Ngăn chặn những lo ngại về an ninh mạng trong hiện đại hóa hạ tầng dịch vụ công cộng
An toàn thông tin - Ngày đăng : 06:08, 20/02/2023
Ngăn chặn những lo ngại về an ninh mạng trong hiện đại hóa hạ tầng dịch vụ công cộng
42% người tiêu dùng lo lắng về việc ngành dịch vụ công cộng có quyền truy cập vào dữ liệu sử dụng nước và năng lượng để cá nhân hóa trải nghiệm khách hàng.
Hạ tầng dịch vụ công cộng đang rất cần được hiện đại hóa. Ở nhiều nơi trên thế giới, cơ sở hạ tầng cung cấp điện và nước cho người tiêu dùng chưa sẵn sàng để chống chọi với thiên tai và nhu cầu năng lượng ngày càng tăng. Theo báo cáo tài nguyên (Resourcefulness Report) năm 2022 của Itron, tích hợp phân tích dữ liệu thời gian thực vào tiến trình ra quyết định là một cách để bắt đầu các nỗ lực hiện đại hóa. Tuy nhiên, gần 1/5 hạ tầng dịch vụ công cộng không sử dụng các công cụ sẵn có do lo ngại về bảo mật và quyền riêng tư.
Mặc dù có nhiều vấn đề liên quan đến bảo mật cần cân nhắc, nhưng việc từ bỏ triển khai các công cụ phân tích dữ liệu không phải là giải pháp lâu dài và hữu hiệu cho các dịch vụ này. Để đáp ứng nhu cầu của khách hàng cũng như nhu cầu về bảo mật và quyền riêng tư, các công ty dịch vụ hạ tầng công cộng cần theo đuổi một chương trình bảo mật toàn diện, bao gồm cả hệ thống công nghệ vận hành (OT), hệ thống lưu trữ và dịch vụ dữ liệu khách hàng.
Các hạ tầng dịch vụ công cộng phải đối mặt với sự phức tạp
An ninh mạng là ưu tiên ở tất cả các ngành và các nước, nhưng có một số yếu tố làm tăng thêm sự phức tạp của hạ tầng các dịch vụ công cộng. Cùng với sự dai dẳng của các cuộc tấn công, là ngành được quản lý thì các dịch vụ công cộng phải phải có các nhiệm vụ báo cáo và tuân thủ mới như Đạo luật báo cáo sự cố mạng cho cơ sở hạ tầng quan trọng năm 2022 (CIRCIA). Những cân nhắc bảo mật khác bao gồm OT trở nên lỗi thời có thể gây khó khăn cho việc cập nhật và bảo vệ, thiếu kiểm soát đối với những công nghệ và thiết bị IoT của bên thứ ba như các thiết bị nhà thông minh, tấm pin mặt trời và mối đe dọa lớn nhất là lỗi của con người.
Những yếu tố rủi ro này gây thêm áp lực cho các dịch vụ công cộng, vì một cuộc tấn công thành công có thể gây ra hậu quả nghiêm trọng, thậm chí là chết người. Ví dụ như trường hợp một tin tặc cố gắng đầu độc (rất may là không thành công) nguồn cung cấp nước ở Oldsmar, Florida (Mỹ).
Ngành dịch vụ công cộng có rất nhiều vấn đề phải giải quyết. Tuy nhiên, theo báo cáo Resourcefulness 2022 của Itron thì người tiêu dùng cũng không quá lo lắng về quyền riêng tư của dữ liệu được thu thập bởi các dịch vụ công cộng. Nhưng 81% những người điều hành ngành dịch vụ công cộng lại rất quan tâm đến việc đảm bảo quyền riêng tư của dữ liệu khách hàng. 42% người tiêu dùng lo lắng về ngành dịch vụ công cộng có quyền truy cập vào dữ liệu sử dụng nước và năng lượng để cá nhân hóa trải nghiệm khách hàng. Trên thực tế, nhiều người tiêu dùng muốn tiếp cận nhiều hơn với những thông tin chuyên sâu này để họ có thể giảm mức sử dụng năng lượng và tiết kiệm tiền.
Báo cáo chỉ ra rằng ý kiến của người tiêu dùng nghiêng về phía phân tích dữ liệu. Do vậy, để đáp ứng nhu cầu khách hàng, các tiện ích cần giải quyết các mối lo ngại về bảo mật OT làm chậm quá trình triển khai các công cụ phân tích dữ liệu. Các công ty cung cấp dịch vụ công cộng có thể thực hiện các bước sau để giảm thiểu những lo ngại này và bảo vệ quyền riêng tư của người tiêu dùng.
Ba bước để bảo vệ dữ liệu
Có ba bước chính mà ngành dịch vụ công cộng có thể thực hiện để bảo vệ lượng dữ liệu khổng lồ được thu thập nhằm biến việc phân tích dữ liệu theo thời gian thực thành hiện thực. Với cách tiếp cận toàn diện bao gồm cả các hệ thống OT, hệ thống lưu trữ và hệ thống dữ liệu phục vụ khách hàng, các nhà khai thác dịch vụ công cộng có thể tự tin hơn khi hiện đại hóa công nghệ.
1) Bảo vệ CNTT và OT bằng cách xây dựng các DMZ mạnh mẽ mạnh mẽ
Các DMZ (Demilitarized Zone - một vùng nằm giữa LAN (Local Area Network) và internet) cung cấp khả năng phân đoạn mạng mạnh mẽ và đối với các tiện ích là rào cản giữa môi trường CNTT và OT. Điều này hữu ích hơn trong việc ngăn chặn tin tặc sử dụng các phương pháp tấn công truyền thống để xâm nhập vào mạng CNTT của các công ty cung cấp dịch vụ công cộng.
Ngoài việc tách biệt các hệ thống CNTT và OT, các công ty cũng nên cố gắng đạt được sự đơn giản tối đa trong mạng của họ. Hệ thống càng phức tạp thì càng có nhiều lỗ hổng. Mà các tác nhân độc hại lại là những chuyên gia trong việc phát hiện và khai thác những lỗ hổng này.
Tuy nhiên, giống như bất kỳ chiến lược nào, không có gì là hoàn hảo, các dịch vụ công cộng nên có một bản sao lưu tại chỗ để vừa phát hiện vừa ngăn chặn sự xâm nhập và giảm thời gian chết trong trường hợp bị tấn công.
2) Giải quyết yếu tố con người
Mặc dù các biện pháp phòng ngừa nâng cao đối với những hệ thống và mạng doanh nghiệp là rất quan trọng, nhưng rủi ro lớn nhất đối với an ninh mạng sẽ luôn là lỗi của con người. Phòng thủ tiêu chuẩn, xác thực đa yếu tố, kiểm soát truy cập dựa trên vai trò, quy trình kiểm tra nội bộ, bộ lọc thư rác, ngăn chặn macro Microsoft Office, phát hiện và phản hồi điểm cuối, giải pháp ngăn ngừa mất dữ liệu… là một chặng đường dài giúp nhân viên dễ dàng hơn trong việc đưa ra quyết định đúng đắn và khó khăn hơn cho những kẻ xấu.
Theo báo cáo chi phí vi phạm hàng năm năm 2022 (2022 Cost of a Data Breach Report) của IBM, “phần mềm tống tiền và các cuộc tấn công phá hoại là nguyên nhân của hơn 1/4 các vụ vi phạm trong những ngành cơ sở hạ tầng quan trọng”. Với mối đe dọa này, bạn cũng nên thiết lập chương trình đào tạo nâng cao nhận thức về bảo mật trong toàn công ty để đảm bảo ý thức trong văn hóa bảo mật. Người dùng cuối nên biết về tất cả các mối đe dọa có thể xảy ra, bao gồm cả những mối đe dọa trong thiết bị gia đình.
3) Tạo lớp phòng thủ bổ sung cho những tài sản có giá trị
Bắt đầu với việc thiết lập kiến trúc zero-trust, hoạt động theo giả định rằng không có người dùng bên trong hoặc bên ngoài nào có thể tin cậy được. Tiếp theo, áp dụng các giao thức để xác minh thiết bị, ứng dụng và người dùng nào có thể truy cập mạng và hệ thống. Khi đưa bất kỳ dịch vụ nào lên Internet, hãy tận dụng các phương pháp hữu dụng nhất trong ngành bằng cách chọn những công nghệ đã được kiểm chứng và xác minh độc lập.
Các công ty dịch vụ công cộng cần xác định những gì có nguy cơ bị tin tặc nhắm đến nhiều nhất cũng như những tài sản có giá trị mà dễ bị xâm nhập nhất để thêm các cấp độ bảo vệ như mã hóa hoặc xác thực đa yếu tố. Ngoài ra, cần kết hợp những biện pháp phòng ngừa này với các phương pháp hiệu quả khác như giám sát toàn diện và kế hoạch cho chiến lược ứng phó sự cố.
Thay đổi là khó khăn, nhưng không thể không thay đổi
Ngành công nghiệp tiện ích phải đối mặt với một số sự gián đoạn còn tệ hơn cả sự gián đoạn của các cuộc tấn công mạng và những lo ngại về quyền riêng tư đã chuyển hướng sự chú ý của các nhà điều hành theo nhiều hướng khác nhau. Điều này bao gồm tích hợp năng lượng tái tạo, hỗ trợ xe điện và chuẩn bị cho các sự kiện thời tiết khắc nghiệt. Tất cả đòi hỏi phải xử lý song song với các tác động bất lợi của cơ sở hạ tầng và lưới điện cũ kỹ.
Tuy nhiên, điều quan trọng là cần có sự hỗ trợ của chính phủ cho các tiện ích tập trung vào tăng cường phòng thủ mạng. Ví dụ: Đạo luật việc làm và đầu tư cơ sở hạ tầng (Infrastructure Investment and Jobs Act - IIJA) có những khoản tài trợ lớn cho an ninh mạng là một sự hỗ trợ lớn cho các công ty dịch vụ hạ tầng của Hoa Kỳ.
Phân tích dữ liệu đã được chứng minh là một điểm tựa hữu hiệu cho các tiện ích trong hành trình hướng tới hiện đại hóa. Tuy nhiên, khi các mối lo ngại về an ninh mạng được giải quyết và các tiện ích nắm bắt được sức mạnh của phân tích dữ liệu thời gian thực thì cơ sở hạ tầng quan trọng sẽ trở nên đáng tin cậy và linh hoạt hơn./.