Sự xuất hiện của Mytos, một hệ thống AI được đánh giá có khả năng tự lập kế hoạch và thực hiện tấn công mạng, đang khiến ngành tài chính Hàn Quốc siết chặt cảnh giác. Trước nguy cơ các cuộc tấn công mạng dựa trên AI trở thành hiện thực, cơ quan quản lý tài chính nước này đã quyết định nới lỏng quy định tách mạng để cho phép ứng dụng AI vào mục tiêu bảo mật, đồng thời để ngỏ khả năng bãi bỏ hoàn toàn quy định này với một số tổ chức có năng lực an ninh mạng và năng lực ứng dụng AI ở mức cao.

Ủy ban Dịch vụ Tài chính Hàn Quốc (FSC) gần đây đã tổ chức tọa đàm về ứng phó các mối đe dọa an ninh trong lĩnh vực tài chính liên quan đến AI tiên tiến, dưới sự chủ trì của Phó chủ tịch Kwon Dae-young. Tại đây, FSC đã công bố định hướng chính sách nêu trên.

Theo FSC, Mytos và các hệ thống AI tiên tiến không chỉ có thể phát hiện cả những lỗ hổng cũ mà các công cụ dò quét truyền thống khó nhận ra, mà còn có thể phát triển đến mức tự xây dựng kịch bản và triển khai tấn công mạng.

Trước đây, hoạt động bảo mật trong ngành tài chính chủ yếu dựa vào con người để rà soát lỗ hổng và phát hiện tấn công. Khi AI trở thành công cụ tấn công, lo ngại đang gia tăng rằng tốc độ và quy mô của các mối đe dọa có thể vượt quá năng lực của hệ thống ứng phó hiện nay.

Từ tháng 4, FSC đã liên tiếp tổ chức các cuộc họp rà soát rủi ro và họp nhóm ứng phó tình huống để bàn biện pháp đối phó.

Tuy nhiên, nhà chức trách không chỉ xem Mytos là mối đe dọa. FSC cho rằng nếu tận dụng chính các công nghệ AI có thể bị dùng cho tấn công để phục vụ phòng thủ, năng lực phát hiện lỗ hổng và xử lý sự cố có thể được nâng lên đáng kể.

Rào cản lớn nhất hiện nay, theo FSC, là quy định tách mạng. Đây là một quy định bảo mật mang tính đặc trưng trong ngành tài chính Hàn Quốc, yêu cầu tách mạng nội bộ phục vụ nghiệp vụ khỏi Internet bên ngoài nhằm giảm thiểu rủi ro bị tấn công.

Dù được đánh giá đã góp phần nâng cao mức độ an toàn, quy định này từ lâu cũng bị chỉ trích vì cản trở việc triển khai AI tạo sinh và các giải pháp bảo mật dựa trên điện toán đám mây.

Vì vậy, FSC quyết định nới lỏng quy định tách mạng trong thời hạn nhất định, nhưng chỉ giới hạn cho mục đích sử dụng AI trong bảo mật. Đối tượng áp dụng là các tổ chức tài chính có tổng tài sản từ 10 nghìn tỷ won trở lên, có ít nhất 1.000 nhân viên chính thức và có giám đốc an ninh thông tin (CISO) chuyên trách.

FSC ước tính khoảng 49 công ty có thể nộp hồ sơ tham gia. Các đơn vị được chọn sẽ được phép thử nghiệm dò quét lỗ hổng bằng AI tiên tiến, đồng thời sử dụng các giải pháp bảo mật theo mô hình SaaS.

Cơ quan này cho biết phạm vi áp dụng sẽ được mở rộng theo từng giai đoạn thông qua quy trình thẩm định.

Điểm được thị trường đặc biệt chú ý là FSC đã nêu khả năng xem xét bãi bỏ hoàn toàn quy định tách mạng đối với các tổ chức tài chính có năng lực bảo mật cao và khả năng khai thác AI tốt.

Thời gian qua, ngành tài chính Hàn Quốc liên tục đề nghị cải cách quy định tách mạng để mở rộng ứng dụng AI tạo sinh và thúc đẩy đổi mới hoạt động. Tuy nhiên, việc khả năng “bãi bỏ hoàn toàn” được đưa ra như một định hướng chính sách là điều hiếm thấy.

Song song với thay đổi về chính sách, các tổ chức tài chính cũng đang tăng tốc xây dựng hệ thống bảo mật dựa trên AI.

KB Financial Group cho biết đang củng cố hệ thống bảo mật tích hợp ở cấp tập đoàn theo nguyên tắc “AI tấn công thì dùng AI để phòng thủ”, nhằm ứng phó với các mối đe dọa mạng dựa trên AI tiên tiến.

Tập đoàn này đang vận hành hệ thống mô phỏng tấn công theo kịch bản thực chiến, kết hợp AI agent tự phát triển với các công nghệ AI từ tổ chức chuyên môn bên ngoài. KB Financial Group cũng xây dựng hệ thống giám sát bảo mật 24/7 bằng cách kết hợp AI agent và RPA.

Theo doanh nghiệp, tập đoàn đã thành lập Trung tâm An ninh mạng cấp tập đoàn, xây dựng cơ chế phòng thủ dựa trên mô phỏng xâm nhập và hoàn tất triển khai mô hình zero trust theo ba giai đoạn cho môi trường đám mây của mình.

Shinhan Financial Group cũng đã đưa công cụ chẩn đoán AI tự phát triển vào quy trình kiểm tra lỗ hổng tài sản và mô phỏng tấn công, nhằm ứng phó rủi ro xâm nhập mạng.

Tập đoàn này đang áp dụng ASM (quản lý bề mặt tấn công), CTI (tình báo mối đe dọa mạng) và công nghệ phát hiện dark web, đồng thời tự động hóa hoạt động giám sát bảo mật để phát hiện và phân tích theo thời gian thực các mối đe dọa và lỗ hổng mới nhất.

Dựa trên kết quả dự án thí điểm áp dụng zero trust do Bộ Khoa học và ICT Hàn Quốc cùng Cơ quan An ninh Internet Hàn Quốc (KISA) triển khai, với sự tham gia của Shinhan Bank, tập đoàn cũng đang xúc tiến mở rộng mô hình bảo mật này trên toàn hệ sinh thái.

Hana Financial Group cũng tăng cường năng lực bảo mật dựa trên AI. Tập đoàn hiện vận hành hệ thống kiểm tra lỗ hổng theo thời gian thực đối với các hệ thống công khai trên Internet, đồng thời mở rộng mô hình bảo mật zero trust. Các chương trình huấn luyện mô phỏng xâm nhập ở cấp tập đoàn và việc triển khai giải pháp bảo mật dựa trên AI cũng đang được đẩy mạnh.

Trong ngành, nhiều ý kiến cho rằng việc nới quy định lần này là bước đi khó tránh nếu Hàn Quốc muốn bảo đảm năng lực cạnh tranh về AI. Trong bối cảnh đổi mới nghiệp vụ dựa trên AI tạo sinh diễn ra nhanh chóng, việc tiếp tục phụ thuộc vào khung quy định cũ có thể khiến ngành tài chính Hàn Quốc gặp giới hạn khi cạnh tranh với các định chế tài chính toàn cầu.

Dù vậy, cũng có lo ngại rằng lợi ích từ chính sách mới sẽ chủ yếu tập trung vào các tổ chức tài chính lớn. Do đối tượng đủ điều kiện xin áp dụng ngoại lệ trên thực tế phần lớn là doanh nghiệp quy mô lớn, khoảng cách về mức độ ứng dụng AI giữa các tổ chức vừa và nhỏ hoặc doanh nghiệp fintech với nhóm dẫn đầu có thể nới rộng.

Cơ chế quy trách nhiệm đối với các sự cố bảo mật có thể phát sinh sau khi nới lỏng quy định tách mạng cũng được xem là vấn đề cần tiếp tục thảo luận.

Một đại diện trong ngành cho biết kể từ khi Mytos xuất hiện, các tổ chức tài chính Hàn Quốc đang có xu hướng đồng loạt tăng cường năng lực ứng phó bảo mật dựa trên AI. Theo người này, dù vẫn có quan điểm cho rằng nới quy định tách mạng có thể làm gia tăng lo ngại về an ninh, việc từng bước bổ sung cơ chế phù hợp với môi trường mới là cần thiết, bởi cách tiếp cận chỉ dựa vào việc “chặn” đã bộc lộ giới hạn rõ ràng.

Người này nói thêm rằng, dù khoảng cách về bảo mật và mức độ ứng dụng AI giữa các tổ chức nhỏ, doanh nghiệp fintech và các tập đoàn tài chính lớn có thể nới rộng trong ngắn hạn, lợi ích kỳ vọng về dài hạn được đánh giá là lớn hơn. Trong bối cảnh các đơn vị nhỏ khó có đủ nguồn lực để đầu tư bảo mật quy mô lớn, cách tiếp cận phù hợp là để các tổ chức lớn xây dựng trước mô hình hiệu quả, sau đó lan tỏa ra toàn ngành.

Một số phân tích nhận định động thái lần này không chỉ đơn thuần là nới quy định bảo mật, mà còn có thể trở thành bước ngoặt quyết định tốc độ chuyển đổi AI, hay AX, của ngành tài chính. Khi tranh luận về rủi ro an ninh từ AI do Mytos khơi lên dẫn tới việc xem xét nới quy định tách mạng và thúc đẩy thảo luận về AX, thị trường đang theo dõi sát mức độ cải cách mà cơ quan quản lý sẽ tiếp tục triển khai.

Nhà chức trách cho biết sẽ đẩy nhanh các bước tiếp theo. Thông qua Viện Nghiên cứu Bảo mật AI Tài chính và Trung tâm Hỗ trợ Bảo mật AI thuộc Cơ quan An ninh Tài chính Hàn Quốc, cơ quan quản lý sẽ tăng cường năng lực phân tích mối đe dọa AI và hệ thống hỗ trợ ứng phó, đồng thời dự kiến ban hành hướng dẫn bảo mật AI trong tháng 6.

Kế hoạch mở rộng hỗ trợ bảo mật cho các doanh nghiệp fintech vừa và nhỏ cũng sẽ được thúc đẩy.

Phó chủ tịch FSC Kwon Dae-young nhấn mạnh rằng “cuộc chuyển đổi AX trong lĩnh vực tài chính là quá trình tái cấu trúc căn bản nền tảng của dịch vụ tài chính”, đồng thời khẳng định chính phủ sẽ tích cực thúc đẩy cải cách thể chế để ngành tài chính có thể ứng dụng AI.