An ninh cho các hệ thống điều khiển
kế thừa
An ninh mạng đã tr thành tâm điểm trong vài năm vừa qua, các vấn đề phát sinh có thể
nhìn thấy ngày càng gia tăng. Cơ sở IT và hệ thống điều khiển công nghiệp mới kết hợp
rất nhiều chức năng tăng cường an ninh mạng. Nhưng vấn đề đang xảy ra trong lĩnh vực
công nghiệp là một con số khổng lồ các hệ thống điều khiển xây dựng trước khi vấn đề
an ninh mạng được quan tâm, thậm chí trước thời kỳ mạng Internet được triển khai rộng
rãi.
Các kết nối tới hệ thống đó từ bên ngoài được xem như là lỗ hổng cho những hacker m
nhập vào mạng và phá hủy chúng, trừ khi các rào chắn được cài đặt đủ khả năng ngăn cản
việc này. Như vậy câu hỏi đặt ra là liệu những hệ thống cũ có thể được bảo vệ đầy đủ?
Thông thường, một hệ thống được bán, cài
đặt, cấu hình, triển khai và chúng blãng
quên trong vòng 20 năm sau đó hoặc lâu
hơn. Đây là một thực tế khá phổ biến rất
khó thay đổi trong cộng đồng điều
khiển, trong khi đó có rất nhiều vấn đề phát
sinh chsau năm hoặc mười năm. Rất nhiều
hệ thống cũ đó không có khả năng kết nối
gì cả. Chúng đã được thiết kết chỉ để làm
mỗi một việc trong đời: “Chúng mở và
đóng một cái van nào đó hoặc đo một mức
nước, vì vậy thế giới mạng thật sự không
đóng vai trò gì cả”, ông Ernie Rakaczky,
kỹ sư thiết kế hàng đầu của
Invensys Process System cho biết.
Thế giới đã không đứng yên, với sự phát triển không ngừng của CNTT nói chung, mong
muốn thu thập dữ liệu và kết nối với những người sử dụng khác cũng tăng lên. Rakaczky
cho biết thêm “Tại một điểm, hệ thống điều khiển cũ sẽ tập trung 100% vào việc điều
khiển một quá trình. Tỷ lệ bây giờ là 50% điều khiển và 50% trao đổi thông tin. Thời
điểm bắt đầu xuất dữ liệu ra khỏi cơ sở điều khiển đến mạng của nhà máy là thời điểm tốt
nhất để cài đặt thêm các chức năng để bảo vệ chính bạn.
An toàn để kết nối?
Một vài chuyên gia hàng đầu cho rằng kết nối an toàn duy nhất đó là không nối gì cả.
Trong hầu hết tất cả các trường hợp, các hệ thống thuộc quyền sở hữu riêng đã có mạng
riêng. Kevin Stagg, CISP, ksư thành viên, công ty Honeywell Process Solutions cho
biết: “Bất kỳ kết nối nào thêm vào đều đem lại cho chúng một rủi ro đáng kể, bởi vì
chúng không được thiết kế để tự bảo vệ chính mình không có gì để bảo vệ chúng. Đối
với nhiều hệ thống cũ đó, bạn phải hiểu tường tận và biết điểm kết nối ở đâu, biết công
nghệ được sử dụng như thế nào tại những điểm kết nối đó. Trong rất nhiều trường hợp
những điểm đó sẽ là điểm mấu chốt của kết nối cũ”.
Để tạo ngăn cách, các yêu cầu cách ly phải tuân thủ nghiêm ngặt. Con người luôn có xu
hướng tin tưởng mạng riêng là an toàn, họ luôn nhét tất cả trứng vào một rọ. Còn Todd
Stauffer, quản lý hệ thống tự động xử lý của Siemens Energy và Automation cho hay.
“Nhưng nếu tưởng tượng rằng ai đó có một mạng riêng, họ đem cắm thẻ nhớ từ bên
ngoài vào, hay kết nối tạm thời với một máy tính xách tay hoặc tạm thời kết nối với một
mạng nào đó thì sự riêng biệt lập tức bị phá vỡ. Bạn cần phải có kinh nghiệm xử lý vấn
đề phát sinh thay vì bảo đảm chắc chắn không ai đem thẻ nhớ, CDs, hoặc DVD vào
không gian riêng đó.
Thấu hiểu các nền cơ sở
Nền sở điều khiển cũ đã tồn tại trong một thời gian dài, một vài cơ sở vẫn chạy trên
thế hệ DCS đầu tiên. Xét về mục đích ứng dụng, có thể phân chia chúng thành hai mảng
rộng: Mạng sở hữu riêng mạng chạy trên nền Microsoft Windows.
Một số người sử dụng nền cơ sở cũ tự cảm thấy rất thoải mái vì họ tin nếu một hacker có
thể truy cập vào bên trong, hacker đó không biết phải làm gì với công nghệ lỗi thời đó.
Liệu đây có phải là một cách thức để bảo vệ mạng khỏi các hacker? John Cusimano, tư
vấn viên cao cấp của Exida ví chiến lược này như là việc trượt trên một miếng băng
mỏng. “Nếu một ai đó sử dụng nền cơ sở cũ họ phải hiểu biết cặn kẽ về hệ thống đó, cấu
trúc các câu lệnh là gì khi đó họ sẽ dễ dàng làm chủ nó” ông nói thêm. Nếu một người lạ
muốn xâm nhập vào hthống, họ cần phải có một trình độ, kỹ năng cao hơn thì mới
thể can thiệp vào hthống cũ. Nhưng một khi đã truy cập được, họ có thể thực thi bất kỳ
lệnh nào họ muốn. Hiện nay có rất nhiều hacker giỏi. Ken Pappas, nhà chiến lược an ninh
cho hthống bảo vệ việc xâm phạm trái phép của hãng Top Layer cảnh báo: “Hiện nay
đang xảy ra một nguy cơ mới từ hàng nghìn k sư nghỉ việc hoặc bị các công ty sa thải,
họ có thể bất mãn với các công ty đó. Họ hiểu biết về những hệ thống mà họ đã làm việc,
nếu các nhà máy kết nối các hệ thống với nhau, những người này biết cách truy cập vào
mạng đó, họ biết làm thế nào để xâm nhập vào hthống. Họ có thể là đối tượng nguy
hiểm hơn so với những hacker bình thường những người chỉ biết cách xâm nhập vào h
thống, nguy cơ tàn phá của những kỹ sư này cao hơn và họ được xem là một thế hệ
hacker mới”.
Một vài người sử dụng tin rằng ngay khi Windows được cài đặt trong nhà máy vào nhng
năm 1990, nó sẽ cung cấp một môi trường làm việc an toàn hơn.
Cusimano nói đây không phảido hoàn cảnh, nhưng lo lắng về các hệ thống gia tăng
mạnh từ 15 năm trước, khi hệ thống Windows được đưa vào giới thiệu đầu tiên trong thế
giới điều khiển. Hiện nay có những hệ thống vẫn chạy trên hđiều hành Windows nền
NT HMIs. Đó là thế hệ đầu tiên các hệ thống được mở, nhưng trong phiên bản Windows
cũ này hệ thống an ninh mạng gần như không tồn tại. Đó là một thế hệ đặc biệt mà
chúng ta cần phải xem xét.
Stagg đồng ý với nhận xét này và đưa ra lời khuyên, “không nên kết nối hệ thống
Window cũ vào các mạng kinh doanh. Chúng tuyệt đối phải được phân cách và bạn phải
hiểu việc truyền dữ liệu từ hệ thống cũ tới mạng kinh doanh của bạn. Bạn phải có một