Trong những năm gần đây, các cuộc tấn công mạng vào các cơ sở xử lý nước thải của Hoa Kỳ đã cho thấy công nghệ vận hành dễ bị tổn thương như thế nào. Đầu năm 2024, nhiều thành phố ở Texas đã chứng kiến hệ thống SCADA của họ bị tin tặc truy cập từ xa, thậm chí khiến một bể chứa nước bị tràn trước khi nhân viên kịp kiểm soát. Một sự cố tương tự ở Tipton, Indiana đã buộc các nhà vận hành phải chuyển sang vận hành thủ công sau khi phát hiện hoạt động bất thường trên hệ thống nhà máy. Những sự kiện này đã nêu bật những rủi ro khi kết nối cơ sở hạ tầng xử lý với mạng doanh nghiệp hoặc mạng internet, đồng thời củng cố lý do tại sao công ty điện lực này không thể thỏa hiệp trong việc duy trì khoảng cách an toàn giữa các hệ thống OT và mạng không dây.
Nơi an ninh và khả năng hiển thị va chạm
Hiểu dữ liệu sử học
AVEVA Historian là một cơ sở dữ liệu công nghiệp chuyên biệt được thiết kế để thu thập và lưu trữ dữ liệu chuỗi thời gian khối lượng lớn từ các hệ thống OT như cảm biến, bộ điều khiển và nền tảng SCADA. Ở cấp độ cơ sở, một Historian cục bộ ghi lại dữ liệu quy trình (thông tin vận hành thô được tạo ra bởi các hệ thống điều khiển và cảm biến công nghiệp) cho người vận hành, đảm bảo họ có thể giám sát thiết bị và hoạt động xử lý theo thời gian thực.
Một Historian cấp doanh nghiệp bậc 1 đảm nhiệm một vai trò khác: tổng hợp nguồn cấp Historian từ nhiều cơ sở, cung cấp cho các nhóm doanh nghiệp một cái nhìn tổng hợp cho việc báo cáo, phân tích và lập kế hoạch. Thách thức đặt ra khi dữ liệu cần được chuyển từ Historian cục bộ này lên cấp doanh nghiệp mà không mở đường quay lại các hệ thống OT quan trọng.
Thách thức của Secure Chia sẻ dữ liệu
Tại một trong các cơ sở của mình, công ty tiện ích cần chuyển tiếp dữ liệu từ một Historian AVEVA cục bộ đến một Historian cấp 1 trên mạng doanh nghiệp. Dữ liệu này rất quan trọng cho việc giám sát và báo cáo cấp doanh nghiệp, nhưng kết nối internet của mạng doanh nghiệp khiến việc tích hợp trực tiếp trở nên không an toàn.
Việc duy trì sự cô lập của các hệ thống OT là điều cần thiết, vì bất kỳ đường dẫn nào trở lại môi trường kiểm soát đều có thể tạo điều kiện cho tấn công. Đồng thời, việc để các Nhà sử học bị cô lập cũng hạn chế khả năng chia sẻ thông tin chi tiết giữa các địa điểm và cải thiện hiệu quả của tổ chức. Thách thức đặt ra là phải đạt được cả hai mục tiêu: duy trì sự tách biệt chặt chẽ đồng thời cho phép hiển thị theo thời gian thực.
Tường lửa và các công cụ phần mềm khác là không đủ. Chúng không thể đảm bảo giao tiếp một chiều, đòi hỏi phải bảo trì liên tục và vẫn khiến các tài sản quan trọng dễ bị tổn thương. Do đó, tổ chức cần một giải pháp đảm bảo cô lập vật lý đồng thời cho phép dữ liệu thiết yếu được truyền ra bên ngoài.
Tạo một Secure Đường dẫn cho dữ liệu thời gian thực
Tiện ích chuyển sang OPSWAT và triển khai MetaDefender Optical Diode (Fend) cùng với nền tảng phần mềm eRIS. eRIS là một công cụ quản lý và báo cáo dữ liệu thường được sử dụng trong ngành nước để dịch và phân phối dữ liệu Historian một cách an toàn, khiến nó trở nên phù hợp tự nhiên cho việc triển khai này.
MetaDefender Optical Diode (Fend) là một thiết bị an ninh mạng được tăng cường phần cứng, sử dụng công nghệ cách ly quang học để đảm bảo giao tiếp một chiều. Theo thiết kế, thiết bị này chặn vật lý mọi lưu lượng truy cập đến để ngăn chặn truy cập từ xa hoặc xâm nhập phần mềm độc hại, và các tính năng bảo vệ tích hợp chống lại tấn công từ chối dịch vụ, giả mạo và biến động điện áp giúp đảm bảo dữ liệu Historian tiếp tục truyền tải đáng tin cậy ngay cả khi gặp sự cố.
Sau đây là cách triển khai hoạt động:
- Cài đặt eRIS: Phần mềm eRIS được cài đặt dưới dạng dịch vụ Windows trên máy chủ OT AVEVA hiện có, dịch dữ liệu Historian sang định dạng một chiều.
- Cách ly quang học: Dữ liệu sau đó được truyền đi một cách an toàn qua MetaDefender Optical Diode (Fend), thực hiện truyền dữ liệu một chiều bằng cách cô lập quang học ở cấp độ phần cứng.
- Hỗ trợ giao thức: Thiết bị này hỗ trợ cả các giao thức CNTT tiêu chuẩn như FTP, SFTP, TCP và UDP, cũng như các giao thức công nghiệp như Modbus và BACnet, khiến nó rất phù hợp để truyền dữ liệu Historian.
- Chuyển đổi doanh nghiệp: Về phía doanh nghiệp, eRIS Hub đã chuyển đổi thông tin trở lại định dạng AVEVA và chuẩn bị để đưa vào Historian cấp 1.
Từ sự chậm trễ thủ công đến cái nhìn sâu sắc tức thì
Với kiến trúc mới, tiện ích không còn phải lựa chọn giữa khả năng hiển thị và bảo mật. Nhân viên vận hành tại cơ sở xử lý có thể xem dữ liệu xuất hiện trên Enterprise Historian gần như ngay lập tức, đồng thời yên tâm rằng không có dữ liệu nào có thể quay trở lại môi trường điều khiển. Những việc trước đây đòi hỏi phải xử lý thủ công (thu thập thủ công, báo cáo chậm trễ) giờ đây được thực hiện tự động, mang lại cho cả đội ngũ vận hành và doanh nghiệp sự tự tin vào thông tin họ sử dụng hàng ngày.
Lợi ích chính
Tiết kiệm thời gian trong hoạt động hàng ngày: Thay vì chờ dữ liệu được thu thập và chia sẻ thủ công, nhân viên có thể dựa vào luồng thông tin ổn định sẵn sàng để phân tích.
Sự an tâm cho các nhóm bảo mật: Phần cứng thực hiện chuyển dữ liệu một chiều có nghĩa là ngay cả khi mạng doanh nghiệp bị xâm phạm, hệ thống OT vẫn không bị ảnh hưởng.
Khả năng hiển thị tốt hơn trên toàn tổ chức: Các nhóm doanh nghiệp có được khả năng hiển thị cần thiết mà không gây gián đoạn hoặc tạo gánh nặng cho nhân viên cơ sở.
Dễ dàng sao chép trên nhiều cơ sở: Với việc triển khai đơn giản, ít bảo trì, tiện ích có thể sao chép cùng một mô hình trên nhiều cơ sở khác bất cứ khi nào cần.
Lần đầu tiên, tổ chức có thể nhìn thấy toàn cảnh hoạt động của mình theo thời gian thực trong khi vẫn biết rằng các hệ thống quan trọng nhất vẫn được bảo vệ bởi một khoảng cách an toàn thực sự.
Xây dựng một tương lai của Secure Hoạt động nước
Với việc truyền dữ liệu Historian an toàn hiện đã được triển khai, công ty điện lực có thể mở rộng mô hình này sang các bộ phận khác trong hoạt động của mình. Các cơ sở xử lý, trạm bơm và hệ thống giám sát bổ sung có thể được tích hợp vào mạng doanh nghiệp mà không khiến môi trường OT phải chịu các mối đe dọa bên ngoài.
Việc triển khai này cũng đặt nền tảng cho việc áp dụng các phương pháp phân tích và tuân thủ mới. Các nhóm doanh nghiệp có thể xây dựng dựa trên các luồng dữ liệu đáng tin cậy, theo thời gian thực để cải thiện báo cáo, hỗ trợ bảo trì dự đoán và phản ứng nhanh hơn với các thay đổi vận hành. Đồng thời, các hệ thống OT vẫn được bảo vệ bởi cơ chế cô lập được thực thi bằng phần cứng, bảo vệ các dịch vụ thiết yếu khỏi các loại tấn công mạng đã làm gián đoạn các cơ sở cấp nước và xử lý nước thải trên khắp Hoa Kỳ.
Bằng cách kết hợp khả năng hiển thị thời gian thực với bảo mật không khoan nhượng, tiện ích đã tạo ra một phương pháp không chỉ đáp ứng nhu cầu hiện tại mà còn sẵn sàng cho các nhu cầu trong tương lai. cơ sở hạ tầng trọng yếu sự bảo vệ.
Tìm hiểu thêm về cách MetaDefender Optical Diode (Fend) có thể bảo vệ cơ sở của bạn trong khi vẫn giữ các hệ thống thiết yếu được cô lập an toàn.
