An ninh mạng rất trọng yếu đối với ngành công nghiệp hạt nhân, đòi hỏi phải thực hiện các biện pháp bảo vệ nghiêm ngặt chống lại các cuộc tấn công mạng. Trong số các mối đe dọa có thể xảy ra là các cuộc tấn công vào thiết bị lưu trữ di động và thiết bị di động (Portable Media and Mobile Device - PMMD). Vì nhiều hoạt động của các cơ sở hạt nhân diễn ra trong các vùng cách ly không khí (air-gapped), nên việc truyền dữ liệu giữa các cơ sở và thiết bị đầu cuối phải sử dụng thiết bị ngoại vi và có thể tháo rời (như ổ đĩa USB cứng và đĩa mềm).
Ngành công nghiệp điện hạt nhân nằm trong các yêu cầu quản lý nghiêm ngặt. Ủy ban quản lý hạt nhân Hoa Kỳ (NRC) áp đặt các yêu cầu bảo mật toàn diện được gọi là CFR (Bộ luật liên bang). Tiêu đề 10, mục 73.54 của CFR nêu rõ các yêu cầu về an ninh mạng để bảo vệ "Hệ thống và mạng máy tính và truyền thông kỹ thuật số".
Khung và quy định an ninh mạng cho các cơ sở hạt nhân
Với các yêu cầu nghiêm ngặt về bảo mật hệ thống kỹ thuật số và truyền thông, NEI (Viện Năng lượng Hạt nhân) đã công bố hai tài liệu, NEI 08-09 và NEI 18-08, phù hợp với CFR, tiêu đề 10, mục 73.54. Hai tài liệu này tạo thành nền tảng vững chắc để bảo vệ các cơ sở điện hạt nhân, nhấn mạnh cách tiếp cận dựa trên rủi ro đối với an ninh mạng.
Mục 73.54 CFR
Tiêu đề 10, Mục 73.54 của Bộ luật Liên bang thực thi các biện pháp an ninh nghiêm ngặt tại các cơ sở hạt nhân bằng cách thiết lập khuôn khổ cho an ninh của vật liệu và cơ sở hạt nhân. Các điều khoản của nó yêu cầu các nhà điều hành triển khai các hệ thống bảo vệ vật lý mạnh mẽ, đảm bảo tính toàn vẹn và dự phòng của hệ thống và áp dụng các giao thức truy cập nghiêm ngặt. Cách tiếp cận toàn diện của quy định tập trung vào bảo vệ vật lý trong khi giải quyết các mối đe dọa do thiết bị ngoại vi độc hại gây ra, bao gồm ổ đĩa USB, đĩa DVD và các thiết bị cũ như đĩa mềm.
NEI 08-09
NEI 08-09 cung cấp một khuôn khổ toàn diện để thiết lập một chương trình an ninh mạng cho các lò phản ứng điện hạt nhân. Nó phác thảo các phương pháp để xác định các tài sản kỹ thuật số trọng yếu, bảo vệ khỏi các mối đe dọa từ bên trong và bên ngoài, và giảm thiểu các lỗ hổng bảo mật trên các hệ thống, bao gồm thiết bị lưu trữ di động.
NEI 18-08
NEI 18-08 đặt ra hướng dẫn về bảo mật theo các tiêu chuẩn an ninh mạng đang phát triển. Các cơ sở hạt nhân thường bao gồm nhiều vùng air-gapped, việc di chuyển dữ liệu giữa các vùng được bảo mật này đòi hỏi phải sử dụng các thiết bị di động và thiết bị lưu trữ di động. Nhu cầu sử dụng các thiết bị truyền thông như vậy đòi hỏi phải có các trạm quét hoặc bảng điều khiển quét, thường được gọi là kiosk.
Trọng tâm của hướng dẫn NEI 018-08 là giải quyết các con đường tấn công của các cuộc tấn công PMMD và hướng dẫn giảm thiểu rủi ro của các cuộc tấn công như vậy. Chúng cũng bao gồm các phương pháp tiếp cận hiện đại để quản lý rủi ro và bảo vệ các hệ thống kỹ thuật số mới hơn, bao gồm các thiết bị IoT.
Phát triển kế hoạch An ninh mạng cho các Cơ sở Hạt nhân
Việc xây dựng một kế hoạch an ninh mạng hiệu quả tuân thủ các yêu cầu theo quy định phải bao gồm những cân nhắc sau.
Xác định rủi ro
Xác định rủi ro là bước đầu tiên để xây dựng kế hoạch an ninh mạng mạnh mẽ, bao gồm hệ thống OT (công nghệ vận hành) và IT (công nghệ thông tin) của cơ sở. Các rủi ro tiềm ẩn phổ biến bao gồm các mối đe dọa bên trong và bên ngoài, các lỗ hổng bảo mật phần cứng và phần mềm có thể xảy ra và các rủi ro do thiết bị ngoại vi và thiết bị lưu trữ di động gây ra.
Phòng thủ theo chiều sâu
Hướng dẫn NEI 08-09 khuyến nghị triển khai nhiều lớp phòng thủ trong kế hoạch an ninh mạng, chẳng hạn như hạn chế sử dụng thiết bị, phân đoạn mạng để cô lập các hệ thống trọng yếu và giám sát, quét mã độc theo thời gian thực.
Kiểm soát truy cập
Kiểm soát truy cập bao gồm việc đảm bảo rằng chỉ những nhân viên được ủy quyền mới có thể sử dụng thiết bị lưu trữ di động trong các khu vực an toàn, đồng thời đảm bảo không có thiết bị trái phép nào được cấp quyền truy cập vào các mạng an toàn.
Thực thi các chính sách sử dụng nghiêm ngặt cho chính sách thiết bị ngoại vi
Ngoài việc triển khai các kiosk quét, USB, việc sử dụng phải được giới hạn chỉ đối với các thiết bị được chấp thuận. Các thiết bị như vậy cũng phải được giám sát bằng phần mềm bảo vệ thiết bị đầu cuối.
Cách ly thiết bị
Thiết bị cách ly áp dụng cho cả thiết bị bị nghi ngờ xâm phạm và thiết bị trái phép. Thiết bị ngoại vi được sử dụng để bảo trì hệ thống phải làm sạch trước và sau khi sử dụng để ngăn ngừa lây nhiễm chéo. Ngoài việc cách ly vật lý, sử dụng NAC (Kiểm soát truy cập mạng) nhằm hạn chế sự xâm nhập của các thiết bị không được chấp thuận sẽ tăng thêm một lớp phòng thủ.
Bảo mật Cloud - Thiết bị được kết nối và ứng dụng di động
Ngay cả với các yêu cầu nghiêm ngặt về cô lập và truy cập, việc sử dụng các thiết bị kết nối đám mây trong thời đại hiện đại vẫn không thể tránh khỏi. Các quy tắc về nơi thiết bị kết nối đám mây có thể hiện diện về mặt vật lý, cùng với các giải pháp kiểm soát truy cập, chẳng hạn như zero-trust, là rất cần thiết.
Con đường tấn công PMMD
Trong môi trường có khoảng cách không khí, các kiosk trở thành mục tiêu chính của các cuộc tấn công mạng. Việc giải quyết các con đường tấn công PMMD là rất trọng yếu để lập kế hoạch và triển khai một kế hoạch an ninh mạng mạnh mẽ.
Truy cập vật lý vào Kiosk
Kiểm soát truy cập vật lý là một khía cạnh thiết yếu để bảo vệ các trạm quét. Phần mềm của kiosk có thể bị xâm phạm nếu kẻ tấn công có quyền truy cập vào phần cứng cơ bản hoặc các cổng không được bảo vệ.
Kết nối mạng có dây
Ngay cả khi triển khai cách ly (air-gapped), các kiosk thường dựa vào kết nối có dây cho các hoạt động bảo trì. Những kết nối như vậy mở ra cánh cửa cho các cuộc tấn công như tiêm mã độc.
Kết nối mạng không dây
Kết nối có dây phải là cách kết nối được ưu tiên khi đến kiosk. Không giống như kết nối mạng có dây, kết nối không dây có thể dễ dàng bị kẻ tấn công và người dùng trái phép chặn và xâm phạm hơn.
Kết nối thiết bị lưu trữ di động
Cần phải giám sát liên tục và kiểm soát truy cập chặt chẽ để đảm bảo rằng các cổng của kiosk chỉ được sử dụng để quét thiết bị lưu trữ di động. Điều này giúp bảo vệ phần mềm và công cụ quét của kiosk khỏi bị can thiệp bằng cách ngăn chặn kẻ thù truy cập vật lý vào các cổng thiết bị lưu trữ di động.
Truy cập chuỗi cung ứng
Ngoài các đường dẫn tấn công đã đề cập trước đó gây ra rủi ro sau khi triển khai kiosk, các cuộc tấn công có thể xảy ra trong quá trình sản xuất hoặc phân phối. Việc xâm phạm phần mềm của kiosk trước khi triển khai gây ra rủi ro lớn hơn vì nó khiến việc phát hiện trở nên khó khăn hơn.
Bảo vệ các nhà máy điện hạt nhân khỏi các cuộc tấn công PMMD
Bên cạnh việc cân nhắc lập kế hoạch an ninh mạng, việc thực hiện các biện pháp cụ thể này giúp bảo vệ các cơ sở hạt nhân khỏi các cuộc tấn công PMMD.
Chính sách kiểm soát thiết bị trong môi trường OT
Áp dụng chính sách kiểm soát chặt chẽ đối với phương tiện truyền thông di động và mobile thiết bị trong Môi trường OT để hạn chế các thiết bị trái phép và sử dụng các giải pháp bảo vệ thiết bị đầu cuối, chẳng hạn như MetaDefender Endpoint™ , giúp giám sát và kiểm soát việc sử dụng thiết bị. Ngoài ra, các tổ chức nên thực thi các chính sách yêu cầu mã hóa cho tất cả các thiết bị lưu trữ di động để bảo vệ tính toàn vẹn của dữ liệu trong trường hợp thiết bị bị mất hoặc bị trộm.
Ủy quyền, giám sát và kiểm soát các thiết bị có thể tháo rời
Trước khi truy cập vào các mạng trọng yếu, các thiết bị ngoại vi và thiết bị có thể tháo rời kết nối với mạng phải trải qua quá trình xác thực. Quá trình này đảm bảo rằng chỉ những thiết bị được quét và bảo mật đầy đủ mới có thể tương tác với các hệ thống của cơ sở. Một giải pháp như MetaDefender Kiosk™ , với công nghệ MetaDefender Media Firewall™ và nhiều yếu tố hình thức phù hợp với nhiều vị trí khác nhau, đã chứng minh được tính hiệu quả của nó trong việc bảo mật các hoạt động truyền tệp của các cơ sở hạt nhân .
Giám sát và kiểm tra
Việc giám sát liên tục các hoạt động của thiết bị và ghi nhật ký toàn diện về việc truyền dữ liệu giúp xác định hoạt động bất thường hoặc các nỗ lực truy cập trái phép. Ngoài ra, việc duy trì nhật ký kết nối thiết bị có thể giúp kiểm tra bảo mật.
Quét bắt buộc và phát hiện mã độc
Việc bắt buộc quét toàn bộ thiết bị lưu trữ di động và thiết bị di động trước khi đưa vào cơ sở là yếu tố then chốt nhằm kiểm tra mã độc trước khi cấp quyền truy cập mạng. Bên cạnh các giải pháp quét cố định, công cụ quét trực tiếp trên phần cứng di động như MetaDefender Drive™, với khả năng phát hiện mã độc ẩn (bao gồm rootkit), giúp tăng cường hiệu quả chiến lược an ninh mạng.
Đào tạo và nâng cao nhận thức về an ninh
Hầu hết các hệ thống an ninh hiện đại vẫn dễ xảy ra lỗi của con người. Các tổ chức nên cung cấp đào tạo nhân viên thường xuyên và cập nhật về các rủi ro liên quan đến việc sử dụng thiết bị lưu trữ di động và thiết bị d động.Các hướng dẫn của NEI khuyến nghị đào tạo nhân sự về các thực hành tốt, như không sử dụng USB không rõ nguồn gốc và không kết nối thiết bị cá nhân vào các hệ thống trọng yếu.
Kế hoạch ứng phó khẩn cấp
Ngay cả khi áp dụng các biện pháp bảo mật nghiêm ngặt, các cuộc tấn công mạng vẫn có thể xảy ra. Do đó, cần xây dựng kế hoạch ứng phó sự cố PMMD với các bước rõ ràng: cô lập thiết bị bị nhiễm, thông báo cho các bộ phận liên quan và khôi phục hệ thống bị xâm phạm.
Kết luận
Nhiều hoạt động trong các cơ sở hạt nhân diễn ra trong các vùng air-gapped, khiến việc sử dụng thiết bị ngoại vi và thiết bị lưu trữ di động trở thành yêu cầu bắt buộc để truyền dữ liệu giữa các hệ thống và thiết bị đầu cuối. Điều này làm gia tăng nguy cơ tấn công mạng, đặc biệt là các mối đe dọa liên quan đến PMMD, đồng thời đòi hỏi tuân thủ nghiêm ngặt các quy định bảo mật. Các giải pháp bảo vệ thiết bị ngoại vi và thiết bị lưu trữ di động như MetaDefender Kiosk, MetaDefender Media Firewall và MetaDefender Endpoint™ ,kết hợp với MetaDefender Drive và khả năng phát hiện mã độc ẩn, cung cấp một nền tảng an ninh mạng tích hợp, đạt tỷ lệ phát hiện mã độc lên đến 99,2%.
Để biết thêm về các giải pháp của OPSWAT để bảo mật cơ sở hạ tầng trọng yếu và giảm thiểu rủi ro bị PMMD tấn công, hãy trao đổi với một trong các chuyên gia của chúng tôi.
