Đảm bảo an toàn thông tin trong Kỷ nguyên Công nghiệp 4.0

15:02 | 19/01/2017

Năm 2011, cụm từ “Công nghiệp 4.0” - Cuộc cách mạng công nghiệp lần thứ 4, hay còn gọi là Công nghiệp Internet xuất hiện lần đầu tiên trong một chiến lược về công nghệ cao của Chính phủ Đức, nhằm thúc đẩy tin học hóa sản xuất thông qua kết nối máy móc và hệ thống điều khiển thông minh. Chưa đầy 5 năm sau, khái niệm “Công nghiệp 4.0” đã được mở rộng và cuộc cách mạng công nghiệp lần thứ 4 đã được lựa chọn làm chủ đề của Diễn đàn Kinh tế thế giới diễn ra vào tháng 1/2016 tại Davos, Thụy Sỹ.

Cho đến nay vẫn chưa có một định nghĩa rõ ràng về cuộc cách mạng này, ngoài một số ý kiến cho rằng, nó dựa trên một số công nghệ như Internet vạn vật (Internet of Things - IoT), Internet dịch vụ (Internet of Service), trí tuệ nhân tạo, điện toán đám mây, công nghệ in 3D....

Cuộc cách mạng Công nghiệp 4.0 được thúc đẩy bởi IoT, với sự xuất hiện các mạng thông minh, bao gồm các hệ thống máy móc hoạt động, được kết nối để tự động trao đổi thông tin, kích hoạt các hành động hoặc kiểm soát lẫn nhau.

Trong 5 năm tới, ước tính khoảng 85% các công ty sẽ triển khai các giải pháp Công nghiệp 4.0 cho tất cả các bộ phận sản xuất quan trọng. Mức đầu tư hằng năm của châu Âu cho các giải pháp này dự kiến khoảng 140 tỉ euro vào năm 2020.

Sản xuất trên nền tảng Công nghiệp Internet được dự báo sẽ tăng năng suất và hiệu quả sử dụng tài nguyên khoảng 18% trong 5 năm tới; mỗi năm giảm khoảng 2,6% chi phí và hàng tồn kho.  

Có một cách tiếp cận hoàn toàn mới trong sản xuất, đó là mô hình Nhà máy thông minh. Khi đó sản phẩm có thể được nhận dạng, xác định vị trí và thay đổi tuyến vận chuyển khi cần thiết. Các hệ thống sản xuất được kết nối với các quy trình kinh doanh, cũng như các mạng bên ngoài, trong toàn bộ chuỗi giá trị và được quản lý theo thời gian thực. Những thay đổi này sẽ tác động đến toàn bộ chuỗi cung ứng, từ thiết kế, tạo mẫu, đặt hàng, quy trình công nghiệp và bán hàng, cho đến dịch vụ và bảo dưỡng, thiết lập mối quan hệ chặt chẽ giữa các doanh nghiệp và đối tác kinh doanh. Do vậy, các hệ thống kinh doanh riêng lẻ trước đây cần phải được tích hợp với nhau. Công nghệ vận hành (Operational technology - OT) để vận hành quy trình sản xuất hiện nay được sáp nhập với Văn phòng IT (Office IT). Nghĩa là quy trình sản xuất phải phối hợp với nhiều nhà cung cấp trên toàn cầu hơn, thời gian vận chuyển sẽ dài hơn, quy trình sản xuất có nhiều bước hơn.  

Bên cạnh những lợi ích cho các nhà sản xuất, việc tích hợp các hệ thống sản xuất riêng biệt còn tiềm ẩn những nguy cơ rủi ro bị tấn công không gian mạng. Những quy trình mà trước đây là cô lập, thì lại tồn tại rủi ro bị tấn công trên không gian mạng theo cả cách trực tiếp và gián tiếp.

Công nghiệp 4.0 làm gia tăng rủi ro, sự phức tạp của các dịch vụ mạng được cung cấp và quản lý sản xuất, tin tặc có nhiều cơ hội khai thác, tiến hành các hoạt động gián điệp không gian mạng để lấy cắp tài sản trí tuệ, chiếm đoạt quyền kiểm soát của các nhà máy công nghiệp....

Các nguy cơ đối với ATTT trong công nghiệp 4.0

Cùng với những thách thức của Công nghiệp Internet, việc gia tăng các cuộc tấn công mạng gây thiệt hại đến các hệ thống xử lý và quy trình sản xuất; làm gián đoạn, ngừng trệ sản xuất, kéo theo chi phí để khắc phục lớn. Theo một cuộc khảo sát gần đây của Deloitte, các nhà sản xuất tin rằng nguy cơ rủi ro trên không gian mạng sẽ tăng lên đồng thời với việc chuyển đổi sang Công nghiệp 4.0.

Tin tặc và tội phạm mạng đã và đang thực hiện nhiều cuộc tấn công phá hoại hệ thống quy trình công nghiệp hoặc trung tâm dữ liệu trong lĩnh vực sản xuất bằng những kỹ thuật tấn công tinh vi, nhằm lấy cắp dữ liệu bí mật và thiết kế của sản phẩm mới. 

Trong năm 2014, lĩnh vực sản xuất là mục tiêu hàng đầu của các cuộc tấn công giả mạo (spear phishing), chiếm tới 20% tổng các cuộc tấn công, tăng so với tỷ lệ 13% của năm 2013. Theo Báo cáo về mối đe dọa an toàn Internet năm 2016 của Symantec, lĩnh vực sản xuất vẫn là một trong ba ngành công nghiệp bị tấn công giả mạo nhiều nhất. 


Hình 1: Nguy cơ rủi ro không gian mạng gia tăng khi chuyển sang Công nghiệp 4.0

Trong Công nghiệp 4.0, ngày càng nhiều ứng dụng và thiết bị được sử dụng rộng rãi trên môi trường mạng Internet, hơn nữa các thiết bị và các dịch vụ CNTT còn được tích hợp vào các hệ thống điều khiển công nghiệp (Industrial Controls Systems - ICS). Theo dự báo của Gartner, trong năm 2016, khoảng 5,5 triệu thiết bị thông minh mới sẽ được kết nối mỗi ngày và toàn cầu có tổng cộng 6,4 tỉ thiết bị thông minh kết nối (tăng hơn 30% so với năm 2015). Mặc dù sự kết nối này mang lại nhiều lợi ích, nhưng cũng khiến các hệ thống ICS dễ bị tấn công. Theo khảo sát của Symantec, những lỗ hổng mất an toàn trong hệ thống ICS trong lĩnh vực sản xuất ngày càng gia tăng (năm 2015 tăng hơn 300% so với năm 2014). 

Các cuộc tấn công vì lý do tài chính vào ICS sẽ làm gián đoạn hoạt động của hệ thống. Các tấn công này thường diễn ra “chậm” và không có dấu hiệu nhận biết sớm, nhưng sau vài tuần hay vài tháng, sẽ lan rộng trong toàn bộ hệ thống để thu thập thông tin cần thiết nhằm thực hiện mục đích của kẻ tấn công. Việc chuyển sang các hệ thống mở sử dụng địa chỉ IP đã tạo ra nhiều cách thức để tin tặc thực hiện các cuộc tấn công, đặc biệt là nếu truy cập Internet được bảo vệ ở mức thấp và các giao thức xác thực ICS không đủ mạnh.

Một số khuyến nghị ATTT trong công nghiệp 4.0

Để giảm thiểu các nguy cơ về ATTT trong kỷ nguyên công nghiệp 4.0, cần kiểm soát các rủi ro và đề ra biện pháp an toàn phù hợp, với các nội dung chính sau:

Quy trình quản lý rủi ro

Vấn đề quan trọng hàng đầu đối với các nhà sản xuất khi chuyển sang công nghiệp 4.0 là cần phải xây dựng một quy trình quản lý rủi ro với một số yếu tố sau:

1. Phân loại rủi ro, xác định các chính sách và các quy trình đánh giá tự động (Khung IT GRC - Quản trị rủi ro và tuân thủ IT), được áp dụng trong toàn bộ môi trường CNTT và  OT/ICS của doanh nghiệp.

2. Thi hành các chính sách CNTT và tuân thủ tự động (Tiêu chuẩn ISO 27005), tự động thực hiện các quy trình, không chỉ để phát hiện các mối đe dọa, mà còn để khắc phục hoặc dự đoán trước khi sự cố mất ATTT xảy ra.

3. Truyền thông về rủi ro OT và CNTT thống nhất trong doanh nghiệp sử dụng Khung IT GRC, bao gồm các bước khác nhau, từ khâu xác định tài sản quan trọng, cho đến các quy trình giám sát liên tục.

Xây dựng chiến lược ATTT tổng thể

Cách tốt nhất là các nhà sản xuất xác định được những bước quan trọng để chuyển một quá trình quản lý rủi ro sang một chiến lược triển khai đầy đủ, tạo ra các hệ thống an toàn và tuân thủ quy trình trong Công nghiệp 4.0, bao gồm:

Quản lý sự hội tụ của Office IT và OT một cách an toàn

Việc tích hợp các hệ thống Office IT và OT sẽ giúp tận dụng triệt để những lợi ích của ngành Công nghiệp 4.0 nhằm mang lại hiệu suất cao hơn và chi phí thấp hơn. Các tiêu chuẩn như ISA 95 cung cấp một khung để quản lý các luồng thông tin giữa những hệ thống này. Thông qua những luồng thông tin này, nhà quản lý cấp cao có thể nhanh chóng đưa ra quyết định và thực thi chúng. Tuy nhiên, khi luồng thông tin lớn hơn các hệ thống OT và Office IT có thể kết nối thì khả năng các mối đe dọa mà đã được cô lập trong từng hệ thống trước đây, thì có thể trở thành một nguy cơ  mất ATTT nghiêm trọng cho cả hai hệ thống.

An toàn cho các hệ thống điều khiển công nghiệp

Do hệ thống ICS tương tác với hệ thống vật lý, nên cần phải được đảm bảo an toàn. Cần phải đánh giá các mối nguy hiểm và rủi ro, như được nêu ra trong tiêu chuẩn IEC 61508; Tuân thủ các khuyến nghị đối với các công nghệ an toàn mạng và an toàn cho các hệ thống điều khiển, như NIST SP800-82, ISA-99 hoặc IEC 62443.

Quản lý các thiết bị IoT và hệ thống nhúng

Việc chuyển sang Công nghiệp Internet sẽ làm tăng số lượng các thiết bị thông minh được sử dụng để nâng cao hiệu quả hoạt động. Đảm bảo an toàn trong các hệ thống nhúng chính là quản lý và bảo vệ dữ liệu, đặc tính và dịch vụ trên toàn bộ chuỗi cung ứng, tránh bị xâm nhập trên các thiết bị và làm phát sinh các mối đe dọa mới.

Việc triển khai cơ sở hạ tầng khóa công khai (PKI) trong các hệ thống nhúng bảo đảm an toàn giao tiếp cho các lớp, tạo thành một hệ thống kiểm tra tính xác thực, cấu hình và sự toàn vẹn của thiết bị kết nối. Do đó, ứng dụng PKI là lý tưởng trong việc triển khai an toàn quy mô lớn, đòi hỏi một mức độ bảo mật cao.

Bảo vệ thông tin bí mật và sở hữu trí tuệ

Dữ liệu có tính bí mật cao cần phải được mã hóa để đảm bảo rằng chỉ những người dùng được cấp quyền mới có thể truy cập. Bảo vệ cho các vành đai mạng để hạn chế lưu lượng truy cập trái phép, cài đặt phần mềm chống virus và việc nâng cấp phần mềm trên các hệ thống IT và OT giúp ngăn chặn các cuộc tấn công. Ngoài ra, cần xem xét đến việc kết hợp các giải pháp phòng chống mất mát dữ liệu (Data Leak Prevention - DLP) với mã hóa để bảo vệ tài sản dữ liệu có giá trị cao.

Các đối tác kinh doanh trong các chương trình rủi ro trên mạng

Khi chia sẻ dữ liệu sản xuất trên dây chuyền cung ứng, cần phải đánh giá các chiến lược an toàn của các đối tác kinh doanh và các nhà thầu. Việc chia sẻ dữ liệu được thực hiện thông qua các ứng dụng đám mây hoặc lưu trữ đám mây. Hiện nay, mã hóa, xác thực và kiểm soát truy nhập trong nhiều ứng dụng đám mây đang là nền tảng tốt nhất để giải quyết các thách thức an toàn trong môi trường điện toán đám mây.

Chuẩn bị trước, phát hiện kịp thời và phản ứng nhanh

Bất kỳ chiến lược và kế hoạch quản lý rủi ro nào cũng cần xác định đối tượng chịu trách nhiệm với các lỗ hổng, mối đe dọa và làm thế nào để phân loại những rủi ro, thực hiện đánh giá các chiến lược giảm thiểu rủi ro. Quá trình này cần được tiếp tục đánh giá thông qua các tiêu chuẩn như ISO 27005 và NIST SP 800-30 để cung cấp khung tham chiếu cho quá trình xác thực và quản lý rủi ro tốt hơn.

Trong cuộc cách mạng Công nghiệp 4.0, sự hợp nhất giữa thế giới vật lý và ảo hóa của các hệ thống mạng trên toàn cầu đang thay đổi hoàn toàn cách thức kiểm soát việc sản xuất. Điều này mang lại lợi ích lớn với chi phí thấp và hiệu quả cao hơn, nhưng cũng tiềm ẩn nhiều nguy cơ về ATTT. Vì vậy, việc đánh giá các rủi ro tiềm ẩn và xác định một kế hoạch bảo đảm an toàn là hết sức cần thiết để có thể tận dụng tốt nhất những cơ hội do kỷ nguyên Công nghiệp 4.0 đem đến.