Nghị định về Bảo vệ Cơ sở Hạ tầng Trọng yếu (Hệ thống Máy tính) ( PCICSO) là khung pháp lý mới do Chính phủ Hồng Kông ban hành nhằm tăng cường an ninh mạng và khả năng chống chịu củacơ sở hạ tầng trọng yếu (CIO). Có hiệu lực từ tháng 1 năm 2026, nghị định này quy định các nghĩa vụ pháp lý đối với các CIO trong việc bảo vệ hệ thống máy tính của họ khỏi các mối đe dọa mạng, chủ động quản lý rủi ro và ứng phó hiệu quả với các sự cố an ninh mạng. Quy định này nêu rõ rằng các nhà khai thác cơ sở hạ tầng quan trọng hiện phải chứng minh được các biện pháp kiểm soát nghiêm ngặt và có thể thi hành đối với cách thức xử lý hệ thống, thiết bị và dữ liệu.
Nghị định về Bảo vệ Cơ sở hạ tầng Quan trọng (Hệ thống Máy tính) (PCICSO)
Khung quy định của PCICSO được xây dựng xoay quanh ba nghĩa vụ cốt lõi nhằm cung cấp cho các CIO một phương pháp toàn diện và có hệ thống để quản lý rủi ro mạng. Các CIO được định nghĩa là những tổ chức được cơ quan quản lý chỉ định dựa trên mức độ phụ thuộc vào các hoạt động cốt lõi của hệ thống máy tính, mức độ nhạy cảm của dữ liệu được kiểm soát, mức độ kiểm soát vận hành và quản lý đối với cơ sở hạ tầng, cũng như thông tin được cung cấp để đảm bảo tuân thủ.
Ba nghĩa vụ cốt lõi mà các Giám đốc Công nghệ Thông tin (CIO) phải tuân thủ là:
- Về mặt tổ chức: Các yêu cầu về quản trị và tổ chức nhằm đảm bảo trách nhiệm giải trình rõ ràng, các chính sách và cơ chế giám sát trong lĩnh vực an ninh mạng.
- Phòng ngừa: Các biện pháp phòng ngừa và bảo vệ, yêu cầu các nhà khai thác triển khai các biện pháp bảo vệ kỹ thuật và vận hành phù hợp để đảm bảo an toàn cho các hệ thống máy tính quan trọng.
- Báo cáo và ứng phó sự cố: Các khả năng nhằm đảm bảo việc phát hiện, xử lý và thông báo kịp thời các sự cố an ninh mạng nghiêm trọng.
Những điểm nổi bật chính
Mặc dù nghị định này đề cập đến một loạt các yêu cầu, nhưng có một số điểm chính mà các Giám đốc Công nghệ Thông tin (CIO) cần lưu ý. Theo Phụ lục 3, Phần 1 của nghị định, các nhà khai thác phải có các chính sách nhằm:
- Xác định, đánh giá, theo dõi, giảm thiểu và ứng phó với các rủi ro liên quan đến an ninh hệ thống máy tính và các lỗ hổng bảo mật của hệ thống
- Kiểm soát quyền truy cập vào các hệ thống máy tính quan trọng
- Quản lý các nhà cung cấp dịch vụ và sản phẩm liên quan đến máy tính được sử dụng cho các hệ thống
Các giải pháp hàng đầu trong ngành hỗ trợ tuân thủ
Endpoint thiết bị và Endpoint là nền tảng
Tình trạng Endpoint và quản lý lỗ hổng bảo mật được nhấn mạnh mạnh mẽ trong các hướng dẫn của PCICSO, yêu cầu các lỗ hổng phải được phát hiện, đánh giá và khắc phục kịp thời. Chỉ các thiết bị tuân thủ mới được phép tương tác với các hệ thống quan trọng, trong khi các điểm cuối thiếu bản vá, sử dụng phần mềm lỗi thời hoặc tiềm ẩn rủi ro bảo mật phải bị chặn hoặc hạn chế truy cập cho đến khi được khắc phục. MetaDefender hỗ trợ việc tuân thủ các yêu cầu này bằng cách thực thi tuân thủ thiết bị trước khi cấp quyền truy cập và đánh giá từng thiết bị đầu cuối dựa trên các chính sách của tổ chức. Đánh giá này bao gồm tình trạng lỗ hổng và bản vá, đảm bảo chỉ những thiết bị đáp ứng tình trạng bảo mật theo yêu cầu mới có thể kết nối.
Ngoài ra, MetaDefender Endpoint quản lý lỗ hổng và bản vá trên các thiết bị đầu cuối, bao gồm cả hệ điều hành và các ứng dụng của bên thứ ba. Giải pháp này chủ động phát hiện lỗ hổng, khắc phục rủi ro và đề xuất các biện pháp khắc phục, đồng thời hỗ trợ vá lỗi cho hơn 1.100 ứng dụng. Để đảm bảo việc tuân thủ có thể kiểm toán và điều tra sự cố, tất cả tình trạng bảo mật và tuân thủ của các thiết bị đầu cuối đều có thể được giám sát và kiểm toán tập trung thông qua My Central Management.
Giảm thiểu Media di động
Kiểm soát truy cập là một trong những lĩnh vực trọng tâm chính của nghị định này. Điều này làm gia tăng nhu cầu đối với các Giám đốc Công nghệ Thông tin (CIO) trong việc quản lý chặt chẽ tất cả các kênh truy cập vào các hệ thống quan trọng, bao gồm cả các phương tiện lưu trữ di động.
Việc sử dụng USB và các phương tiện lưu trữ di động khác vẫn còn phổ biến trong các môi trường vận hành, đặc biệt là ở những nơi mạng bị phân đoạn hoặc cách ly, khiến chúng trở thành một phương thức tấn công có rủi ro cao trong các môi trường OT/ICS. Theo Báo cáo Ngân sách OT/ICS năm 2025 của SANS, 15,2% các phương thức tấn công xuất phát từ các phương tiện lưu trữ di động bị xâm nhập.
Để giảm thiểu những rủi ro này, OPSWAT các tổ chức phòng ngừa rủi ro liên quan đến phương tiện lưu trữ di động thông qua:
- Giảm thiểu Media di động tại điểm tiếp nhận:MetaDefender bảo vệ luồng dữ liệu vào các môi trường quan trọng bằng cách quét và khử trùng phương tiện lưu trữ di động ngay tại điểm tiếp nhận. Sản phẩm này đã được công nhận là một phần của Chương trình DeltaV Silver Alliance của Emerson, chứng minh hiệu quả của nó trong nhiều môi trường và tình huống ứng dụng khác nhau.
- Endpoint và kiểm soát thiết bị trước khi chạy: MetaDefender cung cấp giải pháp bảo vệ điểm cuối tiên tiến cho các môi trường vận hành bằng cách chủ động quét các phương tiện lưu trữ di động ngay khi được cắm vào và đảm bảo chỉ các thiết bị hoặc nội dung an toàn mới có thể truy cập vào các hệ thống quan trọng.
- Media như một lớp bảo vệ bổ sung: MetaDefender Endpoint và MetaDefender Media mang lại một lớp bảo mật bổ sung thông qua việc áp dụng các chính sách quét và khử trùng.
- Giám sát bảo mật tập trung: Thông qua My Central Management, MetaDefender và MetaDefender hỗ trợ việc áp dụng chính sách tập trung để kiểm soát quyền truy cập thiết bị, giám sát và quản lý việc sử dụng phương tiện lưu trữ di động, cũng như ghi nhật ký hoạt động.
Quản lý quyền truy cập của nhà thầu và Supply Chain , cùng với việc lưu trữ Secure
Vì cơ sở hạ tầng trọng yếu hoạt động trong tình trạng hoàn toàn cô lập, nên các hoạt động hàng ngày thường đòi hỏi phải cấp quyền truy cập mạng cho các thiết bị bên ngoài do nhà cung cấp, nhà thầu và đối tác mang vào. Các thiết bị tạm thời, chẳng hạn như máy tính xách tay của bên thứ ba và máy trạm thay thế, có thể lọt qua các quy trình kiểm tra thích hợp do áp lực về thời gian hoặc thiếu công cụ xác minh, từ đó tạo ra các điểm tấn công tiềm ẩn ban đầu.
Dữ liệu ngành mới nhất từ báo cáo “SANS 2025 ICS/OT” và “IBM’s 2025 Cost of a Data Breach” cho thấy rằng:
- Số vụ tấn công bằng thiết bị tạm thời đã tăng vọt 221%
- 27,3% tổng số sự cố OT xuất phát từ các thiết bị tạm thời
- Các vụ vi phạm an ninh liên quan đến bên thứ ba và chuỗi cung ứng gây thiệt hại trung bình khoảng 4,9 triệu đô la cho mỗi vụ
MetaDefender Drive thiết kế để giải quyết những vấn đề này bằng cách quét và xác minh các thiết bị tạm thời trước khi cấp quyền truy cập vào các mạng quan trọng của bạn. Thông qua quá trình quét an toàn trước khi khởi động, các nhà điều hành có thể kiểm tra các thiết bị ở cấp độ sâu hơn hệ điều hành máy chủ để phát hiện các mối đe dọa tiềm ẩn trước khi chúng xâm nhập vào mạng.
Đối với các hệ thống quan trọng không thể tắt nguồn do các hạn chế về vận hành, MetaDefender Drive hỗ trợ tính năng quét trong phiên làm việc, cho phép kiểm tra thiết bị ngay cả khi hệ điều hành đang hoạt động, từ đó đảm bảo khả năng kiểm tra sâu trong các môi trường quan trọng nơi thời gian ngừng hoạt động là không thể chấp nhận được.
Ngoài ra, MetaDefender Drive tính năng Smart Touch cho phép lưu trữ tệp tin an toàn bằng cách lưu trữ dữ liệu tương tự như một USB thông thường, đồng thời ẩn các tệp tin chưa được quét, chỉ cho phép chia sẻ hoặc phân phối các tệp tin đã được quét.
Phân đoạn mạng và luồng dữ liệu một chiều
Ngoài việc phân đoạn logic, PCICSO nhận thấy rằng một số hệ thống quan trọng cần những đảm bảo chắc chắn hơn so với những gì các biện pháp kiểm soát dựa trên phần mềm có thể cung cấp. Tường lửa, danh sách kiểm soát truy cập (ACL) và các chính sách phân đoạn vẫn dễ bị ảnh hưởng bởi các lỗi cấu hình, lạm dụng thông tin đăng nhập và các lỗ hổng zero-day. Đối với các hệ thống có tác động lớn, nơi tính sẵn sàng và tính toàn vẹn là yếu tố then chốt, việc thiết lập các ranh giới tin cậy một cách vật lý là một biện pháp kiểm soát mang tính quyết định.
MetaDefender đáp ứng yêu cầu này thông qua cơ chế luồng dữ liệu một chiều được thực thi bằng phần cứng, nhằm đảm bảo dữ liệu có thể được chuyển ra khỏi các môi trường quan trọng để phục vụ cho việc giám sát, phân tích và báo cáo tuân thủ, đồng thời ngăn chặn mọi kết nối đến. Không giống như các biện pháp kiểm soát mạng truyền thống dựa vào việc thực thi chính sách, phương pháp này loại bỏ toàn bộ các loại phương thức tấn công ngay từ thiết kế. Nó ngăn chặn phần mềm độc hại, lệnh từ xa và sự di chuyển ngang xâm nhập trở lại vào các hệ thống được bảo vệ, hỗ trợ trọng tâm của PCICSO trong việc giảm thiểu rủi ro hệ thống và hạn chế các đường dẫn tiếp xúc với các hệ thống quan trọng.
Từ góc độ vận hành, MetaDefender giúp các Giám đốc Công nghệ Thông tin (CIO) đáp ứng các yêu cầu về giám sát, ghi nhật ký và báo cáo mà không làm ảnh hưởng đến tính cách ly của hệ thống. Các bản ghi nhật ký, dữ liệu từ xa và chỉ số vận hành có thể được truyền tải an toàn đến các môi trường CNTT hoặc Trung tâm Điều hành An ninh (SOC) để phân tích tập trung, trong khi các hệ thống công nghệ vận hành (OT) và hệ thống điều khiển vẫn được duy trì nguyên vẹn, đảm bảo tuân thủ quy định.
Từ tuân thủ đến khả năng phục hồi
Việc áp dụng các hướng dẫn mới của Sắc lệnh An ninh mạng Hồng Kông giúp các tổ chức đảm bảo tuân thủ quy định đối với thiết bị, kiểm soát việc di chuyển tệp tin, quản lý phương tiện lưu trữ di động và phân đoạn mạng. Khi cơ sở hạ tầng trọng yếu càng cơ sở hạ tầng trọng yếu kết nối chặt chẽ hơn nhưng vẫn phụ thuộc vào các hệ thống không thể chấp nhận sự gián đoạn, các biện pháp kiểm soát an ninh phải được triển khai mà không làm gián đoạn hoạt động.
OPSWAT tích hợp các tính năng này trên các thiết bị đầu cuối, phương tiện lưu trữ di động, thiết bị tạm thời và luồng dữ liệu, giúp xử lý các điểm xâm nhập phổ biến đồng thời cung cấp khả năng giám sát mà các cơ quan quản lý mong đợi. Để tìm hiểu thêm về cách OPSWAT cơ sở hạ tầng trọng yếu đáp ứng các yêu cầu này và tăng cường khả năng chống chịu trước các mối đe dọa mạng, hãy liên hệ với một trong các chuyên gia của chúng tôi ngay hôm nay.
