Theo Siemens, quá trình số hóa và tích hợp IT-OT đang mở ra nhiều cơ hội phát triển cho doanh nghiệp công nghiệp, song cũng khiến các hệ thống sản xuất và hạ tầng thiết yếu trở thành mục tiêu hấp dẫn của tội phạm mạng. Trước thực tế đó, Siemens giới thiệu chiến lược “Phòng thủ nhiều lớp” (Defense-in-Depth) - một cách tiếp cận bảo mật toàn diện, được thiết kế để bảo vệ từ mạng lưới, hệ thống cho tới thiết bị, qua đó nâng cao khả năng phòng ngừa, phát hiện và ứng phó với các cuộc tấn công mạng.
Cứ 11 giây xảy ra một vụ ransomware: Thách thức an ninh OT trong sản xuất
Tại hội thảo, ông Phan Thành Trung - Chuyên viên tư vấn Siemens Việt Nam cho biết các cuộc tấn công nhằm vào hệ thống OT trong lĩnh vực sản xuất đang gia tăng nhanh chóng. Thống kê cho thấy cứ mỗi 11 giây lại xảy ra một vụ tấn công ransomware; riêng năm 2021, loại hình tấn công này đã gây thiệt hại ước tính khoảng 20 tỷ euro trên toàn cầu. Đáng chú ý, 33% sự cố an ninh mạng diễn ra trong lĩnh vực sản xuất và 61% nhà máy thông minh từng ghi nhận ít nhất một vụ việc liên quan đến an ninh mạng.
Các chuyên gia của Siemens cũng chỉ ra nhiều thách thức mà doanh nghiệp đang đối mặt, bao gồm tình hình địa chính trị phức tạp, việc ngành công nghiệp - sản xuất ngày càng bị nhắm đến, sự ra đời của các quy định an ninh mạng dành riêng cho OT, cùng với tình trạng thiếu hụt nguồn lực và kỹ năng chuyên môn.
Trong khuôn khổ chương trình, Siemens giới thiệu Kiến trúc tham chiếu an toàn như một “bản thiết kế” cho khả năng phục hồi vận hành. Theo đó, Siemens chuyển hóa các yêu cầu từ những khung pháp lý và tiêu chuẩn quốc tế, như Chỉ thị NIS2 của EU, IEC 62443, Quy định Máy móc EU, Khung An ninh mạng NIST hay Đạo luật Cyber Resilience Act thành các giải pháp và thiết kế có thể triển khai trong thực tế, giúp doanh nghiệp vừa tuân thủ quy định, vừa bảo đảm an toàn, năng suất và tính bền vững trong vận hành công nghiệp.
Với gần bốn thập kỷ hoạt động trong lĩnh vực an ninh mạng, Siemens hiện sở hữu đội ngũ hơn 1.300 chuyên gia chuyên trách, mỗi tháng xử lý trên 1.000 sự cố và đối mặt với hơn 100.000 nỗ lực tấn công mạng mỗi năm. Những con số này cho thấy quy mô cũng như mức độ phức tạp của các thách thức an ninh mạng mà Siemens đang trực tiếp giải quyết.
Theo Siemens, trong bối cảnh không tồn tại một hệ thống nào có thể bảo đảm an ninh mạng tuyệt đối, quản lý lỗ hổng bảo mật được xem là yếu tố cốt lõi. Việc chủ động phát hiện, đánh giá và cung cấp bản vá kịp thời không chỉ giúp giảm thiểu rủi ro, mà còn thể hiện cam kết minh bạch và xây dựng niềm tin lâu dài với khách hàng. Cách tiếp cận này phản ánh quan điểm của Siemens rằng an ninh mạng không chỉ là bảo vệ hệ thống, mà còn là duy trì khả năng phục hồi trước các mối đe dọa ngày càng gia tăng.
Trong hoạt động quản lý lỗ hổng, Siemens triển khai các công cụ như ProductCERT và SINEC Security Guard, cho phép liên kết thông tin lỗ hổng với tài sản OT, xác định mức độ ưu tiên và triển khai các biện pháp giảm thiểu phù hợp. Bên cạnh đó, Siemens cũng thực hiện công bố công khai các vấn đề an ninh liên quan đến giải pháp, sản phẩm và dịch vụ của mình, góp phần nâng cao tính minh bạch trong quản trị rủi ro an ninh mạng.
Điểm khác biệt của Siemens, theo đại diện doanh nghiệp, nằm ở việc tập đoàn không chỉ cung cấp giải pháp mà còn trực tiếp ứng dụng các kinh nghiệm thực tiễn từ việc bảo vệ chính hoạt động nội bộ và hơn 120 nhà máy trên toàn cầu. Những kinh nghiệm này được chuyển hóa thành các giải pháp an ninh mạng nhằm hỗ trợ doanh nghiệp nâng cao khả năng phòng vệ và vận hành an toàn trong môi trường số.
An ninh theo tiêu chuẩn IEC 62443 là sự kết hợp của công nghệ, quy trình và con người
Theo Siemens, an ninh mạng trong môi trường công nghiệp theo tiêu chuẩn IEC 62443 không chỉ là câu chuyện của công nghệ, mà là sự kết hợp đồng bộ giữa công nghệ, quy trình và con người, đồng thời đòi hỏi quá trình triển khai và cải tiến liên tục.
Cách tiếp cận bảo mật toàn diện (holistic security protection) của Siemens được xây dựng trên ba trụ cột chính: Technology (Công nghệ), Processes (Quy trình) và People (Con người). Trong đó, các yếu tố như chính sách và quy trình, biện pháp an ninh chức năng và năng lực chuyên môn của con người được đặt trong một vòng khép kín, hỗ trợ và bổ sung lẫn nhau nhằm nâng cao hiệu quả bảo vệ hệ thống.
Siemens khẳng định vai trò là đối tác tin cậy trong việc triển khai chiến lược “Phòng thủ nhiều lớp” (Defense-in-Depth) cho an ninh công nghiệp. Theo mô hình này, các mối đe dọa an ninh luôn đòi hỏi hành động kịp thời và được xử lý thông qua các lớp bảo vệ hoạt động liên tục, gắn với dịch vụ an ninh công nghiệp (Industrial Security Service).
 |
| Theo Siemens, an ninh mạng trong môi trường công nghiệp theo tiêu chuẩn IEC 62443 là sự kết hợp đồng bộ giữa công nghệ, quy trình và con người, đồng thời đòi hỏi quá trình triển khai và cải tiến liên tục. |
Cụ thể, giải pháp của Siemens bao phủ nhiều lớp bảo vệ khác nhau. Ở cấp độ an ninh nhà máy (Plant security), hệ thống tập trung vào kiểm soát truy cập vật lý, xây dựng quy trình và hướng dẫn vận hành, cùng với giám sát an ninh tổng thể. Ở lớp an ninh mạng (Network security), các biện pháp được triển khai bao gồm bảo vệ theo vùng (cell protection), bảo vệ chu vi, cùng với tường lửa và mạng riêng ảo (VPN).
Bên cạnh đó, tính toàn vẹn hệ thống (System integrity) cũng được Siemens chú trọng thông qua các giải pháp tăng cường bảo mật hệ thống (system hardening), quản lý bản vá, phát hiện tấn công, cũng như cơ chế xác thực và kiểm soát truy cập.
Thông qua cách tiếp cận này, Siemens nhấn mạnh rằng an ninh công nghiệp không phải là trạng thái tĩnh, mà là một quá trình luôn hoạt động, liên tục thích ứng và phát triển, nhằm bảo vệ hệ thống vận hành trước các mối đe dọa ngày càng phức tạp trong kỷ nguyên số.
Kiến trúc tham chiếu an ninh cho hệ thống tự động hóa và điều khiển công nghiệp
Trong khuôn khổ chương trình, ông Phan Thành Trung đã trình bày Kiến trúc tham chiếu an ninh (Security Architecture Reference) như một mô hình nền tảng nhằm bảo vệ các hệ thống tự động hóa và điều khiển công nghiệp (IACS - Industrial Automation and Control System).
Theo Siemens, trong bản thiết kế (blueprint) dành cho lĩnh vực thực phẩm và đồ uống (F&B), một nhà máy chế biến thực phẩm được lựa chọn làm ví dụ ứng dụng để minh họa cho cách tiếp cận kiến trúc an ninh tổng thể.
Trong Kiến trúc tham chiếu hệ thống, Siemens xác định rõ các vùng an ninh (security zones) dành cho IACS cùng các thành phần liên quan. Toàn bộ hệ thống được phân tách và tổ chức theo từng vùng bảo mật cụ thể, nhằm đáp ứng các yêu cầu an ninh mạng khác nhau trong môi trường vận hành công nghiệp. Theo đó, tất cả các thành phần trong hệ thống được phân bổ vào 8 vùng an ninh, dựa trên yêu cầu bảo mật và chức năng vận hành của từng nhóm tài sản. Cách phân vùng này cho phép kiểm soát truy cập, giám sát và bảo vệ hệ thống một cách có cấu trúc, đồng thời hạn chế tối đa khả năng lây lan rủi ro khi xảy ra sự cố an ninh mạng.
Siemens định nghĩa “vùng an ninh” (Security Zone) là nhóm các tài sản số (cyber assets) có chung yêu cầu về an ninh mạng. Việc nhóm các tài sản có mức độ bảo mật tương đồng vào cùng một vùng giúp đơn giản hóa công tác quản lý, triển khai biện pháp bảo vệ phù hợp và tăng cường khả năng phòng vệ cho toàn bộ hệ thống. Thông qua mô hình Kiến trúc tham chiếu an ninh này, Siemens nhấn mạnh tầm quan trọng của việc thiết kế hệ thống an ninh mạng công nghiệp dựa trên phân vùng, phân lớp rõ ràng, làm nền tảng cho chiến lược “Phòng thủ nhiều lớp” trong các môi trường sản xuất hiện đại.
Bên cạnh đó, Siemens cũng giới thiệu mô hình phân vùng DMZ (Demilitarized Zone) nhằm kiểm soát chặt chẽ việc trao đổi dữ liệu giữa hệ thống vận hành (OT) và các mạng bên ngoài.
 |
| Mô hình phân vùng DMZ |
Theo Siemens, các vùng DMZ được chia thành bốn khu vực chính. Vùng 1 - Trung tâm dữ liệu công nghiệp (IDC) tập trung các thiết bị, hệ thống và dịch vụ phục vụ trực tiếp cho hoạt động sản xuất, như phần mềm kỹ thuật và tự động hóa. Vùng 2 - Dịch vụ bên ngoài bao gồm các thành phần vừa kết nối với mạng OT, vừa liên thông với các dịch vụ trong mạng không tin cậy. Vùng 3 - Kết nối từ xa được thiết kế để bảo đảm truy cập từ xa và trao đổi tệp dữ liệu an toàn, trong khi Vùng 4 - Dịch vụ nội bộ chỉ cho phép các hệ thống giao tiếp bên trong mạng OT, không trao đổi dữ liệu với các mạng không tin cậy.
Trong bản thiết kế an ninh dành cho lĩnh vực thực phẩm và đồ uống (F&B), Siemens áp dụng mô hình bốn DMZ thành phần để tách biệt các thiết bị và dịch vụ theo chức năng, mức độ quan trọng và mức độ tiếp xúc với rủi ro. Cách tiếp cận này giúp giảm thiểu nguy cơ lan truyền sự cố an ninh, đồng thời nâng cao khả năng kiểm soát và bảo vệ hệ thống vận hành.
Siemens cho biết, DMZ đóng vai trò là vùng đệm an ninh, cho phép nhà máy trao đổi dữ liệu với các mạng không tin cậy như mạng doanh nghiệp hoặc Internet, nhưng vẫn bảo đảm hệ thống sản xuất được bảo vệ trước các nguy cơ tấn công mạng.
SINEC Security Guard cho quản lý lỗ hổng bảo mật OT trong nhà máy
Trong danh mục các giải pháp an ninh công nghiệp, Siemens đưa ra ví dụ về giải pháp quản lý lỗ hổng bảo mật OT thông qua SINEC Security Guard (SSG) - một phần mềm dựa trên nền tảng đám mây với giao diện trực quan, hỗ trợ các doanh nghiệp công nghiệp nâng cao mức độ an toàn trong vận hành nhà máy.
Theo Siemens, SINEC Security Guard được thiết kế như một công cụ quản lý lỗ hổng bảo mật, giúp các doanh nghiệp bảo đảm hoạt động an toàn cho các tài sản OT trong môi trường sản xuất. Thông qua bảng điều khiển trung tâm, giải pháp này cung cấp cái nhìn tổng thể về tình trạng các mối đe dọa hiện tại đối với hệ thống OT, hỗ trợ đơn vị vận hành kịp thời nhận diện rủi ro.
Bên cạnh đó, SINEC Security Guard tích hợp sẵn quy trình quản lý lỗ hổng bảo mật, giúp nâng cao tính minh bạch trong việc đánh giá, theo dõi và xử lý rủi ro an ninh mạng, qua đó góp phần bảo đảm an toàn và ổn định cho hoạt động sản xuất công nghiệp.
Thông qua việc giới thiệu chiến lược “Phòng thủ nhiều lớp”, kiến trúc tham chiếu an ninh và các giải pháp quản lý lỗ hổng dành cho hệ thống OT, Siemens cho thấy cách tiếp cận toàn diện đối với an ninh mạng công nghiệp trong bối cảnh số hóa ngày càng sâu rộng. Việc kết hợp giữa tiêu chuẩn quốc tế, phân vùng an ninh rõ ràng và các công cụ hỗ trợ vận hành an toàn giúp doanh nghiệp vừa nâng cao khả năng phòng vệ trước các mối đe dọa mạng, vừa bảo đảm tính liên tục, ổn định và bền vững cho hoạt động sản xuất và hạ tầng trọng yếu.
