image Chủ Nhật, 19/07/2026

Phát triển nhân tài an ninh mạng Việt Nam: Chính sách nào thu hút và giữ chân hacker mũ trắng?

Bảo Bình

30/03/2026

Chia sẻ

Một số cá nhân tham gia bug bounty quốc tế có thể kiếm hàng triệu USD mỗi năm. Nếu thu hút tham gia các nhiệm vụ bảo vệ an ninh mạng quốc gia, họ sẽ tạo ra giá trị rất lớn. Tuy nhiên, hiện vẫn thiếu cơ chế đủ mạnh để huy động hiệu quả nguồn lực này...

BSides Hanoi 2025 là sự kiện dành riêng cho cộng đồng an ninh mạng, mở ra không gian chia sẻ và đối thoại về những thách thức bảo mật trong kỷ nguyên trí tuệ nhân tạo.
BSides Hanoi 2025 là sự kiện dành riêng cho cộng đồng an ninh mạng, mở ra không gian chia sẻ và đối thoại về những thách thức bảo mật trong kỷ nguyên trí tuệ nhân tạo.

Trong bức tranh an ninh mạng toàn cầu, bug bounty (săn lỗi nhận thưởng) đã trở thành một mô hình quen thuộc, đóng vai trò quan trọng trong việc phát hiện và xử lý lỗ hổng bảo mật. Đây là hình thức mà các cá nhân – thường là hacker mũ trắng – được trả thưởng khi tìm ra điểm yếu trong hệ thống hoặc ứng dụng của doanh nghiệp, tổ chức.

TOÀN CẦU TĂNG TRƯỞNG MẠNH, VIỆT NAM VẪN “ĐANG MANH NHA”

Theo ông Trương Đức Lượng, Chủ tịch Hội đồng quản trị VSEC (Tập đoàn Công nghệ G-Group), trên thế giới, bug bounty đã phát triển thành một thị trường chuyên nghiệp với sự tham gia của nhiều nền tảng lớn như HackerOne, Bugcrowd hay các cuộc thi nổi tiếng như Pwn2Own. “Các chương trình này có cách thức vận hành tương đối giống nhau, với mức thưởng dao động từ vài trăm đến hàng chục nghìn USD cho mỗi lỗ hổng được phát hiện”, ông Lượng cho biết.

Không chỉ dừng lại ở quy mô cộng đồng, bug bounty còn hình thành một thị trường có doanh thu đáng kể. Các nền tảng trung gian thu phí tổ chức chương trình từ doanh nghiệp, qua đó tạo ra nguồn thu hàng chục đến hàng trăm triệu USD mỗi năm. “Doanh thu một năm của BugCrowd khoảng hơn 100 triệu USD, của HackerOne khoảng 80 triệu USD”, ông Lượng cho biết. Trong khi đó, tổng số tiền thưởng mà các chuyên gia bảo mật nhận được trên toàn cầu cũng lên tới hàng trăm triệu USD, phản ánh nhu cầu ngày càng lớn đối với việc bảo vệ hệ thống số.

Ông Trương Đức Lượng, Chủ tịch Hội đồng quản trị VSEC (Tập đoàn Công nghệ G-Group)
Ông Trương Đức Lượng, Chủ tịch Hội đồng quản trị VSEC (Tập đoàn Công nghệ G-Group)

Bên cạnh các nền tảng độc lập, nhiều tập đoàn công nghệ lớn như Microsoft, Meta và Google cũng triển khai chương trình bug bounty riêng, ngân sách thưởng hàng triệu USD mỗi năm, như Microsoft (17 triệu USD năm 2025), Meta (tổng 4 triệu USD trả thưởng năm 2025), Google (tổng 17,1 triệu USD trả thưởng năm 2025)… Những chương trình này không chỉ giúp bảo vệ sản phẩm mà còn thu hút được lực lượng hacker mũ trắng tài năng trên toàn cầu.

Tuy nhiên, tại Việt Nam, thị trường bug bounty vẫn đang ở giai đoạn “manh nha”, với một vài đơn vị bảo mật làm sàn riêng tương tự như hackerOne. Ông Lượng cho biết bản thân VSEC cũng cung cấp sàn bugbounty.vn từ năm 2019, phối hợp cùng cơ quan quản lý để triển khai cho cộng đồng, hay Bugrank của Verichain, Whitehat của CyStack. Chuyên gia nhìn nhận số lượng doanh nghiệp triển khai chương trình trả thưởng còn rất hạn chế, trong khi mức thưởng chưa đủ hấp dẫn để tạo động lực mạnh mẽ cho cộng đồng tham gia.

“Thị trường này trên thế giới đã có từ lâu và tăng trưởng đều đặn hàng năm, nhưng tại Việt Nam vẫn chưa nhận được sự chào đón rộng rãi từ cả doanh nghiệp lẫn cộng đồng”, ông nhận định.

Theo ông Ngô Minh Hiếu, Giám đốc tổ chức Chống Lừa Đảo, thành viên Hiệp hội An ninh mạng Quốc gia Việt Nam, điểm khác biệt lớn nhất giữa thị trường bug bounty quốc tế và trong nước nằm ở “luật chơi”. Trên các nền tảng quốc tế, phạm vi kiểm thử, quy trình báo cáo, thời gian phản hồi cũng như cơ chế “safe harbor” – bảo vệ các nhà nghiên cứu thiện chí – đều được quy định rõ ràng. Trong khi đó, tại Việt Nam, nhiều tổ chức vẫn thiếu quy trình tiếp nhận lỗ hổng và cơ chế khuyến khích chưa đủ hấp dẫn, khiến cộng đồng chưa thực sự mặn mà tham gia.

CHÍNH SÁCH NÀO ĐỂ THU HÚT VÀ GIỮ CHÂN HACKER MŨ TRẮNG?

Một thực tế đáng chú ý là dù thị trường trong nước chưa phát triển tương xứng, nhiều hacker mũ trắng Việt Nam lại đang gặt hái thành công trên các nền tảng bug bounty quốc tế. Điều này đặt ra câu hỏi lớn về việc làm thế nào để thu hút lực lượng nhân tài này quay trở lại đóng góp cho hệ sinh thái trong nước.

Theo ông Trương Đức Lượng, bug bounty không chỉ mang lại giá trị kinh tế mà còn có ý nghĩa chiến lược trong việc xây dựng một cộng đồng chuyên gia an ninh mạng. “Khi hoạt động này được tổ chức bài bản, nó sẽ tạo ra một lực lượng chuyên gia tìm kiếm lỗ hổng theo chuẩn mực quốc tế, giúp các tổ chức phát hiện và vá lỗi nhanh nhất, đồng thời chủ động phòng tránh các cuộc tấn công”, ông phân tích.

Không giống các khoản chi cố định, ngân sách cho bug bounty phụ thuộc vào số lượng và mức độ nghiêm trọng của các lỗ hổng được phát hiện.

Do đó, cần có những chính sách linh hoạt hơn trong việc phân bổ và sử dụng ngân sách, đặc biệt là đối với các cơ quan nhà nước.

Tuy nhiên, để đạt được điều đó, yếu tố chính sách đóng vai trò quyết định. Trước hết, cần tạo điều kiện cho các doanh nghiệp công nghệ trong nước đủ năng lực đứng ra tổ chức các nền tảng bug bounty, tương tự như các mô hình quốc tế. Đồng thời, Nhà nước cần có cơ chế hướng dẫn cụ thể để cả khu vực công và tư cùng tham gia, từ đó mở rộng quy mô thị trường.

Một vấn đề quan trọng khác là cơ chế tài chính. Không giống như các khoản chi cố định, ngân sách cho bug bounty phụ thuộc vào số lượng và mức độ nghiêm trọng của các lỗ hổng được phát hiện. Do đó, theo ông Lượng, cần có những chính sách linh hoạt hơn trong việc phân bổ và sử dụng ngân sách, đặc biệt là đối với các cơ quan nhà nước.

Việc nâng cao giá trị phần thưởng cũng là yếu tố then chốt để thu hút nhân tài. “Nếu mức thưởng không đủ hấp dẫn, các chuyên gia giỏi sẽ tiếp tục tìm đến các nền tảng quốc tế, nơi họ được ghi nhận xứng đáng hơn”, ông Lượng thẳng thắn nhận định.

Ông Ngô Minh Hiếu cho rằng muốn huy động được lực lượng này, trước hết phải mở ra một hành lang pháp lý rõ ràng để người giỏi có thể làm điều đúng. Ông Hiếu nhấn mạnh cần xây dựng chính sách tiếp nhận báo cáo lỗ hổng, áp dụng cơ chế bảo vệ cho các hoạt động nghiên cứu thiện chí, đồng thời thiết kế thang thưởng minh bạch và linh hoạt. Bên cạnh đó, các mô hình hợp tác theo dạng bán thời gian hoặc theo nhiệm vụ cũng nên được thúc đẩy để tận dụng nguồn lực chất lượng cao.

CỘNG ĐỒNG – “BỆ ĐỠ” CHO AN NINH MẠNG VÀ CHUYỂN ĐỔI SỐ

Ông Ngô Minh Hiếu cũng đề xuất xây dựng một nền tảng điều phối bug bounty ở cấp quốc gia, với vai trò chuẩn hóa quy tắc, mức thưởng, định danh nhà nghiên cứu và quy trình tiếp nhận, phân phối xử lý lỗ hổng cho từng bộ, ngành, doanh nghiệp.

“Việt Nam đã có tiền lệ từ các mô hình như BugRank; nếu được nâng lên tầm quốc gia, lợi ích sẽ rất lớn, từ việc phát hiện sớm lỗ hổng, tiết kiệm chi phí kiểm thử đến việc tạo ra một sân chơi hợp pháp để cộng đồng mũ trắng đóng góp”, ông Hiếu nhận định.

Ông Ngô Minh Hiếu cho rằng muốn huy động lực lượng hacker mũ trắng, trước hết phải mở ra một hành lang pháp lý rõ ràng để người giỏi có thể làm điều đúng.
Ông Ngô Minh Hiếu cho rằng muốn huy động lực lượng hacker mũ trắng, trước hết phải mở ra một hành lang pháp lý rõ ràng để người giỏi có thể làm điều đúng.

Trong bối cảnh Việt Nam được cảnh báo có thể thiếu hơn 700.000 nhân sự an ninh mạng trong vài năm tới, đây được xem là nguồn lực quý cần được thu hút vào hệ thống phòng thủ, thay vì để đứng ngoài.

Không chỉ dừng lại ở câu chuyện thị trường hay chính sách, các chuyên gia cho rằng yếu tố cốt lõi quyết định sự phát triển bền vững của bug bounty chính là cộng đồng. Lãnh đạo VSEC cho biết những quốc gia có năng lực an ninh mạng hàng đầu như Mỹ, Israel hay Trung Quốc đều sở hữu cộng đồng nghiên cứu bảo mật mạnh, đóng vai trò hỗ trợ đắc lực cho cả doanh nghiệp và chính phủ.

Tại Việt Nam, cộng đồng này đang dần hình thành thông qua các chương trình bug bounty nội địa, các cuộc thi dành cho sinh viên và các sự kiện chuyên ngành. Tuy nhiên, để phát triển lên một tầm cao mới, cần có một chiến lược tổng thể và dài hạn.

Theo ông Trương Đức Lượng, các hoạt động như bug bounty không chỉ giúp phát hiện lỗ hổng mà còn tạo ra môi trường thực hành thực tế cho các chuyên gia trẻ. “Việc hình thành một cộng đồng mạnh các chuyên gia tìm lỗi sẽ là bệ đỡ hữu hiệu cho các chương trình chuyển đổi số quốc gia, giúp chúng ta đi nhanh hơn nhưng vẫn đảm bảo an toàn”, ông nhấn mạnh.

Dự thảo Nghị định phát triển nguồn nhân lực an ninh mạng lần đầu tiên đã đưa ra các “cơ chế bug bounty”, báo cáo lỗ hổng bảo mật có thưởng. 

Các hoạt động thường niên dành cho sinh viên trong lĩnh vực an ninh mạng cũng góp phần phát hiện và nuôi dưỡng nguồn nhân lực trẻ. Chuyên gia cho rằng bên cạnh nỗ lực từ cơ quan quản lý và tổ chức chuyên môn, cần khuyến khích doanh nghiệp chủ động tham gia xây dựng cộng đồng. Chẳng hạn, VSEC phối hợp cùng Hiệp hội An ninh mạng tổ chức hội thảo BSides thường niên, qua đó tạo không gian kết nối cho các nhà nghiên cứu và ứng dụng an ninh mạng, góp phần thúc đẩy hệ sinh thái phát triển bền vững.

Hiện nay, Bộ Công an đang xây dựng Dự thảo Nghị định quy định về lực lượng bảo vệ an ninh mạng. Dự thảo, nhằm đào tạo, phát triển nguồn nhân lực an ninh mạng, lần đầu tiên đã đưa ra các “cơ chế bug bounty”, báo cáo lỗ hổng bảo mật có thưởng. Cụ thể, dự thảo Nghị định quy định về lực lượng bảo vệ an ninh mạng, cơ chế tiếp nhận, xử lý báo cáo lỗ hổng bảo mật theo hướng có đầu mối, có quy trình, có điều phối và có cơ chế huy động nguồn lực xã hội tham gia hợp pháp.

Thực tế cho thấy, có những cá nhân tham gia thị trường bug bounty quốc tế có thể kiếm được vài triệu USD mỗi năm. Đây là mức thu nhập rất cao đối với một cá nhân. Nếu những con người như vậy có thể được thu hút tham gia vào các nhiệm vụ đặc biệt để bảo vệ an ninh mạng quốc gia, thì giá trị mang lại sẽ lớn hơn rất nhiều. Tuy nhiên, hiện nay vẫn thiếu cơ chế đủ mạnh để huy động họ. Các chuyên gia cho rằng khi nhìn ở góc độ lợi ích tổng thể, việc đầu tư để thu hút lực lượng này sẽ mang lại hiệu quả cao hơn so với chi phí bỏ ra.


AI và chuyển đổi số trong ngân hàng: Từ thực tiễn vận hành đến động lực thúc đẩy công nghệ Việt

Ứng dụng công nghệ số và AI không chỉ nâng cao trải nghiệm khách hàng qua các kênh tương tác trực tuyến mà còn là chìa khóa giúp ngân hàng tối ưu hóa vận hành và kiểm soát rủi ro hiệu quả...

09:35 18/07/2026
Thúc đẩy AI tại Việt Nam: Từ hạ tầng sẵn sàng đến bài toán triển khai thực tiễn

Khác với mô hình AI truyền thống phụ thuộc chủ yếu vào điện toán đám mây, AI tại biên (Edge AI) cho phép xử lý dữ liệu ngay tại thiết bị hoặc gần nguồn dữ liệu...

16:39 16/07/2026
Doanh nghiệp Việt trước bài toán AI Marketing: Khi công nghệ không còn là lợi thế cạnh tranh

AI đã trở thành công cụ phổ biến trong marketing, vì thế lợi thế cạnh tranh không còn nằm ở công nghệ mà chuyển sang năng lực con người và khả năng quản trị AI của doanh nghiệp...

16:39 16/07/2026
Doanh nghiệp bước vào cuộc đua AI mới: Không chỉ cần người dùng, mà còn cần "người xây AI"

Nếu trước đây doanh nghiệp chủ yếu tìm kiếm lập trình viên AI hoặc chuyên gia dữ liệu, thì nay nhu cầu đang dịch chuyển sang các AI builders - lực lượng có thể kết hợp công nghệ, dữ liệu và nghiệp vụ để xây dựng các AI agent phục vụ từng quy trình cụ thể…

16:39 16/07/2026
Từ giảng đường đến thị trường: Đào tạo đại học điều chỉnh theo nhu cầu doanh nghiệp thời AI

Sinh viên bắt đầu học từ hôm nay nhưng phải 4-5 năm sau mới tốt nghiệp. Vì thế, nếu các trường không dự báo được xu hướng phát triển của thị trường lao động thì rất có thể khi ra trường, ngành học đó đã không còn phù hợp…

19:48 13/07/2026
Bước ngoặt pháp lý số: Doanh nghiệp Việt trước thách thức quản trị dữ liệu, AI

Các quy định mới về bảo vệ dữ liệu cá nhân, an ninh mạng và trí tuệ nhân tạo (AI) đang định hình một giai đoạn mới của quản trị số tại Việt Nam. Theo đó, doanh nghiệp cần thay đổi cách tiếp cận, chuyển từ tuân thủ riêng lẻ từng quy định sang quản trị tuân thủ tích hợp giữa dữ liệu và công nghệ...

19:48 13/07/2026
AI mở chu kỳ tăng trưởng mới cho ngành điện tử Việt Nam

Sự phục hồi của thị trường công nghệ toàn cầu cùng làn sóng đầu tư mạnh mẽ vào trí tuệ nhân tạo (AI), trung tâm dữ liệu và bán dẫn đang tạo ra động lực tăng trưởng mới cho ngành điện tử Việt Nam…

10:37 10/07/2026
Chính sách đang "mở đường" để doanh nghiệp khoa học công nghệ Việt bứt phá

Cơ chế, chính sách hỗ trợ đang ngày càng hoàn thiện song không phải doanh nghiệp nào cũng nắm bắt thông tin và sẵn sàng tận dụng cơ hội này…

11:48 09/07/2026
Giải bài toán niềm tin dữ liệu để phát triển kinh tế số, kinh tế AI Việt Nam

Chỉ khi được bảo đảm bằng kiến trúc công nghệ, các tiêu chuẩn kỹ thuật và khung thể chế phù hợp, dữ liệu mới có thể lưu chuyển an toàn, tạo giá trị kinh tế và trở thành nền tảng cho sự phát triển của kinh tế số và kinh tế AI...

15:38 08/07/2026
Phát triển chip Việt: Cần cơ chế hỗ trợ theo từng giai đoạn trưởng thành

Bộ Khoa học và Công nghệ đang lấy ý kiến đối với Dự thảo Quyết định của Thủ tướng Chính phủ ban hành Danh mục chip chuyên dụng trong một số ngành, lĩnh vực nhà nước ưu tiên đặt hàng…

16:33 07/07/2026