Trong những năm gần đây, các cuộc tấn công mạng vào các cơ sở xử lý nước thải của Hoa Kỳ đã cho thấy công nghệ vận hành dễ bị tổn thương như thế nào. Đầu năm 2024, nhiều thành phố ở Texas đã chứng kiến hệ thống SCADA của họ bị tin tặc truy cập từ xa, thậm chí khiến một bể chứa nước bị tràn trước khi nhân viên kịp kiểm soát. Một sự cố tương tự ở Tipton, Indiana đã buộc các nhà vận hành phải chuyển sang vận hành thủ công sau khi phát hiện hoạt động bất thường trên hệ thống nhà máy. Những sự kiện này đã nêu bật những rủi ro khi kết nối cơ sở hạ tầng xử lý với mạng doanh nghiệp hoặc mạng internet, đồng thời củng cố lý do tại sao công ty điện lực này không thể thỏa hiệp trong việc duy trì khoảng cách an toàn giữa các hệ thống OT và mạng không dây.
Nơi bảo mật và khả năng hiển thị giao thoa
Hiểu rõ dữ liệu Historian
AVEVA Historian là một cơ sở dữ liệu công nghiệp chuyên biệt được thiết kế để thu thập và lưu trữ dữ liệu chuỗi thời gian khối lượng lớn từ các hệ thống OT như cảm biến, bộ điều khiển và nền tảng SCADA. Ở cấp độ cơ sở, một Historian cục bộ ghi lại dữ liệu quy trình (thông tin vận hành thô được tạo ra bởi các hệ thống điều khiển và cảm biến công nghiệp) cho người vận hành, đảm bảo họ có thể giám sát thiết bị và hoạt động xử lý theo thời gian thực.
Một Historian cấp doanh nghiệp bậc 1 đảm nhiệm một vai trò khác: tổng hợp nguồn cấp Historian từ nhiều cơ sở, cung cấp cho các nhóm doanh nghiệp một cái nhìn tổng hợp cho việc báo cáo, phân tích và lập kế hoạch. Thách thức đặt ra khi dữ liệu cần được chuyển từ Historian cục bộ này lên cấp doanh nghiệp mà không mở đường quay lại các hệ thống OT quan trọng.
Thách thức trong việc chia sẻ dữ liệu an toàn
Tại một trong các cơ sở của mình, công ty tiện ích cần chuyển tiếp dữ liệu từ một Historian AVEVA cục bộ đến một Historian cấp 1 trên mạng doanh nghiệp. Dữ liệu này rất quan trọng cho việc giám sát và báo cáo cấp doanh nghiệp, nhưng kết nối internet của mạng doanh nghiệp khiến việc tích hợp trực tiếp trở nên không an toàn.
Việc duy trì sự cô lập của các hệ thống OT là yêu cầu bắt buộc, bởi bất kỳ đường truy cập nào quay trở lại môi trường điều khiển đều có thể trở thành điểm xâm nhập cho tấn công mạng. Tuy nhiên, việc cô lập các hệ thống Historian cũng làm hạn chế khả năng chia sẻ dữ liệu vận hành giữa các cơ sở và cản trở việc nâng cao hiệu quả hoạt động trên toàn tổ chức. Thách thức đặt ra là phải đồng thời đạt được hai mục tiêu: duy trì sự tách biệt nghiêm ngặt trong khi vẫn cho phép khả năng quan sát theo thời gian thực.
Tường lửa và các công cụ phần mềm khác là không đủ. Chúng không thể đảm bảo giao tiếp một chiều, đòi hỏi phải bảo trì liên tục và vẫn khiến các tài sản quan trọng dễ bị tổn thương. Do đó, tổ chức cần một giải pháp đảm bảo cô lập vật lý đồng thời cho phép dữ liệu thiết yếu được truyền ra bên ngoài.
Xây dựng lộ trình truyền dữ liệu theo thời gian thực an toàn
Tiện ích chuyển sang OPSWAT và triển khai MetaDefender Optical Diode (Fend) cùng với nền tảng phần mềm eRIS. eRIS là một công cụ quản lý và báo cáo dữ liệu thường được sử dụng trong ngành nước để dịch và phân phối dữ liệu Historian một cách an toàn, khiến nó trở nên phù hợp tự nhiên cho việc triển khai này.
MetaDefender Optical Diode (Fend) là một thiết bị an ninh mạng được tăng cường phần cứng, sử dụng công nghệ cách ly quang học để đảm bảo giao tiếp một chiều. Theo thiết kế, thiết bị này chặn vật lý mọi lưu lượng truy cập đến để ngăn chặn truy cập từ xa hoặc xâm nhập phần mềm độc hại, và các tính năng bảo vệ tích hợp chống lại tấn công từ chối dịch vụ, giả mạo và biến động điện áp giúp đảm bảo dữ liệu Historian tiếp tục truyền tải đáng tin cậy ngay cả khi gặp sự cố.
Sau đây là cách triển khai hoạt động:
- Cài đặt eRIS: Phần mềm eRIS được cài đặt dưới dạng dịch vụ Windows trên hệ thống máy chủ OT AVEVA hiện có, dịch dữ liệu Historian sang định dạng một chiều.
- Cách ly quang học: Dữ liệu sau đó được truyền đi một cách an toàn qua MetaDefender Optical Diode (Fend), thực hiện truyền dữ liệu một chiều bằng cách cô lập quang học ở cấp độ phần cứng.
- Hỗ trợ giao thức: Thiết bị hỗ trợ nguyên bản các giao thức IT tiêu chuẩn như FTP, SFTP, TCP và UDP, đồng thời hỗ trợ các giao thức công nghiệp như Modbus và BACnet, giúp tối ưu cho việc truyền dữ liệu Historian một cách an toàn và hiệu quả.
- Chuyển đổi doanh nghiệp: Về phía doanh nghiệp, eRIS Hub đã chuyển đổi thông tin trở lại định dạng AVEVA và chuẩn bị để đưa vào Historian cấp 1.
Từ độ trễ thủ công đến kiến thức chuyên sâu tức thì
Với kiến trúc mới được triển khai, đơn vị vận hành không còn phải đánh đổi giữa khả năng quan sát và bảo mật. Các kỹ sư vận hành tại nhà máy xử lý có thể theo dõi dữ liệu được đồng bộ lên hệ thống Enterprise Historian gần như theo thời gian thực, đồng thời đảm bảo tuyệt đối rằng không có bất kỳ luồng dữ liệu nào có thể quay ngược trở lại môi trường điều khiển. Những quy trình trước đây đòi hỏi các biện pháp xử lý tạm thời và thủ công (thu thập dữ liệu thủ công, báo cáo bị trì hoãn) nay đã được tự động hóa hoàn toàn, mang lại sự tin cậy cho cả đội ngũ vận hành lẫn khối doanh nghiệp trong các dữ liệu được sử dụng hằng ngày.
Lợi ích chính
Tiết kiệm thời gian trong hoạt động hàng ngày: Thay vì chờ dữ liệu được thu thập và chia sẻ thủ công, nhân viên có thể dựa vào luồng thông tin ổn định sẵn sàng để phân tích.
An tâm cho đội ngũ bảo mật: Cơ chế truyền một chiều được cưỡng bức bằng phần cứng đảm bảo rằng ngay cả khi mạng doanh nghiệp bị xâm nhập, các hệ thống OT vẫn hoàn toàn không bị ảnh hưởng.
Khả năng hiển thị tốt hơn trên toàn tổ chức: Các nhóm doanh nghiệp có được khả năng hiển thị cần thiết mà không gây gián đoạn hoặc tạo gánh nặng cho nhân viên cơ sở.
Dễ dàng sao chép trên nhiều cơ sở: Với việc triển khai đơn giản, ít bảo trì, tiện ích có thể sao chép cùng một mô hình trên nhiều cơ sở khác bất cứ khi nào cần.
Lần đầu tiên, tổ chức có được khả năng quan sát toàn diện hoạt động theo thời gian thực, đồng thời vẫn đảm bảo rằng các hệ thống trọng yếu nhất được bảo vệ bằng cơ chế cách ly vật lý thực sự.
Xây dựng tương lai vận hành ngành nước
Với việc truyền dữ liệu Historian an toàn hiện đã được triển khai, công ty điện lực có thể mở rộng mô hình này sang các bộ phận khác trong hoạt động của mình. Các cơ sở xử lý, trạm bơm và hệ thống giám sát bổ sung có thể được tích hợp vào mạng doanh nghiệp mà không khiến môi trường OT phải chịu các mối đe dọa bên ngoài.
Việc triển khai này cũng đặt nền tảng cho việc áp dụng các phương pháp phân tích và tuân thủ mới. Các nhóm doanh nghiệp có thể xây dựng dựa trên các luồng dữ liệu đáng tin cậy, theo thời gian thực để cải thiện báo cáo, hỗ trợ bảo trì dự đoán và phản ứng nhanh hơn với các thay đổi vận hành. Đồng thời, các hệ thống OT vẫn được bảo vệ bởi cơ chế cô lập được thực thi bằng phần cứng, bảo vệ các dịch vụ thiết yếu khỏi các loại tấn công mạng đã làm gián đoạn các cơ sở cấp nước và xử lý nước thải trên khắp Hoa Kỳ.
Bằng cách kết hợp khả năng hiển thị theo thời gian thực với bảo mật không thỏa hiệp, đơn vị cấp nước đã xây dựng một cách tiếp cận không chỉ đáp ứng các yêu cầu hiện tại mà còn sẵn sàng cho những nhu cầu trong tương lai trong việc bảo vệ cơ sở hạ tầng trọng yếu.
Tìm hiểu thêm về cách MetaDefender Optical Diode (Fend) có thể bảo vệ cơ sở của bạn trong khi vẫn giữ các hệ thống thiết yếu được cô lập an toàn.
