Theo quy định quản lý dữ liệu được Ủy ban Giao dịch và Chứng khoán Mỹ (SEC) thông qua năm 2023, các công ty đại chúng đang hoạt động tại Mỹ bắt buộc phải báo cáo các sự cố an ninh mạng "quan trọng" trong vòng 96 giờ.

Trong hồ sơ báo cáo, các tổ chức phải mô tả tính chất, phạm vi, thời gian và tác động trọng yếu của sự cố, bao gồm cả tài chính và hoạt động. Do đó, các tổ chức công nghệ tài chính (fintech) đang gặp khó khăn trong việc tuân thủ các quy định quản lý dữ liệu của SEC và GenAI là một yếu tố khiến vấn đề này càng trở nên phức tạp hơn.

Ứng dụng GenAI trong fintech

Không chỉ fintech mà nhiều lĩnh vực khác cũng đang tìm cách tiếp cận tốt nhất để ứng dụng GenAI. Công nghệ này có thể giúp tăng năng suất và nâng cao hiệu quả, cho phép nhân viên tập trung nhiều hơn vào những nhiệm vụ ưu tiên. Cụ thể, GenAI có thể đẩy nhanh các quy trình quan trọng như phát hiện gian lận, dịch vụ khách hàng và nghiên cứu kỹ lưỡng các dữ liệu thông tin nhận dạng cá nhân (PII) và dữ liệu khác.

Để làm được điều đó, GenAI phải được đào tạo bằng dữ liệu chính xác và chuyên biệt cho từng trường hợp sử dụng, nếu không, mô hình sẽ tạo ra ảo giác hoặc những thành kiến tiềm ẩn.

GenAI cũng có thể tạo ra những thông tin bất lợi cho các công ty. Ví dụ, gần đây nhất, chatbot nổi tiếng của Canada Air đã gây ra sự cố. Một hành khách mua vé máy bay sau khi trò chuyện với chatbot trả lời trực tuyến của hãng trên trang web đã được thông tin rằng có chính sách giảm giá đặc biệt cho các hành khách di chuyển để dự tang lễ người thân. Hành khác này đã làm theo hướng dẫn, đặt vé đến và đi để dự đám tang. Tuy nhiên, khi ông nộp đơn xin hoàn tiền, Canada Air thông báo rằng chatbot đã cung cấp thông tin chính sách không chính xác và sẽ không được hoàn lại tiền. Không hài lòng, hành khách đã khởi kiện hãng hàng không và tòa án đã ra phán quyết ngược lại và cho biết chatbot AI là phần trên trang web của Canada Air.

Bởi vậy, các công ty fintech cần phải thận trọng hơn để ứng phó với những tình huống tương tự như vậy và tuân thủ quy định quản lý dữ liệu của SEC.

Những tác động bảo mật tiềm ẩn của GenAI

Những công ty fintech muốn khai thác sức mạnh của GenAI cần phải có nền tảng để đảm bảo rằng họ có thể quản lý toàn bộ quá trình sử dụng GenAI trên các hệ thống của mình. Và những công ty đang chậm hơn trong việc ứng dụng GenAI sẽ cần đảm bảo không sử dụng các ứng dụng và công cụ AI trong tổ chức mà không có kiến thức rõ ràng hoặc sự giám sát của bộ phận CNTT.

Khi tội phạm mạng tiếp tục thực hiện các cuộc tấn công để đánh cắp dữ liệu thì các ngành công nghiệp có PII có giá trị cũng cần phải để lưu ý đến các cuộc tấn công sử dụng AI, bao gồm cả việc khai thác AI để tìm lỗ hổng dẫn đến vi phạm dữ liệu nghiêm trọng.

Do đó, các tổ chức phải chuẩn bị cho tình huống xấu nhất. Để đáp ứng những yêu cầu về tính minh bạch do SEC đặt ra và đảm bảo GenAI không gây rủi ro về bảo mật thì nền tảng cơ sở hạ tầng AI là ưu tiên hàng đầu đối với các nhà lãnh đạo và ban quản trị trong một tổ chức.

Nền tảng cơ sở hạ tầng AI

Việc đầu tư vào cơ sở hạ tầng AI có vai trò rất quan trọng. Bạn không thể quản lý những gì bạn không thể nhìn thấy, tức là các tổ chức cần có cái nhìn tổng quan về cách mà GenAI đang được sử dụng trong các quy trình nội bộ để quản lý những rủi ro của AI.

Hơn nữa, khả năng ghi nhật ký và theo dõi việc sử dụng GenAI trên các mạng nội bộ như một phần điều tra số của AI tự động, cho phép các công ty fintech xác định, theo dõi và giảm thiểu những rủi ro bảo mật tiềm ẩn từ GenAI. Vì các yêu cầu của SEC bao gồm cung cấp đầy đủ thông tin chi tiết về các sự cố nên khả năng kiểm soát hoạt động của AI thông qua điều tra số AI trên các mạng nội bộ sẽ là một yêu cầu tối quan trọng trong tương lai.

Hiện tại, nhiều công ty không có cơ sở hạ tầng được xây dựng để theo dõi và giám sát việc sử dụng AI. Trong trường hợp nhân viên vô tình hoặc cố ý cung cấp thông tin nhạy cảm cho AI dưới dạng lời nhắc thì việc GenAI lưu trữ lịch sử hiển thị từng lời nhắc được sử dụng nội bộ sẽ vô cùng có giá trị cho mục đích báo cáo.

Ngoài ra, việc giáo dục và đào tạo nhân viên về cách sử dụng GenAI cũng như cách khai thác có trách nhiệm công cụ này sẽ giúp giảm thiểu khả năng vi phạm dữ liệu do sử dụng sai mục đích, góp phần tuân thủ các quy định của SEC. Nhiều mô hình ngôn ngữ lớn (LLM) phổ biến như ChatGPT và Copilot là kho lưu trữ công khai dữ liệu có nguồn gốc từ ngôn ngữ mà nó được cung cấp, nghĩa là bất kỳ PII nào vô tình nhập vào mô hình đều có khả năng bị rò rỉ dữ liệu.

Khi các hội đồng quản trị và lãnh đạo tổ chức tiếp tục xem xét các tác động của GenAI trong lĩnh vực fintech và liệu họ có nên tăng tốc áp dụng hay chờ đợi thì ảnh hưởng của SEC đối với việc áp dụng GenAI là rất rõ ràng. Điều này buộc các tổ chức phải xem xét lại các chiến lược AI và bảo mật của họ.

Bằng cách tạo nền tảng cho khả năng quản trị và kiểm soát GenAI, các công ty fintech có thể chuẩn bị tốt hơn cho những rủi ro và thúc đẩy việc áp dụng GenAI./.

Hạnh Tâm