Thủ khoa Kỹ thuật Mật mã: Hành trình từ 'cướp cờ' đến ước mơ săn lỗ hổng bảo mật
Cuối tháng 1/2026, Nghiêm Trung Hậu, 23 tuổi, đã tốt nghiệp thủ khoa hệ kỹ sư ngành An toàn thông tin tại Học viện Kỹ thuật Mật mã (KMA) với điểm trung bình ấn tượng 3.77/4. Nam sinh này bày tỏ sự bất ngờ trước thành tích của mình, vì vốn không đặt nặng mục tiêu dẫn đầu hay lập kế hoạch quá chi tiết. Thay vào đó, Hậu chỉ tập trung duy trì nhịp học ổn định qua từng học kỳ, một chiến lược đơn giản nhưng hiệu quả đã giúp anh đạt được kết quả xuất sắc.
Khởi đầu tình cờ và những thách thức trong ngành An toàn thông tin
Xuất thân từ trường THPT Lê Lợi tại Hà Nội, Hậu ban đầu dự định theo học ngành Công nghệ thông tin vì nghĩ rằng nó phù hợp với nam giới, mà không có định hướng cụ thể. Quyết định chuyển sang ngành An toàn thông tin đến một cách tình cờ, khi anh được một đàn anh khóa trước tư vấn. Khi bắt đầu chuyên ngành, Hậu nhanh chóng nhận ra sự phức tạp của lĩnh vực này, nơi sinh viên không chỉ học cách xây dựng hệ thống bảo vệ mà còn phải tiếp cận vấn đề từ cả hai phía: vừa thiết kế, vừa tìm kiếm điểm yếu để khai thác.
Áp lực tăng dần khi các môn học đều gắn liền với thực hành và dự án nhóm. Hậu chia sẻ rằng môn khó nhất là Khai thác lỗ hổng phần mềm và Kiểm thử hệ thống, do kiến thức rất rộng và trừu tượng. Để vượt qua, anh chủ động hỏi bạn bè ở những phần chưa nắm vững, làm lại các ví dụ và bài tập từ thầy cô, đồng thời duy trì thói quen tổng ôn toàn bộ nội dung khoảng 2-3 tuần trước mỗi kỳ thi.
Rèn luyện kỹ năng qua các cuộc thi 'cướp cờ' và thực tập thực tế
An toàn thông tin là ngành học rộng, bao gồm nhiều mảng như khai thác lỗ hổng website, lỗ hổng ứng dụng, điều tra số, và dịch lược. Hậu tập trung vào mảng bảo mật website, vì đây là hướng dễ tiếp cận cho người mới và có nhiều tài liệu hỗ trợ. Tuy nhiên, anh nhận ra rằng chỉ học kỹ thuật để xây dựng và khai thác web là chưa đủ. Các lỗ hổng bảo mật thường sinh ra từ mã nguồn sai hoặc thiếu an toàn, do đó, muốn hiểu lỗ hổng thì phải hiểu mã nguồn tạo ra nó, tức là lập trình. Hậu đã tự học lập trình web, xem đây là nền tảng để hình thành tư duy phân tích điểm yếu hệ thống từ gốc.
Để rèn luyện kỹ năng, mỗi cuối tuần, Hậu tham gia các cuộc thi CTF (Capture the flag - Cướp cờ), một hình thức thi đấu an ninh mạng phổ biến, nơi người chơi khai thác lỗ hổng bảo mật để tìm ra chuỗi ký tự ẩn gọi là 'cờ'. Anh xem đây là môi trường nhập vai lý tưởng, giúp rèn khả năng khai thác và nhận biết lỗ hổng trong các tình huống thực tế. Năm thứ ba, Hậu trúng tuyển thực tập tại VNPT, nơi anh chủ yếu hỗ trợ kiểm thử và làm quen với quy trình làm việc thực tế. Trải nghiệm này giúp anh hiểu rằng phải luôn cập nhật kiến thức vì công nghệ thay đổi rất nhanh.
Cân bằng giữa học tập, thực tập và mục tiêu dài hạn
Vừa học vừa thực tập, Hậu không ít lần cảm thấy căng thẳng. Anh phải đăng ký lớp học buổi tối và dành ban ngày cho công việc. Đến năm cuối, anh cân đối lại bằng cách thực tập buổi sáng và đi học buổi chiều. Hậu đúc rút: 'Việc thực tập sớm không chỉ giúp tích lũy kinh nghiệm thực tế, mà còn rèn tác phong làm việc, đặc biệt là kỷ luật thời gian.'
Sau khi tốt nghiệp, tân thủ khoa vẫn duy trì công việc tại VNPT và dự định học lên thạc sĩ hoặc lấy các chứng chỉ quốc tế. Mục tiêu dài hạn của anh là trở thành chuyên gia nghiên cứu lỗ hổng bảo mật (vulnerability research). Công việc này yêu cầu kỹ sư không chỉ 'săn' lỗi mà phải chứng minh được khả năng khai thác, đánh giá mức độ ảnh hưởng và lập báo cáo kỹ thuật. Nếu thành công, lỗ hổng có thể được cấp mã định danh CVE - hệ thống ghi nhận lỗ hổng bảo mật quy mô toàn cầu.
Hậu chia sẻ: 'Đó là hướng đi khó, yêu cầu nền tảng rất sâu và phải học liên tục, nhưng mình thấy thú vị vì được tiếp cận vấn đề ở mức bản chất hơn.' Nhìn lại chặng đường, anh thấy kết quả học tập không đến từ những thời điểm bứt phá, mà nhờ duy trì nhịp học ổn định và liên tục thực hành. Với các bạn trẻ muốn theo ngành này, Hậu khuyên nên học lập trình (C, C++ hoặc Python) càng sớm càng tốt, và nhấn mạnh: 'Không nhất thiết phải biết quá nhiều, nhưng phải hiểu thật chắc những thứ cơ bản để đi đường dài.'
