Thế giới vẫn thiếu hụt 4 triệu chuyên gia an ninh mạng

Nghiên cứu lực lượng lao động an ninh mạng năm 2023 của tổ chức phi lợi nhuận ISC2 cho thấy, tình trạng thiếu nhân lực trong lĩnh vực an ninh mạng trên toàn cầu đã tăng 12,6% lên 4 triệu người so với năm 2022.

Hơn 92% chuyên gia tham gia khảo sát tiết lộ rằng có sự thiếu hụt kỹ năng an ninh mạng trong tổ chức của mình, với 67% cho biết họ thiếu nhân viên an ninh mạng cần thiết để ngăn chặn và khắc phục các vấn đề bảo mật. Sự thiếu hụt này xảy ra bất chấp lực lượng lao động an ninh mạng toàn cầu đã tăng 8,7% so với năm 2022, đạt 5,5 triệu chuyên gia.

Cũng theo nghiên cứu, rủi ro liên quan đến trí tuệ nhân tạo (AI) và các công nghệ mới nổi được coi là thách thức lớn nhất mà các chuyên gia an ninh mạng phải đối mặt trong 2 năm tới (45%), tiếp theo là tình trạng thiếu lao động/kỹ năng (43%) và theo kịp các yêu cầu quy định thay đổi (38%).

Nghiên cứu của ISC2 dựa trên thông tin thu thập từ gần 15.000 chuyên gia an ninh mạng trên thế giới.

Cắt giảm và sa thải tác động đến lĩnh vực an ninh mạng

Từ cuối năm 2022 đến 2 tháng đầu năm 2023, làn sóng sa thải đã liên tục quét qua các nhân sự ngành công nghệ, thuộc những "gã khổng lồ" trên thế giới như Google, Microsoft, Meta,... Lĩnh vực an ninh mạng cũng không nằm ngoài xu thế đó.

Những nhân sự làm việc trong mảng an ninh mạng thường đảm nhiệm các công việc như nghiên cứu và báo cáo về các lỗ hổng bảo mật, điều tra số, bảo vệ hệ thống mạng lưới của một công ty, tập đoàn,... hay các mảng mới như nghiên cứu lỗ hổng bảo mật của blockchain, điện toán đám mây,...

Ngoài ra, còn có những chuyên gia an ninh mạng làm việc trong mảng tài chính hoặc quản lý rủi ro nguy cơ, đưa ra quy trình xử lý sự cố. Việc cắt giảm nhân sự khiến cho khoảng cách kỹ năng an ninh mạng càng trở nên trầm trọng, đặc biệt trong bối cảnh môi trường kinh tế toàn cầu đầy biến động hiện nay.

Gần một nửa (47%) số người được hỏi cho biết họ đã trải qua những đợt cắt giảm liên quan đến an ninh mạng trong năm qua, bao gồm sa thải, cắt giảm ngân sách và tạm dừng tuyển dụng hoặc thăng chức. Trong số này, 22% bị ảnh hưởng bởi tình trạng sa thải nhân viên trong lĩnh vực an ninh mạng, cả trực tiếp và gián tiếp.

Giám đốc điều hành ISC2 Clar Rosso bày tỏ sự ngạc nhiên và thất vọng với mức độ cắt giảm và sa thải nhân viên trong lĩnh vực an ninh mạng, điều mà bà tin rằng sẽ có tác động đáng kể đến khoảng cách kỹ năng an ninh mạng.

Trao đổi với Infosecurity, Rosso lưu ý rằng mặc dù các lãnh đạo cấp cao của công ty (C-suite) hiểu rõ việc cắt giảm nhân viên an ninh mạng sẽ làm gia tăng rủi ro mạng cho tổ chức của họ và dẫn đến tổn hại về tài chính và danh tiếng, nhưng họ vẫn làm như vậy. Theo Rosso, nguyên nhân là do họ lo ngại về rủi ro kinh tế hơn là rủi ro mạng và họ không hiểu đầy đủ về mối tương quan giữa hai rủi ro vì chúng gắn bó chặt chẽ với nhau.

Cũng theo nghiên cứu, 28% chuyên gia an ninh mạng báo cáo tình trạng sa thải ở những lĩnh vực khác trong tổ chức của họ, tuy nhiên, việc này vẫn có tác động đáng kể đến các nhóm bảo mật. Hơn 1/3 (35%) số người được hỏi cho biết việc thực hiện cắt giảm nhân sự kéo theo các chương trình đào tạo về an ninh mạng trên toàn công ty bị xoá sổ. Gần 3/4 (71%) nhóm này cho biết khối lượng công việc của họ bị ảnh hưởng tiêu cực như là kết quả của việc cắt giảm nhân sự trong tổ chức, trong khi 57% cảm thấy khả năng phản ứng trước mối đe dọa của họ bị hạn chế.

Tuy nhiên, mức độ hài lòng với công việc an ninh mạng nhìn chung vẫn ở mức cao, với 70% cho biết hiện nay họ khá hài lòng hoặc rất hài lòng với công việc của mình. Con số này thể giảm nhẹ so với mức 74% vào năm 2022.

Các mối đe dọa nội bộ đang gia tăng

Một "lỗ hổng" thường xuyên và dễ bị bỏ qua chính là những con người bên trong tổ chức, những người có thể sẵn sàng sử dụng quyền truy cập của họ cho lợi ích cá nhân hoặc những người dễ bị tin tặc tiếp cận để phá vỡ hàng rào bảo vệ của công ty. Dù trong bất kỳ trường hợp nào thì tác động tiêu cực đến tổ chức có thể là rất lớn.

Theo Nghiên cứu lực lượng lao động an ninh mạng năm 2023 của ISC2, hơn một nửa (52%) số người được hỏi cho biết trong năm qua các sự cố liên quan đến rủi ro nội bộ đã gia tăng đáng kể. Điều này được cho là có liên quan đến môi trường kinh tế, với 71% số người được hỏi đồng ý rằng thời điểm kinh tế bất ổn sẽ làm tăng nguy cơ có những nội gián độc hại.

“Chúng ta cần giúp các nhà lãnh đạo doanh nghiệp hiểu rõ hơn về các mối đe dọa nội bộ”, Rosso cho biết.

Thiếu hụt các kỹ năng AI trong an ninh mạng

AI đang phát triển nhanh chóng và tinh vi hơn mỗi ngày. Các chuyên gia an ninh mạng phải bắt đầu chuẩn bị ngay từ bây giờ cho những cách thức mà AI sẽ thay đổi bối cảnh an ninh mạng.

Tuy nhiên, một phát hiện đáng lo ngại khác từ Nghiên cứu lực lượng lao động năm nay là 47% số người được hỏi thừa nhận họ không có hoặc có kiến thức tối thiểu về AI và chỉ 16% cho biết họ có kiến thức đáng kể về lĩnh vực này.

Cũng theo nghiên cứu, ba lĩnh vực mà các chuyên gia an ninh mạng hiện thiếu hụt nhiều kỹ năng nhất là: bảo mật đám mây (35%), AI và học máy (32%) và thực thi Zero Trust (29%).

Theo nghiên cứu, khoảng cách về kỹ năng an ninh mạng có thể là một thách thức lớn hơn khoảng cách về lực lượng lao động. Thậm chí, một tổ chức có đầy đủ nhân sự an ninh mạng cũng sẽ chẳng có tác dụng gì nếu họ thiếu các năng lực và kỹ năng.

Áp lực kinh tế có thể khiến các tổ chức không thể tăng cường số lượng nhân viên an ninh mạng nhưng cần đầu tư vào phát triển nhân sự đào tạo và nâng cao các kỹ năng chính cần thiết để thích ứng với các công nghệ và mối đe dọa mới nổi như AI, ransomware, lừa đảo, v.v..

Điều này có nghĩa là giáo dục và đào tạo sẽ đóng vai trò rất quan trọng. Các chuyên gia mạng hiện tại tin như vậy, với 58% cho rằng việc nhắm mục tiêu vào các khoảng trống kỹ năng chính có thể khắc phục tình trạng thiếu hụt lao động. Những nhân sự tiếp tục đầu tư vào kỹ năng của mình và luôn cập nhật các chứng chỉ sẽ có khả năng vượt qua tình trạng bất ổn kinh tế tốt hơn, trong khi các tổ chức mà họ làm việc sẽ ít gặp phải khoảng cách về kỹ năng hơn.

Một tin vui là theo nghiên cứu 52% chuyên gia mạng cho biết tổ chức của họ đang quản lý việc sử dụng AI trong nội bộ, mở rộng quản lý AI hoặc có kế hoạch quản lý chính thức việc sử dụng AI trong vòng 12 tháng tới.

Những người tham gia cũng nhấn mạnh những tiến bộ trong AI có ảnh hưởng tích cực lớn thứ ba đến khả năng bảo mật tổ chức của họ, sau zero trust (34%) và tự động hóa (40%)./.