Các tổ chức ngày càng dựa vào bên thứ ba để cung cấp nhiều loại hàng hóa và dịch vụ vì điều này hiệu quả và tiết kiệm chi phí hơn nhiều so với việc tự sản xuất mọi thứ. Thật không may, cách làm này cũng làm tăng rủi ro cho nhà cung cấp và các bên được cung cấp. Trong khi tội phạm mạng đang có xu hướng tấn công các bên thứ ba trong chuỗi cung ứng để đánh cắp dữ liệu nhạy cảm và làm gián đoạn hoạt động thì công tác giảm thiểu rủi ro các chuỗi cung ứng là một nhiệm vụ khó khăn nhưng quan trọng.
Khi các mối đe dọa của bên thứ ba ngày càng trở nên phức tạp, các tổ chức sẽ mất nhiều thời gian hơn để tìm hiểu và khắc phục rủi ro của bên thứ ba. Có những lý do chính như sau:
- Khối lượng dữ liệu mạng tiếp tục tăng, bắt nguồn từ số lượng nguồn cung ngày càng tăng. Số lượng lớn dữ liệu đòi hỏi nhiều thời gian và công sức hơn để phân tích và xem xét.
- Quá trình phân tích yêu cầu các loại tài liệu đa dạng, tùy thuộc vào bộ phận quản lý nhà cung cấp và những rủi ro mà họ muốn quản lý. Rủi ro có thể liên quan đến tài chính, hoạt động, tuân thủ, danh tiếng hoặc công nghệ thông tin, điều này làm mở rộng đáng kể loại tài liệu và kiến thức chuyên môn cung cấp cho việc phân tích.
- Các yêu cầu pháp lý hiện nay chưa rõ ràng, chồng chéo nhưng hệ thống văn bản pháp luật trong quá trình hoàn thiện ngày càng khắt khe, gây phức tạp cho việc khắc phục và báo cáo.
Khi nhiều tổ chức tiếp tục phải đối mặt với những thách thức về ngân sách và nguồn lực, vấn đề đặt ra là làm thế nào mà các nhà quản lý vẫn có thể thực hiện những cải tiến cần thiết để nâng cao hiệu quả của các chương trình quản lý rủi ro bên thứ ba (TPRM). TPRM cần thiết nếu các nhà lãnh đạo bảo mật muốn giảm nguy cơ vi phạm, giảm thiểu tác động kinh doanh tiềm ẩn và bảo vệ danh tiếng của tổ chức.
AI có thể giải quyết các vấn đề này. Sau đây là ba cách cụ thể mà AI có thể cải thiện các thách thức rủi ro của nhà cung cấp bên thứ ba.
1. AI có thể tự động hóa việc thu thập và phân tích dữ liệu rủi ro từ nhiều nguồn khác nhau, chẳng hạn như báo cáo tài chính, nhật ký bảo mật và chứng chỉ bảo mật. AI sau đó có thể dự đoán rủi ro trong tương lai dựa trên dữ liệu lịch sử và xu hướng hiện tại. Điều này giúp giảm thời gian và công sức cần thiết để quản lý rủi ro của bên thứ ba và cải thiện chất lượng của việc ra quyết định.
2. Cung cấp bối cảnh để đơn giản hóa việc phân tích rủi ro và báo cáo tuân thủ: Việc tuân thủ một loạt quy định phức tạp có thể là một thách thức đáng kể đối với các nhóm tuân thủ và kiểm toán, những người thường thiếu hướng dẫn rõ ràng về cách giải quyết rủi ro. Thông thường, các quy trình được xác định để xác nhận các biện pháp kiểm soát cũng không nhất quán, làm phức tạp thêm quy trình. Nhưng trong khi lượng dữ liệu khổng lồ khiến con người tốn thời gian để phân tích và xử lý, các hệ thống AI được đào tạo phù hợp có thể tự động phân tích lượng lớn dữ liệu rủi ro để cung cấp bối cảnh và xác định các mô hình cũng như xu hướng. Giải pháp AI giúp các nhóm tuân thủ và kiểm toán dễ dàng hơn trong việc đánh giá rủi ro và biện pháp kiểm soát, đồng thời đưa ra các đề xuất hướng dẫn và khắc phục.
3. Tự động hóa các tác vụ thủ công để giúp người quản lý rủi ro chủ động hơn: Bởi vì người quản lý rủi ro thường dành một lượng thời gian đáng kể để sàng lọc bảng tính, nhập dữ liệu và tạo báo cáo theo cách thủ công. Điều này khiến việc lập chiến lược, phân tích các rủi ro mới nổi và tham gia lập kế hoạch dài hạn trở nên khó khăn. Vì AI thu thập và phân tích dữ liệu lịch sử cũng như xu hướng hiện tại nên nó có thể dự đoán rủi ro trong tương lai, giúp các chuyên gia bảo mật trở nên chủ động hơn vì họ thực sự có thời gian cần thiết để dự báo, đánh giá và giảm thiểu rủi ro có thể đe dọa mục tiêu của tổ chức. Kết quả là đưa ra các quyết định nhanh hơn, chính xác hơn và dựa trên dữ liệu liên quan đến các rủi ro liên quan đến nhà cung cấp bên thứ ba.
Trong năm qua, rõ ràng là AI và đặc biệt là các mô hình ngôn ngữ lớn (LLM) mặc dù ứng dụng hiệu quả trong nhiều lĩnh vực, nhưng không có thể cung cấp giải pháp hoàn hảo cho mọi vấn đề. Các tổ chức tận dụng các công cụ AI phải nhận thức được một số rủi ro tiềm ẩn và chủ động các tình huống để giải quyết.
Cho dù nó xuất phát từ những bất thường về thống kê, đầu vào kém hoặc dữ liệu mô hình học tập không phù hợp, AI có thể đưa ra cách diễn giải không hợp lệ như thực tế. Để giải quyết rủi ro này, các giải pháp TPRM sử dụng AI phải đảm bảo rằng dữ liệu được sử dụng để đào tạo mô hình dựa trên dữ liệu rủi ro thực của bên thứ ba - dữ liệu đó phải chính xác, đa dạng và thể hiện được các tình huống trong thế giới thực. Các giải pháp như vậy phải liên tục tinh chỉnh các mô hình của mình để đảm bảo rằng chúng tiếp tục cải thiện bằng cách tìm hiểu bối cảnh cụ thể đối với rủi ro của bên thứ ba.
Điều cần thiết là phải liên tục cập nhật và đào tạo lại các mô hình AI để kết hợp dữ liệu mới và giảm thiểu sai lệch tiềm ẩn. Người đánh giá là một cách quan trọng để xác định sự thiên vị trong nội dung và quyết định do AI tạo ra, đồng thời đánh giá hiệu suất của giải pháp, nghĩa là các nhà cung cấp giải pháp phải tiến hành kiểm tra thường xuyên các mô hình AI này.
Chú ý rằng việc nhập dữ liệu vào LLM của bên thứ ba không phải là một ý tưởng hay vì khi đó dữ liệu có thể được chia sẻ bên ngoài tổ chức. Tương tự, các giải pháp LLM có thể nhúng đầu vào vào mô hình dữ liệu của chúng, cho phép các truy vấn tiếp theo đối với dữ liệu đó, dữ liệu này có thể được bảo mật.
Để ngăn chặn truy cập trái phép, dữ liệu nhạy cảm phải được mã hóa cả ở trạng thái nghỉ và khi truyền để bảo vệ dữ liệu khỏi các truy vấn như vậy. Nếu sử dụng AI để xử lý một số tác vụ TPRM nhất định, giải pháp phải kết hợp các cơ chế ủy quyền và kiểm soát truy cập mạnh mẽ để ngăn chặn các cá nhân hoặc hệ thống trái phép truy cập và thao túng dữ liệu.
Quản lý nhà cung cấp và nhà cung cấp bên thứ ba luôn là một khía cạnh đầy thách thức trong quản lý rủi ro. Từ thẩm định đến kiểm tra tuân thủ và giám sát liên tục, các nhà quản lý rủi ro luôn “choáng ngợp” bởi những yêu cầu về thời gian và khối lượng xử lý thông tin. Một giải pháp AI được đào tạo và duy trì phù hợp cho TPRM có thể tự động hóa các tác vụ thường ngày và cung cấp các công cụ phân tích nâng cao để cho phép các nhà quản lý rủi ro tập trung vào các hoạt động chiến lược có lợi cho toàn bộ doanh nghiệp.
Nguyệt Thu
(Theo Securitymagazine)
10:00 | 06/12/2023
10:00 | 06/11/2023
07:00 | 30/10/2023
16:00 | 01/12/2023
08:00 | 16/01/2024
13:00 | 04/12/2023
15:00 | 06/10/2023
07:00 | 23/09/2024
Tăng 15 bậc chỉ trong 2 năm, Việt Nam đang chứng minh sự phát triển vượt trội về Chính phủ điện tử, theo đánh giá của Liên hợp quốc.
13:00 | 13/08/2024
Theo quy định tại Nghị định 69/2024/NĐ-CP, có 04 mức độ xác thực tài khoản định danh điện tử.
14:00 | 23/05/2024
Đó là thông tin được hãng bảo mật Zscaler (California) công bố trong báo cáo rủi ro VPN năm 2024. Báo cáo đã làm sáng tỏ các xu hướng VPN quan trọng và cung cấp thông tin về các giải pháp để bảo mật người dùng từ xa.
10:00 | 14/05/2024
Một trong những ưu tiên của Cơ quan Kỹ thuật số Italia giai đoạn hiện nay là triển khai ví ID kỹ thuật số chứa các tài liệu do chính phủ cấp, cũng như tăng tốc và điều chỉnh việc sử dụng AI trong khu vực công.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Sáng ngày 29/11/2024, tại Hà Nội, Ban Cơ yếu Chính phủ đã tổ chức Hội nghị toàn quốc (theo hình thức trực tiếp và trực tuyến) với nội dung trọng tâm tuyên truyền và phổ biến Nghị định số 68/2024/NĐ-CP ban hành ngày 25/6/2024 của Chính phủ. Thiếu tướng Nguyễn Đăng Lực, Phó Trưởng ban Ban Cơ yếu Chính phủ đã tới tham dự và chỉ đạo Hội nghị.
14:00 | 29/11/2024