CISO Sophos: Giữ chân nhân tài, đối mặt với AI và vấn đề niềm tin trong ngành an ninh mạng

Ross McKerchar bắt đầu sự nghiệp tại Sophos với tư cách là kỹ sư bảo mật đầu tiên của công ty cách đây 18 năm và hiện đang giữ vị trí CISO (Giám đốc An toàn Thông tin). Trong một cuộc phỏng vấn gần đây, ông đã chia sẻ về hành trình phát triển của mình, cũng như những thách thức mà các nhà lãnh đạo an ninh mạng phải đối mặt trong kỷ nguyên số hiện nay.

Ross McKerchar, CISO tại Sophos

Từ CNTT đến An ninh mạng: Một sự lựa chọn đầy thú vị

Giống như nhiều người trẻ khác, McKerchar lớn lên với niềm đam mê trò chơi điện tử và từng tin rằng ngành CNTT sẽ là một nghề nghiệp vững chắc. Tuy nhiên, khi bước vào đại học, ông sớm nhận ra một thực tế phũ phàng.

"Tôi có thể sẽ làm phật ý nhiều người khi nói điều này, nhưng phần lớn các công việc trong ngành CNTT khá nhàm chán," McKerchar chia sẻ. Ông nhận thấy rằng khi nhắc đến CNTT thông thường, mọi người thường mất hứng thú. Ngược lại, khi nói về tội phạm mạng, họ lại trở nên say mê. "Đó là câu chuyện của cả thế giới chứ không chỉ là chiếc máy tính trong phòng server. Nó mang tính địa chính trị, đối kháng và ảnh hưởng đến mọi người, ở khắp mọi nơi."

Chính sự kịch tính và tính đối đầu này đã thúc đẩy ông chuyển hướng từ CNTT sang an ninh mạng, một lĩnh vực mà xung đột luôn tạo ra những câu chuyện thú vị.

Con đường trở thành nhà lãnh đạo và quản lý nhân sự

Câu hỏi về việc kỹ năng lãnh đạo là bẩm sinh hay được rèn luyện luôn gây tranh cãi. Đối với McKerchar, câu trả lời là cả hai. Khi mới gia nhập Sophos, ông là nhân viên bảo mật nội bộ duy nhất, tự nhiên trở thành "người đứng đầu" của một đội hình gồm một người. Ngày nay, ông là CISO của một đội ngũ lớn mạnh nhiều hơn.

Trên hành trình đó, ông đã phải học hỏi những kỹ năng mà trường đại học không dạy: cách tuyển dụng nhân tài trong bối cảnh thiếu hụt kỹ năng trầm trọng, và cách quản lý để duy trì hiệu suất làm việc tối ưu.

"Khoảng trống kỹ năng là có thật," ông thừa nhận. "Tuy nhiên, tôi nghĩ nó đang bị mô tả sai về số lượng và tác động. Nhu cầu thực tế hiện nay không phải là những sinh viên mới ra trường chỉ có bằng cấp mà thiếu kinh nghiệm, mà là những người có cả kinh nghiệm thực tế lẫn trí tuệ cảm xúc và kinh doanh."

Vấn đề nằm ở việc các công ty thường chỉ tăng cường bảo mật sau khi bị tấn công, dẫn đến nhu cầu đột ngột về các chuyên gia dày dạn kinh nghiệm thay vì nhân sự mới. Điều này tạo ra áp lực kép: vừa khó tìm người giỏi, vừa khó giữ chân người tài. McKerchar cho rằng bí quyết là để nhân viên được là phiên bản tốt nhất của chính mình. "Bạn thuê những người thông minh để họ chỉ cho bạn biết phải làm gì. Nhiệm vụ của người lãnh đạo là dọn dẹp chướng ngại vật để họ có thể làm việc đó."

Thách thức từ AI và mối đe dọa mới

Trí tuệ nhân tạo (AI) đang là tâm điểm của mọi thảo luận, với nhiều lo ngại về việc AI sẽ thay thế con người. McKerchar tỏ ra thận trọng trước nhận định này.

"Tôi dành nhiều thời gian nói chuyện với các đồng nghiệp CISO khác, và câu chuyện chúng tôi nghe được từ giới truyền thông và lãnh đạo doanh nghiệp rất khác so với thực tế," ông nhận định. Mặc dù các mô hình ngôn ngữ lớn (LLM) đang phát triển, chúng vẫn gặp khó khăn trong việc hiểu bối cảnh nội bộ của tổ chức để phân loại cảnh báo an ninh. Các chuyên gia con người vẫn có "trực giác" để đánh giá mức độ nghiêm trọng của một sự cố, điều mà AI hiện tại chưa thể thay thế hoàn toàn.

Tuy nhiên, việc tội phạm sử dụng AI là một mối lo ngại thực sự. Hiện tại, AI chủ yếu được dùng để tạo các mồi nhấn (lure) tinh vi hơn cho các cuộc tấn công lừa đảo (phishing). McKerchar đặc biệt lo ngại về khả năng của AI trong việc tìm ra các lỗ hổng zero-day. Nếu chi phí tìm kiếm lỗ hổng giảm xuống, chúng sẽ được sử dụng thường xuyên hơn để tấn công vào các doanh nghiệp nhỏ hơn thay vì chỉ nhắm vào các mục tiêu giá trị cao như trước đây.

Sức khỏe tinh thần và vấn đề kiệt sức (Burnout)

Bản chất phản ứng của an ninh mạng tạo ra áp lực liên tục. McKerchar mô tả hội chứng kiệt sức (burnout) là một vấn đề thực sự, được định nghĩa là sự kiệt quệ về mặt tinh thần do căng thẳng công việc kéo dài không được quản lý tốt.

"Tình huống tồi tệ nhất trong an ninh mạng là hầu như luôn có điều gì đó đang sắp xảy ra khiến bạn bất an, và nó dường như trở nên tồi tệ hơn vào mỗi ngày thứ Sáu," ông nói. Việc trực chiến 24/7, kể cả cuối tuần, tạo ra một trạng thái lo âa thường trực.

Để ngăn chặn điều này, McKerchar tập trung vào việc giảm mức độ căng thẳng cơ bản và đảm bảo có những khoảng thời gian hoàn toàn không có áp lực. "Bạn không thể mong đợi mọi người chạy nước rút khi họ đang chạy một cuộc marathon liên tục." Ông cố gắng giảm khối lượng công việc, tăng yếu tố thú vị và đảm bảo luân phiên ca trực trong các sự cố lớn để nhân viên không bị quá tải.

Hình ảnh minh họa cho bài viết về an ninh mạng

"Hack lại" và dự án Pacific Rim

Một chủ đề gây tranh cãi là liệu các đơn vị phòng thủ có nên được quyền "hack lại" (hack back) kẻ tấn công hay không. Mặc dù sự đồng thuận chung là quyền này chỉ nên thuộc về chính phủ, Sophos từng thực hiện một hành động quyết liệt trong dự án mang tên Pacific Rim.

Khi phát hiện tin tặc Trung Quốc tấn công tường lửa của mình, Sophos đã cài đặt một kernel implant lên thiết bị bị xâm phạm để theo dõi hoạt động của kẻ tấn công. McKerchar nhấn mạnh rằng hành động này được thực hiện với sự tư vấn pháp lý và phối hợp chặt chẽ với các cơ quan như NSA (Mỹ) và NCSC (Anh) để đảm bảo tuân thủ quy định.

"Tôi sẽ không gọi đó là 'hack back', nhưng chúng tôi đã thực hiện các hành động phòng thủ bất thường mạnh mẽ để bảo vệ mình trước kẻ thù," ông giải thích.

Mối đe dọa lớn nhất: Niềm tin

Khi được hỏi về mối đe dọa lớn nhất trong vài năm tới, thay vì nhắc đến AI, McKerchar chọn "Niềm tin". Ông cho rằng ngành công nghiệp an ninh mạng đang gặp vấn đề nghiêm trọng về niềm tin do xu hướng các sản phẩm bảo mật chính là nguyên nhân gây ra các vụ vi phạm dữ liệu.

Các ví dụ gần đây như SolarWinds, Moveit hay 3CX cho thấy ngay cả các công ty bảo mật hàng đầu cũng có thể bị xâm phạm. "Nếu khách hàng không thể tin tưởng vào các sản phẩm bảo mật mà họ sử dụng để phòng thủ, mọi người đều sẽ chịu thiệt hại," ông cảnh báo. McKerchar kêu gọi ngành cần nỗ lực hơn nữa trong việc nâng cao chất lượng phát triển sản phẩm, dù động lực thị trường hiện tại chưa thực sự thúc đẩy các nhà cung cấp đi theo hướng này.