Vận chuyển Secure : Thiết bị Data Diodes trong ngành vận tải

Ngành vận tải thường được coi là xương sống của nền kinh tế toàn cầu, đóng góp hơn 12% vào GDP (Tổng sản phẩm quốc nội) toàn cầu. Các lĩnh vực logistics toàn cầu, hàng không, hàng hải, du lịch và giải trí kết hợp lại tạo thành một ngành công nghiệp trị giá 50 nghìn tỷ đô la mỗi năm. Mọi lĩnh vực trong ngành vận tải đều phụ thuộc rất nhiều vào công nghệ thông tin và công nghệ vận hành, những lĩnh vực ngày càng phải đối mặt với các cuộc tấn công mạng. Tường lửa đơn thuần không thể cung cấp mức độ bảo vệ cần thiết để bảo vệ ngành công nghiệp quan trọng này.

Trong toàn ngành, các hệ thống điều khiển phức tạp được sử dụng để điều hướng và vận hành hệ thống động lực, quản lý hàng hóa, cũng như đảm bảo an toàn cho hành khách. Các hệ thống này cần phải kết nối với các hệ thống giám sát trung tâm. Việc tuân thủ các nguyên tắc tốt nhất về an ninh mạng là vô cùng quan trọng, trong đó bao gồm việc phân vùng mạng một cách hợp lý để bảo vệ khỏi các mối đe dọa.

Các thiết bị Data Diodes đang ngày càng được chấp nhận rộng rãi trong ngành giao thông vận tải và chủ yếu được sử dụng như một lớp bảo mật mạng được thực thi bằng phần cứng, nhằm bảo vệ các môi trường OT quan trọng khỏi các mối đe dọa mạng từ bên ngoài, đồng thời hỗ trợ việc giám sát và phân tích dữ liệu theo thời gian thực. Khác với tường lửa phần mềm, các thiết bị Data Diodes hạn chế vật lý luồng dữ liệu theo một hướng duy nhất, thường là từ các mạng vận hành có mức độ bảo mật cao sang các môi trường doanh nghiệp hoặc đám mây có mức độ bảo mật thấp hơn. 

Việc phân đoạn mạng được thực thi ở cấp độ phần cứng và không thể bị vô hiệu hóa, từ đó tạo ra một giải pháp bảo mật mạng theo mô hình Zero-Trust.

Khoảng cách không khí bắt buộc: Chúng đảm bảo tính bảo mật của khoảng cách không khí đồng thời vẫn cho phép truyền tải thông tin cần thiết cho công tác bảo trì dự đoán và phân tích dữ liệu hiện đại.

Bảo vệ hệ thống cũ: Ngành giao thông vận tải thường sử dụng các hệ thống cũ không thể dễ dàng cập nhật bản vá. Việc cách ly các hệ thống này bằng một thiết bị diode dữ liệu sẽ bảo vệ các tài sản này bằng cách chặn vật lý toàn bộ lưu lượng truy cập đến.

Tuân thủ quy định: Việc sử dụng bộ chuyển đổi dữ liệu không chỉ đáp ứng mà trong nhiều trường hợp còn vượt qua các yêu cầu bắt buộc về an ninh mạng, chẳng hạn như các quy định do TSA ban hành, yêu cầu phải phân đoạn mạng và giám sát chặt chẽ.

Tính toàn vẹn dữ liệu: Do các bộ lọc dữ liệu (data diodes) ngăn chặn vật lý các mối đe dọa từ bên ngoài, nên các hệ thống ghi dữ liệu thời gian thực và dữ liệu lịch sử được bảo vệ. Các hệ thống quan trọng cần thiết để duy trì hoạt động hoặc thực hiện phân tích được bảo đảm an toàn.

Ngày càng có nhiều ngành trong lĩnh vực Giao thông vận tải áp dụng các bộ chuyển đổi dữ liệu (data diodes) để truyền tải dữ liệu một cách an toàn nhờ vào cơ chế bảo mật được tích hợp sẵn trong phần cứng của các bộ chuyển đổi này.

• Hoạt động hàng hải: Các thiết bị truyền dữ liệu (data diodes) được sử dụng trên tàu để truyền dữ liệu thời gian thực từ phòng máy và các hệ thống khác đến các trung tâm điều hành trên bờ. Điều này giúp các công ty vận tải biển lập kế hoạch bảo trì và theo dõi mức tiêu thụ nhiên liệu mà không làm lộ các hệ thống điều khiển và định vị của tàu trước các cuộc tấn công từ xa tiềm ẩn thông qua hệ thống liên lạc vệ tinh hai chiều.

• Cơ sở hạ tầng đường sắt: Các công ty đường sắt quốc gia triển khai các thiết bị diode dữ liệu để tách biệt các mạng giám sát và tổng hợp dữ liệu đường sắt. Các thiết bị diode này hỗ trợ việc truyền tải an toàn, một chiều dữ liệu từ các cảm biến an toàn và các chỉ số hiệu suất đến các trung tâm giám sát từ xa, đảm bảo rằng các hệ thống tín hiệu và khóa liên động quan trọng đối với an toàn vẫn không thể bị xâm nhập bởi các mối đe dọa từ bên ngoài.

• Hàng không và sân bay: Các sân bay sử dụng đi-ốt để bảo mật mạng lưới truyền thông và bảo vệ dữ liệu vận hành nhạy cảm. Chúng cho phép truyền tải dữ liệu về tình trạng chuyến bay và cơ sở vật chất đồng thời duy trì sự cách ly của các mạng điều khiển khu vực sân bay. Đi-ốt cũng được sử dụng để bảo mật các hệ thống nhạy cảm của TSA nhằm đảm bảo các hệ thống này không bị xâm nhập.

• Quản lý đội xe thương mại: Trong lĩnh vực vận tải đường bộ hạng nặng, các điốt dữ liệu giúp bảo vệ mạng lưới trên xe khỏi các lỗ hổng bảo mật có trong các thiết bị ghi chép điện tử (ELD) bắt buộc phải lắp đặt. Bằng cách lắp đặt một điốt giữa bus CAN (Mạng khu vực điều khiển) của xe và thiết bị ELD, các nhà khai thác đảm bảo rằng dữ liệu vẫn có thể được đọc để tuân thủ quy định, nhưng không có lệnh độc hại nào có thể được gửi ngược lại đến động cơ hoặc hệ thống phanh của xe tải.

• Hệ sinh thái xe điện: Các tổ chức như NIST khuyến nghị áp dụng phân đoạn mạng đối với hạ tầng sạc nhanh cho xe điện (EV). Các thiết bị Data Diodes giúp tách biệt mạng OT (Mạng vận hành) – chịu trách nhiệm về quá trình sạc và kiểm soát truy cập – khỏi mạng IT (Mạng công nghệ thông tin) – xử lý thanh toán và kết nối công cộng, từ đó ngăn chặn tin tặc lợi dụng các trạm sạc làm cửa ngõ xâm nhập vào các mạng điện lực hoặc mạng xe hơi rộng lớn hơn. 

Các yêu cầu quy định đối với bộ chuyển mạch dữ liệu trong ngành giao thông vận tải đang ngày càng chuyển từ “thực tiễn tốt nhất” sang “yêu cầu bắt buộc”, khi những lợi ích về mặt vận hành của bộ chuyển mạch dữ liệu được coi là cách duy nhất thực tế để đảm bảo an ninh.

1. Các chỉ thị an ninh của TSA (đường sắt và hàng không) 
   Cơ quan An ninh Vận tải (TSA) đã ban hành một số chỉ thị khẩn cấp yêu cầu các đơn vị vận tải quan trọng phải tăng cường bảo mật mạng của mình.
   1. Đường sắt chở hàng và chở khách: Các Chỉ thị An ninh TSA số 1582-21-01 và 1580/82-2022-01 yêu cầu phải phân tách mạng giữahệ thống CNTT và hệ thống vận hành (OT).
   2. Yêu cầu: Các nhà điều hành phải ngăn chặn việc truy cập vào các hệ thống OT thông qua hệ thống CNTT, trừ khi đã được bảo vệ bằng các biện pháp như bộ lọc dữ liệu (data diodes) để đảm bảo tính toàn vẹn và ngăn chặn sự xâm nhập.
   3. Hàng không:Các yêu cầu của TSA đối với sân bay và các hãng hàng không phù hợp vớicác thực tiễn tốt nhất của NIST và CISA, vốn ưu tiên sử dụng các bộ chuyển đổi dữ liệu được bảo đảm bằng phần cứng để phân đoạn các hệ thống quan trọng đối với hoạt động bay. 
      CPG của CISA (Mục tiêu Hiệu suất An ninh Mạng)
      CISA (Cơ quan An ninh Mạng và Cơ sở hạ tầng)cung cấp các CPG liên ngànhlàm cơ sở cho cơ sở hạ tầng trọng yếu, bao gồm cả giao thông vận tải. 
2. Dòng dữ liệu một chiều:CISA khuyến nghị rõ ràng việc sử dụngcác điốt truyền thông một chiều đểngăn chặn sự xâm nhập từ bên ngoài vào Hệ thốngIndustrial (ICS), đồng thời cho phép dòng dữ liệu vận hành đi ra ngoài đến các bản sao kỹ thuật số hoặc hệ thống lưu trữ dữ liệu.
3. Tiêu chuẩn NIST (Sạc xe điện và Công nghệ vận hành chung)
   1. Cơ sở hạ tầng xe điện: NIST IR 8473 thiết lậpmột khung an ninh mạng cho hệ sinh thái xe điện (EV) và sạc siêu nhanh (XFC). Tài liệu này xác định việc phân đoạn mạng bằng cách sử dụng các bộ lọc dữ liệu là một phương pháp được khuyến nghị để cách ly thiết bị sạc khỏi mạng doanh nghiệp.
   2. OT Security:Tiêu chuẩnNIST SP 800-82 Phiên bản 3 định nghĩacác cổngmột chiều(data diodes) là thành phần cốt lõi của chiến lược "phòng thủ đa tầng" dành cho các môi trường OT có rủi ro cao.
4. Chỉ thị NIS2 của Liên minh Châu Âu 
   Mặc dù không quy định cụ thể về phần cứng, nhưng Chỉ thị NIS2 yêu cầu các lĩnh vực giao thông “cực kỳ quan trọng” (hàng không, hàng hải, đường sắt, đường bộ) phải triển khai các biện pháp kiểm soát truy cập nghiêm ngặt và quản lý rủi ro. 
   1. Các nhà mạng châu Âu thường sử dụng điốt dữ liệu để đáp ứng các yêu cầu của NIS2 vềviệc bảo mật các kênh trao đổi dữ liệu thời gian thực vàphòng ngừa các lỗ hổng trong chuỗi cung ứng.