ENGLISH: Cyber Security at Civil Nuclear Facilities: Understanding the Risks
Theo một báo cáo mới của Chatham House, nguy cơ xảy ra tấn công mạng nghiêm trọng vào các cơ sở hạ tầng hạt nhân dân sự đang lớn dần, khi các cơ sở ngày càng phụ thuộc nhiều hơn vào các hệ thống kỹ thuật số và tăng mức độ sử dụng phần mềm thương mại hàng loạt sẵn có.
Báo cáo cho thấy xu hướng số hóa kết hợp với sự thiếu nhận thức ở cấp điều hành về các rủi ro liên quan, nghĩa là nhân viên nhà máy hạt nhân có thể không nhận ra ở mức độ đầy đủ về những nguy cơ về an ninh mạng ở nhà máycủa họ, do đó không chuẩn bị đầy đủ để đối phó với các cuộc tấn công có thể xảy ra.
Những phát hiện cụ thể bao gồm:
• Quan niệm thông thường rằng tất cả các cơ sở hạt nhân là ‘air gapped’ (cách ly khỏi hệ thống internet công cộng) thực ra chỉ là lời đồn. Những lợi ích thương mại từ việc kết nối internet nghĩa là một số cơ sở hạt nhân hiện nay có lắp đặt kết nối VPN, mà nhà vận hành cơ sở đôi khi không biết.
• Các công cụ tìm kiếm có thể dễ dàng xác định các thành phần cơ sở hạ tầng quan trọng với các kết nối như vậy.
• Thậm chí, tại các cơ sở được coi là air gapped – cách ly với hệ thống internet công cộng, bộ phận bảo về này này có thể bị chọc thủng chỉ với một ổ đĩa flash.
• Những nguy cơ và lỗ hổng trong chuỗi cung ứng có nghĩa là thiết bị được sử dụng tại một cơ sở hạt nhân có nguy cơ thỏa hiệp bất kỳ lúc nào.
• Một sự thiếu đào tạo, kết hợp với sự cố thông tin liên lạc giữa các kỹ sư và nhân viên an ninh, có nghĩa là nhân viên nhà máy hạt nhân thường thiếu sự hiểu biết về các thủ tục an ninh mạng quan trọng.
• Cách tiếp cận theo kiểu phản ứng chứ không phải chủ động về an ninh mạng góp phần vào khả năng rằng một cơ sở hạt nhân có thể không hề biết đến một cuộc tấn công không gian mạng cho đến khi nó đang được thực sự xảy ra.
Cân nhắc kỹ lưỡng những rủi ro này, báo cáo chỉ ra rằng một sự kết hợp của chính sách và các biện pháp kỹ thuật sẽ được yêu cầu để chống lại các mối đe dọa và đối mặt với những thách thức.
Các khuyến nghị bao gồm:
• Xây dựng các hướng dẫn để đo lường rủi ro an ninh mạng trong ngành công nghiệp hạt nhân, bao gồm đánh giá nguy cơ tổng hợp, bao hàm cả hai biện pháp an ninh và an toàn.
• Cam kết những đối thoại thẳng thắn và rõ ràng với các kỹ sư và các nhà thầu để nâng cao nhận thức về nguy cơ an ninh mạng, kể cả những nguy hiểm của việc thiết lập kết nối với hệ thống Internet mà không được cho phép.
• Thực hiện các quy định, ở những nơi chưa được đưa vào, để thúc đẩy sự trong sạch của công nghệ thông tin tốt tại các cơ sở hạt nhân (ví dụ như ngăn cấm việc sử dụng các thiết bị cá nhân) và các thực thi quy tắc ở những nơi có các thiết bị cá nhân .
• Cải thiện việc tiết lộ thông tin bằng cách khuyến khích chia sẻ thông tin nặc danh và thành lập các CERTs công nghiệp (Computer Emergency Response Team – Đội phản ứng nhanh về an ninh mạng máy tính).
• Khuyến khích áp dụng phổ quát tiêu chuẩn qui định.
—
DOWNLOAD báo cáo Tiếng Anh tại ĐÂY
Chú thích của người dịch:
* Hệ thống Air-Gapped:
Được biết đến là hệ thống an toàn và bảo mật nhất trên thế giới. Những hệ thống này cách ly hoàn toàn với Internet, cách ly máy tính có kết nối hoặc bất kì một mạng bên ngoài nào. Hệ thống Air-Gapped thường được sử dụng trong các trường hợp đòi hỏi bảo mật cao như hệ thống thanh toán xử lí giao dịch thẻ ngân hàng, mạng quân đội và những ngành công nghiệp điều khiển điều hành cơ sở hạ tầng của quốc gia. Rất khó có thể lấy được dữ liệu từ hệ thống Air-Gapped bởi vì đòi hỏi kết nối vật lý đến hệ thống bị tấn công hoặc thiết bị. Điều này chỉ có thể thực hiện bằng cách cắm các thiết bị rời như USB.
* Search Engines:
Chính là máy tìm kiếm hay còn gọi là công cụ tìm kiếm viết tắt là SE. Là một hệ thống thông minh được lập trình và nâng cấp nhằm tìm kiếm kết quả và lập chỉ mục cho các website. Các SE không ngừng phát triển để hỗ trợ tối ưu hơn cho nhu cầu tìm kiếm thông tin trên các website toàn cầu. Chúng dựa trên các từ khóa tìm kiếm của người dùng, từ đó phân tích trong cơ sở dữ liệu siêu lớn (meta database) để trả lại danh sách kết quả phù hợp. Nổi tiếng là các SE như Google, Yahoo, Bing..
* CERTs:
Mục đích chính của CERT là tập trung vào khía cạnh kĩ thuật bảo mật máy tính trên Internet, có nghĩa là CERT tập trung nghiên cứu ‘cái gì xảy ra’ và ‘làm thế nào’, chứ không quan tâm đến những vấn đề như ‘ai thực hiện’ và ‘tại sao’ xảy ra. Những mô hình CERT trên thế giới thường cung cấp các dịch vụ sau:
• Hỗ trợ, tư vấn giải pháp kĩ thuật cho các đơn vị, doanh nghiệp, tổ chức, cá nhân gặp sự cố trên mạng.
• Phân tích những điểm yếu của các phần mềm, hệ thống liên kết trên mạng máy tính. Đồng thời phân tích xu hướng phát triển của các sự cố máy tính và phương thức thực hiện của các cuộc xâm hại.
• Hỗ trợ các nhà quản trị hệ thống mạng tăng mức độ an toàn cho hệ thống của họ thông qua việc nêu ra những điểm yếu, sơ hở cập nhật mới nhất trên trang web của CERT. Tuy nhiên cần đảm bảo an toàn thông tin nhằm hạn chế sự lợi dụng nó vào mục đích xấu.
• Hỗ trợ thành lập các đội phòng chống tội phạm trên mạng cho các doanh nghiệp, tổ chức. Phối hợp hoạt động của các đội an ninh mạng cùng với các chuyên gia nhằm đối phó lại sự cố có phạm vi lớn.
• Cung cấp tài liệu, mở những khóa đào tạo chuyên nghiệp cho các nhà quản trị hệ thống thông tin và an ninh mạng. Đồng thời phổ biến kiến thức cho cộng đồng những người sử dụng mạng nhằm tăng mức độ quan tâm của mọi người về vấn đề bảo mật mạng máy tính.
• Nghiên cứu những nguyên nhân của lỗ hổng bảo mật, phương thức phòng chống, phương thức tăng cường khả năng bảo mật và đảm bảo hoạt động thông suốt của các hệ thống mạng phạm vi lớn, nhỏ.
CVD 