Bảo mật thông tin trong mạng DCS các quá trình công nghệ được tự động hóa

Hiện nay, không thể phủ nhận sự phát triển không ngừng của Tự động hóa công nghiệp, trong đó “Hệ thống điều khiển phân tán (Distributed Control System – DCS)” đã phát triển đến giai đoạn trở thành một yếu tố cơ bản giúp đảm bảo tổ chức và tối ưu hóa các quá trình phức tạp. DCS đóng một vai trò quan trọng trong nhiều ngành công nghiệp khác nhau, từ sản xuất và năng lượng cho đến giao thống vận tải và xử lý nước.

Là xương sống của hoạt động công nghiệp, mạng DCS bảo đảm:

• liên lạc không bị gián đoạn giữa các thiết bị được liên kết với nhau;
• giữa các bộ điều khiển và các cảm biến;
• giám sát dữ liệu theo thời gian thực và thực hiện sự điều khiển chính xác.

Mặc dù lợi ích của DCS trong tự động hóa là không thể phủ nhận, tuy nhiên, bản thân DCS cũng tồn tại một vấn đề cấp bách – an ninh mạng. Khi các mạng DCS được kết nối với nhau (và xu hướng này, ngày càng phổ biến) thì nguy cơ về các mối đe dọa trên mạng và các lỗ hổng tiềm ẩn về an ninh mạng sẽ tăng lên đáng kể. Hậu quả của việc mất bảo mật trong mạng DCS là rất nghiêm trọng, từ thời gian ngừng hoạt động của các thiết bị (hiệu quả kinh tế giảm đáng kể) cho đến các mối đe dọa đối với an toàn nhân lực và môi trường.

Bài viết này đề cập đến tầm quan trọng đặc biệt của vấn đề bảo mật thông tin trong bối cảnh DCS ngày càng phổ biến cho tự động hóa. Nội dung chính của bài viết:

• chi tiết các rủi ro và hậu quả tiềm ẩn bởi sự không an toàn của mạng DCS;
• mức độ nghiêm trọng của vấn đề mất an toàn mạng DCS qua thí dụ thực tế;
• các chiến lược và cách thực hiện tốt nhất mà các tổ chức có thể đảm bảo việc bảo mật thông tin một cách hiệu quả cho mạng DCS của mình;

Bằng cách trình bày tầm quan trọng của an ninh mạng và đưa ra hướng dẫn thực tế, bài viết này có mục đích: nâng cao nhận thức và trao quyền tự chủ cho độc giả có liên quan đến sự vận hành của các mạng DCS trong các lĩnh vực khác nhau sẽ quan tâm đến việc bảo vệ các quá trình và dữ liệu công nghiệp đã, đang và sẽ diễn ra trong mạng DCS, nhằm thoát khỏi các mối đe dọa trên mạng.

Tổng quan về DCS và ứng dụng của nó trong tự động hóa

DCS dã cách mạng hóa tự động hóa công nghiệp bằng cách: cung cấp khả năng giám sát và kiểm soát các quá trình công nghệ theo thời gian thực ở nhiều ngành công nghiệp khác nhau. Sự tích hợp liền mạch của các: thiết bị; bộ điều khiển; cảm biến, thông qua mạng sẽ cho phép sự điều phối một cách hiệu quả các quá trình phức tạp. Từ việc nâng cao hiệu quả sản suất đến bảo đảm

năng lượng của các cơ sở hạ tầng quan trọng, DCS tiếp tục đóng vai trò “như là chìa khóa” để mở ra việc tối ưu hóa sản xuất và bảo đảm sự liên tục hoạt động của tối ưu hóa này.

Vai trò của mạng trong DCS: cách nó cung cấp thông tin liên lạc và trao đổi dữ liệu

DCS dựa vào mạng để bảo đảm thông tin liên lạc và trao đổi dữ liệu giữa các cảm biến; truyền động lực chấp hành và bộ điều khiển. Hoạt động của DCS dựa trên nền tảng mạng LAN hoặc mạng công nghiệp chuyên dụng (Modbus; Profibus hoặc Ethenet/IP), DCS bảo đảm sự kết nối sống còn trong chế độ thời gian thực. Sự trao đổi dữ liệu một cách hiệu quả này cho phép hệ thống phản ứng nhanh chóng với những thay đổi trong môi trường công nghiệp và thực hiện các tác động điều khiển chính xác. Bằng cách kết nối các thành phần; bảo đảm sự giám sát và điều khiển tập trung, các mạng DCS bảo đảm sự tối ưu hóa sản xuất và duy trì sự hoạt động trơn tru của các quá trình khác nhau trong các lĩnh vực khác nhau của công nghiệp – từ sản xuất đến năng lượng. Vai trò của mạng DCS tiếp tục rất quan trọng cho sự phát triển của tự động hóa công nghiệp hiện đại.

Trong môi trường công nghiệp, các mạng DCS có nguy cơ chịu sự rủi ro về an ninh mạng một cách đáng kể. Những cơ sở hạ tầng mạng quan trọng này, nếu không được bảo vệ khỏi các mối đe dọa trên mạng thì dễ khiến chúng bị ảnh hưởng bởi các tác động có hại khác nhau. Các tác nhân gây tác động có hại có thể tìm cách truy cập trái phép vào mạng để xâm phạm tính toàn vện của dữ liệu và làm gián đoạn hoạt động của các DCS. Sự vi phạm dữ liệu gây hậu quả nghiêm trọng, không chỉ ảnh hưởng đến tính liên tục trong hoạt động thương mại, mà còn xảy ra nguy cơ lộ thông tin cần bí mật. Ngoài ra, sự phá hoại mạng DCS có thể dẫn đến các tình huống đe dọa đến an toàn của nhân lực đang làm việc trên hệ thống có mạng DCS và gây hại cho môi trường. Các rủi ro phổ biến cho an ninh mạng: các cuộc tấn công bằng phần mềm độc hại; những nỗ lực lừa đảo và truy cập trái phép vào DCS – tất cả điều này có thể dẫn đến xuất hiện những quãng thời gian ngừng hoạt động của hệ thống động lực chấp hành và gây tổn thất tài chính đáng kể.

Như vậy, các biện pháp bảo đảm an ninh mạng là cần thiết để bảo vệ mạng DCS trong môi trường công nghiệp.

Những lỗ hổng bảo mật phổ biến trong mạng DCS và hậu quả do chúng gây ra

Mạng DCS dễ mắc phải các lỗ hổng bảo mật phổ biến trong môi trường công nghiệp, chủ yếu gồm”

• phần mềm lỗi thời;
• mật khẩu yếu;
• lỗi xuất hiện, nhưng không được vá lỗi tạo ra những điểm xâm nhập cho những kẻ tấn công mạng.

  Ngoài ra, nếu không thực hiện phân đoạn mạng, cũng dẫn đến khả năng truy cập trái phép vào các vùng có tính quyết định đến sự hoạt động của mạng DCS. Nếu xảy ra điều này thì kẻ tấn công mạng sẽ giành được quyền kiểm soát các quy trình cốt lõi, có thể điều khiển gián đoạn sản xuất, an toàn của người lao động và thậm chí có thể gây họa lớn về môi trường. Hậu quả của sự truy cập trái phép thông qua lỗ hổng của mạng DCS là rất lớn, không chỉ là tổn thất tài chính mà còn làm giảm sút nghiêm trọng uy tín và quyền lực của tổ chức. Để giảm thiểu những rủi ro này cần phải có các giải pháp bảo mật mạnh: cập nhật phần mềm thường xuyên; giao thức xác thực đủ mạnh; phân đoạn mạng để củng cố mạng DCS và bảo vệ các hoạt động công nghiệp quan trọng.

  Các giải pháp và chiến lược bảo vệ tốt nhất để bảo vệ mạng DCS

  Các giải pháp tốt nhất để bảo vệ mạng DCS, bao gồm:

  • phân đoạn mạng để cô lập các hệ thống quân trọng, ngăn chặn sự truy cập trái phép vào các khu vực quan trọng;
  • cập nhật phần mềm thường xuyên và vá các lỗ hổng đã biết, giúp tăng cường bảo vệ mạng;
  • thiết lập sự xác thực đủ mạnh, thí dụ như xác thực hai yếu tố, bổ sung thêm một lớp bảo mật, điều này làm giảm nguy cơ xâm nhập trái phép thành công;
  • giám sát liên tục lưu lượng của mạng để dễ phát hiện các hoạt động đáng ngờ và các điểm bất thường, qua đó cho phép phát hiện các mối đe dọa tiềm ẩn và nhanh chóng phản ứng với chúng;
  • kiểm toán thường xuyên và đánh giá mức độ an toàn của sự hoạt động ổn định liên tục của mạng.

  Bằng cách thực hiện đồng thời các giải pháp nêu trên, các tổ chức có thể củng cố và giữ được tính an toàn mạng DCS của mình, qua đó giảm rủi ro an ninh mạng; bảo mật được dữ liệu cho các quá trình công nghiệp quan trọng.

  Các công nghệ và giao thức bảo mật được dùng để bảo vệ mạng DCS

  Bảo vệ mạng DCS là yêu cầu triển khai các giải pháp có tính công nghệ cao và giao thức đủ mạnh. Giải pháp công nghệ cao, có thể là hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS); hệ thống ngăn chặn xâm nhập (Intrusion Prevention System – IPS); …, chúng đóng vai trò quan trọng trong việc giám sát lưu lượng mạng và qua đó nhanh chóng phát hiện hoạt động đáng ngờ rồi ngăn chặn các mối đe dọa tiềm ẩn. Tường lửa, hoạt động như là một rào cản an toàn bằng cách kiểm soát lưu lượng mạng đến và đi, ngăn chặn sự truy cập trái phép và lọc dữ liệu. Ngoài ra, mạng riêng ảo (Virtual Private Networks – VPN) cung cấp các kênh liên lạc được mã hóa, cho phép truyền dữ liệu được an toàn giữa các địa điểm cách xa nhau với địa điểm đặt trung tâm điều khiển. Bằng cách ứng dụng các giải pháp bảo mật có tính công nghệ cao và giao thức đủ mạnh này, các tổ chức có thể tăng đáng kể sự an toàn cho mạng DCS của mình và qua đó thực hiện được an toàn thông tin và tài sản công nghiệp quan trọng.

  Ảnh hưởng của sự tấn công lên mạng DCS và thí dụ thực tế

  Hậu quả là lớn đáng kể khi mạng DCS bị tấn công. Đặc biệt, sâu Stuxnet (được phát hiện vào năm 2010) là sâu có thiết kế đặc biệt để có thể tấn công các cơ sở hạt nhân của nước cộng hòa hồi giáo Iran, khi nó tấn công sẽ gây ra hư hỏng các máy ly tâm và cản trở mạnh đến quá trình làm giàu Uranium. Ngoài ra, còn có phần mềm Triton (được phát hiện năm 2017) đã tấn công vào một nhà máy hóa dầu ở Ả Rập Saudi nhằm thao túng hệ thống an ninh và đe dọa đến sự an toàn của các nhân lực và môi trường [1]. Những thí dụ thực tế này đã minh họa rõ ràng bản chất nghiêm trọng của các mối đe dọa mạng công nghiệp, làm rõ khả năng xảy ra các cuộc tấn công mạng với mục tiêu phá hủy các cơ sở hạ tầng quan trọng. Các thí dụ này cho thấy sự cấp thiết phải thực hiện các giải pháp công nghệ cao để bảo vệ mạng DCS thoát khỏi các cuộc tấn cộng mạng có chủ đích phá hoại.

  Tầm quan trọng của đào tạo và nhận thức của nhân lực làm việc trong hệ thống kỹ thuật công nghiệp có mạng DCS

  Cho dù tự động hóa đến mức độ nào đi nữa thì sự tham gia của con người trong hoạt động của các hệ thống kỹ thuật công nghiệp có mạng DCS là không thể loại trừ. Các lỗi và sự sơ suất của con người thường là những tác nhân gây ra mất an ninh mạng DCS. Chính vì thế, các chương trình đào tạo toàn diện là rất quan trọng nhằm giúp nhân lực làm quen với những dấu hiệu của các mối đe dọa an ninh mạng và với các giao thức cơ bản có tính bảo mật cao [2]. Bằng cách hiểu và biết rõ hơn các hướng dẫn về tấn công mạng, chẳng hạn như xuất hiện những nỗ lực nào đó gợi mở “lòng tham cố hữu” của con người;… thì tuyến phòng thủ đầu tiên chống lại các cuộc tấn cộng mạng, lại chính là các nhân lực làm việc với mạng DCS. Thí dụ, như họ né và biết cách tránh tải xuống các tệp đính kèm đáng ngờ, đồng thời báo cáo ngay lập tức các dấu hiệu hoạt động bất thường. Thông qua đào tạo, phải đạt được một nét văn hóa làm việc bảo mật chủ động cho mạng DCS và an ninh mạng chung trong tổ chức [2].

  Tuân thủ các quy định và nguyên tắc liên quan đến an ninh mạng trong tự động hóa công nghiệp

  Việc tuân thủ các quy định về an ninh mạng trong tự động hóa công nghiệp là điều tối quan trọng để bảo vệ cơ sở hạ tầng quan trọng. Các cơ quan quản lý, như NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia); IEC (Ủy ban Kỹ thuật điện Quốc tế); và ISA (Hiệp hội Tự động hóa Quốc tế, đã ban hành các hướng dẫn và tiêu chuẩn toàn diện để đảm bảo an toàn cho các hệ thống điều khiển công nghiệp [3]. Các tổ chức phải tuân theo các hướng dẫn và các tiêu chuẩn này để duy trì các giải pháp bảo đảm an ninh mạng DCS một cách thường xuyên. Cũng bằng cách như vậy, các tổ chức sẽ có cách chủ động đối với an ninh mạng, giúp giảm khả năng xảy ra sự cố mạng. Việc triển khai các giải pháp bảo mật mạnh, tuân thủ các hướng dẫn và các tiêu chuẩn, không chỉ tạo ra môi trường an toàn cho tự động hóa công nghiệp mà còn cải thiện rõ rệt khả năng phục hồi tổng thể trước các mối đe dọa an ninh mạng đang phát triển mạnh trong thế giới đầy mâu thuẫn về lợi ích kinh tế và chính trị [3].

  Kết luận

  Tóm lại, an ninh mạng là mối quan tâm hàng đầu trong lĩnh vực DCS dành cho tự động hóa công nghiệp. Bảo vệ các mạng được kết nối này khỏi các mối đe dọa trên mạng là điều cần thiết nhằm duy trì tốt sự hoạt động trơn tru, giữ được bí mật công nghệ quan trọng.

  Bằng cách triển khai các giải pháp bảo mật hợp lý; triển khai các công nghệ hiện đại và nâng cao nhận thức của nhân sự, các tổ chức có thể củng cố sự an toàn mạng DCS thông qua khả năng phòng thủ vững chắc của mình.

  Cách tiếp cận chủ động đối với vấn đề an ninh mạng có vai trò quan trọng trong việc tạo ra bối cảnh tự động hóa công nghiệp thịnh vượng và an toàn, không những tối ưu hóa được sự sản sản xuất, mà còn bảo đảm tính toàn vẹn và tính bảo mật tối đa cho những gì thuộc về năng lực riêng giá trị cao của tổ chức trước những mối đe dọa làm thiệt hại tài chính và tổn thất năng lực riêng có giá trị cao của đối thủ “ảo mà thật” trên mạng.

  Tài liệu tham khảo

  [1] Symantec. (2010). Stuxnet: A Breakthrough in Cyber Warfare.: электронный // URL: https://ww-w.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf (дата обращения: 22.12.2023).

  [2] Информационная безопасность АСУ ТП: Дон Кихот в эру кибероружия.: электронный // Хабр: [сайт]. – URL: https://habr.com/ru/articles/316184/ (дата обращения: 22.12.2023).

  [3] Обзор международных организаций по станда-ртизации.: электронный // РЕГЛАМЕНТ: [сайт]. – URL: https://cntd-reglament.ru/news/article.php?i-d_news=1058 (дата обращения: 22.12.2023).

  Nguyễn Tiến Dũng
  VAA, Bauman Moscow State Technical University