Tiêu chuẩn IEC 62443 nền tảng an toàn mạng công nghiệp

10:18 | 29/10/2021
Ngô Thế Minh (Viện Khoa học - Công nghệ mật mã)

Các hệ thống công nghiệp phụ thuộc vào công nghệ vận hành luôn coi trọng vấn đề về an toàn mạng. Tiêu chuẩn IEC 62443 được phát triển để bảo đảm an toàn cho các mạng truyền thông công nghiệp và các hệ thống điều khiển và tự động hóa công nghiệp (Industrial Automation and Control Systems - IACS) thông qua phương pháp tiếp cận có hệ thống.

Các hệ thống công nghiệp phụ thuộc vào công nghệ vận hành (CNVH) luôn phải tính đến rủi ro không gian mạng. Đây là mục đích chính của loạt tiêu chuẩn IEC 62443, do Ủy ban Kỹ thuật điện quốc tế IEC (TC) 65: Đo lường, điều khiển và tự động hóa quy trình công nghiệp phối hợp với các thành viên của Ủy ban 99 của Hiệp hội Tự động hóa Quốc tế (ISA99) soạn thảo.

Bảo mật toàn diện các hệ thống điều khiển và tự động hóa công nghiệp

Tiêu chuẩn IEC 62443 được phát triển để bảo đảm an toàn cho các mạng truyền thông công nghiệp và các IACS thông qua phương pháp tiếp cận có hệ thống. IACS hiện diện trong một loạt các lĩnh vực và ngành công nghiệp ngày càng mở rộng, chẳng hạn như cung cấp và phân phối điện, năng lượng, giao thông vận tải, sản xuất,... là trọng tâm của các cơ sở hạ tầng quan trọng. IACS cũng bao gồm các hệ thống kiểm soát giám sát và thu thập dữ liệu thường được sử dụng bởi các tổ chức hoạt động trong các ngành cơ sở hạ tầng quan trọng, chẳng hạn như mạng lưới phát điện, truyền tải và phân phối, khí đốt, nước. Vì vậy, đảm bảo giảm thiểu rủi ro và khả năng phục hồi là rất cần thiết.

Ngăn chặn truy cập bất hợp pháp hoặc không phù hợp

Trong các bài viết về tiêu chuẩn IEC 62443, thuật ngữ “bảo mật” được coi có nghĩa là ngăn chặn sự xâm nhập bất hợp pháp hoặc không mong muốn, can thiệp có chủ đích hoặc không cố ý vào các hoạt động hoặc truy cập không thích hợp vào thông tin bí mật trong IACS. Bảo mật bao gồm bảo mật máy tính, mạng, hệ điều hành, ứng dụng và các thành phần cấu hình có thể lập trình khác của hệ thống.

Cần có một cái nhìn tổng quan đối với Tiêu chuẩn IEC 62443, vì có liên quan đến tất cả các mạng truyền thông công nghiệp và người dùng IACS. Trong đó, bao gồm chủ sở hữu tài sản, nhà tích hợp hệ thống, nhà sản xuất thiết bị, nhà cung cấp, nhà điều hành cơ sở, người hành nghề bảo trì và tất cả các tổ chức tư nhân, chính phủ có liên quan, hoặc bị ảnh hưởng, kiểm soát an toàn mạng của hệ thống đã được nêu trong IEC/TS 62443-11 (Mạng truyền thông công nghiệp - An ninh mạng và hệ thống - Phần 1-1: Thuật ngữ, khái niệm và mô hình).

Cách tiếp cận khác biệt và trên phạm vi rộng

Nhiều doanh nghiệp và ngành công nghiệp sử dụng CNTT đã có hệ thống quản lý an toàn mạng (Cyber Security Management System - CSMS) được thiết lập thích hợp như được định nghĩa trong các tiêu chuẩn ISO/IEC 27001 và ISO/IEC 27002 về bảo mật thông tin, được phát triển bởi Ủy ban Kỹ thuật chung về Công nghệ thông tin (ISO/IEC JTC 1). Tiêu chuẩn IEC 62443 bao gồm bảo mật cho cả CNTT và CNVH, trong đó bao gồm nhiều khía cạnh và cung cấp một khuôn khổ linh hoạt để giải quyết và giảm thiểu các lỗ hổng bảo mật hiện tại và tương lai trong IACS. Dòng tiêu chuẩn IEC 62443 được tổ chức thành bốn phần bao gồm:

Phần chung IEC

62443 IEC/TS 62443-1-1: 2009, xác định thuật ngữ, khái niệm và mô hình cho bảo mật IACS. Nó thiết lập cơ sở cho các tiêu chuẩn còn lại trong loạt IEC 62443. Trong đó có 07 yêu cầu cơ bản sau: Kiểm soát nhận dạng và xác thực (Identification and Authentication Control - IAC); Kiểm soát sử dụng; Tính toàn vẹn của hệ thống; Bảo mật dữ liệu; Luồng dữ liệu hạn chế; Phản ứng kịp thời với các sự kiện; Tính khả dụng của tài nguyên.

Các chính sách và thủ tục

+ IEC 62443-2-1: 2010, xác định các yếu tố cần thiết để thiết lập một CSMS cho IACS và cung cấp hướng dẫn về cách phát triển các yếu tố đó. Các yếu tố của CSMS được mô tả trong tiêu chuẩn này chủ yếu là chính sách, thủ tục, thực hành và nhân sự có liên quan, mô tả những gì sẽ hoặc nên được đưa vào CSMS cho tổ chức.

+ IEC TR 62443-2-3: 2015, đề cập đến quản lý bản vá trong môi trường IACS và mô tả các yêu cầu đối với chủ sở hữu tài sản và nhà cung cấp sản phẩm IACS đã thiết lập và hiện đang duy trì chương trình quản lý bản vá IACS. Báo cáo Kỹ thuật này đề xuất một định dạng xác định để phân phối thông tin về các bản vá bảo mật từ chủ sở hữu tài sản đến các nhà cung cấp sản phẩm IACS. Nó cũng cung cấp định nghĩa cho một số hoạt động liên quan đến việc phát triển thông tin bản vá của các nhà cung cấp sản phẩm IACS và việc triển khai, cài đặt các bản vá của chủ sở hữu nội dung. Định dạng trao đổi và các hoạt động được xác định để sử dụng trong các bản vá liên quan đến bảo mật. Tuy nhiên, nó cũng có thể áp dụng cho các bản vá hoặc cập nhật không liên quan đến bảo mật. Nó không phân biệt giữa các nhà cung cấp các thành phần cơ sở hạ tầng hoặc các ứng dụng IACS, nó cung cấp hướng dẫn cho tất cả các bản vá có thể áp dụng.

+ IEC 62443-2-4: 2017, chỉ rõ các yêu cầu về khả năng bảo mật đối với các nhà cung cấp dịch vụ IACS mà họ có thể cung cấp cho chủ sở hữu tài sản trong các hoạt động tích hợp và bảo trì của một giải pháp tự động hóa.

Phần hệ thống

+ IEC TR 62443-3-1: 2009, Mạng truyền thông công nghiệp - Bảo mật mạng và hệ thống - Công nghệ bảo mật cho IACS, cung cấp đánh giá hiện tại về các công cụ an toàn mạng khác nhau, các biện pháp giảm thiểu và công nghệ có thể áp dụng hiệu quả cho IACS dựa trên điện tử hiện đại điều chỉnh và giám sát nhiều ngành công nghiệp và cơ sở hạ tầng quan trọng. Nó mô tả một số danh mục công nghệ an toàn mạng tập trung vào hệ thống kiểm soát, các loại sản phẩm có sẵn trong các danh mục đó, ưu và nhược điểm của việc sử dụng các sản phẩm đó trong môi trường IACS tự động có liên quan đến các mối đe dọa dự kiến   và lỗ hổng mạng đã biết. Quan trọng nhất là các khuyến nghị sơ bộ và hướng dẫn sử dụng các sản phẩm công nghệ an toàn mạng này và các biện pháp đối phó.

+ IEC 62443-3-2: 2020, bảo mật cho IACS tập trung vào đánh giá rủi ro bảo mật cho thiết kế hệ thống. Trong số những thứ khác nhau, nó thiết lập các yêu cầu đối với:

• Xác định một hệ thống đang được xem xét cho IACS.

• Phân chia hệ thống đang được xem xét thành các khu vực và đường dẫn.

• Đánh giá rủi ro cho từng khu vực và đường dẫn.

• Thiết lập mức bảo mật mục tiêu cho từng vùng và đường dẫn.

• Ghi lại các yêu cầu bảo mật.

Các thành phần

+ IEC 62443-4-1: 2018, tập trung vào các yêu cầu về vòng đời phát triển sản phẩm an toàn. Nó chỉ định các yêu cầu quy trình để phát triển an toàn các sản phẩm được sử dụng trong các hệ thống điều khiển và tự động hóa công nghiệp. Xác định các yêu cầu vòng đời phát triển an toàn liên quan đến an toàn mạng đối với các sản phẩm được thiết kế để sử dụng trong môi trường IACS và cung cấp hướng dẫn về cách đáp ứng các yêu cầu được mô tả cho từng thành phần. Mô tả vòng đời bao gồm định nghĩa yêu cầu bảo mật, thiết kế an toàn, triển khai an toàn (bao gồm hướng dẫn mã hóa), xác minh và xác thực, quản lý lỗi, quản lý bản vá và cuối cùng là vòng đời của sản phẩm. Các yêu cầu này có thể được áp dụng cho các quy trình mới hoặc hiện có để phát triển, bảo trì và gỡ bỏ phần cứng, phần mềm hoặc phần sụn. Những yêu cầu này chỉ áp dụng cho nhà phát triển và người bảo trì sản phẩm, không áp dụng cho nhà tích hợp hoặc người sử dụng sản phẩm.

+ IEC 62443-4-2: 2019, yêu cầu an toàn kỹ thuật cho các thành phần IACS. Nó cung cấp các yêu cầu chi tiết về thành phần hệ thống điều khiển kỹ thuật liên quan đến 07 yêu cầu cơ bản được liệt kê ở trên trong IEC TS 62443-1-1, bao gồm việc xác định các yêu cầu đối với khả năng kiểm soát các mức độ bảo mật của hệ thống và các thành phần của chúng.

IEC 62443 được thiết lập để áp dụng trong nhiều hệ thống và lĩnh vực hơn

Đảm bảo an toàn mạng là mối quan tâm ngày càng gia tăng đối với các ngành công nghiệp nơi các cuộc tấn công mạng có thể nhắm vào cả hệ thống CNTT và CNVH. Vì lý do này, nhiều người ngày càng tin tưởng vào Tiêu chuẩn IEC 62443 để bảo vệ không gian mạng, giảm thiểu rủi ro và khả năng phục hồi, bên cạnh các tiêu chuẩn khác.

Ngày nay, trong nhiều lĩnh vực như năng lượng, lưới điện, hệ thống tiện ích, hệ thống giao thông vận tải,... đều dựa vào các Tiêu chuẩn IEC 62443 và một số tiêu chuẩn khác để giảm thiểu rủi ro an toàn mạng.

Các công ty kỹ thuật quốc tế và các hiệp hội phân loại đề cập đến việc tuân thủ Tiêu chuẩn IEC 62443 như một bằng chứng về chất lượng của các sản phẩm và dịch vụ mà họ cung cấp. Chính vì vậy việc áp dụng tiêu chuẩn IEC 62443 ngày càng phát triển rộng rãi.