(TNO) Việc Mỹ trở thành mục tiêu của cuộc tấn công mạng chỉ còn là vấn đề thời gian sau khi phát động cuộc chiến tranh mạng chống Iran bằng virus Stuxnet.
Khi nhậm chức tổng thống Mỹ, ông Barack Obama đã có hứng thú với vấn đề chiến tranh mạng, song trong quá trình tranh cử trước đó, ông chỉ đề cập đến mối đe dọa với quyền bí mật đời tư và nguy cơ với những cơ sở hạ tầng như hệ thống điện và kiểm soát không lưu. Ông đã yêu cầu thực hiện một cuộc nghiên cứu lớn về cách tăng cường sự phòng thủ của nước Mỹ.
Ông Obama cũng nghiên cứu về nghệ thuật chiến tranh mạng. Các kỹ sư của Olympic Games thường gặp ông tại phòng Tình huống, mang theo một biểu đồ khổng lồ về các cơ sở sản xuất hạt nhân Iran. Ông Obama đã cho phép tiến hành các cuộc tấn công và cứ cách vài tuần, ông lại được cập nhật tin tức và phê chuẩn các bước tiếp theo.
“Từ những ngày đầu tiên nhậm chức, ông đã can dự sâu vào mọi hoạt động nhằm trì hoãn chương trình hạt nhân của Iran: ngoại giao, các lệnh trừng phạt, mọi quyết định lớn”, một quan chức chính phủ cao cấp nói với tờ New York Times.
Tuy nhiên, may mắn không kéo dài. Vào mùa hè năm 2010, không lâu sau khi một biến thể mới của con sâu Stuxnet được gửi đến Natanz (nơi nghiên cứu hạt nhân của Iran), người Mỹ nhận thấy rằng nó đã lọt ra ngoài như một con thú hoang sổng chuồng.
Leon Panetta, Giám đốc Cục Tình báo Trung ương (CIA) lúc bấy giờ (nay là Bộ trưởng Quốc phòng), và hai người đóng vai trò quan trọng khác trong chương trình Olympic Games là Phó chủ tịch Hội đồng Tham mưu trưởng liên quân James Cartwright và Michael J. Morelll, Phó giám đốc CIA, lãnh trách nhiệm báo cáo tin tức cho ông Obama và Phó tổng thống Joe Biden.
Một lỗi lập trình đã khiến con sâu lây sang máy tính của một kỹ sư khi nó kết nối với các máy ly tâm, họ trình bày. Khi viên kỹ sư rời Natanz và kết nối máy tính với internet, con sâu do Mỹ và Israel hợp tác chế tạo không nhận ra được sự thay đổi môi trường. Nó bắt đầu tự sao chép và lây lan trên toàn thế giới.
“Chúng tôi nghĩ người Israel đã thực hiện một sửa đổi”, một trong những người báo cáo tin tức nói với tổng thống.
Theo các quan chức trong phòng, ông Obama đã đặt ra một loạt câu hỏi, lo ngại rằng đoạn mã có thể gây tổn hại bên ngoài nhà máy. Song không có câu trả lời dứt khoát nào được đưa ra. Ông Biden tức giận: “Đó hẳn là người Israel. Họ đã đi quá xa”.
Thực tế, cả Israel và Mỹ đều nhắm vào một bộ phận cụ thể của nhà máy, một khu vực quan trọng mà việc nó bị phá hoại có thể khiến chương trình hạt nhân của Iran thụt lùi đáng kể. Hiện không rõ ai là người thực hiện lỗi lập trình.
Câu hỏi mà ông Obama đối mặt là liệu phần còn lại của Olympic Games có lâm nguy hay không. Biến thể của con sâu đang tự sao chép, các chuyên gia bảo mật có thể phân tích và phát hiện ra mục đích của chúng.
“Tôi không nghĩ chúng ta có đủ thông tin”, ông Obama nói với nhóm này vào ngày hôm đó. Tuy nhiên, ông đã ra lệnh tiếp tục tấn công. Chúng là hy vọng lớn nhất của Obama nhằm ngăn chặn chương trình hạt nhân của Iran trước khi các lệnh trừng phạt kinh tế gây ra tác động nặng nề hơn với nước này.
Trong một tuần, một phiên bản khác của con sâu “hạ gục” gần 1.000 máy ly tâm. Olympic Games vẫn tiếp tục diễn ra.
Các cuộc tấn công mạng của Mỹ không chỉ giới hạn với Iran. Một số quan chức đã đặt vấn đề tại sao kỹ thuật này không được sử dụng chống lại CHDCND Triều Tiên.
Những người khác nhìn thấy cơ hội phá vỡ các kế hoạch quân sự của Trung Quốc, lực lượng vũ trang của Syria và các hoạt động của al-Qaeda trên toàn thế giới.
“Chúng tôi đã cân nhắc thêm nhiều cuộc tấn công hơn so với trước”, một cựu quan chức tình báo Mỹ nói.
Ông Obama đã liên tục nói với các phụ tá về nguy cơ của việc sử dụng và đặc biệt là lạm dụng loại vũ khí mới. Thực tế, không có quốc gia nào có cơ sở hạ tầng phụ thuộc nhiều vào hệ thống máy tính như Mỹ và do đó nước này dễ bị tổn thương bởi các cuộc tấn công mạng hơn.
Nhiều chuyên gia tin rằng việc Mỹ trở thành mục tiêu của các cuộc tấn công từ cùng loại vũ khí mà họ sử dụng chống Iran chỉ còn là vấn đề thời gian.
Câu chuyện của tờ New York Times đã xác nhận điều mà nhiều chuyên gia từng gợi ý về sự dính líu của Mỹ với virus máy tính Stuxnet.
Giám đốc nghiên cứu của hãng bảo mật SANS Institute, Alan Paller nhận xét tiết lộ này đã làm biến đổi đột ngột cục diện an ninh mạng.
Việc công khai tiết lộ sự dính líu của Mỹ với Stuxnet sẽ khiến những quốc gia khác liều lĩnh hơn với các cuộc tấn công sử dụng cùng chiến thuật và vũ khí mạng, theo ông Paller.
“Chúng ta giờ đây sẽ là mục tiêu của các cuộc tấn công lớn. Mọi thứ lâu nay vẫn trong tầm kiểm soát. Không ai thật sự chắc chắn Mỹ thực hiện loại hoạt động này. Mỹ đã hành động như một nạn nhân vô tội”, ông Paller nói với tạp chí Computer World.
Tuy nhiên, điều này sẽ thay đổi khi không còn tranh cãi về việc Mỹ bảo trợ cho các cuộc tấn công nhắm vào quốc gia khác, theo ông Paller.
Stuxnet không có một tác động đáng kể về kinh doanh an ninh mạng. Nhưng nó đã bắt đầu thay đổi tâm lý xung quanh quan điểm của công nghiệp an ninh không gian mạng.
Sự thay đổi này đã thảo luận từ một mối quan tâm hoàn toàn hoạt động và buộc nó vào ban điều hành. Các công ty đang bắt đầu để đánh giá nguy cơ bảo mật tương tự như cách họ đánh giá rủi ro chuỗi cung ứng của họ và các khía cạnh khác của danh mục đầu tư của họ. Kết quả là, có những cuộc thảo luận về việc phát triển một phương pháp tiếp cận thống nhất đối với an ninh để giảm chi phí sở hữu và tài trợ cho nó như là một chương trình chứ không phải là một dự án. Đây là cấp độ cao hơn về sự tham gia của doanh nghiệp có thể có nghĩa rằng nó [quá trình triển khai các biện pháp bảo vệ an ninh mạng] sẽ di chuyển chậm hơn, nhưng trong dài hạn, nó sẽ có tác động tích cực để đảm bảo cho cơ sở hạ tầng quan trọng của quốc gia.
Ken Modeste, kỹ sư trưởng toàn cầu tại Underwriters Laboratory (www.ul.com), Northbrook, bang Illinois, đồng ý rằng, kể từ khi Stuxnet, bây giờ là có một cảm giác chung lớn hơn nhiều nhận thức an ninh mạng trong ngành công nghiệp. Mặc dù nhà sản xuất đang tham gia một nỗ lực phối hợp để xây dựng hệ thống an ninh ", khi bạn đang sử dụng sản phẩm đã được triển khai trong nhiều năm qua, trong một môi trường nơi an ninh trước đây là không phải là một ưu tiên, khắc phục cho các hệ thống triển khai trở thành một vấn đề," ông nói thêm.
Cùng với nâng cao nhận thức an ninh mạng trong quản lý sản xuất, những người phải đối phó với an ninh trên các hệ thống cũ, đã có một đẩy vào nhà cung cấp tự động hóa để cung cấp mức độ bảo mật cao hơn như là một phần của sản phẩm của họ và cung cấp dịch vụ.
Ghi nhận này tập trung nhiều hơn về an ninh bởi các nhà cung cấp tự động hóa, Joel Langill, hệ thống điều khiển công nghiệp (ICS) an ninh mạng chuyên SCADAhacker.com (Appleton, Wisconsin), Siemens và Honeywell là ví dụ cụ thể của các công ty tự động hóa làm việc trên tiền tuyến của các vấn đề an ninh mạng.
Công việc gần đây nhất của Siemens trong lĩnh vực này đang tập trung vào một bộ xử lý truyền thông mới cung cấp chứng thực trong giao thức điểm-điểm. "Điều này sẽ giúp giải quyết các vấn đề trực tiếp trên mạng điều khiển bởi vì nó là điểm-điểm," Rick Dries, giám đốc của hệ thống và hỗ trợ kỹ thuật ứng dụng, Siemens Công nghiệp (www.siemens.com) (Alpharetta, bang Georgia, Mỹ).
Theo Dries, bộ xử lý truyền thông mới này là một mô-đun làm việc với S7 của Siemens 300 và 400 bộ điều khiển, cũng như trong một máy tính. "Module này, nằm ở giữa bộ điều khiển và HMI, sẽ quản lý các thông tin liên lạc giữa các thiết bị. Nó có thể được trang bị thêm, và chúng tôi đang điều tra để xác định phạm vi của các khả năng tương thích ngược của nó. "
Mặc dù các chuyên gia an ninh không gian mạng như Langill hoan nghênh những nỗ lực, sự đồng thuận chung là những bước đi như vậy vẫn không đi đủ xa.
"Nhiều công ty tự động vẫn còn thiếu một số trong những công nghệ trò chơi thay đổi từ đội hình của họ, như giám sát xâm nhập, mạng lưới phân tích hành vi và giám sát sự kiện an ninh, đó là chìa khóa cho một cách tiếp cận vòng đời hoàn toàn an ninh mạng", ông Langill.
Sự hiện diện của các cơ quan an ninh của chính phủ liên quan, đặc biệt là Bộ An ninh Nội địa (DHS), đã ngày càng rõ ràng tại các hội nghị ngành công nghiệp trong vài năm qua.
"DHS đang cung cấp một số dịch vụ có giá trị", ông Eric Byres, Giám đốc công nghệ và phó chủ tịch kỹ thuật tại Byres Security (www.tofinosecurity.com) (Lantzville, British Columbia, Canada). "Điều quan trọng nhất trong số đó là giúp nâng cao nhận thức
về vấn đề này, và phục vụ như là một nguồn thông tin có thể được trình lên hội đồng quản trị của công ty bạn để có được phê duyệt để đảm bảo cho hệ thống kiểm soát của bạn. Họ cũng làm tốt công việc cung cấp một cái nhìn tổng quan hữu ích của những xu hướng. Ngay cả các công ty lớn không luôn luôn có một sự hiểu biết tốt về những gì đang xảy ra trên khắp các ngành công nghiệp khác nhau. Chỉ có chính phủ có quan điểm đó. "
Byres cho biết thêm rằng DHS cũng hoạt động như một nhà môi giới trung thực "cho các lỗ hổng khi chúng được phát hiện. Năm ngoái, họ đã xử lý 140 báo cáo lỗ hổng trên các sản phẩm khác nhau, "ông nói.
Các hệ thống điều khiển công nghiệp Nhóm làm việc chung là một sáng kiến DHS "được làm công việc tuyệt vời như là một trung gian hòa giải cho các nhà cung cấp tự động hóa, các nhà cung cấp an ninh và các chuyên gia ngành công nghiệp hợp tác để xác định phương pháp tốt nhất trong các lớp học đối với an ninh", ông Ahern.
"Hiện tại họ đang làm việc để xây dựng một đội ngũ nhân viên kiểm toán và khả năng đánh giá của thị trường để đáp ứng yêu cầu quy định", Ahern cho biết thêm.
Trong công việc của mình như SCADAHacker, Langill hoạt động rất chặt chẽ với DHS. Mặc dù ông là "rất hài lòng rằng Hoa Kỳ đã có những bước để nâng cao tầm quan trọng của ICS an ninh", ông cảm thấy rằng DHS được thiếu.
Langill nói: "Có rất nhiều điều họ có thể làm gì nếu họ có các nhân viên và các nguồn lực cần thiết". "Tôi muốn để xem chi tiết hợp tác công / tư nhân trong không gian này, bởi vì có quá nhiều rào cản ở vị trí để mang lại những nguồn lực cần thiết từ khu vực tư nhân vào nhóm DHS cốt lõi để giúp giải quyết vấn đề này".
Mặc dù hỗ trợ rõ ràng của ông cho DHS, không nhầm lẫn hỗ trợ của các bộ phận của Langill như một cuộc gọi cho sự tham gia của chính phủ nhiều hơn trong vấn đề an ninh thông qua quy định gia tăng.
"Khi nói đến bảo mật, các quy định mặc dù họ có thể cải thiện thế trận an ninh cơ bản của một tổ chức sẽ không cung cấp bảo vệ đầy đủ từ một mối đe dọa tiên tiến trong vòng đời của một tài sản điển hình của" Langill nói. "Trong thực tế, tôi tin rằng các quy định có thể làm giảm an ninh, bởi vì họ chủ yếu cung cấp một danh sách những thứ cho mọi người làm hoặc không làm, làm cho nó rất dễ dàng cho một kẻ tấn công phải biết những gì một người nào đó không phải là làm trong kiến trúc của họ." (Xem "ICS Cyber
Security: bắt đầu từ đâu" sidebar kèm theo bài viết này để biết thêm thông tin về trang web của DHS-duy trì ICS-CERT).
Các ngắt kết nối
Trên mặt tươi sáng, rõ ràng là các ngành công nghiệp sản xuất và sản xuất thức dậy với các vấn đề của hệ thống kiểm soát an ninh. Vấn đề là, mặc dù một số những bước đầu tiên đang được thực hiện, không phải là có rất nhiều tin tốt khác để báo cáo về hệ thống kiểm soát an ninh cho các ngành công nghiệp như một toàn thể.
"Hầu hết các ngành công nghiệp đã thực hiện một công việc tốt của việc thiết lập một vành đai an ninh điện tử và bắt đầu phân khúc mạng, chẳng hạn như thiết lập DMZs", ông Ahern. "Tuy nhiên, những gì đang được thực hiện là nhận được vào lớp tiếp theo của an ninh, như quản lý sự kiện bảo mật ở lớp tự động hóa. Bạn không thể bảo vệ chống lại những gì bạn không biết đang xảy ra. Bạn có thể thiết lập một vành đai lớn, nhưng một khi bạn đang ở trong chu vi đó, bạn có thể làm bất cứ điều gì bạn muốn nếu cấp độ tiếp theo không được bảo đảm là tốt. Bạn cần phát hiện xâm nhập máy chủ, bạn cần phát hiện xâm nhập mạng ".
Mặc dù nhiều khách hàng đang bắt đầu để đánh giá lớp tiếp theo của quốc phòng, Ahern cho biết hầu hết đang làm nó với các công cụ bảo mật. "Những công cụ này được giới hạn ở lớp tự động hóa khi nói đến cung cấp quốc phòng đúng trong chiều sâu", ông nói.
Có lẽ một vấn đề lớn hơn là hầu hết các nhà sản xuất vẫn không nhận ra như thế nào kết nối hệ thống kiểm soát. Các chuyên gia bảo mật nói rằng, khi bắt đầu một phân tích của hệ thống kiểm soát an ninh tại một trang web, câu hỏi đầu tiên mà họ thường hỏi là nếu có bất kỳ kết nối bên ngoài vào hệ thống. Phản ứng đầu tiên thường là "không". Một thời gian ngắn sau đó phản ứng, người dùng cuối sẽ nhớ lại rằng có một kết nối với hệ thống doanh nghiệp, nhưng họ sẽ nhanh chóng lưu ý rằng có một bức tường lửa giữa các hệ thống, do đó tất cả được giả định là an toàn.
Theo Byres, DHS gần đây đã đưa đội vào trường để phân tích an ninh của hệ thống kiểm soát tại các công ty khác nhau trong các lĩnh vực công nghiệp khác nhau. Byres nói rằng DHS thấy rằng có, trung bình, không chỉ là một kết nối từ một hệ thống điều khiển mạng lưới kinh doanh, nhưng 11.
"Tôi đã làm việc trên một nhà máy lọc dầu lớn ở Texas," Byres kể lại, "và họ đã cho tôi sơ đồ này dòng tuyệt vời hiển thị tất cả các kết nối đường dây và tường lửa rải rác tại chỗ. Chúng tôi tìm thấy 17 kết nối không rõ thời gian tôi rời ". Nhiễm trùng đường
Cách phổ biến nhất cho các hệ thống điều khiển để trở thành bị nhiễm thông qua các hành động đơn giản trên một phần của người sử dụng. Ví dụ, hãy xem xét một kỹ sư tham gia vào việc thực hành điển hình của nhà máy tính xách tay của mình để làm một số công việc và kết nối với mạng gia đình của mình. Sau đó, ông mang đến cho rằng máy tính trở lại vào ngày hôm sau và kết nối nó với mạng cây trồng. Nếu người dùng mà được một virus ở nhà, anh ta đã mang nó vào sàn nhà máy.
"Bạn có nghĩ rằng nhóm kiểm soát tại nhà máy đó đã có một đường chấm chấm