Theo Forbes, chi tiêu cho an ninh mạng toàn cầu đang gia tăng, nhưng phần lớn các tổ chức vẫn chưa xác định đúng nơi tồn tại các rủi ro thực sự - và một khảo sát mới của Kroll với những con số cụ thể đã chỉ ra mức độ “lệch pha” này đang lớn đến đâu.
Ngân sách an ninh mạng tăng lên. Các CEO đã trực tiếp tham gia. Hầu hết tổ chức đều có kế hoạch ứng phó sự cố. Tuy nhiên, theo một khảo sát toàn cầu mới nhất, 72% doanh nghiệp vẫn thường xuyên gặp tình trạng không đồng bộ giữa ưu tiên an ninh mạng và các quyết định chi tiêu tổng thể. Việc chi nhiều tiền hơn nhưng sai trọng tâm không giúp doanh nghiệp an toàn hơn.
Mới đây, Forbes đã có cuộc trao đổi với Adam Malone, giám đốc điều hành tại Kroll, người phụ trách mảng ứng phó sự cố, tình báo và dịch vụ quản lý. Trước khi gia nhập Kroll, ông từng có nhiều năm làm đặc vụ FBI chuyên về an ninh mạng, phụ trách khu vực Trung Đông, tham gia triệt phá các tổ chức quy mô lớn và điều tra các vụ gián điệp kinh tế. Kinh nghiệm từ cả “hai phía” giúp ông đưa ra góc nhìn thực tế về nghiên cứu lần này.
Ảnh minh hoạ
Kroll đã ủy quyền cho Sapio Research khảo sát 1.000 nhà ra quyết định an ninh mạng tại 10 quốc gia, thuộc các doanh nghiệp có doanh thu từ 50 triệu USD đến hơn 5 tỷ USD mỗi năm. Theo Malone, báo cáo được xây dựng nhằm giải quyết một vấn đề ông thường xuyên chứng kiến trong thực tế: không phải kẻ tấn công đang làm gì, mà là vì sao doanh nghiệp vẫn liên tục gặp khó khăn trong việc theo kịp. Ông nhận định, nhiều tổ chức quá tập trung vào chiến lược, công cụ và kỹ thuật của tin tặc, trong khi bỏ qua câu hỏi cốt lõi: điều gì khiến chính họ vẫn chưa sẵn sàng.
Gần như toàn bộ người tham gia khảo sát (94%) xem an ninh mạng là một trong những rủi ro kinh doanh cốt lõi. Tại 48% tổ chức, CEO là người đưa ra quyết định cuối cùng về ngân sách an ninh mạng, cho thấy sự tham gia mạnh mẽ của lãnh đạo doanh nghiệp. Tuy nhiên, khoảng cách giữa bảo mật và kinh doanh vẫn tiếp tục nới rộng.
Hiểu biết về an ninh mạng chưa theo kịp quyền quyết định
Một phần nguyên nhân nằm ở khoảng cách giữa việc nắm quyền ngân sách và việc hiểu rõ vấn đề. Có tới 43% người được hỏi cho rằng hạn chế về hiểu biết an ninh mạng trong đội ngũ lãnh đạo là nguyên nhân chính dẫn đến sự thiếu đồng bộ. Thay đổi cách tiếp cận có thể giúp thu hẹp khoảng cách này.
Malone cho rằng cần nhìn nhận an ninh mạng dưới góc độ rủi ro kinh doanh và tài chính, thay vì chỉ là vấn đề kỹ thuật. Điều này đòi hỏi sự phối hợp chặt chẽ giữa lãnh đạo doanh nghiệp và đội ngũ điều hành để hiểu rõ an ninh mạng ảnh hưởng thế nào đến mục tiêu kinh doanh.
Dù các lãnh đạo đã quen với những thuật ngữ như ransomware, zero trust, định danh hay bảo mật đám mây, nhưng việc nắm khái niệm không đồng nghĩa với hiểu cách các khoản đầu tư này vận hành xuyên suốt để bảo vệ kết quả kinh doanh cụ thể. Khi được hỏi lý do khiến ưu tiên giữa bảo mật và kinh doanh tiếp tục lệch pha, hai yếu tố đứng đầu là sự khác biệt về mức độ chấp nhận rủi ro (51%) và hạn chế trong hiểu biết an ninh mạng của lãnh đạo (43%).
43% người được hỏi cho rằng hạn chế về hiểu biết an ninh mạng trong đội ngũ lãnh đạo doanh nghiệp là nguyên nhân chính dẫn đến sự thiếu đồng bộ. Ảnh minh hoạ
Chi tiêu sai trọng tâm
Theo Forbes, có 80% người tham gia khảo sát cho biết tổ chức của họ đã tăng ngân sách an ninh mạng trong năm 2026. Lĩnh vực được đầu tư nhiều nhất là bảo mật đám mây và bên thứ ba (59%). Tuy nhiên, đây không phải là nguồn gốc chính của phần lớn các cuộc tấn công.
Tấn công lừa đảo (phishing) là hình thức phổ biến nhất (39%), tiếp theo là khai thác lỗ hổng đám mây (31%) và tấn công giả mạo email doanh nghiệp (28%). Hai trong ba hình thức hàng đầu đều liên quan đến yếu tố con người và định danh. Dù vậy, nhiều tổ chức lại đang cắt giảm đầu tư vào quản lý danh tính và truy cập, thu hẹp các hoạt động kiểm thử (red team, purple team) và giảm nhân sự an ninh.
Malone cũng chỉ ra một vấn đề ít được chú ý: khoảng cách giữa việc mua công cụ và việc triển khai hiệu quả. Dữ liệu từ CrowdStrike cho thấy nhiều khách hàng chưa cấu hình hệ thống theo các tiêu chuẩn khuyến nghị. Nói cách khác, doanh nghiệp đã mua “khả năng bảo vệ”, nhưng chưa thực sự đưa nó vào vận hành.
Ông ví điều này như việc xây một “phòng an toàn” đầy đủ tiện nghi nhưng không kiểm tra thường xuyên xem hệ thống có hoạt động hay không, cũng như không chắc có thể kích hoạt ngay khi cần thiết.
Sự tự tin thái quá cũng là rủi ro
Có tới 99% tổ chức cho biết đã có kế hoạch ứng phó sự cố, và 91% tin rằng có thể phản ứng với một cuộc tấn công nghiêm trọng trong vòng 24 giờ. Tuy nhiên, theo báo cáo Mối đe dọa Toàn cầu 2026 của CrowdStrike, thời gian trung bình để tội phạm mạng xâm nhập sâu trong năm 2025 chỉ là 29 phút, thậm chí nhanh nhất chỉ 27 giây.
Điều này đồng nghĩa, khi doanh nghiệp bắt đầu phát hiện và ứng phó, kẻ tấn công có thể đã hoàn tất mục tiêu. Malone nhấn mạnh, trong vòng 12–20 giờ, dữ liệu mục tiêu đã bị lấy đi, trong khi tổ chức vẫn đang tìm cách xác định chuyện gì đã xảy ra.
Ngoài ra, chỉ 3% tổ chức cập nhật kế hoạch ứng phó sau khi xảy ra sự cố thực tế — thời điểm quan trọng nhất. Phần lớn chỉ cập nhật theo lịch định kỳ.
AI làm trầm trọng thêm các lỗ hổng
Có 76% tổ chức từng gặp sự cố bảo mật liên quan đến ứng dụng hoặc mô hình AI trong 24 tháng qua. Gần một nửa số tổ chức hầu như không có cơ chế quản trị việc nhân viên sử dụng AI, khiến đội ngũ an ninh phải xử lý những rủi ro chưa được nhận diện đầy đủ.
AI không tạo ra rủi ro hoàn toàn mới, mà làm gia tăng các rủi ro sẵn có như kiểm soát danh tính yếu, công cụ cấu hình sai hoặc kế hoạch ứng phó chưa được kiểm chứng. Những lỗ hổng này càng trở nên nghiêm trọng hơn sau khi triển khai AI.
Chỉ 10% tổ chức đạt mức độ trưởng thành an ninh mạng cao. Nhóm này ghi nhận ít sự cố liên quan đến AI hơn và dành nhiều ngân sách hơn cho việc kiểm thử kiểm soát bảo mật. Trong khi đó, phần lớn các tổ chức khác đang bổ sung AI trên một nền tảng chưa được kiểm chứng.
Giải pháp không nằm ở công cụ mới
Theo Malone, giải pháp không phải là mua thêm công cụ, mà là tăng cường phối hợp giữa lãnh đạo doanh nghiệp và đội ngũ an ninh để hiểu rõ hoạt động, rủi ro và cách bảo vệ ngay từ giai đoạn lập kế hoạch.
Bên cạnh đó, những người chịu trách nhiệm rủi ro cần tham gia sâu hơn vào quá trình triển khai và kiểm thử, thay vì chỉ phê duyệt ngân sách. Việc kiểm thử liên tục cũng đóng vai trò then chốt, dù hiện nay lại chưa được ưu tiên đầu tư đúng mức.
Thực tế, những vấn đề này không mới. Điểm đáng chú ý của nghiên cứu lần này là đưa ra các số liệu cụ thể về khoảng trống và chi phí mà chúng gây ra - điều có thể giúp doanh nghiệp nhìn rõ vấn đề, nếu họ thực sự muốn thay đổi.
