Để đối mặt điều này, các tổ chức cần có đội an toàn thông tin (ATTT) chuyên nghiệp. Tuy nhiên, các tấn công mạng ngày càng gia tăng nhưng đội ngũ nhân lực ATTT chuyên nghiệp thì phát triển theo không kịp.
Nhân lực ATTT - cung chưa đủ cầu
Chuyển đổi số (CĐS) tạo ra một thế giới mới, thế giới số. Thế giới đó giàu có và hấp dẫn đối với tội phạm mạng. Sống an toàn trong đó, con người phải biết tự bảo vệ mình và xây dựng những lực lượng an ninh chuyên nghiệp hỗ trợ. Những chuyên gia ATTT, những người làm công tác đảm bảo ATTT, do đó, cũng cần phải ngày càng lớn mạnh để có thể bảo vệ được các công dân của mình và tài sản của họ trong thế giới này.
Trong những năm gần đây, luôn có thể tìm thấy một cách dễ dàng các thông báo tuyển dụng kỹ sư, kỹ thuật viên trong lĩnh vực ATTT. Từ các cơ quan chính phủ đến các doanh nghiệp (DN) tư nhân liên tục đăng tải các quảng cáo cơ hội việc làm về ATTT trên các phương tiện truyền thông đại chúng, các mạng xã hội.
Hàng loạt các báo cáo quốc tế và quốc gia, đến các báo cáo của các địa phương đều nhấn mạnh về nguy cơ mất ATTT và hiện trạng thiếu hụt nhân lực trong lĩnh vực này. Tìm kiếm trên Google với từ khóa tiếng Việt "đào tạo nhân lực ATTT" sẽ có kết quả là 135 triệu đường link có thông tin liên quan. Theo Cybersecurity Ventures, số lượng vị trí việc làm về ATTT đang thiếu người đảm nhiệm trên toàn thế giới đã tăng 350% từ năm 2013 đến năm 2021, từ 1 triệu lên 3,5 triệu. Báo cáo của Diễn đàn Kinh tế Thế giới (WEF) cũng đưa ra con số 3 triệu chuyên gia ATTT cần được bổ sung trên toàn thế giới.
Riêng đối với Hoa Kỳ, nhiều quan điểm cho rằng đất nước này đang tiến đến một cuộc khủng hoảng thực sự về ATTT. Tần suất vi phạm ác ý gia tăng đáng kinh ngạc. Khối lượng thông tin cá nhân và thông tin tài chính nhạy cảm bị đánh cắp rất lớn. Thậm chí các hồ sơ do cơ quan liên bang lưu trữ cũng bị các quốc gia đối thủ xâm nhập trái phép. Rủi ro đối với cơ sở hạ tầng mạng và điện tử của quốc gia, bao gồm hệ thống tài chính, các tiện ích công cộng và giao thông luôn hiện hữu và dường như đang ngày càng trở nên tồi tệ hơn.
Kết quả khảo sát tại khu vực Đông Nam Á và Hồng Kông của Fortinet cho thấy, 71% các DN tham gia khảo sát đang phải đối mặt với khó khăn trong việc tuyển dụng nhân tài đủ tiêu chuẩn về ATTT. Một báo cáo khác về lực lượng lao động ATTT năm 2021 của ISC (Cyber Workforce Report) cho rằng châu Á - Thái Bình Dương có sự thiếu hụt về lực lượng lao động theo khu vực lớn nhất, lên tới 1,42 triệu người. [1]
Tại Việt Nam, vấn đề này cũng không phải ngoại lệ. Theo Cục ATTT (Bộ TT&TT), nguồn nhân lực ATTT chưa đáp ứng được nhu cầu cả về số lượng và chất lượng, đặc biệt tại địa phương. Đến hết năm 2020, lực lượng dân sự về ATTT của Việt Nam ước tính 50.000 người, trong khi đến năm 2021 chúng ta cần khoảng 700.000 nhân lực. [2]
Nguyên nhân thiếu hụt nhân lực ATTT
Mọi sự thiếu hụt nhân lực đều xuất phát từ chênh lệch giữa nguồn cung và nhu cầu thực tế về lao động. Sự chênh lệch này có các nguyên nhân:
Số lượng các cuộc tấn công mạng ngày càng tăng khiến các tổ chức phải tuyển dụng các chuyên gia ATTT với số lượng tương ứng để bảo vệ DN của họ tạo ra lượng cầu rất lớn về nhân lực.
Các điều kiện đặt ra với ứng viên tham gia tuyển dụng khắt khe. Cần tuyển dụng nhiều, nhưng tiêu chí cao, các tổ chức, DN khó có đủ số lượng cần có. Họ mong muốn các chuyên gia có kinh nghiệm và có chứng chỉ nghề, không muốn sinh viên mới tốt nghiệp. Như vậy chính họ đang tự giới hạn mình trong một phạm vi và bỏ qua rất nhiều cơ hội có được nhân viên giỏi.
Nhận thức hời hợt về ATTT dẫn đến thiếu quan tâm và thiếu đào tạo thường xuyên cho cộng đồng. Ngay cả khi các cuộc tấn công mạng liên tục gây xôn xao, nhiều người vẫn không biết hoặc không quan tâm đến ATTT. Chính các lãnh đạo còn không coi trọng nên họ cũng bỏ bê việc đào tạo nhân viên.
Thiếu giáo dục đại học (ĐH) về ATTT. Mặc dù ngày nay, rất nhiều trường ĐH đã có chuyên ngành đào tạo về ATTT; tuy nhiên, số lượng sinh viên các khoa, ngành này vẫn rất ít. Ngoài ra, sinh viên không phải ngành này lại thường rất ít quan tâm và hầu như không được đào tạo các kiến thức cần thiết về lĩnh vực này nên tạo ra lực lượng lao động đông đảo mà thiếu kiến thức về ATTT.
Chưa coi trọng phụ nữ và các nhóm thiểu số trong lĩnh vực ATTT. Sự phân biệt đối xử đã khiến phụ nữ và các nhóm thiểu số khác không chọn ATTT làm nghề nghiệp của họ. Thực tế hiện nay, nam giới nắm giữ phần lớn các vị trí quản lý trong các công việc liên quan đến ATTT. Tình trạng chênh lệch lương, tiền công trên toàn cầu và tình trạng phân biệt đối xử giữa lao động nữ và nam, không khuyến khích phụ nữ tham gia, dẫn đến chênh lệch lực lượng lao động trong lĩnh vực ATTT.
Biện pháp giảm thiếu hụt nhân lực ATTT
Sự thiếu hụt là do sự chênh lệch giữa "cung" và "cầu". Do vậy, cần thực hiện "giảm cầu" và "tăng cung". Để "giảm cầu" trong tuyển dụng bổ sung nhân lực ATTT tại các tổ chức, biện pháp khắc phục chính là làm sao để công việc phát sinh của tổ chức không nằm ngoài khả năng xử lý và hạn chế các sự vụ tiêu cực.
Trong lĩnh vực ATTT, một trong các biện pháp đó chính là nâng cao năng lực kỹ thuật cho tổ chức và nâng cao nhận thức, kỹ năng cho đội ngũ nhân sự hiện có. Cụ thể như: các phương pháp bảo mật email chặt chẽ, đảm bảo thực hiện đủ các bản vá bảo mật, triển khai các chương trình bảo mật đồng bộ, bài bản, cung cấp tài nguyên bảo mật, các công cụ và giao thức phù hợp một cách đầy đủ; thực hiện giáo dục nhận thức cho cộng đồng, cho bộ máy của tổ chức về các mục tiêu tấn công của tội phạm mạng, tầm quan trọng của các chính sách ATTT của tổ chức và đảm bảo việc tuân thủ chặt chẽ các chính sách này.
Để "tăng cung" chính là việc đào tạo nhân lực liên tục, thường xuyên và ở mọi cấp độ về ATTT.
Tăng cường và cải thiện giáo dục về ATTT: Tiếp cận vấn đề tận gốc rễ là một giải pháp lâu dài cho tình trạng thiếu hụt lực lượng lao động trong lĩnh vực này. Các cơ sở giáo dục phải bắt kịp thời đại thay đổi và cung cấp các khóa học liên quan cho sinh viên và các chuyên gia đang làm việc.
Đưa ra các ưu đãi hấp dẫn thu hút nhân tài: Tội phạm mạng tích cực tìm kiếm các lỗ hổng để khai thác và đưa ra hàng triệu đô la để tuyển dụng những nhân viên sẵn sàng phá hoại hệ thống của nhà tuyển dụng. Các tổ chức, DN do vậy cũng phải lưu ý điều này để thu hút nhân tài về phía mình.
Đầu tư vào đào tạo nâng cao nhận thức về ATTT: Một cách hiệu quả để giảm thiểu sự thiếu hụt lực lượng lao động là đào tạo và đào tạo lại lực lượng lao động hiện có. Ngoài ra, có nhiều chương trình ATTT được thiết kế để các chuyên gia CNTT tự nâng cao kỹ năng và xử lý các vấn đề liên quan đến ATTT một cách hiệu quả.
Chú trọng phụ nữ và các nhóm thiểu số khác trong lực lượng lao động ATTT: Vì họ là lực lượng lao động tiềm năng và rất đông đảo. Các tổ chức, DN phải loại bỏ việc tuyển dụng phân biệt đối xử và thực hiện chính sách đa dạng lao động trong lĩnh vực ATTT.
Tăng cường các sáng kiến khuyến khích các hoạt động trong lĩnh vực ATTT: Các tổ chức, DN đưa ra các chương trình học nghề về ATTT khác nhau; thiết lập các quan hệ đối tác công tư; hợp tác giáo dục; các cuộc thi; các chương trình học bổng và xây dựng các quỹ để giúp sinh viên phát triển sự nghiệp về ATTT có thể đi một chặng đường dài trong việc giảm thiểu sự thiếu hụt lực lượng lao động nghiêm trọng này.
Đào tạo nâng cao nhận thức - dễ mà hiệu quả
ATTT không chỉ là vấn đề về kỹ thuật. Đảm bảo an toàn cho các hệ thống, dữ liệu phụ thuộc rất nhiều vào ý thức của con người và các chính sách ATTT của tổ chức.
Nếu chúng ta luôn khỏe mạnh, chúng ta sẽ không cần đến bác sỹ.
Một nhân viên lơ là có thể tải một tệp có chứa mã độc làm lây lan cho cả hệ thống. Nếu nhân viên đó luôn ý thức cao, không tùy tiện tải xuống các tệp có dấu hiệu lạ, thì sẽ không cần đến một chuyên gia bóc gỡ mã độc khi ấy. Do vậy, có thể nói, biện pháp hàng đầu trong việc khắc phục tình trạng thiếu nhân lực ATTT hiện nay chính là ý thức của cộng đồng, của lãnh đạo, của nhân viên trong tổ chức.
Các chủ đề đào tạo nâng cao nhận thức cần triển khai là:
Cảnh giác với lừa đảo trên mạng: Lừa đảo là một trong những con đường tấn công hiệu quả nhất của tội phạm mạng. Chúng sử dụng các kỹ thuật thông minh để lừa nhân viên của các tổ chức để họ tải xuống các tệp đính kèm mã độc.
Do vậy, đội ngũ nhân sự cần được đào tạo thường xuyên về cách phát hiện các cuộc tấn công lừa đảo sử dụng các kỹ thuật hiện đại, cũng như cách báo cáo một cuộc tấn công lừa đảo ngay khi họ tin rằng họ đã bị nhắm mục tiêu.
Quản lý các thiết bị có thể tháo rời: Các phương tiện lưu trữ có thể tháo rời giúp người dùng sao chép dữ liệu từ thiết bị này sang thiết bị khác và ngược lại nên luôn có khả năng là vật trung gian làm lây lan virus và mang phần mềm độc hại từ máy tính này sang máy tính khác, ví dụ như các USB.
Mật khẩu và xác thực chặt chẽ: Một yếu tố rất đơn giản nhưng thường bị bỏ qua là bảo mật bằng mật khẩu. Sử dụng các mật khẩu đơn giản giúp người dùng dễ nhớ, tuy nhiên lại làm cho tin tặc rất dễ đoán ra và chỉ dùng vài kỹ thuật phân tích tự động là chúng có thể bẻ khóa các tài khoản trên mạng. Cần sử dụng các mật khẩu ngẫu nhiên, đa dạng ký tự và sử dụng các loại xác thực hai yếu tố, cung cấp thêm các lớp bảo mật để bảo vệ tính toàn vẹn của tài khoản.
Đảm bảo an toàn về mặt vật lý: Nhiều người thường ghi lại mật khẩu trên các ghi chú dán trên bàn, rồi đôi khi lại vứt các tờ ghi chú đó vào thùng rác. Chính cách làm này là một sơ hở về mặt vật lý. Tin tặc có thể cố tình nhìn giấy trên bàn, hoặc vô tình đọc được tờ ghi chú trên thùng rác. Nhận thức đơn giản về rủi ro của việc để tài liệu, máy tính và mật khẩu mà không giám sát, kể cả ở văn phòng hoặc ở nhà, đều tạo ra nguy cơ mất ATTT cao. Bằng cách thực hiện chính sách "bàn làm việc sạch sẽ", nguy cơ bị đánh cắp hoặc sao chép tài liệu có thể giảm đáng kể.
Bảo mật thiết bị di động: Các thiết bị cá nhân có nhiều tiện ích giúp con người mọi lúc, mọi nơi để kết nối mạng và tương tác, xử lý các công việc. Chúng cần đến các ứng dụng và đây là nguồn gốc của các cuộc tấn công mạng. Tin tặc tạo ra các ứng dụng tiện ích nhưng lại chứa phần mềm độc hại. Việc tải xuống các ứng dụng này có nguy cao về việc mất ATTT.
Ngoài ra, các thiết bị di động ngày nay luôn chứa nhiều thông tin cá nhân, thông tin nhạy cảm; do đó phải luôn sử dụng mật khẩu, mã hóa hoặc xác thực sinh trắc học đề phòng trường hợp thiết bị bị mất hoặc bị đánh cắp.
Các quy tắc đối với làm việc từ xa: Trong bối cảnh COVID vừa qua, làm việc từ xa đã được phát huy và rất hiệu quả. Tuy nhiên, cũng từ đó nảy sinh và lộ ra rất nhiều mặt trái. Tin tặc lén lút xâm nhập vào các cuộc họp kín mà không bị phát hiện. Các hành vi cá nhân nhạy cảm đã vô tình xuất hiện trên các camera khi đang kết nối online. Do vậy, phải có nguyên tắc và các quy tắc tuân thủ khi làm việc từ xa.
Các biện pháp an toàn khi kết nối Wi-Fi công cộng: Mạng Wi-Fi công cộng giả mạo, thường được đặt trong các quán cà phê là wi-fi miễn phí, có thể khiến người dùng cuối dễ bị nhập thông tin vào các máy chủ công cộng không an toàn.
Bảo mật đám mây: Điện toán đám mây đã cách mạng hóa các tổ chức, DN, cách dữ liệu được lưu trữ và truy cập. Tuy nhiên, nguy cơ mất ATTT với lưu trữ đám mây vẫn đang hiện hữu, mà nguyên nhân chính là "hack nội gián", tức là từ các sơ hở, thậm chí cố tình của nhân viên trong tổ chức.
Gartner, tập đoàn công nghệ lớn toàn cầu, dự đoán rằng vào năm tới, 99% tất cả các sự cố bảo mật đám mây sẽ là lỗi của người dùng cuối.
Thận trọng khi sử dụng các mạng xã hội: Tất cả chúng ta đều chia sẻ cuộc sống của mình trên mạng xã hội: từ các kỳ nghỉ đến các sự kiện và công việc. Tuy nhiên, việc chia sẻ quá nhiều có thể dẫn đến việc người khác lấy thông tin này để giả mạo chúng ta.
Sử dụng Internet và email một cách an toàn: Một nghiên cứu cho thấy 59% người dùng cuối sử dụng cùng một mật khẩu cho mọi tài khoản. Điều này có nghĩa là nếu một tài khoản bị xâm nhập, tin tặc có thể sử dụng mật khẩu này để truy cập vào tất cả thông tin của người dùng trên các tài khoản khác.
Các trang web cung cấp phần mềm miễn phí dễ bị nhiễm phần mềm độc hại. Tải các ứng dụng từ đó rất dễ nhiễm mã độc. Nhiều trang web lớn vi phạm dữ liệu vì đã để lộ thông tin cá nhân do người dùng khai báo khi đăng nhập.
Các vấn đề liên quan kỹ thuật xã hội (social engineering): Kỹ thuật xã hội là một kỹ thuật phổ biến mà những kẻ xấu sử dụng để lấy lòng tin của nhân viên, đưa ra những chiêu dụ có giá trị hoặc sử dụng hành vi mạo danh để truy cập vào thông tin cá nhân có giá trị. Đào tạo về các chủ đề nhận thức về bảo mật trước các các kỹ thuật xã hội cần được thực hiện thường xuyên.
ATTT tại nhà: Ngày nay hầu hết các gia đình ở thành phố đều kết nối Internet. Việc kết nối tại nhà có nhiều chủ quan. Các tổ chức, công ty thường có nhiều nguyên tắc, chính sách về đảm bảo ATTT. Nhưng tại nhà, thường không có các nguyên tắc này. Do vậy, khi nhiều người mang việc cơ quan về nhà làm khiến nguy cơ mất ATTT cho tổ chức là rất cao. Ngoài ra, các thông tin cá nhân của chính các gia đình cũng luôn là mục hấp dẫn cho tin tặc.
Có thể thấy, con người làm chủ cuộc sống của mình và nhận thức của họ chính là chìa khóa an toàn nhất cho mọi vấn đề liên quan kết nối mạng. Đào tạo nâng cao nhận thức là đào tạo quan trọng và có giá trị hàng đầu trong các loại hình đào tạo về ATTT. Chính việc nâng cao nhận thức của người dùng sẽ đóng góp vai trò rất lớn trong việc giảm thiểu các rủi ro trên mạng và hỗ trợ cho giải quyết vấn đề thiếu hụt nhân lực ATTT.
Quản lý rủi ro con người - giải pháp khắc phục lỗ hổng của đào tạo
Con người chính là liên kết yếu nhất trong hệ thống phòng thủ của hệ thống mạng. Công tác đào tạo được triển khai rộng rãi và càng ngày càng có quy mô lớn. Tuy nhiên, công tác này hầu như vẫn chưa theo kịp sự gia tăng các mối đe dọa, sự phát triển của công nghệ mới, sự thay đổi trong lực lượng lao động và hiệu quả thu được rất thấp.
Để khắc phục điều này có thể dùng biện pháp "quản lý rủi ro con người":
Đào sâu vào dữ liệu. Lãnh đạo tổ chức, đặc biệt giám đốc ATTT (CISO) phải hiểu hiện trạng bảo mật của họ. Họ cần nắm giữ và nghiên cứu kỹ các dữ liệu toàn diện về kiến thức bảo mật của nhân viên và các điểm yếu trong hệ thống mạng. Dữ liệu từ các chương trình đào tạo, mô phỏng các hình thức tấn công, lừa đảo, dữ liệu từ thiết bị đầu cuối, cổng email và các cơ sở hạ tầng bảo mật được tích hợp để dựng lên bức tranh rõ ràng về rủi ro con người trong tổ chức. Điều này cho phép họ biết nơi cần tăng cường đào tạo và các biện pháp khác.
Đào tạo nhận thức thường xuyên vui vẻ và hấp dẫn. Đào tạo ATTT truyền thống không thường xuyên và cung cấp quá nhiều thông tin cho nhân viên trong một khoảng thời gian ngắn. Kết quả là việc ghi nhớ các thông tin này rất khó khăn và không hiệu quả. Thay vào đó, nên tổ chức các khóa học quy mô nhỏ với các câu hỏi đặt ra ngay sau đó để củng cố các khái niệm. Đội ngũ nhân sự được thường xuyên tiếp xúc với nội dung mới, được liên tục tìm hiểu về các mối đe dọa mới và thường xuyên được nhắc nhở để luôn cảnh giác.
Cá nhân hóa theo từng trường hợp. Mỗi người thực hiện việc đảm bảo ATTT mạng khác nhau. Nhiều người dùng cuối có thể rất dễ bị tấn công lừa đảo, khi mà số khác gặp khó khăn với mật khẩu yếu. Do đó, nhân viên cần có các sáng kiến bảo mật được cá nhân hóa, được nhắc nhở và đào tạo bổ sung thường xuyên.
Kiểm tra nhân viên bằng các cuộc tấn công trong thế giới thực. Mô phỏng lừa đảo nên được sử dụng như một công cụ quan trọng để đo lường rủi ro bảo mật hiện tại của tổ chức. Các lãnh đạo ATTT phải đảm bảo có một kế hoạch toàn diện để theo dõi các bộ phận nhân sự dễ bị tấn công và đào tạo thêm cho họ. Diễn tập thực chiến chính là một biện pháp đang được áp dụng để đào tạo đội ngũ chuyên trách về ATTT.
Chúng ta đã nói về rủi ro, nhưng đừng quên phần thưởng. Một trong những cách tốt nhất để cải thiện hành vi là ghi nhận sự tiến bộ. Một chương trình quản lý rủi ro toàn diện về con người nên mang lại sự tích cực và tạo ra những bước tiến chắc chắn cho nhân sự. Việc triển khai bảng xếp hạng ATTT để thêm yếu tố cạnh tranh thú vị vào nhận thức về ATTT và xây dựng văn hóa bảo mật của tổ chức chính là điều nên làm.
Quản lý rủi ro của con người là một chương trình toàn diện thu hút người tham gia, coi họ như tài sản trong cuộc chiến chống tội phạm mạng thay vì chỉ là một mối đe dọa cần được khắc phục.
Thay lời kết
Trong bảng đánh giá các tiêu chí để đưa ra chỉ số phát triển ngành ATTT cho các quốc gia (GCI), Liên minh Viễn thông Quốc tế (ITU) xây dựng riêng nội dung nâng cao năng lực là một trong 5 trụ cột quan trọng nhất. Trong trụ cột nâng cao năng lực này thì đào tạo và nâng cao nhận thức chiếm một nửa số điểm của bảng đánh giá.
Ở tầm vĩ mô của quốc gia, ATTT bao gồm nhiều khía cạnh, không chỉ là kỹ thuật, mà còn là vấn đề pháp lý, vấn đề tổ chức, các biện pháp nâng cao năng lực và các quan hệ hợp tác, phối hợp.
Còn xét vi mô, như cho từng tổ chức, cá nhân, ATTT cũng không phải chỉ là kỹ thuật, mà nó còn là ý thức của người dùng, các thói quen và kỹ năng phụ trợ khác. Để thực hiện điều đó, GCI cũng đưa ra 3 cấp độ đào tạo: phổ biến kiến thức, nâng cao nhận thức cho công chúng; đào tạo trong trường học, đào tạo hàn lâm cho học sinh, sinh viên; và cuối cùng là đào tạo chuyên gia.
Năm 2020 Việt Nam xếp hạng 25 trong GCI. Điều này thể hiện một tiến bộ lớn của Việt Nam trong đào tạo ATTT. Và nếu tất cả các quốc gia đều thực hiện tốt những biện pháp nêu trên trong GCI, không còn thiếu hụt lực lượng lao động này nữa, thì có lẽ, đó là lúc chúng ta đã thay đổi được thế giới./.