Tổng quát về những Thách thức trong An ninh mạng của ngành Công nghiệp Dầu khí
Thế giới hiện đại liên kết nối ngày nay luôn yếu đuối trước những đợt tấn công từ tội phạm mạng. Các doanh nghiệp nay áp dụng ngày càng nhiều các phương pháp phòng chống hơn bao giờ hết để bảo vệ hệ thống cũng như dữ liệu của họ. Khắp các ngành công nghiệp, những công ty đã đẩy nhanh những phương pháp phòng chống cũng như tập trung hết mức vào lĩnh vực an ninh mạng. Điều này phản ánh vai trò của số hóa trong kinh doanh và doanh nghiệp. Ngành dầu khí cũng không là ngoại lệ. Trong khi các lợi ích của số hóa dường như vô số kể, chúng cũng có những tác dụng phụ đã vô tình đóng góp cho những rủi ro an ninh mạng ngày một tăng. Hệ thống mạng internet của một cơ sở hạ tầng của một công ty offshore, thiết bị định vị động, hay hệ thống định vị toàn cầu GPS – tất cả đều mang những điểm yếu có thể bị lợi dụng dễ dàng bởi tội phạm mạng với mục đích gây gián đoạn quy trình hoạt động, mất mát tài chính, ảnh hưởng uy tín, và nhiều hơn nữa.
Suốt nhiều năm, ta đã chứng kiến nhiều cuộc tấn công vào an ninh mạng thuộc ngành dầu khí ngoài khơi, trong đó bao gồm giàn khoan dầu bị lật nghiêng, bị xâm nhiễm malware, các hệ thống kiểm soát xí nghiệp bị hack. Ngoài ra cũng còn có những đợt tấn công liên quan đến lạm dụng từ nội bộ, các lỗi vặt, gián điệp mạng, v.v. Những phương pháp phòng thủ của hệ thống dầu khí là kết quả của vô số các cuộc thẩm định và kiểm nghiệm an ninh mạng gay gắt bao gồm về các mảng như an ninh vật lý, an toàn môi trường, thủ tục và chính sách, an ninh trên bờ và ngoài khơi, an ninh máy chủ, an ninh mạng lưới, v.v.
Huấn luyện và Nhận thức về An ninh Mạng
Với viễn cảnh ngày nay của toàn cầu hóa và liên kết, an ninh mạng nên được tập trung chú ý cao độ và bộ phận quản lý nên có trách nhiệm thông tin với nhân viên qua các buổi huấn luyện và nhận thức. Đến 80% các cuộc tấn công an ninh mạng dẫn đến các sự cố ngoài khơi đều đến từ con người. Điều này do sự thiếu huấn luyện về nhận thức, và cũng là một thử thách cũng như điểm yếu lớn nhất mà ngành công nghiệp này cần đối mặt. Ngành dầu khí ngoài khơi là mục tiêu lớn cho các tội phạm mạng với những điểm yếu như thế. Sự thiếu hụt trong việc huấn luyện cho nhân viên rõ ràng cho thấy một sự thiếu thốn rõ ràng trong chính sách về an ninh mạng. Từ đó hướng bộ phận quản lý đến các phương pháp phòng chống hoặc cơ chế phòng thủ cần thiết chống lại mối đe dọa mạng.
Việc thiếu hoặc không rõ ràng trong Thủ tục và Chính sách An ninh Mạng
Quá trình quy định các chính sách rõ ràng, minh bạch và dễ hiểu cho bảo mật an ninh mạng có thể cần nhiều nỗ lực nhưng xứng đáng với tầm quan trọng và các kết quả tích cực mà các chính sách này đem lại. Trong khi vốn có nhiều chuẩn mực và nguyên tắc chỉ đạo về cách phát triển những chính sách như thế, trách nhiệm chọn lọc và thi hành lại nằm trong tay của bộ phận quản lý. Việc có chính sách bảo mật an ninh mạng nhưng không hề rõ ràng cũng bằng không bởi chính chúng sẽ cung cấp thông tin sai lệch về cách những phương pháp phòng ngừa được áp dụng cho bộ phận quản lý cũng như nhân viên. Các công ty cần thiết phải ban hành những chính sách bảo mật rõ ràng, lập kế hoạch để huấn luyện và áp dụng chúng, cũng như kiểm soát chặt chẽ để đảm bảo mọi người đều chấp hành đúng và theo dõi các hệ thống để phảt hiện những thay đổi kịp thời.
Hệ thống điều khiển công nghiệp lỗi thời
Một nghiên cứu của công ty ABI Research đã gọi Hệ thống Điều khiển Công nghiệp trong nhiều công ty dầu khí là “được bảo vệ kém cỏi trước các đe dọa an ninh mạng. Ở mức tốt nhất, họ cũng chỉ lắp đặt những IT solution có khả năng thích nghi tệ với các hệ thống điều khiển kế thừa như Mạng lưới Kiểm soát Quá trình (PCN). Hệ thống Điều khiển Công nghiệp kế thừa là một mục tiêu dễ dàng của bất kỳ cuộc tấn công mạng với hàng bảo vệ yếu thế của nó. Phương thức tấn công APT – một dạng tấn công thường được miêu tả là vô cùng lén lút, nguy hiểm và quan trọng nhất là chúng thường luôn thành công. Những phương thức như vậy nếu được hướng đến hệ thống điều khiển công nghiệp kế thừa có thể gây ra hậu họa lớn ở mọi mặt. Một hệ thống điều khiển công nghiệp phải hoạt động qua nhiều vòng đời dài và giảm đi các cơ hội nâng cấp. Từ đó tạo ra khoảng không miễn phí cho các mối đe dọa mạng thoải mái hoành hành.
Sự tách rời giữa mạng lưới công nghiệp và IT
Hiện nhiều công ty dầu khí đã kết hợp Hệ thống Điều khiển Công nghiệp (ICS) với các mạng lưới rộng hơn nhằm có thể trao đổi thông tin nhanh hơn giữa môi trường IT và OT. Trong khi việc này có thể tiết kiệm về chi phí, điều này lại tạo ra nhiều đường nối dễ bị tấn công trong hệ thống. Từ đó công khai các hệ thống OT ra cho toàn internet. Quyền truy cập internet trên một dàn khoan ngoài khơi cho mục đích công nghiệp cũng như giải trí đem lại nhiều mối đe dọa và thường đi kèm với các rủi ro phải đối mặt với tấn công mạng. Sự phụ thuộc vào các hệ thống IT và OT mở rộng cánh cửa cho các đợt tấn công an ninh mạng, đặc biệt là khi hệ thống không được bảo vệ chặt chẽ. Quyền truy cập từ xa từ miền IT đến OT được sử dụng ngày càng nhiều lại đi kèm với những rủi ro nhất định nếu không được giám sát và kiểm soát kĩ càng, từ đó trở thành một mục tiêu dễ dàng trong mắt các tội phạm mạng.
Các biện pháp bảo mật mạng lưới ít ỏi – Onshore và Offshore
Việc sử dụng các giao thức IT trong các Hệ thống Điều khiển Công nghiệp có thể khiến những hệ thống này trở nên yếu thế trước các đợt tấn công network và có thể mở ra một cổng sau xâm nhập vào các mạng lưới IT của công ty, từ đó đem lại nhiều rủi ro cho cả hai hệ thống. Cùng với độ phức tạp của các hệ thống tích hợp, có những công nghệ mới như sử dụng nền tảng đám mây để tiến hành quy trình, v.v có thể dẫn tới nhiều điểm yếu và yêu cầu nên có phương pháp phòng chống bảo mật tốt. Lựa chọn áp dụng những biện pháp bảo mật còn phụ thuộc vào thể loại và cấu trúc của Hệ thống Điều khiển Công nghiệp. Ngoài ra chúng còn phụ thuộc vào kỳ hạn của chương trình bảo mật của công ty. Chương trình bảo mật cho thấy chiến lược an ninh mạng của công ty để đối phó với vô số các mối đe dọa và nên trở thành một phần hoạt động kinh doanh hàng ngày của công ty.
Thegioibantin.com | Vina-Aspire News