Các hiểm họa hiện hữu

Các hệ thống quản lý ngành công nghiệp, sản xuất và cung cấp dịch vụ tiện ích như điện, dầu, nước… được vận hành bởi các thiết bị điện – điện tử, cơ khí, thủy lực và các loại thiết bị chuyên dụng khác. Do đặc thù của ngành, các hệ thống này được vận hành liên tục 24/7, tự động và có cơ chế tự điều khiển theo các tình huống giả định được thiết lập sẵn. Do vậy, các hệ thống này thông thường được vận hành và giám sát bởi các hệ thống máy tính chuyên dụng được gọi là bộ điều khiển và cảm biến. Tích hợp với các hệ thống quản lý, chúng cung cấp các giải pháp của SCADA (Hệ thống Thu thập dữ liệu và Điều khiển giám sát), cho phép thu thập và phân tích dữ liệu hiệu quả và giúp tự động kiểm soát các thiết bị chuyên dụng trong hệ thống như máy bơm, van và rơle.

SCADA: Supervisory Control And Data Acquisition – Hệ thống Thu thập dữ liệu và Điều khiển giám sát

Sử dụng trong các hệ thống yêu cầu mức độ tin cậy cao, hoạt động liên tục trong môi trường công nghiệp khắc nghiệt, không dễ dàng trong thay thế, lắp đặt, nên các thiết bị trong giải pháp SCADA phải đảm bảo yếu tố bền vững và bền bỉ trong thời gian dài, từ 5 năm hay thậm chí hơn 10 năm.

Với tầm quan trọng và ảnh hưởng tới cộng đồng và xã hội, các cơ sở cung cấp dịch vụ công cộng, các hệ thống kiểm soát giao thông đô thị, đã trở thành mục tiêu tấn công và gần đây đã bị tấn công bởi hàng loạt các vi phạm mạng, trộm cắp dữ liệu và từ chối dịch vụ… Tất nhiên, chúng ta nhận biết việc này nhiều nhất qua truyện và phim ảnh của Hollywood, nhưng thực sự nó đã xảy ra trong thực tế.

Ở Việt Nam, bề ngoài, đó là việc hacker tấn công và chiếm quyền điều khiển hệ thống hiển thị màn hình ở sân bay. Nhưng thực sự, hệ thống CSDL khách hàng của hàng không có còn đảm bảo an toàn, toàn vẹn?

Với thực tế như vậy, bên cạnh vấn đề đảm bảo yêu cầu cung cấp liên tục của dịch vụ xã hội, tính toàn vẹn dữ liệu, chính xác trong kiểm soát giao thông đường không/đường bộ, điều kiện tiên quyết là chúng ta cần giải quyết triệt để những lo ngại về bảo mật của hệ thống SCADA, với đặc thù thiết bị vận hành lâu dài, sử dụng các thiết bị, hệ thống và công nghệ có tuổi đời từ 5-10 năm trước. Còn công nghệ thế giới đang được nghiên cứu, phát triển và ứng dụng với tốc độ phi mã. Quả là 1 cuộc chiến không cân sức.

Đặc thù mạng SCADA và yêu cầu bảo mật

Mặc dù việc thiết kế và chế tạo các bộ điều khiển SCADA cũng như thiết bị cài đặt hệ thống quản lý là theo yêu cầu riêng của người dùng tùy theo yêu cầu hệ thống, nhưng vẫn không tách rời thực tế là sử dụng trên nền tảng các máy trạm làm việc (workstation) cài đặt hệ điều hành chuẩn được tùy biến (Windows/Linux hay Unix), cùng với các ứng dụng phần mềm, các giao thức truyền thông và đăng nhập phổ thông.

Do đó, dù có vẻ khác biệt, các hệ thống SCADA sẽ gặp đủ các vấn đề như hệ thống IT thông thường, các lỗ hổng, khác biệt giữa các sản phẩm được kiểm tra, backdoor, thiếu chứng thực và mã hóa, chưa cập nhật các bản vá và lưu trữ mật khẩu yếu sẽ cho phép kẻ tấn công truy cập vào hệ thống. Như vậy nguy cơ dẫn đến thiết bị có thể gây treo hoặc dừng chúng và can thiệp vào những quy trình quan trọng được kiểm soát bởi chúng, chẳng hạn như việc mở và đóng van, gây rối loạn hệ thống điều khiển giao thông.

Tuy vậy, do nhiệm vụ, mạng SCADA được tách biệt về mặt vật lý với các mạng IT của doanh nghiệp/tổ chức, hay sử dụng cùng một mạng IT (LAN và WAN) nhưng mã hóa lưu lượng mạng SCADA của họ trên một cơ sở hạ tầng chia sẻ. Và, cả 2 mạng có sự trao đổi để truy xuất thông tin dữ liệu cũng như gửi yêu cầu vận hành giữa chúng.

Bên cạnh yếu tố là 1 mạng kết nối với mạng IT, các thiết bị và mạng SCADA có thêm các đặc điểm khác biệt so với các thiết bị và mạng IT:

  • Lắp đặt ở các vị trí không tiện cho nhân công lắp đặt (tháp, trên giàn khoan dầu, robot đang hoạt động, nhà máy điện/nước/dầu, cột đèn giao thông), yêu cầu về môi trường hơn các hệ thống CNTT thông thường (ví dụ như ngoài trời, nhiệt độ quá cao, môi trường có độ acid/kiềm hóa cao, xung lắc) hoặc yêu cầu đầu vào/đầu ra đặc thù.
  • Sử dụng các hệ điều hành thông thường, nhưng được tùy biến/nhúng để tương thích với hệ thống, nhưng lại ít để ý tới sự an toàn về an ninh.
  • Phần mềm được thiết kế riêng, ưu tiến tính tới sự sẵn sàng, bền bỉ của hệ thống, do đó, lại ít được cập nhật hoặc vá lỗi thường xuyên, do hạn chế truy cập hay e ngại sự ảnh hưởng khi phải gián đoạn cho nâng cấp hệ thống.
  • Sử dụng các giao thức độc quyền hoặc đặc biệt như MODBUS, DNP3.

Các đơn vị cung cấp dịch vụ bảo mật với nhiều kinh nghiệm trong việc bảo vệ mạng IT trước vấn đề hiểm họa đe dọa hệ thống ngày càng tăng theo cấp số, từ lỗi của hệ điều hành, lỗ hổng phần mềm ứng dụng hay sự không tương thích giữa phần cứng-phần mềm tới firmware, liên tục tối ưu, phát triển các quy trình cho phép xậy dựng hệ thống tiệm cận mức vận hành một cách an toàn.

Việc tái sử dụng tri thức, liên tục nghiên cứu, áp dụng công nghệ phát triển qua nhiều năm có thể xây dựng một hệ thống an toàn, đồng thời tiết kiệm thời gian và chi phí. Điều này chỉ có khi đạt được điều kiện cần là hiểu và đánh giá được sự khác biệt giữa SCADA và môi trường IT, trước khi ứng dụng dụng các thực tiễn và công nghệ bảo mật chuyên biệt như là một phần của giải pháp.

Bảo mật hệ thống mạng SCADA (Phần 2)

Song Phương

Tin liên quan: