Thách thức bảo mật mạng trong công nghệ điều khiển công nghiệp
Bảo mật mạng trong các hệ thống công nghệ điều khiển công nghiệp (OT) là một nhiệm vụ quan trọng nhưng đầy thách thức. Khó khăn thường đến từ việc các nhà tích hợp hệ thống thiếu kinh nghiệm hoặc các nhà cung cấp giải pháp bảo mật không quen thuộc với quy trình xây dựng công nghiệp. Điều này dẫn đến việc áp dụng các biện pháp bảo mật không hiệu quả, tạo ra lỗ hổng cho các rủi ro tiềm ẩn.
Các kỹ sư đối phó như thế nào với những thách thức trong việc triển khai bảo mật mạng cho các hệ thống điều khiển công nghiệp? Bài viết này sẽ đề cập đến sự thiếu kinh nghiệm của các nhà tích hợp hệ thống và của các công ty triển khai bảo mật mạng trong thiết kế và thực hiện các dự án theo phương thức xây dựng hợp đồng.
Những hiểu biết về bảo mật mạng trong công nghệ điều khiển công nghiệp
Bảo mật mạng trong các hệ thống công nghệ điều khiển công nghiệp (OT) là một nhiệm vụ quan trọng nhưng đầy thách thức. Khó khăn thường đến từ việc các nhà tích hợp hệ thống thiếu kinh nghiệm hoặc các nhà cung cấp giải pháp bảo mật không quen thuộc với quy trình xây dựng công nghiệp. Điều này dẫn đến việc áp dụng các biện pháp bảo mật không hiệu quả, tạo ra lỗ hổng cho các rủi ro tiềm ẩn.
Để đảm bảo bảo mật mạng hiệu quả, các hệ thống OT cần sự hợp tác chặt chẽ giữa các nhà tích hợp hệ thống và các nhà cung cấp giải pháp bảo mật. Điều này bao gồm việc xây dựng tài liệu thiết kế chi tiết và áp dụng quản lý dự án chủ động để đảm bảo các cấu hình bảo mật vững chắc và đáng tin cậy.
Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) định nghĩa OT là “các hệ thống hoặc thiết bị lập trình có khả năng tương tác với môi trường vật lý”. Định nghĩa này bao trùm phần lớn các thiết bị điện tử đang được sử dụng trong ngành công nghiệp, từ các hệ thống quản lý nhà máy, cấp nước, đến các cơ sở hạ tầng quan trọng. Chúng giữ vai trò cốt lõi trong việc điều khiển và giám sát các quy trình sản xuất, đảm bảo hoạt động ổn định và hiệu quả.
Một kỹ sư hệ thống điều khiển làm việc trên giao diện người/điều khiển giám sát và máy chủ hệ thống thu thập dữ liệu
Nếu các lỗ hổng bảo mật bị bỏ qua, hậu quả có thể rất nghiêm trọng, ảnh hưởng đến uy tín, lợi nhuận và an toàn của doanh nghiệp. Một nguy cơ lớn hơn là các thiết kế không đủ chi tiết hoặc không có các yêu cầu cụ thể, thường xuất phát từ những kỹ sư thiếu kinh nghiệm.
Dù nhiều doanh nghiệp nhận thức được tầm quan trọng của bảo mật mạng, không phải ai cũng hiểu rõ việc triển khai các biện pháp bảo mật toàn diện có nghĩa là gì. Trong nhiều năm qua, tư duy thiết kế hệ thống SCADA hay PLC thường chỉ tập trung vào việc làm cho hệ thống hoạt động nhanh chóng và hiệu quả nhất có thể, mà bỏ qua các yêu cầu bảo mật.
Nhiều hệ thống OT trước đây được hỗ trợ bởi các thợ điện hoặc nhân viên chuyên trách về công cụ và điều khiển. Họ thường có kinh nghiệm hạn chế về các thành phần mạng hoặc phần mềm tiên tiến, khiến việc triển khai bảo mật trở thành một thách thức lớn. Khi bảo mật mạng được tích hợp như một dự án cải tiến vốn, thiết kế bởi một công ty kỹ thuật và lắp đặt bởi một nhà thầu, đây có thể là cách hiệu quả để triển khai một hệ thống toàn diện và an toàn.
Các kỹ sư thiết kế nhanh chóng nhận ra rằng nếu tài liệu (bản vẽ và thông số kỹ thuật) không rõ ràng, cụ thể và chi tiết, sản phẩm cuối cùng mà khách hàng nhận được sẽ không đạt chất lượng mong muốn. Sự chuyên môn của nhà thầu thường đóng vai trò quan trọng trong chất lượng của sản phẩm, điều này có thể làm phức tạp quá trình triển khai.
Khi tôi bắt đầu đưa các yêu cầu bảo mật mạng vào các dự án, tôi đã nghĩ rằng "Chỉ cần làm rõ kỳ vọng, sử dụng các tiêu chuẩn tốt nhất trong ngành và thực thi các yêu cầu, giống như cách chúng tôi áp dụng các yêu cầu đối với các nhà tích hợp hệ thống trong các dự án SCADA truyền thống."
Mặc dù việc tạo ra các yêu cầu bảo mật mạng trong giai đoạn thiết kế có thể dễ dàng, nhưng khi bắt đầu triển khai dự án, các tổ chức chịu trách nhiệm cung cấp hệ thống thường gặp phải những vấn đề sau:
.Không đủ năng lực để thực hiện yêu cầu bảo mật mạng. Điều này dẫn đến các yêu cầu cơ bản về bảo mật mạng thực hiện kém hoặc thậm chí không được thực hiện.
.Không quen thuộc với quy trình thiết kế/đấu thầu/xây dựng.: Điều này gây ra nhiều thách thức trong việc thực hiện hợp đồng, dẫn đến sự chậm trễ trong dự án và những thay đổi không mong muốn đối với yêu cầu hệ thống khi nhà thầu hoặc nhà tích hợp hệ thống dựa vào các dịch vụ tiêu chuẩn của họ mà không đáp ứng đúng yêu cầu bảo mật.
Vấn đề với các nhà tích hợp hệ thống thiếu kinh nghiệm về bảo mật mạng
Các nhà tích hợp hệ thống truyền thống thường là những chuyên gia trong việc xây dựng các tủ điện công nghiệp, lập trình PLC, và tạo giao diện người-máy (HMI). Nhờ Ethernet, các hệ thống này có thể giao tiếp với nhau và dần thay thế các công nghệ cũ. Việc dễ dàng thêm nhiều thiết bị vào mạng Ethernet đã khiến các nhà tích hợp hệ thống tập trung nhiều vào yếu tố chi phí hơn là bảo mật. Mặc dù họ nắm vững các kiến thức cơ bản về Ethernet, nhưng kinh nghiệm và chuyên môn của họ thường chỉ dừng lại ở đó.
Tường lửa được lắp đặt trong giá đỡ máy chủ được sử dụng để bảo vệ mạng điều khiển giám sát và thu thập dữ liệu
Trong nhiều trường hợp, các nhà tích hợp vẫn triển khai hệ thống trên mạng "phẳng", tức là không có hoặc rất ít phân đoạn mạng. Điều này khiến mọi thiết bị trên mạng có thể kết nối và giao tiếp với nhau. Nếu một người dùng có quyền truy cập vật lý vào mạng, họ sẽ có khả năng kiểm soát toàn bộ hệ thống. Ngoài ra, các phần mềm HMI thường được cài đặt trên hệ điều hành Windows. Sau khi hệ điều hành được cài đặt, công việc tiếp theo chỉ đơn giản là làm cho HMI hoạt động, trong khi yếu tố bảo mật thường bị xem nhẹ.
Ví dụ, khi gặp sự cố kỹ thuật và gọi hỗ trợ, các kỹ thuật viên thường yêu cầu tắt tường lửa để khắc phục vấn đề. Tuy nhiên, sau khi sửa xong, việc nhắc người dùng bật lại tường lửa hiếm khi được thực hiện. Đây là một lỗi phổ biến vì trước đây, các nhà tích hợp hệ thống thường chỉ tập trung vào hiệu suất của quy trình sản xuất mà không chú trọng đến bảo vệ các thiết bị điều khiển.
Kỳ vọng rằng các nhà tích hợp hệ thống có thể triển khai các yêu cầu bảo mật hiện đại mà không cần nền tảng kiến thức chuyên sâu là điều không thực tế. Một số nhà tích hợp có khả năng ứng biến để triển khai các biện pháp bảo mật, nhưng những nhân viên thiếu kinh nghiệm khó có thể xác định liệu các biện pháp đó đã được thực hiện đúng cách hay chưa. Do đó, khách hàng và doanh nghiệp thường phải dựa vào niềm tin rằng hệ thống đã được bảo mật đúng cách hoặc tốn thêm chi phí để tự kiểm tra lại.
Việc đặt niềm tin vào một công ty thiếu kinh nghiệm trong lĩnh vực bảo mật là rủi ro lớn. Đảm bảo rằng các cấu hình bảo mật được triển khai đúng cách là điều cực kỳ quan trọng, vì hậu quả của một hệ thống bị xâm nhập có thể rất nghiêm trọng, từ mất dữ liệu đến ảnh hưởng đến an toàn vận hành.
Giá đỡ máy chủ với hypervisor được sử dụng để chạy các máy ảo liên quan đến hệ thống công nghệ vận hành
Vấn đề với các chuyên gia bảo mật thiếu kinh nghiệm trong việc triển khai dự án
Nhiều nhà cung cấp bảo mật mạng có mô hình kinh doanh bắt đầu khi khách hàng liên hệ để cải thiện hệ thống bảo mật của mình. Khi đó, nhà cung cấp sẽ đến tận nơi, thực hiện đánh giá ban đầu, tư vấn các giải pháp bảo mật và triển khai các giải pháp tiêu chuẩn. Tuy nhiên, trong một dự án thiết kế/đấu thầu/xây dựng truyền thống, phần lớn công việc khảo sát ban đầu, đào tạo người sử dụng và thiết kế đã được hoàn thành từ trước. Các nhà cung cấp bảo mật mạng này có thể thực hiện các bước trong quy trình của họ mà không nhận ra rằng họ đã bỏ qua các yêu cầu đặc thù đã được xác định trước đó trong hợp đồng hoặc trong thiết kế của dự án.
Điều này càng trở nên phức tạp hơn khi các nhà sản xuất thiết bị bảo mật mạng không quen thuộc với quy trình triển khai dự án xây dựng công nghiệp. Ví dụ, họ có thể ít hỗ trợ về cách thức nộp các tài liệu cần thiết cho việc phê duyệt, một bước quan trọng trong quá trình thi công. Điều này khiến các chuyên gia bảo mật mạng gặp khó khăn trong việc hiểu và thực hiện đúng các yêu cầu, quy trình của dự án, dẫn đến những sai sót trong việc triển khai bảo mật mạng và ảnh hưởng đến sự thành công của dự án.
Cần làm gì tiếp theo?
Cáp mạng liên kết với thiết bị máy chủ được sử dụng cho hệ thống điều khiển giám sát và thu thập dữ liệu
Một trong những giải pháp tốt nhất cho các nhà tích hợp hệ thống là thuê một nhà cung cấp bảo mật mạng làm nhà thầu phụ. Điều này cho phép nhà tích hợp hệ thống dẫn dắt nỗ lực thực hiện, đồng thời hướng dẫn nhà cung cấp bảo mật cách thực hiện tốt nhất các yêu cầu bảo mật mạng của dự án.
Mặc dù các nhà tích hợp hệ thống ngày càng thành thạo hơn trong việc triển khai bảo mật mạng cho các hệ thống điều khiển công nghiệp, nhưng vẫn có một số điều mà các nhà cung cấp bảo mật có thể làm để hỗ trợ thêm. Trước hết, họ cần thảo luận với các công ty cung cấp dịch vụ bảo mật mạng. Hãy trò chuyện với các nhà tích hợp mà bạn làm việc thường xuyên và thông báo cho họ về các mối lo ngại liên quan đến yêu cầu bảo mật mạng. Cố xây dựng các mối quan hệ với các công ty chuyên về triển khai bảo mật mạng và mô tả các loại dự án mà họ đang chịu trách nhiệm thiết kế để họ hiểu rõ hơn về cách thức thực hiện dự án. Việc giới thiệu các nhà tích hợp hệ thống với các nhà cung cấp bảo mật mạng cũng là một bước đi hữu ích.
Trong một số trường hợp, việc thảo luận về thông tin thiết kế với các công ty bảo mật mạng là rất quan trọng. Hỏi họ xem họ sẽ làm gì khác đi trong thiết kế hoặc liệu các yêu cầu có sai lệch so với các giải pháp tiêu chuẩn của họ hay không. Mặc dù ý kiến của họ có thể không hoàn toàn phù hợp với yêu cầu của doanh nghiệp, nhưng việc hiểu được quan điểm của họ vẫn rất có ích.
Một trong những giải pháp tốt nhất cho các nhà tích hợp hệ thống là thuê một nhà cung cấp bảo mật mạng làm nhà thầu phụ. Điều này cho phép nhà tích hợp hệ thống dẫn dắt nỗ lực thực hiện, đồng thời hướng dẫn nhà cung cấp bảo mật cách thực hiện tốt nhất các yêu cầu bảo mật mạng của dự án. Mặc dù đây có thể là một giải pháp lý tưởng, nhưng việc triển khai dự án hiếm khi diễn ra suôn sẻ. Các kỹ sư thiết kế hoặc quản lý xây dựng cũng cần phải cẩn thận trong việc đảm bảo các quy trình được thực hiện chính xác và đúng hạn. Việc tổ chức các buổi hội thảo điều phối, đệ trình và quy trình kiểm tra cần được thực hiện một cách bài bản và đầy đủ, vì đây là những yếu tố bắt buộc để dự án thành công. Nếu những hoạt động này bị bỏ qua hoặc không được chú trọng đúng mức, chúng có thể không còn đủ thời gian để thực hiện một cách hiệu quả khi dự án đã tiến hành quá xa.
Mặc dù việc triển khai bảo mật mạng chắc chắn là một thách thức lớn, nhưng yếu tố này lại đặc biệt quan trọng và không thể thiếu trong thiết kế của dự án. Những khó khăn phát sinh trong quá trình thi công không nên làm cho các nhà thiết kế đi chệch hướng khỏi các yêu cầu bảo mật đã được xác định từ trước. Hiểu rõ bối cảnh và tình hình thực tế cũng giúp định hình các dự án theo cách có tác động tích cực hơn. Chỉ khi có sự quan tâm và chú trọng trong cả quá trình thiết kế và xây dựng, các nhà thiết kế và nhà tích hợp mới có thể hướng dẫn các bước tiếp theo hiệu quả, đảm bảo sự thành công và bảo mật cho hệ thống điều khiển công nghiệp.
