Mỗi lần một tài khoản bị chiếm, một đường link lừa đảo xuất hiện hay một file độc hại len vào máy tính, nhiều người thường nghĩ đó là “lỗi công nghệ” hoặc “xui rủi”. Nhưng nếu nhìn kỹ hơn, phần lớn rủi ro trên mạng không tự nhiên sinh ra. Đằng sau chúng là con người, tổ chức, quy trình và cả những khoảng trống trong nhận thức số của người dùng. Nói cách khác, rủi ro mạng không vô hình; nó được tạo ra, khai thác và lan truyền bởi những chủ thể rất cụ thể.
Có nhóm tạo rủi ro vì mục đích xấu rõ ràng nhằm đạt được mong muốn của họ. Đây là lớp rủi ro dễ nhìn thấy nhất. Nhưng ngoài họ còn có một lớp nguy cơ tinh vi hơn cả chính là sự bất cẩn của chính người dùng. Một mật khẩu yếu, một email giả mạo, một cú bấm vội, một lần chia sẻ thông tin quá mức, tất cả đều có thể mở đường cho rủi ro. Với sinh viên công nghệ, điều này rất quan trọng, vì hiểu tầm quan trọng của an toàn thông tin không chỉ là học công cụ phòng thủ, mà còn là học cách con người vô tình tạo ra lỗ hổng cho chính mình.
Các rủi ro trên mạng còn đến từ sự phức tạp của hệ thống hiện đại. Khi dữ liệu đi qua nhiều lớp nền tảng, nhiều dịch vụ, nhiều thiết bị và nhiều người dùng, chỉ cần một mắt xích yếu là toàn bộ hệ thống có thể bị ảnh hưởng. Bởi vậy, an toàn mạng không phải chuyện của riêng bộ phận IT. Nó là bài toán của thiết kế hệ thống, của quản trị, của thói quen sử dụng và của cả văn hóa số trong một tổ chức. Người học công nghệ muốn đi xa phải sớm hiểu rõ rủi ro không chỉ nằm ở mã độc, mà còn nằm ở quy trình lỏng lẻo, giám sát thiếu, phân quyền sai và thói quen dùng số quá chủ quan.
Câu hỏi “ai đang đứng sau rủi ro mạng” vì vậy không nên được hiểu quá hẹp. Đó là kẻ xấu có chủ đích, là sai sót của người dùng, là hệ thống thiếu phòng ngừa, là sự chủ quan trong tổ chức và là những kẽ hở mà con người chưa kịp nhận ra. Học an toàn thông tin ở KMA là học cách nhìn thấy toàn bộ bức tranh đó, thay vì chỉ thấy từng cảnh báo nhỏ lẻ trên màn hình.
