Cần nhanh chóng xây dựng các bộ tiêu chuẩn về nhân lực an ninh mạng

Báo cáo do Ban Công nghệ, Hiệp hội An ninh mạng quốc gia cho thấy, hiện nay tình trạng Việt Nam bị tấn công mạng ngày càng gia tăng trong khi đó nguồn nhân lực an ninh mạng thiếu trầm trọng.

Gia tăng đáng kể về số lượng và quy mô các vụ tấn công mạng

Ban Công nghệ, Hiệp hội An ninh mạng quốc gia thực hiện khảo sát trong năm 2024, cơ quan, doanh nghiệp tại Việt Nam liên tục đối mặt với nhiều thách thức nghiêm trọng trên không gian mạng, đặc biệt là sự gia tăng đáng kể về số lượng và quy mô các vụ tấn công. Nhiều vụ việc nghiêm trọng đã xảy ra, nhắm vào các doanh nghiệp, tổ chức lớn như VNDirect, PVOIL, Vietnam Post và các cơ sở y tế, giáo dục… cho thấy bất kỳ lĩnh vực nào cũng có thể là mục tiêu tấn công của tội phạm mạng.

Theo báo cáo của Hiệp hội An ninh mạng quốc gia, có tới 46,15% cơ quan, doanh nghiệp cho biết đã từng bị tấn công mạng ít nhất 1 lần trong năm qua, trong đó 6,77% thường xuyên bị tấn công. Tổng số vụ tấn công mạng trong năm ước tính lên tới hơn 659.000 vụ.

Theo báo cáo của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an, chỉ tính riêng các đơn vị trọng yếu đã có tới hơn 74.000 cảnh báo tấn công mạng, trong đó có 83 chiến dịch tấn công có chủ đích APT.

Theo thống kê của Hiệp hội An ninh mạng quốc gia, có tới 26,14% các vụ tấn công trong năm là tấn công APT sử dụng mã độc gián điệp nằm vùng. Có 4 loại lỗ hổng thường bị tin tặc khai thác để tấn công có chủ đích gồm: Lỗ hổng trong các phần mềm đang sử dụng; Lỗ hổng trong quy trình quản lý, cấu hình, phân quyền; Lỗ hổng từ các chuỗi cung ứng (Supply Chain) không đảm bảo an toàn, an ninh; Lỗ hổng do con người trong hệ thống.

Ngoài nguy cơ bị đánh cắp thông tin, dữ liệu, các cơ quan, doanh nghiệp còn phải đối mặt với mối đe dọa bị mã hoá dữ liệu tống tiền. Theo khảo sát, có tới 14,59% cơ quan, doanh nghiệp cho biết đã bị tấn công bằng mã độc ransomware trong năm qua. Đây là tỷ lệ đáng báo động bởi hình thức tấn công này rất nguy hiểm, mang tính “sát thương” cao. Khi đã bị mã hoá dữ liệu, không có cách nào để giải mã, hoạt động của cơ quan, doanh nghiệp bị gián đoạn, đặc biệt uy tín bị ảnh hưởng.

Cán bộ an ninh mạng đang thiếu trầm trọng cần đà tạo và có bộ tiêu chuẩn về an ninh mạng phù hợp. Ảnh minh họa

Thiếu trầm trọng nguồn nhân lực cần đào tạo và ban hành tiêu chuẩn phù hợp

Mặc dù tấn công mạng đang rất nghiêm trọng nhưng nguồn nhân lực an ninh mạng tại Việt Nam lại đang thiếu hụt trầm trọng. Theo khảo sát của Hiệp hội, có tới hơn 20,06% đơn vị cho biết hiện chưa có nhân sự chuyên trách về an ninh mạng, 35,56% cơ quan, doanh nghiệp chỉ bố trí được không quá 5 người phụ trách, con số này là rất nhỏ so với yêu cầu thực tế hiện nay.

Để đảm bảo an ninh mạng, theo mô hình giám sát tập trung SOC 24/7 với 3 ca 4 kíp, mỗi tổ chức cần tối thiểu từ 8 đến 10 vị trí chuyên trách. Việc thiếu vắng nhân sự sẽ dẫn đến tình trạng quá tải trong quản lý các nguy cơ, đồng thời làm giảm hiệu quả phản ứng và đối phó khi xảy ra sự cố. Tình trạng này khiến các tổ chức dễ bị tổn thương trước các cuộc tấn công mạng, dẫn đến những thiệt hại nặng nề về tài chính và uy tín.

Nguyên nhân của tình trạng thiếu hụt nhân sự chuyên trách xuất phát từ cả chủ quan và khách quan. Các trường đào tạo an ninh mạng tại Việt Nam hiện nay cung cấp không đủ số lượng cho nhu cầu của thị trường. Chất lượng sinh viên tốt nghiệp ra trường không đồng đều, đa số không có kinh nghiệm thực tế nên rất khó để tham gia vận hành các hệ thống quan trọng. Nhiều tổ chức, đặc biệt là các doanh nghiệp vừa và nhỏ, chưa đánh giá đúng mức độ quan trọng của an ninh mạng, dẫn đến việc đầu tư vào nhân sự chuyên trách bị xem nhẹ.

Theo Hiệp hội An ninh mạng quốc gia, để giải quyết khó khăn thiếu hụt nhân sự, các cơ quan, doanh nghiệp nên nghiên cứu thuê ngoài dịch vụ chuyên nghiệp giám sát, vận hành an ninh mạng SOC để sử dụng chung nguồn lực.

Bên cạnh đó, Việt Nam cần nhanh chóng xây dựng các bộ tiêu chuẩn, chứng nhận và hệ thống đánh giá chính quy về nhân lực an ninh mạng. Những bộ tiêu chuẩn này sẽ giúp sớm chuẩn hoá, thúc đẩy sự chuyên nghiệp trong ngành công nghiệp an ninh mạng, tạo động lực cho nhân sự không ngừng nâng cao trình độ và năng lực.

Đồng thời Hiệp hội An ninh mạng quốc gia cũng đề xuất, phối hợp xây dựng các quy chuẩn, tiêu chuẩn kỹ thuật quốc gia về an ninh mạng phù hợp với định hướng chiến lược và các chính sách an ninh mạng của Việt Nam.

Tổ chức các chương trình hỗ trợ hội viên và các tổ chức, doanh nghiệp có liên quan trong việc triển khai các văn bản chính sách, pháp luật, kỹ năng, nhận thức, kiến thức về an ninh mạng. Sớm tổ chức bình chọn sản phẩm dịch vụ an ninh mạng tốt nhất năm 2024 để có sự ghi nhận, nâng tầng các sản phẩm dịch vụ an ninh mạng của Việt Nam, thúc đẩy đổi mới sáng tạo trong lĩnh vực công nghiệp an ninh mạng…

Liên quan tới vấn đề nhân lực an ninh mạng, TS Trần Giang Sơn, đồng Trưởng khoa Công nghệ Thông tin và Truyền thông, Trường Đại học Khoa học và Công nghệ Hà Nội cũng cho rằng, Nhà nước cần tăng cường đầu tư cho các trường đại học có chương trình đào tạo liên quan đến an ninh mạng, cung cấp các thiết bị, phần mềm và tài liệu học tập hiện đại, tiên tiến và chất lượng. Khuyến khích các doanh nghiệp, tổ chức trong và ngoài nước hợp tác với các cơ sở giáo dục để tạo ra các cơ hội thực tập, việc làm và hỗ trợ học bổng cho sinh viên có năng khiếu và đam mê với an ninh mạng.

Tổ chức các cuộc thi, hội thảo, hội nghị về an ninh mạng để tạo sân chơi cho các nhà nghiên cứu, chuyên gia và sinh viên trao đổi kinh nghiệm, cập nhật kiến thức và kỹ năng mới nhất trong lĩnh vực này. Xây dựng và duy trì hệ thống chứng chỉ quốc gia về an ninh mạng, bảo đảm tính chuẩn mực, minh bạch và chuẩn quốc tế, giúp nguồn nhân lực an ninh mạng Việt Nam có thể cạnh tranh với các nước khác.