Có thể nói, một trong những sự cố khét tiếng nhất liên quan đến ICS trong những năm gần đây là cuộc tấn công ransomware Colonial Pipeline vào tháng 5/2021. Mặc dù nhóm đứng sau cuộc tấn công nhắm mục tiêu cụ thể vào các hệ thống công nghệ thông tin (CNTT) của công ty, nhưng các hệ thống công nghệ vận hành (OT) của Colonial đã bị ảnh hưởng lớn trong quá trình này do chúng phụ thuộc vào cơ sở hạ tầng CNTT. Cuộc tấn công mạng này chính là một hồi chuông cảnh báo về những rủi ro bảo mật nguy hiểm liên quan đến sự hội tụ CNTT/OT.
Trên thực tế, bên cạnh việc các ICS có thể bị ảnh hưởng tiêu cực bởi ransomware và các cuộc tấn công mạng khác nhắm vào hệ thống CNTT, chúng cũng có thể là mục tiêu của các phần mềm độc hại.
Ví dụ, tháng 4 vừa qua, Bộ Năng lượng (DOE), Cơ quan An ninh mạng và cơ sở hạ tầng (CISA), Cơ quan An ninh Quốc gia (NSA) và Cục Điều tra Liên bang (FBI) Mỹ đã đưa ra một cảnh báo cố vấn chung về một khung ICS độc hại đầy đủ bao gồm tất cả các khía cạnh của ransomware. Được gọi là PIPEDREAM, khung ICS độc hại này cho thấy tội phạm mạng đang leo thang như thế nào trong khả năng nhắm mục tiêu ICS.
Bất kể ICS có được nhắm mục tiêu ngay từ đầu hay bị ảnh hưởng sau các cuộc tấn công vi phạm hệ thống CNTT, động cơ của tội phạm mạng đều giống nhau - thường là do tài chính hoặc địa chính trị thúc đẩy.
Điều này có nghĩa là bất kỳ công ty nào - bất kể ngành nghề hay quy mô - đều có thể trở thành mục tiêu nếu họ có thứ gì đó thu hút và thúc đẩy các mục tiêu của tội phạm mạng. Ngày nay, các môi trường ICS nhỏ cũng có giá trị đối với kẻ tấn công như các ICS lớn và mọi công ty cần phải cảnh giác.
Tại sao ICS là một mục tiêu hấp dẫn?
Tội phạm mạng luôn muốn đạt được lợi ích tối đa khi thực hiện các cuộc tấn công - và hầu hết các ICS có thể giúp chúng dễ dàng truy cập vào môi trường OT vì các hệ thống OT thường đã được xây dựng cách đây từ nhiều năm, khi an ninh mạng vẫn chưa phải là một ưu tiên đầu tư. Do đó, ICS được coi là mục tiêu lý tưởng của kẻ tấn công.
Một tin tặc tấn công mạng OT, sau đó có thể sẽ di chuyển ngang trong một tổ chức để gây ra những khó khăn trong công việc kinh doanh. Và ngược lại, nếu tội phạm mạng có thể xâm phạm hệ thống CNTT, chúng cũng có thể dễ dàng xâm nhập vào các mạng OT nếu hệ thống không được thiết kế và triển khai bảo mật đúng cách.
Đặc biệt, ngày nay khi nhiều thiết bị Internet vạn vật công nghiệp (IIoT) được kết nối với đám mây đã mở rộng đáng kể bề mặt tấn công của các tổ chức. Điều này có nghĩa là các tổ chức, doanh nghiệp đang chiến đấu với các ICS không an toàn, sự gia tăng các điểm vào mạng và sự gia tăng đáng kể các cuộc tấn công ICS.
Ngăn chặn các cuộc tấn công vào ICS
Bất chấp những rủi ro ngày càng tăng liên quan đến sự hội tụ CNTT/OT và sự gia tăng của các cuộc tấn công ICS, theo Security Magazine, các tổ chức có thể thực hiện các bước cơ bản sau để củng cố thế trận an ninh mạng và nâng cao khả năng phục hồi không gian mạng tổng thể của tổ chức mình.
Tận dụng các khuôn khổ bảo mật ICS hiện có: Có nhiều tiêu chuẩn quy định được công nhận mà các công ty phải tuân theo để thiết kế môi trường ICS an toàn, bảo mật và đáng tin cậy với các khuôn khổ chung và các khuôn khổ theo ngành cụ thể. Do đó, các tổ chức nên tận dụng tối đa các khuôn khổ bảo mật hiện có đó.
Tăng cường chính sách mật khẩu: Về chính sách bảo mật, các tổ chứcphải yêu cầu độ dài tối thiểu là 12 ký tự cũng như sử dụng các ký tự chữ cái, số và ký tự đặc biệt.
Sử dụng xác thực đa yếu tố (MFA): MFA nên được sử dụng cho tất cả các cổng xác thực bên ngoài và các dịch vụ nhạy cảm nội bộ. Công nghệ này đóng vai trò là lớp bảo vệ thứ hai, vì vậy, tài khoản vẫn sẽ được bảo vệ ngay cả khi mật khẩu đã bị lộ.
Đảm bảo giám sát mạng liên tục: Các tổ chức nên thực hiện các bước kiểm tra cơ bản để thiết lập hành vi môi trường "bình thường", và thực hiện giám sát mạng liên tục nhằm phát hiện hành vi bất thường.
Phân chia các khu vực phù hợp để giữ OT và CNTT được tách biệt: Điều này sẽ đảm bảo thiệt hại gây ra trong một cuộc tấn công sẽ được ngăn chặn trong "khu vực" đã bị xâm phạm.
Sử dụng tình báo về các mối đe dọa: Thông tin về mối đe dọa sẽ giúp tổ chức cập nhật thông tin về các phương pháp tấn công mới nhất nhắm mục tiêu vào các ICS và cách tốt nhất để phòng thủ chống lại chúng.
Luôn đảm bảm những điều cơ bản về bảo mật: Điều này bao gồm việc cập nhật chương trình cơ sở ICS, sử dụng các giao thức ICS tập trung vào bảo mật và đảm bảo các quy trình quản lý bản vá.
Xây dựng và thực hành kế hoạch ứng phó sự cố (IR): Xây dựng kế hoạch IR phù hợp và đảm bảo rằng tất cả các nhân viên và hệ thống bị ảnh hưởng đều được đào tạo và đánh giá thường xuyên về kế hoạch đó.
Đào tạo nâng cao nhận thức của nhân viên liên tục: Nhân viên, từ nhóm điều hành đến nhân viên mới, cần được đào tạo liên tục để có thể nhận biết được tất cả các loại tấn công độc hại và có những phương pháp hay nhất để đối phó, nếu tổ chức bị nhắm mục tiêu.
Các cuộc tấn công ICS ngày càng có xu hướng ra tăng. Ngoài các tác động ảnh hưởng trực tiếp đến vấn đề kinh doanh (ví dụ: tổn thất tài chính, thời gian ngừng hoạt động, danh tiếng bị tổn hại,...), các cuộc tấn công này còn có thể gây ra những hậu quả nghiêm trọng, chẳng hạn như tổn hại về thể chất đối với con người. Trên thực tế, Gartner dự đoán rằng "vào năm 2025, những kẻ tấn công mạng sẽ có các môi trường công nghệ hoạt động được vũ khí hóa để gây hại đến con người".
Đã đến lúc các tổ chức cần phải ưu tiên nhiều hơn cho bảo mật các hệ thống ICS bằng một chiến lược an ninh mạng vững chắc. Với các bước từ cơ bản cho đến nâng cao như trên sẽ giúp các tổ chức xây dựng được khả năng phục hồi trên không gian mạng, giữ cho ICS và nhân viên được an toàn trước các mối đe dọa ngày càng gia tăng./.