Phát triển nhân tài an ninh mạng Việt Nam: Chính sách nào thu hút và giữ chân hacker mũ trắng?

Trong bức tranh an ninh mạng toàn cầu, bug bounty (săn lỗi nhận thưởng) đã trở thành một mô hình quen thuộc, đóng vai trò quan trọng trong việc phát hiện và xử lý lỗ hổng bảo mật. Đây là hình thức mà các cá nhân – thường là hacker mũ trắng – được trả thưởng khi tìm ra điểm yếu trong hệ thống hoặc ứng dụng của doanh nghiệp, tổ chức.

TOÀN CẦU TĂNG TRƯỞNG MẠNH, VIỆT NAM VẪN “ĐANG MANH NHA”

Theo ông Trương Đức Lượng, Chủ tịch Hội đồng quản trị VSEC (Tập đoàn Công nghệ G-Group), trên thế giới, bug bounty đã phát triển thành một thị trường chuyên nghiệp với sự tham gia của nhiều nền tảng lớn như HackerOne, Bugcrowd hay các cuộc thi nổi tiếng như Pwn2Own. “Các chương trình này có cách thức vận hành tương đối giống nhau, với mức thưởng dao động từ vài trăm đến hàng chục nghìn USD cho mỗi lỗ hổng được phát hiện”, ông Lượng cho biết.

Không chỉ dừng lại ở quy mô cộng đồng, bug bounty còn hình thành một thị trường có doanh thu đáng kể. Các nền tảng trung gian thu phí tổ chức chương trình từ doanh nghiệp, qua đó tạo ra nguồn thu hàng chục đến hàng trăm triệu USD mỗi năm. “Doanh thu một năm của BugCrowd khoảng hơn 100 triệu USD, của HackerOne khoảng 80 triệu USD”, ông Lượng cho biết. Trong khi đó, tổng số tiền thưởng mà các chuyên gia bảo mật nhận được trên toàn cầu cũng lên tới hàng trăm triệu USD, phản ánh nhu cầu ngày càng lớn đối với việc bảo vệ hệ thống số.

Bên cạnh các nền tảng độc lập, nhiều tập đoàn công nghệ lớn như Microsoft, Meta và Google cũng triển khai chương trình bug bounty riêng, ngân sách thưởng hàng triệu USD mỗi năm, như Microsoft (17 triệu USD năm 2025), Meta (tổng 4 triệu USD trả thưởng năm 2025), Google (tổng 17,1 triệu USD trả thưởng năm 2025)… Những chương trình này không chỉ giúp bảo vệ sản phẩm mà còn thu hút được lực lượng hacker mũ trắng tài năng trên toàn cầu.

Tuy nhiên, tại Việt Nam, thị trường bug bounty vẫn đang ở giai đoạn “manh nha”, với một vài đơn vị bảo mật làm sàn riêng tương tự như hackerOne. Ông Lượng cho biết bản thân VSEC cũng cung cấp sàn bugbounty.vn từ năm 2019, phối hợp cùng cơ quan quản lý để triển khai cho cộng đồng, hay Bugrank của Verichain, Whitehat của CyStack. Chuyên gia nhìn nhận số lượng doanh nghiệp triển khai chương trình trả thưởng còn rất hạn chế, trong khi mức thưởng chưa đủ hấp dẫn để tạo động lực mạnh mẽ cho cộng đồng tham gia.

“Thị trường này trên thế giới đã có từ lâu và tăng trưởng đều đặn hàng năm, nhưng tại Việt Nam vẫn chưa nhận được sự chào đón rộng rãi từ cả doanh nghiệp lẫn cộng đồng”, ông nhận định.

Theo ông Ngô Minh Hiếu, Giám đốc tổ chức Chống Lừa Đảo, thành viên Hiệp hội An ninh mạng Quốc gia Việt Nam, điểm khác biệt lớn nhất giữa thị trường bug bounty quốc tế và trong nước nằm ở “luật chơi”. Trên các nền tảng quốc tế, phạm vi kiểm thử, quy trình báo cáo, thời gian phản hồi cũng như cơ chế “safe harbor” – bảo vệ các nhà nghiên cứu thiện chí – đều được quy định rõ ràng. Trong khi đó, tại Việt Nam, nhiều tổ chức vẫn thiếu quy trình tiếp nhận lỗ hổng và cơ chế khuyến khích chưa đủ hấp dẫn, khiến cộng đồng chưa thực sự mặn mà tham gia.

CHÍNH SÁCH NÀO ĐỂ THU HÚT VÀ GIỮ CHÂN HACKER MŨ TRẮNG?

Một thực tế đáng chú ý là dù thị trường trong nước chưa phát triển tương xứng, nhiều hacker mũ trắng Việt Nam lại đang gặt hái thành công trên các nền tảng bug bounty quốc tế. Điều này đặt ra câu hỏi lớn về việc làm thế nào để thu hút lực lượng nhân tài này quay trở lại đóng góp cho hệ sinh thái trong nước.

Theo ông Trương Đức Lượng, bug bounty không chỉ mang lại giá trị kinh tế mà còn có ý nghĩa chiến lược trong việc xây dựng một cộng đồng chuyên gia an ninh mạng. “Khi hoạt động này được tổ chức bài bản, nó sẽ tạo ra một lực lượng chuyên gia tìm kiếm lỗ hổng theo chuẩn mực quốc tế, giúp các tổ chức phát hiện và vá lỗi nhanh nhất, đồng thời chủ động phòng tránh các cuộc tấn công”, ông phân tích.

Tuy nhiên, để đạt được điều đó, yếu tố chính sách đóng vai trò quyết định. Trước hết, cần tạo điều kiện cho các doanh nghiệp công nghệ trong nước đủ năng lực đứng ra tổ chức các nền tảng bug bounty, tương tự như các mô hình quốc tế. Đồng thời, Nhà nước cần có cơ chế hướng dẫn cụ thể để cả khu vực công và tư cùng tham gia, từ đó mở rộng quy mô thị trường.

Một vấn đề quan trọng khác là cơ chế tài chính. Không giống như các khoản chi cố định, ngân sách cho bug bounty phụ thuộc vào số lượng và mức độ nghiêm trọng của các lỗ hổng được phát hiện. Do đó, theo ông Lượng, cần có những chính sách linh hoạt hơn trong việc phân bổ và sử dụng ngân sách, đặc biệt là đối với các cơ quan nhà nước.

Việc nâng cao giá trị phần thưởng cũng là yếu tố then chốt để thu hút nhân tài. “Nếu mức thưởng không đủ hấp dẫn, các chuyên gia giỏi sẽ tiếp tục tìm đến các nền tảng quốc tế, nơi họ được ghi nhận xứng đáng hơn”, ông Lượng thẳng thắn nhận định.

Ông Ngô Minh Hiếu cho rằng muốn huy động được lực lượng này, trước hết phải mở ra một hành lang pháp lý rõ ràng để người giỏi có thể làm điều đúng. Ông Hiếu nhấn mạnh cần xây dựng chính sách tiếp nhận báo cáo lỗ hổng, áp dụng cơ chế bảo vệ cho các hoạt động nghiên cứu thiện chí, đồng thời thiết kế thang thưởng minh bạch và linh hoạt. Bên cạnh đó, các mô hình hợp tác theo dạng bán thời gian hoặc theo nhiệm vụ cũng nên được thúc đẩy để tận dụng nguồn lực chất lượng cao.

CỘNG ĐỒNG – “BỆ ĐỠ” CHO AN NINH MẠNG VÀ CHUYỂN ĐỔI SỐ

Ông Ngô Minh Hiếu cũng đề xuất xây dựng một nền tảng điều phối bug bounty ở cấp quốc gia, với vai trò chuẩn hóa quy tắc, mức thưởng, định danh nhà nghiên cứu và quy trình tiếp nhận, phân phối xử lý lỗ hổng cho từng bộ, ngành, doanh nghiệp.

“Việt Nam đã có tiền lệ từ các mô hình như BugRank; nếu được nâng lên tầm quốc gia, lợi ích sẽ rất lớn, từ việc phát hiện sớm lỗ hổng, tiết kiệm chi phí kiểm thử đến việc tạo ra một sân chơi hợp pháp để cộng đồng mũ trắng đóng góp”, ông Hiếu nhận định.

Trong bối cảnh Việt Nam được cảnh báo có thể thiếu hơn 700.000 nhân sự an ninh mạng trong vài năm tới, đây được xem là nguồn lực quý cần được thu hút vào hệ thống phòng thủ, thay vì để đứng ngoài.

Không chỉ dừng lại ở câu chuyện thị trường hay chính sách, các chuyên gia cho rằng yếu tố cốt lõi quyết định sự phát triển bền vững của bug bounty chính là cộng đồng. Lãnh đạo VSEC cho biết những quốc gia có năng lực an ninh mạng hàng đầu như Mỹ, Israel hay Trung Quốc đều sở hữu cộng đồng nghiên cứu bảo mật mạnh, đóng vai trò hỗ trợ đắc lực cho cả doanh nghiệp và chính phủ.

Tại Việt Nam, cộng đồng này đang dần hình thành thông qua các chương trình bug bounty nội địa, các cuộc thi dành cho sinh viên và các sự kiện chuyên ngành. Tuy nhiên, để phát triển lên một tầm cao mới, cần có một chiến lược tổng thể và dài hạn.

Theo ông Trương Đức Lượng, các hoạt động như bug bounty không chỉ giúp phát hiện lỗ hổng mà còn tạo ra môi trường thực hành thực tế cho các chuyên gia trẻ. “Việc hình thành một cộng đồng mạnh các chuyên gia tìm lỗi sẽ là bệ đỡ hữu hiệu cho các chương trình chuyển đổi số quốc gia, giúp chúng ta đi nhanh hơn nhưng vẫn đảm bảo an toàn”, ông nhấn mạnh.

Các hoạt động thường niên dành cho sinh viên trong lĩnh vực an ninh mạng cũng góp phần phát hiện và nuôi dưỡng nguồn nhân lực trẻ. Chuyên gia cho rằng bên cạnh nỗ lực từ cơ quan quản lý và tổ chức chuyên môn, cần khuyến khích doanh nghiệp chủ động tham gia xây dựng cộng đồng. Chẳng hạn, VSEC phối hợp cùng Hiệp hội An ninh mạng tổ chức hội thảo BSides thường niên, qua đó tạo không gian kết nối cho các nhà nghiên cứu và ứng dụng an ninh mạng, góp phần thúc đẩy hệ sinh thái phát triển bền vững.

Hiện nay, Bộ Công an đang xây dựng Dự thảo Nghị định quy định về lực lượng bảo vệ an ninh mạng. Dự thảo, nhằm đào tạo, phát triển nguồn nhân lực an ninh mạng, lần đầu tiên đã đưa ra các “cơ chế bug bounty”, báo cáo lỗ hổng bảo mật có thưởng. Cụ thể, dự thảo Nghị định quy định về lực lượng bảo vệ an ninh mạng, cơ chế tiếp nhận, xử lý báo cáo lỗ hổng bảo mật theo hướng có đầu mối, có quy trình, có điều phối và có cơ chế huy động nguồn lực xã hội tham gia hợp pháp.

Thực tế cho thấy, có những cá nhân tham gia thị trường bug bounty quốc tế có thể kiếm được vài triệu USD mỗi năm. Đây là mức thu nhập rất cao đối với một cá nhân. Nếu những con người như vậy có thể được thu hút tham gia vào các nhiệm vụ đặc biệt để bảo vệ an ninh mạng quốc gia, thì giá trị mang lại sẽ lớn hơn rất nhiều. Tuy nhiên, hiện nay vẫn thiếu cơ chế đủ mạnh để huy động họ. Các chuyên gia cho rằng khi nhìn ở góc độ lợi ích tổng thể, việc đầu tư để thu hút lực lượng này sẽ mang lại hiệu quả cao hơn so với chi phí bỏ ra.