An ninh mạng hiện đang là nòng cốt cho sự vận hành an toàn các công tác lắp đặt công nghiệp, nhưng các tài khoản người dùng của nhiều thiết bị sử dụng trong công tác lắp đặt chưa được quản lý hợp lý. Quản lý tài khoản người dùng tập trung kết hợp với biện pháp Điều khiển truy cập trên cơ sở vai trò (Role Based Access Control – RBAC) là giải pháp hoàn hảo để quản lý tập trung, hiệu quả tài khoản người dùng và các truy cập, đồng thời vẫn đảm bảo an ninh. Sự kết hợp này sẽ loại bỏ được ác mộng về những tài khoản không được quản lý trên hàng trăm phương tiện, thiết bị.

Quá nhiều tài khoản người dùng không được quản lý hợp lý

Trong nhiều trường hợp, các tài khoản người dùng và mật khẩu mặc định sử dụng trong các thiết bị lắp đặt công nghiệp tại nhà máy không được quản lý hoặc thay đổi. Mật khẩu chung hoặc mật khẩu có tính bảo mật thấp cũng là một vấn đề.

Từ viễn cảnh an ninh mạng trong thế giới kết nối liên thông ngày nay, cả tài khoản mặc định ở nhà máy và tài khoản chung chính là một mối nguy lớn về an ninh mạng và là điều khó chấp nhận. Bên cạnh vấn đề về an ninh mạng, những tài khoản này có thể biến việc quản lý hệ thống thành một ác mộng để kiểm soát chủ nhân của những hệ thống này.

Chẳng hạn như, sự cố mất điện có thể xảy ra do một cấu hình thay đổi, nhưng thực chất có thể không phải nhân viên phụ trách tạo nên sự thay đổi đó mà có thể do một tài khoản dùng chung của nhà máy được sử dụng để truy cập vào hệ thống và gây tác động.

Một kịch bản khác có thể xảy ra liên quan đến việc một nhân viên nghỉ việc khỏi một tổ chức nào đó. Do anh ta biết mật khẩu được dùng chung giữa một số nhân viên khác, vì thế, cần phải thay đổi mật khẩu này cho một loạt máy móc và địa điểm để đảm bảo nhân viên nghỉ việc này không thể tiếp cận hệ thống. Sau cùng và không kém phần quan trọng, phải thông báo cho những nhân viên còn lại về mật khẩu mới để họ có thể tiếp tục công việc.

Các quy trình pháp lý, công cụ và công nghệ có thể làm cho các nhà quản lý an ninh và nhà vận hành hệ thống khó thay đổi hệ thống để thích nghi và chống lại những mối nguy mới về an ninh. Các nhà quản lý an ninh cần phải có công nghệ đã được chứng minh là tiêu chuẩn hóa và những công cụ hiện đại để thực hiện bước tiếp theo. Quản lý tài khoản người dùng tập trung kết hợp cùng biện pháp Điều khiển truy cập trên cơ sở vai trò (RBAC) là giải pháp hoàn hảo để quản lý tập trung, hiệu quả tài khoản người dùng và các truy cập, đồng thời vẫn đảm bảo an ninh. Nó cũng sẽ giúp loại bỏ được ác mộng về những tài khoản không được quản lý trên hàng trăm phương tiện, thiết bị.

Thay đổi công nghệ mang lại cả lợi ích vận hành lẫn rủi ro an ninh mạng

Các hệ thống điều khiển, bảo vệ và tự động hóa trạm đã thay đổi mạnh mẽ trong thập kỷ qua. Các hệ thống này trở nên liên thông hơn, giúp cho người dùng trực tiếp có được thông tin nhiều hơn, mang lại tính tin cậy cao hơn đồng thời tăng mức độ kiểm soát và hiệu suất sử dụng. Sự tương kết giữa các sản phẩm và hệ thống bán hàng khác nhau đạt được nhờ áp dụng sản phẩm và giải pháp dựa trên tiêu chuẩn mở như các ấn phẩm của bộ tiêu chuẩn IEC 61850, Các mạng lưới và hệ thống thông tin dùng cho tự động hóa thiết bị điện, hoặc tiêu chuẩn IEC 60870-5-104, Hệ thống và thiết bị điều khiển từ xa – Phần 5-104: Giao thức truyền thông – Mạng lưới tiếp cận IEC 60870-5-101 sử dụng tiểu sử truyền thông chuẩn, và nhờ tận dụng công nghệ Ethernet đã được kiểm chứng.

Trên quan điểm vận hành, sự thay đổi về mặt công nghệ này mang đến lợi ích khủng, tuy nhiên, nó cũng khiến các cơ quan hứng chịu những hiểm họa an ninh mạng vốn đã là thử thách lớn cho hệ thống doanh nghiệp truyền thống từ nhiều năm nay. An ninh mạng là một thành phần không thể thiếu trong mạng lưới hiện đại, nhưng những chính sách truy cập gián đoạn khắp các mạng lưới đã hé lộ ra nhiều yếu điểm quan trọng.

Thao tác bất cẩn khiến hệ thống dễ bị truy cập

Bản chất không đồng nhất của các mạng lưới tự động hóa có nhiệm vụ phức tạp như hủy bỏ quyền truy cập của nhân viên, hoặc thay đổi mật khẩu mặc định. Các tài khoản xuất xưởng mặc định thường được giữ nguyên sau khi được nhà sản xuất bàn giao cho khách hàng, và thậm chí vẫn được giữ nguyên trên các thiết bị suốt cả thời gian sử dụng. Những thao tác như vậy và việc không thay đổi tài khoản xuất xưởng mặc định khiến kẻ tấn công có thể truy cập thiết bị nhanh chóng mà không cần sở hữu bất kỳ kỹ năng hay kiến thức đặc biệt nào.

Hơn thế nữa, hầu hết thiết bị mạng lưới điều khiển cho phép bộ nhớ truy cập lưu lại những gì mà người dùng vừa thực hiện, nhưng nếu mọi hoạt động được thực hiện dưới tài khoản xuất xưởng mặc định thì thông tin truy cập và lịch sử hoạt động sẽ chẳng hé lộ được thông tin gì về người đã thực hiện thao tác đó. 

Sẵn sàng cho giải pháp khả thi

 Chủ sở hữu và quản lý hệ thống điều khiển cần sẵn sàng giải đáp cho những thắc mắc dưới đây để đảm bảo an ninh cho hệ thống:

• Bạn có muốn dễ dàng quản lý tài khoản người dùng?
• Bạn có muốn quản lý được truy cập của nhân viên và quyền truy cập trong công ty từ một điểm trung tâm?
• Bạn có muốn nhanh chóng xóa bỏ hoặc vô hiệu quyền truy cập của người dùng từ một điểm trung tâm khi một nhân viên nghỉ việc?
• Bạn có muốn những thay đổi do bạn thực hiện từ một điểm trung tâm có hiệu quả tức khắc lên mọi sản phẩm từ những đầu mối bán hàng khác nhau trong tổ chức của mình?
• Bạn có muốn không còn phải lo ngại xem những tài khoản mặc định có còn hoạt động trên các thiết bị không được quản lý hay không?  

Ngành công nghiệp phản công

Sau những nhu cầu của tiêu chuẩn bảo vệ cơ sở hạ tầng thiết yếu của Công ty Quản lý độ tin cậy về Điện Bắc Mỹ (NERC-CIP)  cùng nhiều yêu cầu về an ninh mạng khác, ngành công nghiệp hiện đang đi theo một tiến trình chung để hương tới tương lai: đó là áp dụng tiêu chuẩn IEC TS 62351-8: Quản lý hệ thống điện và trao đổi thông tin kết hợp – An ninh truyền thông dữ liệu – Phần 8: Điều khiển truy cập trên cơ sở vai trò. Tiêu chuẩn kỹ thuật này hướng dẫn người bán cách triển khai và áp dụng RBAC cùng quản lý tài khoản người dùng trung tâm cho các khách hàng.

Kể từ khi tiêu chuẩn IEC TS 62351-8 ra đời năm 2011, người dùng có thể chứng thực được mình trên mọi thiết bị, ở mọi mạng lưới trong tổ chức bằng một ID và mật khẩu cụ thể, duy nhất. Hơn nữa, việc thêm hoặc bớt người dùng đều được thực hiện ở trung tâm tổng, chỉ với một thao tác.

Công nghệ này không chỉ giúp quản lý ID và mật khẩu của người dùng từ trung tâm tổng mà còn giúp quản lý truy cập của người dùng bằng cách phân cấp vai trò cho người dùng, tùy thuộc công việc của họ tại tổ chức (RBAC). 

Giải pháp khả thi cho kịch bản rủi ro

Các hệ thống điều khiển cần phải được quản lý nhằm đảm bảo cơ sở hạ tầng bền vững. Quản lý hệ thống có nghĩa là không ngừng cập nhật thiết bị.

Việc quản lý chính sách an ninh mạng có thể trở nên phức tạp, do đó, để đạt hiệu quả, các nhà quản lý cần sự hỗ trợ từ những ứng dụng phần mềm. Một hệ thống Điều khiển truy cập trên cơ sở vai trò (RBAC) chính là ứng dụng như vậy. RBAC cho phép những người chịu trách nhiệm có thể quản lý được người dùng và vai trò của họ một cách thống nhất chỉ từ một trung tâm điều khiển tổng, kể cả khi những hệ thống này ở các địa điểm khác nhau.

Không phải ai cũng cần một nhà quản lý hệ thống. Một phương pháp tiếp cận hợp lý trong quản lý an ninh mạng là trao quyền ưu tiên tối giản cho người dùng. Một hệ thống RBAC dựa trên tiêu chuẩn IEC TS 62351-8 sẽ giúp người chịu trách nhiệm về an ninh trong công ty có thể kiểm soát người dùng trên toàn hệ thống và phân công vai trò cho họ chỉ từ một trung tâm điều khiển.

IEC 62351  là một chuỗi tiêu chuẩn kỹ thuật Quốc tế nhằm đảm bảo an toàn cho những giao thức truyền thông cụ thể như IEC 61850 hoặc IEC 60870-5-104. Trong khi phần lớn bộ tiêu chuẩn này đã được công bố,  vẫn còn nhiều việc cần làm trước khi có thể đưa những hệ thống tuân thủ tiêu chuẩn IEC 62351 này ra được thị trường. Tiêu chuẩn IEC 62351-8, được hoàn thiện và ban hành vào năm 2011 đã nêu định nghĩa về RBAC cho các hệ thống điện. Đây không phải một khái niệm mới; mà thực chất, nó đã được vận dụng trong nhiều hệ thống công nghệ thông tin. Việc áp dụng RBAC vào hệ thống điện có thể giảm thiểu số quyền hạn cần cấp cho người dùng nào đó, sao cho họ chỉ có được quyền truy cập cần thiết để hoàn thành công việc của mình. Nó sẽ giúp giảm rủi ro cho hệ thống cũng như chỉ cho phép quyền truy cập khi thực sự cần thiết, với quy tắc tối giản ưu tiên. Tiêu chuẩn này cũng nêu ra danh sách những vai trò được thiết lập trước (chẳng hạn Người xem, Người điều hành…) cùng các quyền định trước.

Càng bám sát Tiêu chuẩn Quốc tế càng tốt

Để đảm bảo đạt chất lượng cao và chức năng an ninh mạng độc lập trong các hệ thống lắp đặt không đồng nhất, phải càng bám sát các Tiêu chuẩn Quốc tế càng tốt. Mức an ninh cao chỉ có thể đạt được khi triển khai và áp dụng những công nghệ và phương pháp đã được tiêu chuẩn hóa, phê duyệt và rà soát, nhất là khi lắp đặt thiết bị từ nhiều nhà cung cấp khác nhau. Những cơ sở không tuân thủ đường lối sáng suốt này có thể sẽ bị khó khăn khi chỉ dựa vào một nhà cung cấp duy nhất để có được những giải pháp độc quyền.

Không thể tối ưu hóa an ninh mạng khi không biết rõ vấn đề xảy ra trong hệ thống. Các sự kiện liên quan đến an ninh, chẳng hạn hoạt động truy cập của người dùng khác vào các bộ phận khác nhau của hệ thống cần phải được kiểm soát để phát hiện mọi cuộc tấn công tiềm ẩn nhằm tối ưu hóa biện pháp bảo vệ. Nhật ký hoạt động người dùng từ trung tâm sẽ tập hợp mọi sự kiện liên quan đến vấn đề an ninh từ các thiết bị của hệ thống và sẽ cunug cấp thông tin cho nhân sự phụ trách. Một giải pháp hữu hiệu và thân thiện với người dùng như nhận diện tự động hình thái sự kiện sẽ là đặc điểm then chốt của những ứng dụng kiểm soát như vậy.

Những sản phẩm an ninh mạng tân tiến dựa trên Tiêu chuẩn Quốc tế  như IEC T 62351-8 cho phép quản lý tài khoản người dùng hiệu quả theo RBAC ở mọi hệ thống kiểm soát của người bán. Chúng cung cấp cho các cơ sở tầm nhìn thời gian thực về mọi hoạt động của người dùng có liên quan đến an ninh trong toàn bộ hệ thống.

Cần tránh triển khai an ninh mạng độc quyền để đảm bảo độ tích hợp hoàn hảo cho các hệ thống kiểm soát của nhiều người bán. Việc áp dụng những giải pháp tương thích theo tiêu chuẩn IEC TS 62351-8 giúp thực hiện các nhiệm vụ dễ hơn nhiều.

(Biên dịch theo IEC E-tech)