AN TOÀN THÔNG TIN TRONG NGÀNH DẦU KHÍ – CẦN SỰ QUAN TÂM ĐẶC BIỆT
Để làm rõ hơn tầm quan trọng của an toàn thông tin (ATTT) đối với sự vận hành của ngành Dầu khí trong bối cảnh số hóa hiện nay, phóng viên Tạp chí Năng lượng Mới đã có cuộc trao đổi với bà Chloe Bùi – Giám đốc vận hành Vina Aspire, thành viên Hiệp hội ATTT Việt Nam (VNISA).
PV: Theo đánh giá của bà, sự tiến bộ của công nghệ thông tin (CNTT), công nghệ kỹ thuật số đang có những tác động như thế nào đối với các doanh nghiệp dầu khí (DNDK) trong giai đoạn hiện nay, cả về mặt lợi ích lẫn các rủi ro tiềm ẩn?
Bà Chloe Bùi: Ngành công nghiệp dầu khí là một mảng quan trọng của nền kinh tế toàn cầu, có hàng triệu nhân lực trên toàn thế giới. Ngành chịu trách nhiệm cung cấp năng lượng cho các gia đình, doanh nghiệp, hệ thống giao thông, cũng như hỗ trợ thương mại, nâng cấp công nghệ, phát triển cơ sở hạ tầng.
Những tiến bộ nhanh chóng của CNTT giúp các doanh nghiệp nâng cao hiệu suất, giảm chi phí và tăng cường khả năng cạnh tranh, càng đặc biệt hơn với các DNDK trong môi trường kinh doanh ngày một cạnh tranh và thay đổi không ngừng.
CNTT giúp DNDK quản lý và tối ưu hóa hoạt động sản xuất. Hệ thống quản lý dữ liệu và phân tích dữ liệu lớn (big data analytics) giúp hiểu rõ hơn về quá trình khoan và sản xuất, từ đó có thể tối ưu hóa quy trình và giảm chi phí. Sự kết nối của các cảm biến và thiết bị thông minh qua IoT (Internet of Thing) giúp giám sát và kiểm soát các thiết bị và hệ thống từ xa. DNDK còn có thể sử dụng trí tuệ nhân tạo (AI) để dự đoán các sự cố trong sản xuất và bảo dưỡng, từ đó giảm nguy cơ tổn thất và thời gian ngừng hoạt động không mong muốn. Lưu trữ dữ liệu và ứng dụng trên đám mây giúp tăng tính linh hoạt, khả năng mở rộng và giảm thiểu rủi ro mất mát dữ liệu. Công nghệ blockchain có thể cải thiện quản lý chuỗi cung ứng, bảo đảm tính minh bạch và an ninh trong giao dịch. Các hệ thống thông tin và kỹ thuật số giúp tích hợp các quy trình và tối ưu hóa giao tiếp giữa các bộ phận.
Cùng với sự gia tăng truy cập trực tuyến và kết nối mạng, an ninh mạng và bảo mật dữ liệu trở thành mối quan tâm quan trọng, hàng đầu. Các DNDK cần phải đầu tư vào giải pháp bảo mật để bảo vệ thông tin quan trọng và ngăn chặn các cuộc tấn công mạng.
PV: Bà đánh giá việc xây dựng chiến lược ATTT có vai trò, ý nghĩa quan trọng như thế nào trong chiến lược phát triển chung của một DNDK?
Bà Chloe Bùi: Dầu khí là một ngành có quy mô lớn và đòi hỏi sự đầu tư lớn vào các tài nguyên, cả về vật chất và thông tin. Chiến lược ATTT giúp bảo vệ các tài nguyên này khỏi các mối đe dọa như tấn công mạng, thất thoát dữ liệu hoặc nguy cơ tình báo công nghiệp. Ngành Dầu khí cũng thường xuyên đối mặt với rủi ro môi trường và an toàn do các sự cố như rò rỉ dầu, nổ nơi sản xuất và các vấn đề liên quan đến an ninh mạng. Chiến lược ATTT bảo đảm rằng hệ thống điều khiển và quản lý môi trường được bảo vệ khỏi bị tấn công và nguy cơ mất kiểm soát.
Ngoài ra, ngành Dầu khí thường phải tuân thủ nhiều quy định và tiêu chuẩn an toàn. Chiến lược ATTT bảo đảm doanh nghiệp tuân thủ các yêu cầu về bảo mật thông tin và quản lý rủi ro một cách hiệu quả. Một sự cố về ATTT có thể gây tổn thất nặng nề đến uy tín của DNDK. Chiến lược ATTT giúp bảo đảm thông tin quan trọng không bị rò rỉ và mọi hoạt động đều tuân thủ các quy định an toàn và bảo mật.
Một chiến lược ATTT còn cung cấp khả năng đánh giá và quản lý rủi ro liên quan đến an ninh mạng và bảo mật thông tin. Điều này giúp doanh nghiệp nhanh chóng phản ứng và ứng phó với mọi vấn đề an toàn. Bằng cách bảo vệ hệ thống và dữ liệu, chiến lược ATTT giúp nâng cao hiệu suất và ổn định các quy trình sản xuất, quản lý. Ngoài ra, DNDK thường có các hoạt động nghiên cứu và phát triển quan trọng, chiến lược ATTT sẽ giúp bảo đảm ATTT liên quan đến các dự án trọng điểm, nhạy cảm và phải được bảo vệ chặt chẽ.
Tóm lại, chiến lược ATTT không chỉ là một yếu tố hỗ trợ mà còn là một phần quan trọng trong chiến lược phát triển tổng thể của DNDK, đặc biệt là trong bối cảnh ngày nay với nguy cơ an ninh mạng ngày càng cao.
PV: Xin bà dẫn chứng một vài số liệu thống kê đánh giá tình hình an ninh mạng tại các DNDK ở Việt Nam hiện nay? Một lỗ hổng bảo mật có thể gây thiệt hại cho một DNDK đến mức độ nào?
Bà Chloe Bùi: Một trong những sự cố lớn đã gây khó khăn cho ngành Dầu khí là cuộc tấn công bằng mã độc tống tiền – ransomware nhằm vào nhà phân phối xăng, dầu diesel và khí đốt tự nhiên lớn nhất Bờ Đông, Colonial Pipeline. Cuộc tấn công vào mạng CNTT của Colonial đã khiến công ty phải đóng cửa các đường ống, khiến giá xăng tăng cao và ở một số bang, người tiêu dùng phải tranh nhau tìm xăng tại các máy bơm. Đặc biệt, sự cố Colonial Pipeline đã trở thành chất xúc tác cho việc gia tăng các quy định về an ninh mạng trong ngành. Đồng thời, đó là lời cảnh tỉnh cho các giám đốc điều hành khi thiết lập chiến lược an ninh mạng trong toàn tổ chức của họ. Ransomware đã trở thành tai họa đối với các doanh nghiệp trên toàn thế giới và các cuộc tấn công được dự đoán sẽ ngày càng gia tăng về số lượng và mức độ phức tạp.
Tại Việt Nam, theo thống kê của Cục ATTT, chỉ riêng trong tháng 10-2023, Cục đã thực hiện cảnh báo và hướng dẫn xử lý 1.010 cuộc tấn công mạng gây ra sự cố vào các hệ thống thông tin, tăng 17,9% so với cùng kỳ năm 2022. Trong tháng 11- 2023, một số DNDK, điện lực và tổ chức tại Việt Nam cũng bị tấn công ransomware, gây thiệt hại đáng kể và ảnh hưởng nhiều đến hoạt động. Gần đây đã có nhiều sự cố an ninh mạng làm tăng thêm những thách thức đối với các công ty dầu khí.
Do vậy, chiến lược ATTT đóng vai trò cực kỳ quan trọng trong chiến lược phát triển của một DNDK vì nó liên quan trực tiếp đến bảo vệ thông tin quan trọng, giữ gìn uy tín và bảo đảm hoạt động của doanh nghiệp diễn ra một cách liên tục và an toàn.
PV: Theo kinh nghiệm của Vina Aspire, đâu là những khó khăn khiến nhiều DNDK chưa xây dựng được một chiến lược bảo mật ATTT phù hợp? Vấn đề chi phí có phải là một trong các nguyên nhân và đâu là giải pháp cho các vấn đề còn tồn tại này?
Bà Chloe Bùi: Ngành Dầu khí có đặc thù là ngành công nghiệp mang tính quốc tế cao, sử dụng nhiều công nghệ hiện đại. Có nhiều khó khăn mà các DNDK phải đối mặt khi xây dựng một chiến lược bảo mật ATTT phù hợp. Một trong số những vấn đề phổ biến đó là việc triển khai các biện pháp bảo mật đòi hỏi đầu tư tài chính lớn. Nhiều doanh nghiệp có thể đối mặt với áp lực tài chính để cân nhắc giữa việc đầu tư vào ATTT và các ưu tiên khác như nâng cấp cơ sở hạ tầng sản xuất. Một số khác có thể không hiểu rõ hoặc không chấp nhận mức rủi ro đang đe dọa từ các mối đe dọa ATTT. Điều này có thể dẫn đến thiếu hụt nhận thức về tầm quan trọng của ATTT và thiếu quyết tâm trong việc triển khai các biện pháp bảo mật.
Thực tế hiện nay, nhiều DNDK lớn vẫn chưa có Ban CNTT mà sáp nhập vào thành bộ phận thuộc chức năng văn phòng, cho thấy mức độ quan tâm đến CNTT nói chung và ATTT còn chưa cao; chế độ chính sách, lương cho cán bộ, nhân viên làm CNTT còn chưa tươngxứng, từ đó khó có thể có nhân sự chuyên sâu về ATTT. Những chuyên gia này không chỉ giúp xây dựng chiến lược mà còn giúp triển khai và duy trì hệ thống bảo mật hiệu quả. Các hệ thống trong ngành Dầu khí thường lớn và phức tạp, bao gồm nhiều thiết bị và môi trường kỹ thuật số đa dạng. Quản lý bảo mật cho những hệ thống này có thể rất khó khăn và đòi hỏi sự hiểu biết sâu sắc về môi trường làm việc cụ thể. Ngoài ra, ngành Dầu khí thường phải tuân thủ nhiều chuẩn mực và quy định ngành, điều này đặt thêm áp lực lên việc xây dựng và duy trì một hệ thống ATTT tuân thủ đầy đủ.
Việc xây dựng khả năng quản lý rủi ro và khả năng ứng phó khẩn cấp cũng là một thách thức, đặc biệt là khi đối mặt với các mối đe dọa ngày càng phức tạp và đa dạng. Các mô hình kinh doanh trong ngành thường thay đổi chậm hơn so với sự tiến triển của công nghệ. Sự khó khăn trong việc thích ứng nhanh chóng này có thể tạo ra những khoảng trống trong chiến lược ATTT. Ngoài ra, việc hợp tác và chia sẻ thông tin an toàn giữa các doanh nghiệp trong ngành còn bị hạn chế vì sự cạnh tranh và lo ngại về hình ảnh, uy tín, ATTT.
Để vượt qua những thách thức này, DNDK cần có sự quan tâm đặc biệt đến CNTT, có sự hỗ trợ, cam kết chặt chẽ từ cấp lãnh đạo cao nhất, dành nguồn tài chính đáng kể định kỳ hằng năm cho đầu tư CNTT.
Nhất là phải quan tâm việc thành lập ban, bộ phận độc lập, chuyên trách làm CNTT, liên tục bổ sung, ứng dụng những giải pháp công nghệ mới, xây dựng, cập nhật chiến lược thường xuyên để đối mặt với môi trường an ninh mạng ngày càng phức tạp.
Bà Chloe Bùi: Một số giải pháp mà chúng tôi muốn đề xuất đến các DNDK, đó là bắt đầu từ việc thành lập ban, bộ phận chuyên môn CNTT, dành ngân sách mua sắm, thu nhập xứng đáng cho người làm CNTT; xây dựng và thực hiện chính sách an toàn mạng để bảo đảm rằng tất cả nhân viên hiểu và tuân theo các biện pháp an toàn; cũng như tăng cường đào tạo nhận thức về ATTT cho người dùng; đào tạo nhân viên về các biện pháp an toàn mạng và cách phòng tránh các mối đe dọa trực tuyến, bao gồm cả các kỹ thuật social engineering (tấn công phi kỹ thuật).
Các doanh nghiệp có thể triển khai dịch vụ giám sát an ninh mạng (SOC), quản lý và giám sát an ninh thông tin tập trung (SIEM) do các công ty an ninh mạng cung cấp để theo dõi các hoạt động bất thường và phát hiện sớm các mối đe dọa; thường xuyên, định kỳ kiểm tra xâm nhập (Pentest) và tổ chức diễn tập an ninh mạng, ATTT; xây dựng và tuân thủ các tiêu chuẩn và mô hình triển khai các công cụ bảo đảm ATTT như ISO 27000, NIST, các mô hình bảo vệ nhiều lớp… Song song đó là đầu tư các giải pháp, công cụ quản lý lỗ hổng, bảo đảm rà soát, cập nhật bản vá phần mềm và xử lý các lỗ hổng trên các hệ thống thường xuyên, kịp thời; bảo đảm rằng tất cả các hệ thống và phần mềm được cập nhật đều đặn với các bản vá mới nhất để đối mặt với các lỗ hổng bảo mật.
Ngoài ra, chúng ta còn rất nhiều các giải pháp khác, như kiểm soát truy cập mạng – NAC; áp dụng các phương pháp xác thực đa nhân tố hiện đại; áp dụng mô hình Zero Trust Security trong quản trị hệ thống CNTT; chế độ 2-Factor Authentication (2FA) và MultiFactor Authentication (MFA) để tăng cường bảo mật đăng nhập; kiểm tra an toàn, đánh giá các ứng dụng và phần mềm bên thứ ba để bảo đảm chúng không tạo ra lỗ hổng bảo mật cho hệ thống; bảo vệ ứng dụng web (WebApp Security); nâng cấp, cập nhật kịp thời các giải pháp tường lửa thế hệ mới; cài đặt và duy trì phần mềm antivirus và antimalware trên tất cả các thiết bị kết nối với mạng; mã hóa dữ liệu cũng như phòng chống thất thoát dữ liệu để bảo vệ dữ liệu quan trọng khi truyền và lưu trữ; thực hiện sao lưu định kỳ dữ liệu quan trọng và phát triển kế hoạch khôi phục dữ liệu sau sự cố; đầu tư sử dụng các thiết bị lưu trữ (SAN) chống mã hóa…
Bằng cách kết hợp nhiều giải pháp trên, các DNDK có thể xây dựng một chiến lược an ninh mạng toàn diện để bảo vệ dữ liệu và hệ thống của mình khỏi các mối đe dọa trực tuyến.
PV: Xin cảm ơn bà!
Thế giới bản tin