| [E-Magazine] Hiện đại hóa hạ tầng số - cần can đảm và tỉnh táo! Đề xuất tăng cường quản lý hệ thống AI có rủi ro cao |
 |
| Tạo đường hầm/phản chiếu dữ liệu thông qua đó để kết nối với các hệ thống AI nội bộ hoặc dựa trên đám mây |
Các mạng OT vốn được thiết kế ưu tiên tính ổn định và an toàn vật lý, không phải cho việc truy cập từ xa. Mỗi kết nối đến (inbound connection) mở ra một “cánh cửa” tiềm ẩn nguy cơ tấn công vào hệ thống điều khiển công nghiệp. Tin tặc có thể quét cổng, khai thác lỗ hổng dịch vụ và thực hiện các cuộc tấn công như chèn lệnh trái phép hoặc mã độc tống tiền. Trong khi đó, việc sử dụng VPN dù phổ biến - đôi khi chỉ tạo cảm giác an toàn, bởi nếu mạng CNTT bị xâm nhập, toàn bộ hệ thống OT liên kết cũng có thể bị ảnh hưởng.
Để đáp ứng các tiêu chuẩn như NIS2 hay NIST CSF 2.0, nhiều doanh nghiệp triển khai phân đoạn mạng thông qua vùng phi quân sự (DMZ). Tuy nhiên, việc tích hợp các giao thức công nghiệp phổ biến như OPC UA hay MQTT trong kiến trúc này không hề đơn giản. OPC UA thường gặp khó khăn khi phải truyền dữ liệu qua nhiều lớp DMZ do độ trễ và yêu cầu mở cổng tường lửa. MQTT dù linh hoạt ở tầng biên (edge) nhưng lại không đảm bảo đầy đủ cơ chế QoS khi triển khai theo chuỗi nhiều điểm trung gian, khiến nguy cơ dữ liệu lỗi thời gia tăng.
Một hướng tiếp cận đang được đánh giá cao là mô hình “đường hầm/phản chiếu” (tunneling/mirroring). Thay vì cho phép kết nối đến hệ thống OT, giải pháp này chỉ thiết lập các kết nối TCP một chiều từ OT ra DMZ. Dữ liệu được sao chép và đồng bộ tại từng nút, tạo nên không gian tên thống nhất trước khi chuyển tiếp sang hệ thống AI, có thể thông qua MQTT hoặc các giao thức khác. Cách làm này giúp loại bỏ bề mặt tấn công trực tiếp vào nhà máy, đồng thời vẫn đảm bảo luồng dữ liệu thời gian thực.
Trong các môi trường yêu cầu bảo mật cao, giải pháp còn có thể kết hợp với diode dữ liệu để đảm bảo không có bất kỳ gói tin nào quay ngược lại mạng công nghiệp. Đây là yếu tố đặc biệt quan trọng với hạ tầng trọng yếu.
Bên cạnh đó, mối đe dọa từ điện toán lượng tử cũng đặt ra yêu cầu mới về mật mã hậu lượng tử (PQC). Chiến lược “thu thập trước, giải mã sau” có thể khiến các cơ chế mã hóa hiện tại trở nên lỗi thời trong tương lai. Do đó, các nền tảng truyền dữ liệu công nghiệp cần sẵn sàng tích hợp các thư viện mã hóa tiên tiến nhằm đảm bảo an toàn dài hạn.
Rõ ràng, việc kết nối OT với AI không chỉ là câu chuyện tối ưu vận hành, mà còn là bài toán kiến trúc bảo mật. Doanh nghiệp cần cô lập mạng lưới bằng DMZ, triển khai mô hình đường hầm/phản chiếu và chuẩn bị cho các tiêu chuẩn mã hóa mới để vừa khai thác sức mạnh AI, vừa bảo vệ hạ tầng sản xuất một cách bền vững.
Theo automation.com
