Hiếu PC kể về nghề an ninh mạng, những cuốn nhật ký viết trong nhà tù Mỹ
Chính quyền Mỹ từng miêu tả Hiếu PC là "một trong những tên trộm khét tiếng nhất từng được ân xá trong nhà tù liên bang". Làm về an ninh mạng, thường xuyên phải xử lý dữ liệu nhạy cảm và nhiều lần đứng trước cám dỗ, Hiếu PC nghĩ về ngày tháng ở tù và kiên định trên hành trình trở thành chuyên gia an ninh mạng, giúp đỡ cộng đồng.
Hiếu PC đang hoàn thiện cuốn sách tập hợp những trang nhật ký về những ngày ở Mỹ - thứ nhắc anh bắt đầu lại để trở thành một chuyên gia chứ không phải tội phạm mạng. Trong cuộc trò chuyện với Dân trí, Hiếu PC lần đầu chia sẻ những câu chuyện xoay quanh ngành an ninh mạng.
An ninh mạng hiện có phải nghề "hot"? Anh có thể bật mí làm chuyên gia an ninh mạng cụ thể là làm gì?
- An ninh mạng đúng là ngành "hot" trong mảng công nghệ thông tin, được nhiều bạn trẻ quan tâm và các tổ chức, công ty, tập đoàn Việt Nam cũng như thế giới quan tâm.
Nhắc đến an ninh mạng, người ta thường có cảm giác mơ hồ bởi nó có tính bảo mật cao, nhưng thực tế đây là ngành rất rộng. Nó là mảng nhỏ của ngành công nghệ thông tin, nhưng trong ngành cũng có nhiều ngạch nhỏ. Cụ thể, có thể nghiên cứu, tìm kiếm lỗ hổng bảo mật, điều tra số, bảo vệ hệ thống mạng lưới, cảnh báo lỗ hổng bảo mật…
Vậy đây có phải là ngành có mức lương "khủng"?
- Tại Việt Nam, thông thường chuyên gia an ninh mạng có lương 10-40 triệu đồng/tháng. Còn người mới ra trường thì khoảng 10-20 triệu đồng. Với người có kinh nghiệm 3-5 năm, mức lương sẽ từ 3.000 USD/tháng (tương đương hơn 71 triệu đồng). Những người có mức lương cao thường làm an ninh mạng trong lĩnh vực tài chính, quản lý rủi ro nguy cơ an ninh mạng, đưa ra quy trình xử lý sự cố…
Các con số trên có phải chỉ là mức lương cứng, còn chuyên gia an ninh mạng thì còn có mức "kiếm trong, kiếm ngoài" mà người khác không biết?- Chính xác là vậy. Các chuyên viên an ninh mạng có thể tìm những lỗ hổng bảo mật có thể kiếm được 10.000-20.000 USD/tháng.
Những tập đoàn lớn như Microsoft hay Apple có thể được trả thưởng lên tới 50.000-100.000 USD, có những vụ trả thưởng lên tới vài trăm nghìn USD hay thậm chí vài triệu USD.
Với những lỗ hổng trên nền tảng blockchain, nếu phát hiện ra có thể được trả thưởng rất nhiều tiền.
Tuy nhiên, ở Việt Nam, số người nhận được mức trả thưởng lớn chỉ đếm trên đầu ngón tay, chủ yếu là những chuyên gia hàng đầu, có uy tín trên môi trường an ninh mạng.
Công nghệ thay đổi mỗi ngày, chuyên gia an ninh mạng có phải học nhiều không?
- Công nghệ cập nhật hàng ngày, hàng giờ, tất cả các vụ hack đều liên quan tới công nghệ, kỹ thuật hack lại liên tục thay đổi, thành ra chúng tôi luôn phải cập nhật tin tức thông qua các nền tảng trên mạng xã hội như Twitter, Telegram, Linkedin… để nắm bắt tình hình an ninh mạng, đồng thời củng cố kiến thức.
Mức lương cao như vậy, lượng công việc lớn, nhiều người tò mò tiền nhiều như vậy thì anh tiêu vào lúc nào?- Chúng tôi cũng là con người, cũng có lúc này, lúc kia. Mình làm cũng phải có lúc tiêu chứ. Tôi cũng thường dành thời gian cuối tuần cho gia đình và sống một cuộc sống bình thường.
Công việc an ninh mạng cũng không chỉ ngồi một chỗ. Ở đâu có máy tính là có thể làm được việc. Nếu ở đó không có wifi thì vẫn có thể sử dụng 4G. Chuyên gia an ninh mạng luôn tìm ra cách để giải quyết vấn đề thôi.
Như anh nói lừa đảo trên mạng diễn ra hàng ngày, cũng không ai đoán định được ngày mai sẽ xảy ra vụ việc, đây là nghề không KPI?
- Đúng vậy, việc làm, học được cân bằng và thực hiện mỗi ngày. Không có hệ thống nào là an toàn. Chúng tôi làm việc mỗi ngày và đặt mục tiêu đơn giản là giúp xã hội được nhiều nhất có thể.
An ninh mạng là nghề đôi khi phải nghĩ về cộng đồng nhiều hơn là cá nhân, có khi nào anh làm mất đi sự gắn kết của mình với mọi người xung quanh không?
- Cũng không hẳn đâu. Thật ra tôi thấy nhờ nghề mình gắn kết với mọi người nhiều hơn. Những thông tin nhạy cảm mình vẫn giữ, còn những ai cần giúp mình luôn sẵn sàng tạo sự liên kết với họ. Nhiều người không rành về công nghệ, đặc biệt là người lớn tuổi, giúp họ là cơ hội kết nối.
Làm việc tại Trung tâm Giám sát và An toàn không gian mạng Quốc gia cũng có nhiều "phi vụ" thú vị, nhưng do tính chất công việc nên hiện không thể chia sẻ thêm.
Xét theo nhóm ngành, theo anh, đâu là nhóm nhận nhiều phản ánh về lỗ hổng bảo mật nhất? Trước đây, anh từng chia sẻ với Dân trí việc nhận hàng chục email phản ánh về việc lừa giả mạo ngân hàng mỗi ngày.
- Ngân hàng, tổ chức tài chính là những ngành thường xuyên bị tin tặc tấn công nhất, không chỉ thẳng trực tiếp mà còn theo hướng đối tượng là khách hàng. Họ tạo ra nhiều cách để đánh cắp thông tin, tài khoản.
Thực tế các ngân hàng tại Việt Nam có mức bảo mật tốt, đầu tư chuyên nghiệp theo mô hình của nước ngoài, đặc biệt là những ngân hàng quan tâm đến chuyển đổi số. Họ cũng có hệ thống phòng thủ an ninh mạng, phòng giám sát an ninh mạng và có cả đội ngũ chuyên gia về điều tra số và nghiên cứu lỗ hổng bảo mật.
Nhưng dù đầu tư lớn đến đâu thì luôn có sơ hở. Tin tặc thì không bỏ sót một ai.
Còn các doanh nghiệp nói chung thì sao?
- Tùy theo độ lớn của doanh nghiệp, thường doanh nghiệp có nguồn dữ liệu lớn về khách hàng sẽ đầu tư về công nghệ và an ninh mạng nhiều. Doanh nghiệp vừa và nhỏ tại Việt Nam chưa để tâm mấy, họ vẫn đánh giá thấp việc bảo vệ và phòng thủ hệ thống.
Khảo sát của Hiệp hội An toàn thông tin Việt Nam với 147 đơn vị, doanh nghiệp trong năm 2022 cho thấy có 65% tổ chức có tỷ lệ kinh phí đầu tư cho an toàn thông tin dưới 5% trên tổng nguồn vốn đầu tư cho công nghệ thông tin. Theo anh, mức đầu tư này đã đủ để an toàn chưa?
Một doanh nghiệp lớn nên đầu tư nhiều hơn vào công nghệ, mức 5% theo tôi còn ít. Tập đoàn lớn nên đầu tư vào công nghệ và an ninh mạng từ 10-15% tổng vốn đầu tư.
Không phải cứ doanh nghiệp có nhiều tiền là phòng tránh được rủi ro an ninh mạng?
- Chính xác. Không có doanh nghiệp nào có thể bảo vệ hệ thống an toàn 100%. Họ phải đầu tư nhiều thứ, từ con người cho tới hệ thống công nghệ, chưa kể phải thường xuyên đánh giá lại hệ thống.
Những lỗ hổng luôn tồn tại. Hôm nay mọi thứ an toàn không có nghĩa ngày mai vẫn vậy. Việc đầu tư cũng không chỉ về tiền bạc mà còn về kiến thức cho nhân sự để biết tình hình về an ninh mạng nào họ cần tránh. Chính những nhân sự không phải chuyên gia an ninh mạng cũng nên thường xuyên học hỏi việc bảo vệ chính công ty mình.
Con người và công nghệ, theo anh, yếu tố nào quan trọng hơn?
- Con người. Con người sinh ra công nghệ, cho nên một tập đoàn lớn đầu tư vào công nghệ giỏi, bảo mật tốt nhưng để lợi dụng vào yếu tố lỏng lẻo từ con người thì có thể bị hack qua đường đó. Gần đây, hệ thống của Uber đã bị tin tặc tấn công, một phần cũng là do các nhân viên chủ quan trong tình huống bị tấn công dù bản thân tập đoàn rất ổn về mặt công nghệ.
Có nhiều ý kiến cho rằng người Việt Nam rất siêu trong an ninh mạng, quan điểm của anh như thế nào?
- Người Việt Nam rất chịu khó tìm tòi, tính chủ động học hỏi cao, có nhiều chuyên gia an ninh mạng nổi tiếng (không phải tôi đâu). Nhiều bạn nhỏ, tuổi trẻ tài cao, đạt thành tích tốt trong môi trường làm an ninh mạng trên thế giới.
Việc đào tạo ngành này ở Việt Nam thế nào?
- Tôi thấy một số trường học đang có những khóa mở rộng thêm về ngành an ninh mạng, đào tạo ra nhân tài và tổ chức nhiều cuộc thi cho các bạn sinh viên tham gia để nâng cao kỹ năng, trình độ về ngành.
Có phải nghề này muốn giỏi thì phải tự học nhiều?
- Chính xác. Nghề nào cũng vậy. Muốn giỏi phải học. Nghề này ngoài trên ghế nhà trường tôi thấy phải tự học là chính. Bên cạnh đó, phải trau dồi ngoại ngữ, trao đổi, mở rộng mối quan hệ của mình trên các nền tảng mạng xã hội… bên cạnh sự tò mò và đam mê.
Tiềm năng của nghề này ở Việt Nam ra sao?
- Tiềm năng nghề này hiện tại rất lớn. Các tập đoàn lớn về ngân hàng, tài chính, chứng khoán… đều quan tâm đến nguồn dữ liệu. Họ đang gắt gao tuyển dụng, lôi kéo nhân tài và trả lương mức lương rất ổn.
Trước đây, nhân lực giỏi trong ngành này thường có xu hướng chạy sang nước ngoài làm việc, nhưng gần đây xu hướng có phải đã đảo chiều?
- Chính xác, bây giờ là thế giới phẳng. Có những người bạn của tôi là những chuyên gia an ninh mạng giỏi ở Việt Nam nhưng vẫn làm cho công ty nước ngoài. Một số bạn bè ở nước ngoài cũng làm cho tổ chức tài chính ở Việt Nam, tuy không cao bằng nước ngoài nhưng so với mặt bằng chung và mức sống ở Việt Nam thì vẫn ổn.
Một ngành học tiềm năng nhưng không thể phủ nhận để có thể học thì mức đầu tư không nhỏ khi phải mua các thiết bị. Theo anh, đây có phải điểm yếu của ngành không?
- Cũng chưa hẳn. Ngành này nhiều khi chỉ cần… một chiếc máy tính là đủ. Có nhiều mảng nên bạn có thể chọn mảng phù hợp với hoàn cảnh, nhưng chỉ cần một máy tính đủ mạnh và khỏe là ổn, không cần máy quá đắt tiền giống như những bạn chuyên về thiết kế đồ họa.
Hiện an ninh mạng là vấn đề sống còn trong chuyển đổi số. Trong bối cảnh chuyển đổi số được đẩy mạnh, nghề này đã trở thành lĩnh vực "hot" và nhu cầu cao. Vậy, nhân lực an ninh mạng hiện nay có đáp ứng đủ nhu cầu thị trường không?
- Nguồn nhân lực hiện tại thiếu nhiều. Các trường học, cơ sở ban ngành cũng tích cực đào tạo nhân lực nhưng có lẽ không đủ. Tôi mong nhiều năm tới sẽ có nhiều trường đào tạo và cũng hy vọng sẽ có nhiều bạn trẻ tham gia hơn, để tâm với ngành này.
Anh có lời khuyên gì cho các bạn trẻ đang có ý định lựa chọn ngành học này trong tương lai?
- Đây là quyết định đúng đắn. Nếu bạn có ý nghĩ rằng bạn sẽ tham gia các khóa học hoặc đăng ký chuyên an ninh mạng, thì hãy theo đuổi. Đây là ngành không bao giờ thiếu nhân lực đâu.
Nhìn từ trải nghiệm của mình, tôi thích ngành này từ lúc chắc cỡ lớp 7, cỡ 13 tuổi. Tôi lên mạng tìm hiểu, trao đổi, chia sẻ với người trong ngành IT. Họ hướng dẫn những gì mình nên học, nên đọc, những hội nhóm nên tham gia. Tôi tự học rất nhiều, chủ yếu là bằng tiếng Anh. Chỗ nào không hiểu thì có hội nhóm trên Twitter, Linkedin… để trao đổi kiến thức trong ngành.
Cỡ năm lớp 10 là tôi bắt đầu kiếm được tiền. Tuy nhiên những đồng tiền ban đầu "không trong sạch", do từ mua bán thông tin dữ liệu.
Anh bảo hàng ngày nhận nhiều email phản ánh về lừa đảo mạng, có bao giờ anh thấy phiền?
- Tôi thực sự rất vui vì giúp mọi người tránh được nạn lừa đảo. Chưa kể, nếu họ muốn có hướng dẫn làm hồ sơ báo cáo công an, mình có luôn, chỉ dẫn họ làm. Chỉ buồn ở chỗ ngày nào cũng nhận phản ánh tức lànạn lừa đảo Việt Nam còn nhiều.
Trước đây là tội phạm mạng, hiện đã "cải tà quy chính", có phải vì anh đã …quá giàu?
- Không. Đây là nguyện vọng của tôi là sẽ dành cả đời để trả lại nghiệp khi đã gây ra lỗi lầm trong quá khứ. Giờ tôi vẫn làm những công việc giống ngày xưa thôi, nhưng khác nhau là mình giúp đỡ được mọi người. Mình vừa trả ơn cho đời, vừa giúp bản thân có lương khi làm việc chính nghĩa.
Việc muốn trả ơn cho đời là anh nhận ra khi anh đang thụ án ở Mỹ hay khi về đến Việt Nam?
- Tôi nhận ra khi ở trong tù bên Mỹ. Sau 5 năm ở tù, những ngày tháng viết nhật ký, hiểu thêm về bản thân, những gì mình gây ra ở quá khứ, tôi mới suy nghĩ là phải làm gì đó, giúp ích cho đời bằng những kinh nghiệm mà mình đã có được.
Thay vì mình làm việc xấu thì giờ mình ngược lại, đi tìm kiếm, truy vết tội phạm, hướng dẫn người dùng xung quanh mình có thêm nhận thức. Mỗi khi đọc lại những dòng nhật ký, tôi nhìn lại quá khứ và những điều mình muốn làm. Ông trời cũng thương tôi, cho tôi sự bắt đầu để cống hiến cho đời.
Những cuốn nhật ký dường như rất quan trọng trong việc định hình con người anh hiện tại?
- Tôi đang hoàn thiện cuốn sách của tôi, để sớm đưa ra những bí mật đời tư, cũng như nguyện vọng muốn hướng tới. Hiện tôi không viết nhật ký được nhiều như trước, do thời gian chủ yếu dành cho nghiên cứu về bảo mật. Giờ mà không nghiên cứu sẽ bị lỗi thời và không bắt kịp tội phạm mạng.
Khi ở tù, tôi viết hàng nghìn trang nhật ký để thể hiện ước mong được trở về và giúp ích cho xã hội. Trong đó không chỉ có cuộc sống thường ngày, mà tôi còn lên kế hoạch cho ngày trở về, để sau này, khi thực sự trở về, coi lại, đối chiếu xem mình có đang đi đúng hướng.
Vậy anh có đang đi đúng hướng?
- Việc giúp ích cho cộng đồng chính là hướng đi của đời tôi. Tôi cùng nhiều anh em đã thành lập dự án Chống lừa đảo, giúp những người bị lừa, bị giả mạo, bôi nhọ. Đây là dự án tâm huyết nhất của tôi.
Dự án này bắt đầu tại Việt Nam, nhưng có nhiều thành viên trụ cột của dự án trên khắp cả nước và một số nước như Singapore, Australia, Mỹ... Đây là dự án phi lợi nhuận.
Từ giữa tháng 8 vừa rồi, Twitter bắt đầu sử dụng API từ dự án Chống lừa đảo để ngăn chặn các link độc hại trên nền tảng.
Chống lừa đảo cũng là một trong những đơn vị cảnh báo tình trạng người Việt Nam bị lừa sang Campuchia để thực hiện các hành vi lừa đảo mạng. Đội ngũ vẫn nỗ lực hợp tác với các cơ quan chức năng, các tổ chức thế giới, báo chí nước ngoài… ngăn chặn hành vi này.
Dù vậy, không thể phủ nhận nghề này có nhiều cám dỗ. Chính anh là minh chứng cho những cám dỗ của nghề. Với hành trình đã trải qua, anh có lời khuyên nào để những bạn trẻ chọn con đường đúng đắn?
- Tôi hy vọng các bạn trẻ hãy luôn giữ sự tò mò, đam mê với nghề. Câu chuyện của tôi là bài học cho việc tránh xa những cám dỗ tiền bạc và hãy làm những việc chính nghĩa. Tôi từng có rất nhiều tiền và cũng đã hết tiền để thuê luật sư, sau đó vẫn phải vào tù.
Các bạn trẻ cũng nên học một khóa CEH (Certified Ethical Hacker). Đây là chứng chỉ không thiên về kỹ thuật nhiều, nhưng các bạn sẽ có thêm tầm nhìn về đạo đức và pháp lý, để biết khi nào mình được phép hay không được phép tấn công một hệ thống mạng nào đó.