Cần nhiều mô hình thực tiễn về hợp tác 3 bên trong đào tạo an ninh mạng

Báo cáo về mức độ trưởng thành về khả năng ứng phó sự cố an ninh mạng được Cisco công bố hồi trung tuần tháng 5/2025 chỉ ra rằng, 95% người được khảo sát xác định thiếu hụt chuyên gia an ninh mạng là một thách thức lớn. Hiệp hội An ninh mạng quốc gia cũng đã dự báo Việt Nam thiếu hụt 700.000 nhân sự an ninh mạng và cần được bổ sung thời gian tới.

Phóng viên VietNamNet vừa có cuộc trao đổi với ông Khổng Huy Hùng, Tổng Giám đốc Công ty cổ phần Công nghệ an ninh không gian mạng Việt Nam – VNCS về bài toán nguồn nhân lực an ninh mạng Việt Nam.

Tổng Giám đốc VNCS Khổng Huy Hùng (đứng ngoài cùng bên phải) nhận xét: Đang có một nghịch lý lớn là thị trường khát nhân lực, nhưng nhiều đơn vị lại quá thận trọng với người mới.

Phóng viên: Từ quan sát thị trường và thực tế công tác tuyển dụng tại doanh nghiệp mình, ông đánh giá thế nào về mức độ thiếu hụt nhân sự an ninh mạng?

Ông Khổng Huy Hùng: Mọi người đều nói thị trường đang thiếu người, nhưng thực tế, theo quan sát của chúng tôi, vẫn còn khá ít doanh nghiệp sẵn sàng đón nhận sinh viên mới ra trường, tạo điều kiện cho các bạn được cọ xát và đào tạo bài bản.

Nhiều đơn vị ưu tiên tuyển người có kinh nghiệm, trong khi kinh nghiệm không thể tự có nếu không được trao cơ hội. Đây là một nghịch lý lớn: thị trường khát nhân lực, nhưng lại quá thận trọng với người mới. Điều đó khiến nhiều bạn trẻ có năng lực chưa thể bước chân vào nghề.

Nếu chúng ta có thể tháo gỡ điểm nghẽn này, nghĩa là dám đầu tư vào đội ngũ trẻ, đồng hành với họ từ đầu, thì sẽ mở ra một hướng đi khả thi cho bài toán nhân lực ngành an toàn, an ninh mạng trong thời gian tới.

Sự thiếu hụt nhân sự an ninh mạng đang gây ra những hệ lụy gì cho chủ quản các hệ thống thông tin cả với khối nhà nước và tư nhân, thưa ông?

Hệ quả rõ nhất là các đơn vị có đầu tư công nghệ nhưng thiếu người vận hành tốt, thì rủi ro vẫn hiện hữu. Tôi từng gặp những đơn vị đầu tư lớn vào Trung tâm giám sát an ninh mạng - SOC, nhưng chỉ có 1 - 2 người vận hành, dẫn đến quá tải, cảnh báo bị bỏ sót, sự cố xử lý chậm hoặc chưa đúng quy trình.

Với khối nhà nước và hệ thống trọng yếu, nếu không có người đủ năng lực phân tích và phản ứng kịp thời, thì nguy cơ bị tấn công âm thầm là rất thực tế.

Còn ở doanh nghiệp, thiếu nhân sự dễ dẫn đến các sự cố như thất thoát dữ liệu, khai thác lỗ hổng, gian lận nội bộ... và chỉ một sự cố nhỏ cũng có thể ảnh hưởng lớn đến uy tín thương hiệu.

Công nghệ chỉ là “phần xác”, con người mới là “phần hồn”. Có giải pháp nhưng thiếu con người phù hợp thì hiệu quả cũng không thể đạt như kỳ vọng.

Năm nay là năm đầu tiên VNCS tổ chức chương trình huấn luyện thực chiến cho các bạn trẻ đam mê an ninh mạng. Từ thực tế triển khai, ông đánh giá thế nào về chất lượng đào tạo an ninh mạng?

Tôi cho rằng, sinh viên Việt Nam có năng lực tốt, nhưng môi trường đào tạo vẫn còn quá an toàn. Các bạn trẻ hiện nay học rất nhanh, đam mê và chủ động. Điều còn thiếu là cơ hội để thực hành trong môi trường gần với thực tế, có tình huống phát sinh, có áp lực và có phản hồi kịp thời.

Nhiều trường vẫn dạy nặng lý thuyết, phần thực hành chủ yếu là mô phỏng, chưa đủ sức rèn phản xạ nghề nghiệp. Tại VNCS, chúng tôi xây dựng chương trình huấn luyện theo hướng "va chạm thật" - sử dụng log thật, hệ thống thật, có chuyên gia hỗ trợ và cũng có những tình huống phát sinh như trong môi trường làm việc. Kết quả thu được rất khả quan: Nhiều bạn tiến bộ rõ rệt chỉ sau vài tuần. Do vậy, vấn đề không nằm ở sinh viên, mà ở chỗ chúng ta đã tin tưởng và trao cho các bạn trẻ cơ hội đến đâu.

Vậy đâu là những giải pháp cần được quan tâm triển khai để giải bài toán thiếu hụt nhân lực an toàn, an ninh mạng, thưa ông?

Nhà nước hiện đã và đang đẩy mạnh kế hoạch phát triển nhiều chính sách mới, tạo khung năng lực, thúc đẩy đặt hàng đào tạo và ưu tiên cho ngành an toàn, an ninh mạng. Điều đó là cần thiết và thật sự rất đáng trân trọng.

Tuy nhiên, bên cạnh chính sách, tôi cho rằng cũng cần thêm những mô hình thực tiễn – nơi doanh nghiệp, nhà trường và cơ quan quản lý cùng bắt tay, chia sẻ vai trò trong việc đào tạo nguồn nhân lực. Khi các bên cùng bắt tay: Nhà trường đào tạo cơ bản, doanh nghiệp huấn luyện thực chiến, và nhà nước tạo hành lang, tôi nghĩ rằng bài toán tưởng như rất “khó nhằn” này sẽ có lời giải.

Chuyên gia VNCS cho rằng, đào tạo thực chiến là giải pháp đáng được ưu tiên nhất hiện nay.

Trong các giải pháp, tôi cho rằng đào tạo thực chiến là giải pháp đáng được ưu tiên nhất hiện nay. Bởi lẽ, đây là giải pháp hiệu quả nhất, ngắn hạn cũng như dài hạn để tạo ra đội ngũ có thể làm việc ngay.

Có nơi đang hiểu nhầm rằng cứ giao việc thật cho sinh viên làm là “thực chiến”. Nhưng nếu thiếu hướng dẫn, thiếu đánh giá, thì đó không còn là đào tạo mà dễ trở thành “thả nổi”.

Chúng ta đã nói quá nhiều về lý thuyết, tiêu chuẩn, chứng chỉ. Nhưng thực tế là, một kỹ sư an ninh mạng chỉ giỏi khi họ đã từng xử lý tình huống thật, dù là trong môi trường mô phỏng có kiểm soát.

Thực chiến không có nghĩa là “ném vào làm”, mà là huấn luyện trong điều kiện sát thực tế, có hướng dẫn, có đánh giá, có áp lực đủ để rèn nghề. Và quan trọng nhất là vẫn phải đảm bảo an toàn tuyệt đối cho hệ thống của khách hàng. Chúng tôi đã áp dụng mô hình này, và chỉ sau vài tháng, sinh viên có thể tham gia trực SOC, phân tích log, hỗ trợ điều tra sự cố.

Tôi muốn nhấn mạnh rằng kiến thức lý thuyết là nền tảng, nhưng để làm được việc, điều quan trọng là được trải nghiệm, luyện phản xạ và tư duy như một người đang thực sự làm nghề.

Xin cảm ơn ông!