Bộ Thông tin và Truyền thông MINISTRY OF INFORMATION AND COMMUNICATIONS

Nâng cao hệ thống phòng thủ an ninh mạng cho ngành năng lượng

Ngành năng lượng đang phải đối mặt với các cuộc tấn công mạng ngày càng tăng với những tác động có thể gây ra tình trạng gián đoạn nguồn cung cấp năng lượng, làm tê liệt nền kinh tế và thậm chí gây mất ổn định an ninh quốc gia. Trong bối cảnh đó, đòi hỏi cần phải có những giải pháp nhằm cải thiện và giảm thiểu rủi ro trong toàn ngành.

Thực trạng an ninh mạng trong ngành năng lượng

Ngành năng lượng cung cấp các dịch vụ thiết yếu cho một quốc gia với các cơ sở hạ tầng quan trọng, lĩnh vực này đang là mục tiêu hàng đầu của tội phạm mạng.

Theo Chỉ số Tình báo về mối đe dọa an ninh mạng X-Force 2022 của IBM, lĩnh vực năng lượng được xếp hạng là lĩnh vực bị ảnh hưởng nặng thứ tư vào năm 2021, với 8,2% tổng số các cuộc tấn công được quan sát, đứng sau các lĩnh vực sản xuất, tài chính và dịch vụ chuyên nghiệp.

Năm 2021, ransomware là loại tấn công phổ biến nhất nhằm vào các tổ chức năng lượng chiếm 25% cuộc tấn công. Trong đó, các công ty dầu khí là những công ty đặc biệt bị ảnh hưởng bởi hình thức tấn công này. Phần mềm độc hại truy cập từ xa (RAT), DDoS và Business Email Compromise (BEC) theo sau với 17% các cuộc tấn công.

Vụ tấn công vào ngành năng lượng nổi bật nhất năm 2021 phải kể đến là vụ tấn công mạng bằng mã độc tống tiền (ransomware) nhằm vào Công ty Colonial Pipeline - công ty quản lý, vận hành hệ thống ống dẫn nhiên liệu lớn nhất nước Mỹ đã làm tê liệt hoạt động của công ty và khiến cho hệ thống cung cấp nhiên liệu trên toàn nước Mỹ bị ảnh hưởng nghiêm trọng.

Việc đóng cửa hệ thống ống dẫn nhiên liệu đã gây ra những thiệt hại vô cùng lớn cho quốc gia này và vụ việc cũng được xem là một trong những cuộc tấn công mạng nghiêm trọng và gây ra nhiều thiệt hại nhất trong lịch sử nhắm vào các cơ sở hạ tầng quan trọng của Mỹ.

Theo một báo cáo nghiên cứu thực trạng an ninh mạng trong lĩnh vực năng lượng của DNV, công ty hàng đầu thế giới về cung cấp dịch vụ quản lý rủi ro và đảm bảo chất lượng, cho thấy hơn 4/5 số chuyên gia làm việc trong lĩnh vực năng lượng, năng lượng tái tạo và dầu khí tin rằng một cuộc tấn công mạng vào ngành có khả năng gây ra ngừng hoạt động (85%) và gây thiệt hại cho các tài sản năng lượng và cơ sở hạ tầng quan trọng (84%).

6/10 người cấp C-suite trả lời khảo sát đã thừa nhận rằng tổ chức của họ hiện đang dễ bị tấn công hơn bao giờ hết. Tuy nhiên, có những dấu hiệu cho thấy một số công ty đang áp dụng cách tiếp cận "chờ đợi, xem xét và hy vọng vào cách tiếp cận tốt nhất" để giải quyết các mối đe dọa.

Trong khi đó, 44% số người cấp C-suite được hỏi cho rằng tổ chức họ cần phải thực hiện những giải pháp khẩn cấp trong vài năm tới để ngăn chặn một cuộc tấn công nghiêm trọng; hơn 35% các chuyên gia năng lượng nhận định công ty của họ sẽ bị ảnh hưởng bởi một sự cố nghiêm trọng trước khi họ thật sự đầu tư vào hệ thống phòng thủ.

Đưa ra lý do cho sự chần chừ của một số tổ chức, doanh nghiệp (DN) trong việc đầu tư vào an ninh mạng, báo cáo cho biết có thể là do hầu hết những người được hỏi đều tin rằng tổ chức của họ cho đến nay đã tránh được một cuộc tấn công mạng lớn nên việc tập trung đầu tư là chưa cần thiết.

Tuy nhiên, trong khi các cuộc tấn công mạng thường được nhắm mục tiêu vì lợi nhuận và gián điệp, ngành công nghiệp năng lượng còn phải đối phó với tình trạng tấn công với các mục tiêu chính trị. Một số kẻ tấn công có thể gây ra mối đe dọa nguy hiểm bằng cách tấn công vào các cơ sở hạ tầng quan trọng của các quốc gia.

Đặc biệt, trong một thế giới đang ngày càng kết nối và phụ thuộc lẫn nhau, bất kỳ sự gián đoạn nào, thậm chí ban đầu chỉ giới hạn ở một thực thể hoặc khu vực địa lý, đều có thể tạo ra các hiệu ứng và tác động ngày càng lớn và ngày càng nguy hiểm. Thực trạng này gióng lên một hồi chuông cảnh báo về vấn đề bảo mật, an toàn, an ninh mạng trong các tổ chức, DN nói riêng và trong ngành năng lượng nói chung.

Một số giải pháp nhằm nâng cao và đảm bảo an ninh mạng trong ngành năng lượng

Các mối đe dọa mạng và các hình thức tấn công liên tục phát triển ngày càng tinh vi, do đó, các sáng kiến và mô hình an ninh mạng của một công ty, tổ chức cũng cần phải luôn luôn cải tiến và phát triển theo.

Chia sẻ về chiến lược an ninh mạng cho ngành năng lượng, ông Mike Kosonog, nhà lãnh đạo về Dịch vụ rủi ro mạng trong ngành năng lượng, tài nguyên & công nghiệp của Dịch vụ Tư vấn Tài chính & Rủi ro Deloitte cho biết: "Việc lập kế hoạch giám sát, phát hiện và ứng phó với các sự cố mạng cần được thực hiện liên tục và được tích hợp vào môi trường hoạt động và hệ thống CNTT của DN. Đặc biệt, ứng dụng mô hình bảo mật zero-trust là một sự thay đổi tư duy mà các tổ chức cần xem xét triển khai, không bao giờ tin tưởng và luôn xác minh cả nội bộ lẫn bên ngoài tổ chức".

Ngoài ra, các DN cũng cần chú ý đến sự trưởng thành trên không gian mạng của các công nghệ, quy trình và sản phẩm mới; đồng thời xem xét kỹ các rủi ro trong hệ sinh thái và nâng cao nhận thức về bảo mật trong toàn tổ chức.

Tội phạm mạng liên tục đổi mới cách chúng tấn công mục tiêu và tấn công các bên thứ ba thường xuyên hơn như một con đường dẫn đến mục tiêu cuối cùng của chúng.

Hầu hết các tổ chức, DN ngày nay hoạt động dựa vào phần mềm của bên thứ ba cung cấp và hợp tác với nhiều đối tác khác nhau để thực hiện và duy trì các hoạt động hàng ngày. Đó là lý do tại sao các cuộc tấn công chuỗi cung ứng ngày càng phổ biến hiện nay.

Tấn công chuỗi cung ứng còn được gọi là tấn công của bên thứ ba hoặc chuỗi giá trị. Những kẻ tấn công chuỗi cung ứng tập trung vào việc xâm nhập vào hệ thống mạng của DN thông qua đối tác hoặc nhà cung cấp bên thứ ba có quyền truy cập vào hệ thống mạng của bạn.

Trong một chuỗi cung ứng giá trị, các công ty năng lượng là nhà cung cấp cho rất nhiều khách hàng và cũng là khách hàng của rất nhiều nhà cung cấp dịch vụ. Do đó, để đảm bảo hoạt động an toàn, tất cả các bên trong chuỗi cung ứng đều phải nhận thức được vấn đề bảo mật là ưu tiên hàng đầu.

Để thực hiện một cách tiếp cận được thông báo về rủi ro, các công ty nên xây dựng "các nguyên tắc bảo mật của bên thứ ba" nhằm đảm bảo rằng bảo mật và quyền riêng tư được gắn với quá trình mua sắm và vòng đời của nhà cung cấp. Theo đó, các nguyên tắc này có thể bao gồm:

- An ninh mạng như một tiêu chí của quá trình lựa chọn nhà cung cấp, được thực hiện thông qua các nền tảng đánh giá chia sẻ, nền tảng tính điểm,…

- Sau khi bắt đầu hợp tác với bên thứ ba, trong thời gian hợp đồng và khi gia hạn hợp đồng, DN nên thực hiện các đánh giá liên tục về thực trạng an toàn thông tin mạng của nhà cung cấp thông qua các nền tảng chấm điểm - và, nếu cần hãy cập nhật các yêu cầu trong hợp đồng.

- Sử dụng phương pháp tiếp cận dựa trên rủi ro trong việc đánh giá các bên thứ ba để đảm bảo có thể đánh giá chính xác rủi ro và yêu cầu một bộ kiểm soát thích hợp dựa trên mức độ rủi ro này.

- Chính sách mã nguồn và cách tiếp cận phát triển an toàn theo thiết kế cần đảm bảo tính bảo mật, chất lượng và sự tin tưởng vào các sản phẩm và hệ thống.

Theo Diễn đàn kinh tế thế giới (WEF), sự kết hợp chặt chẽ giữa các biện pháp mềm, như đào tạo và nâng cao nhận thức, và các biện pháp kiểm soát cứng, kỹ thuật, sẽ đảm bảo rằng các đối tượng trong chuỗi cung ứng và các thiết bị của họ sẽ không trở thành vật trung gian của sự cố hoặc của một cuộc tấn công mạng và tất cả các sự cố an toàn thông tin mạng đều được phát hiện, báo cáo theo các tiêu chuẩn, chính sách và quy trình nghiêm ngặt. Sáng kiến này nên được chính thức hóa trong các văn bản hợp đồng và cam kết công khai.

Bên cạnh đó, khách hàng cũng có những kỳ vọng riêng của họ về vấn đề an toàn, an ninh mạng. Họ cũng mong muốn được thông báo về cách thức mà tổ chức, DN họ đang giao dịch quản lý vấn đề này. Do đó, những thắc mắc này phải cần được giải quyết kịp thời, thống nhất và chuyên nghiệp trên khắp các khu vực và hoạt động kinh doanh của một công ty.

Ngoài ra, các DN cũng cần phải theo dõi các lỗ hổng bảo mật trên các sản phẩm của họ trong suốt vòng đời của chúng và tuân thủ các tiêu chuẩn và quy định mới nhất để đảm bảo mức độ bảo mật phù hợp. Để làm được như vậy, việc xây dựng một quy trình xử lý lỗ hổng dựa trên sự tuân thủ, các rủi ro kinh doanh để ưu tiên và khắc phục các lỗ hổng bảo mật một cách kịp thời là rất quan trọng.

Đặc biệt, việc lập kế hoạch về khả năng phục hồi là rất cần thiết. Điều này có nghĩa là DN hiểu cách khôi phục và khôi phục hoạt động kịp thời khi có sự cố mạng xảy ra. Theo đó, DN cần tổ chức các buổi tập huấn về các kiến thức, kỹ năng an ninh mạng, thực hiện các buổi diễn tập ứng phó nhằm nâng cao khả năng phòng thủ và năng lực an ninh mạng của toàn tổ chức để có thể phản ứng và phục hồi kịp thời trong những trường hợp khẩn cấp.

Trong một môi trường không chắc chắn, bối cảnh đe dọa mạng ngày càng năng động, tinh vi và lĩnh vực năng lượng đang là đối tượng mục tiêu của tội phạm mạng, việc xây dựng chiến lược phòng thủ về an ninh mạng là điều bắt buộc đối với các tổ chức, DN. Tuy nhiên, bên cạnh đó, việc hợp tác giữa khu vực công - tư cũng vô cùng quan trọng, là một cách hiệu quả để cùng chia sẻ thông tin tình báo nhằm giảm thiểu rủi ro và đạt được khả năng phục hồi cao hơn./.