liệu lớn, các khuôn khổ pháp lý đang phát triển và việc tích hợp AI nhanh chóng vào các hệ thống bảo mật đã tạo ra những thách thức mới vượt xa khả năng bảo vệ kỹ thuật. Các tổ chức hiện phải đối mặt với những câu hỏi quan trọng về cách cân bằng đổi mới với trách nhiệm, quyền riêng tư với bảo mật và tự động hóa với sự giám sát của con người.

Xác định an ninh mạng có đạo đức trong kỷ nguyên hiện đại

Theo Raymond, an ninh mạng có đạo đức vượt xa các khái niệm phòng thủ truyền thống. “An ninh mạng có đạo đức không chỉ là bảo vệ hệ thống và dữ liệu – mà là áp dụng các thực hành bảo mật một cách có trách nhiệm để bảo vệ các tổ chức, cá nhân và xã hội nói chung,” ông giải thích trong cuộc phỏng vấn của chúng tôi trước bài thuyết trình của ông tại Triển lãm An ninh mạng, với tiêu đề “Yêu cầu Đạo đức: Cân bằng rủi ro, đổi mới và trách nhiệm.”

Trong môi trường ưu tiên đám mây của năm 2025, bảo mật không phải là yếu tố tạo nên sự khác biệt về cạnh tranh, mà là một kỳ vọng cơ bản. Điều làm nên sự khác biệt của các tổ chức ngày nay là cách họ xử lý dữ liệu và thực hiện các biện pháp bảo mật một cách có đạo đức.

Raymond sử dụng phép loại suy về việc lắp đặt camera an ninh trong một khu phố để bảo vệ không gian công cộng mà không xâm phạm các khu vực riêng tư; tránh nhìn trộm vào cửa sổ của cư dân. An ninh mạng phải hoạt động theo cùng một nguyên tắc.

ManageEngine đã thực hiện triết lý này thông qua cái mà Raymond gọi là phương pháp “đạo đức ngay từ khi thiết kế”, lồng ghép sự công bằng, minh bạch và trách nhiệm giải trình vào mọi sản phẩm ngay từ khi hình thành. Lập trường của công ty về dữ liệu khách hàng minh họa cho cam kết này: công ty không kiếm tiền từ hay giám sát dữ liệu khách hàng, khẳng định rằng dữ liệu đó hoàn toàn thuộc về khách hàng.

Nghịch lý đổi mới-rủi ro

Sự căng thẳng giữa đổi mới và quản lý rủi ro đặt ra một thách thức quan trọng cho các tổ chức hiện đại. Thúc đẩy quá mạnh mẽ cho đổi mới mà không có biện pháp bảo vệ đầy đủ, các công ty có nguy cơ bị vi phạm dữ liệu và vi phạm tuân thủ. Tập trung quá nhiều vào giảm thiểu rủi ro, các tổ chức có thể thấy mình không thể cạnh tranh trong các thị trường đang phát triển.

Triết lý “tin cậy ngay từ khi thiết kế” lồng ghép trách nhiệm và tính giải trình vào mọi giai đoạn phát triển, cho phép đổi mới nhanh chóng và duy trì các tiêu chuẩn tuân thủ và đạo đức. Khi triển khai các thành phần quan trọng như tác nhân điểm cuối, công ty đảm bảo chức năng mới vốn dĩ tuân thủ các tiêu chuẩn ngành và yêu cầu bảo mật.

Phương pháp này mở rộng đến hoạt động toàn cầu của công ty. ManageEngine duy trì các trung tâm dữ liệu trên toàn thế giới phù hợp với các yêu cầu về quyền riêng tư và quy định của địa phương, đồng thời đào tạo mọi nhân viên – từ nhà phát triển đến kỹ sư hỗ trợ – để xử lý dữ liệu khách hàng một cách chính trực. “Chiến lược bản địa hóa xuyên biên giới” của công ty đảm bảo các nhóm địa phương phục vụ khách hàng địa phương, tạo ra hiệu quả hoạt động và sự tin cậy về văn hóa.

Tích hợp AI và giám sát của con người

Khi trí tuệ nhân tạo ngày càng trở nên trung tâm trong các hoạt động an ninh mạng, các hàm ý đạo đức của các giải pháp bảo mật do AI điều khiển đã trở nên phức tạp hơn. Raymond thừa nhận rằng AI đang phát triển từ các vai trò thuần túy hỗ trợ sang các chức năng mang tính quyết định hơn, đặt ra các câu hỏi về trách nhiệm giải trình, minh bạch và công bằng.

Raymond trình bày “các nguyên tắc SHE AI” của ManageEngine: AI an toàn, AI của con người và AI có đạo đức. AI an toàn bao gồm việc xây dựng các biện pháp bảo vệ mạnh mẽ chống lại thao túng và các cuộc tấn công đối địch. AI của con người đảm bảo sự giám sát của con người vẫn là một phần không thể thiếu trong các hành động bảo mật quan trọng – ví dụ, nếu AI phát hiện một điểm cuối đáng ngờ, nó sẽ được chuyển tiếp để con người xác nhận thay vì tự động xóa thiết bị khỏi mạng.

Điều này đặc biệt quan trọng trong các môi trường nhạy cảm như bệnh viện hoặc ngân hàng, nơi việc tự động chặn hệ thống có thể gây ra hậu quả nghiêm trọng.

Thành phần AI có đạo đức nhấn mạnh khả năng giải thích. Thay vì tạo ra các cảnh báo “hộp đen”, các hệ thống của ManageEngine giải thích lý do của chúng. Một cảnh báo có thể ghi: “Điểm cuối không thể đăng nhập vào lúc này và đang cố gắng kết nối với quá nhiều thiết bị mạng.” Sự minh bạch là cần thiết để tuân thủ và xây dựng lòng tin vào các hệ thống bảo mật do AI điều khiển.

Điều hướng sự đánh đổi giữa quyền riêng tư và bảo mật

Sự cân bằng giữa giám sát an ninh cần thiết và xâm phạm quyền riêng tư đại diện cho một trong những khía cạnh tinh tế nhất của các thực hành an ninh mạng có đạo đức. Raymond thừa nhận rằng mặc dù giám sát chủ động là cần thiết để phát hiện các mối đe dọa sớm, việc giám sát quá mức có nguy cơ tạo ra một môi trường giám sát coi nhân viên là đối tượng tình nghi thay vì đối tác đáng tin cậy.

ManageEngine sử dụng các nguyên tắc nhấn mạnh việc tối thiểu hóa dữ liệu, giám sát theo mục đích, ẩn danh hóa và các cấu trúc quản trị rõ ràng. Công ty chỉ thu thập thông tin cần thiết cho mục đích bảo mật, đảm bảo mỗi mẩu dữ liệu có một trường hợp sử dụng bảo mật xác định, sử dụng dữ liệu ẩn danh để phân tích mẫu và xác định các đặc quyền truy cập dữ liệu cũng như thời gian lưu giữ.

Khuôn khổ này chứng minh rằng bảo mật và quyền riêng tư không nhất thiết phải loại trừ lẫn nhau khi được định hướng bởi đạo đức, minh bạch và trách nhiệm giải trình.

Vai trò lãnh đạo ngành và những thách thức trong tương lai

Raymond lập luận rằng các nhà cung cấp công nghệ phải hành động như những người giám sát đạo đức kỹ thuật số, giành được sự tin tưởng thay vì mong đợi nó được trao một cách mù quáng. ManageEngine cho biết họ đóng góp vào các tiêu chuẩn ngành thông qua vai trò lãnh đạo tư tưởng, vận động và bằng cách lồng ghép các tiêu chuẩn tuân thủ như ISO 27000 và GDPR vào các sản phẩm ngay từ đầu.

Raymond xác định an ninh tự động do AI điều khiển và điện toán lượng tử là những thách thức đạo đức lớn nhất mà ngành phải đối mặt. Khi các trung tâm vận hành an ninh hướng tới quyền tự chủ hoàn toàn, các câu hỏi về khả năng giải thích và trách nhiệm giải trình trở nên quan trọng. Khả năng của điện toán lượng tử trong việc phá vỡ mã hóa truyền thống đe dọa nền tảng giao tiếp an toàn, trong khi các công nghệ như sinh trắc học làm dấy lên lo ngại về quyền riêng tư nếu không được quản lý cẩn thận.

Thực hiện trên thực tế

Đối với các tổ chức muốn tích hợp các cân nhắc đạo đức vào chiến lược an ninh mạng của họ, Raymond khuyến nghị ba bước cụ thể: thông qua một hiến chương đạo đức an ninh mạng ở cấp độ hội đồng quản trị, lồng ghép quyền riêng tư và đạo đức vào các quyết định công nghệ khi chọn nhà cung cấp, và vận hành đạo đức thông qua đào tạo và kiểm soát toàn diện giải thích không chỉ phải làm gì, mà còn tại sao nó lại quan trọng.

Khi bối cảnh an ninh mạng phát triển, các công ty sẽ phát triển mạnh là những công ty nhận ra các thực hành an ninh mạng có đạo đức là nền tảng cho sự tiến bộ công nghệ bền vững, đáng tin cậy, chứ không phải là những hạn chế đối với sự đổi mới. Trong tương lai, các tổ chức phải đổi mới một cách có trách nhiệm và duy trì sự giám sát của con người cũng như các nguyên tắc đạo đức mà niềm tin kỹ thuật số đòi hỏi.