An ninh cho các hệ thống điều khiển kế thừa

An ninh mạng đã trở thành tâm điểm trong vài năm vừa qua, các vấn đề phát sinh có thể nhìn thấy ngày càng gia tăng. Cơ sở IT và hệ thống điều khiển công nghiệp mới kết hợp rất nhiều chức năng tăng cường an ninh mạng. Nhưng vấn đề đang xảy ra trong lĩnh vực công nghiệp là một con số khổng lồ các hệ thống điều khiển xây dựng trước khi vấn đề an ninh mạng được quan tâm, thậm chí trước thời kỳ mạng Internet được triển khai rộng rãi. Các kết nối tới hệ thống...
Nội dung trích xuất từ tài liệu:
An ninh cho các hệ thống điều khiển kế thừa An ninh cho các hệ thống điều khiển kế thừa An ninh mạng đã trở thành tâm điểm trong vài năm vừa qua, các vấn đề phát sinh có thể nhìn thấy ngày càng gia tăng. Cơ sở IT và hệ thống điều khiển công nghiệp mới kết hợp rất nhiều chức năng tăng cường an ninh mạng. Nhưng vấn đề đang xảy ra trong lĩnh vực công nghiệp là một con số khổng lồ các hệ thống điều khiển xây dựng trước khi vấn đề an ninh mạng được quan tâm, thậm chí trước thời kỳ mạng Internet được triển khai rộng rãi. Các kết nối tới hệ thống đó từ bên ngoài được xem như là lỗ hổng cho những hacker xâm nhập vào mạng và phá hủy chúng, trừ khi các rào chắn được cài đặt đủ khả năng ngăn cản việc này. Như vậy câu hỏi đặt ra là liệu những hệ thống cũ có thể được bảo vệ đầy đủ? Thông thường, một hệ thống được bán, cài đặt, cấu hình, triển khai và chúng bị lãng quên trong vòng 20 năm sau đó hoặc lâu hơn. Đây là một thực tế khá phổ biến rất khó thay đổi trong cộng đồng điều khiển, trong khi đó có rất nhiều vấn đề phát sinh chỉ sau năm hoặc mười năm. Rất nhiều hệ thống cũ đó không có khả năng kết nối gì cả. Chúng đã được thiết kết chỉ để làm mỗi một việc trong đời: “Chúng mở và đóng một cái van nào đó hoặc đo một mức nước, vì vậy thế giới mạng thật sự không đóng vai trò gì cả”, ông Ernie Rakaczky, kỹ sư thiết kế hàng đầu của Invensys Process System cho biết. Thế giới đã không đứng yên, với sự phát triển không ngừng của CNTT nói chung, mong muốn thu thập dữ liệu và kết nối với những người sử dụng khác cũng tăng lên. Rakaczky cho biết thêm “Tại một điểm, hệ thống điều khiển cũ sẽ tập trung 100% vào việc điều khiển một quá trình. Tỷ lệ bây giờ là 50% điều khiển và 50% trao đổi thông tin. Thời điểm bắt đầu xuất dữ liệu ra khỏi cơ sở điều khiển đến mạng của nhà máy là thời điểm tốt nhất để cài đặt thêm các chức năng để bảo vệ chính bạn.” An toàn để kết nối? Một vài chuyên gia hàng đầu cho rằng kết nối an toàn duy nhất đó là không nối gì cả. Trong hầu hết tất cả các trường hợp, các hệ thống thuộc quyền sở hữu riêng đã có mạng riêng. Kevin Stagg, CISP, kỹ sư thành viên, công ty Honeywell Process Solutions cho biết: “Bất kỳ kết nối nào thêm vào đều đem lại cho chúng một rủi ro đáng kể, bởi vì chúng không được thiết kế để tự bảo vệ chính mình và không có gì để bảo vệ chúng. Đối với nhiều hệ thống cũ đó, bạn phải hiểu tường tận và biết điểm kết nối ở đâu, biết công nghệ được sử dụng như thế nào tại những điểm kết nối đó. Trong rất nhiều trường hợp những điểm đó sẽ là điểm mấu chốt của kết nối cũ”. Để tạo ngăn cách, các yêu cầu cách ly phải tuân thủ nghiêm ngặt. Con người luôn có xu hướng tin tưởng mạng riêng là an toàn, họ luôn nhét tất cả trứng vào một rọ. Còn Todd Stauffer, quản lý hệ thống tự động xử lý của Siemens Energy và Automation cho hay. “Nhưng nếu tưởng tượng rằng ai đó có một mạng riêng, họ đem cắm thẻ nhớ từ bên ngoài vào, hay kết nối tạm thời với một máy tính xách tay hoặc tạm thời kết nối với một mạng nào đó thì sự riêng biệt lập tức bị phá vỡ. Bạn cần phải có kinh nghiệm xử lý vấn đề phát sinh thay vì bảo đảm chắc chắn không ai đem thẻ nhớ, CDs, hoặc DVD vào không gian riêng đó. Thấu hiểu các nền cơ sở Nền cơ sở điều khiển cũ đã tồn tại trong một thời gian dài, một vài cơ sở vẫn chạy trên thế hệ DCS đầu tiên. Xét về mục đích ứng dụng, có thể phân chia chúng thành hai mảng rộng: Mạng sở hữu riêng và mạng chạy trên nền Microsoft Windows. Một số người sử dụng nền cơ sở cũ tự cảm thấy rất thoải mái vì họ tin nếu một hacker có thể truy cập vào bên trong, hacker đó không biết phải làm gì với công nghệ lỗi thời đó. Liệu đây có phải là một cách thức để bảo vệ mạng khỏi các hacker? John Cusimano, tư vấn viên cao cấp của Exida ví chiến lược này như là việc trượt trên một miếng băng mỏng. “Nếu một ai đó sử dụng nền cơ sở cũ họ phải hiểu biết cặn kẽ về hệ thống đó, cấu trúc các câu lệnh là gì khi đó họ sẽ dễ dàng làm chủ nó” ông nói thêm. Nếu một người lạ muốn xâm nhập vào hệ thống, họ cần phải có một trình độ, kỹ năng cao hơn thì mới có thể can thiệp vào hệ thống cũ. Nhưng một khi đã truy cập được, họ có thể thực thi bất kỳ lệnh nào họ muốn. Hiện nay có rất nhiều hacker giỏi. Ken Pappas, nhà chiến lược an ninh cho hệ thống bảo vệ việc xâm phạm trái phép của hãng Top Layer cảnh báo: “Hiện nay đang xảy ra một nguy cơ mới từ hàng nghìn kỹ sư nghỉ việc hoặc bị các công ty sa thải, họ có thể bất mãn với các công ty đó. Họ hiểu biết về những hệ thống mà họ đã làm việc, nếu các nhà máy kết nối các hệ thống với nhau, những người này biết cách truy cập vào mạng đó, họ biết làm thế nào để xâm nhập vào hệ thống. Họ có thể là đối tượng nguy hiểm hơn so với những hacker bình thường những người chỉ biết cách xâm nhập vào hệ thống, nguy cơ tàn phá của những kỹ sư này cao hơn và họ được xem là một thế hệ hacker mới”. Một vài người sử dụng tin rằng ngay khi Windows được cài đặt trong nhà máy vào những năm 1990, nó sẽ cung cấp một môi trường làm việc an toàn hơn. Cusimano nói đây không phải là do hoàn cảnh, nhưng lo lắng về các hệ thống gia tăng mạnh từ 15 năm trước, khi hệ thống Windows được đưa vào giới thiệu đầu tiên trong thế giới điều khiển. Hiện nay có những hệ thống vẫn chạy trên hệ điều hành Windows nền NT HMIs. Đó là thế hệ đầu tiên các hệ thống được mở, nhưng trong phiên bản Windows cũ này hệ thống an ninh mạng gần như không tồn tại. Đó là một thế hệ đặc ...