Bảo mật chuỗi cung ứng và hạ tầng trọng yếu

Theo bà Gail Ow, Trưởng phòng nhóm Giải pháp công nghiệp, Keysight Technologies khi chuỗi cung ứng được quản lý càng tốt thì kết quả tạo ra cho khách hàng và cả nhà sản xuất càng cao, về các phương diện chi phí, chất lượng, giao hàng, an toàn, sự hài lòng của khách hàng và doanh thu.

Dưới đây là quan điểm của bà Gail Ow về bảo mật chuỗi cung ứng và hạ tầng trọng yếu:

Chuỗi cung ứng phần cứng và firmware

Trong nền kinh tế toàn cầu ngày nay, chuỗi cung ứng là một khái niệm đơn giản. Chẳng hạn, chúng ta hiểu rằng linh kiện trong chiếc máy xách tay được chế tạo ở nhiều nơi trên thế giới. Không chỉ là những cấu kiện bên ngoài, như lớp vỏ kim loại hoặc các phím bấm mà tất cả các linh kiện. Can thiệp vào linh kiện phần cứng trong quá trình sản xuất là một mối đe dọa đã từng xảy ra. Những kẻ tấn công đương nhiên không quan tâm tới các phím bấm, mà là firmware điều khiển các thiết bị như webcam, bàn di chuột, ổ cứng và card mạng, là những thiết bị từng và có thể bị hack.

Chúng ta đều biết firmware là chương trình phần mềm được "khảm" vào phần cứng, tạo nên chức năng cho thiết bị. Đáng tiếc là việc 'khảm phần mềm' này không còn được bền lâu như trước đây. Firmware được lưu trong các bộ nhớ flash ROM có thể bị xóa, bị cấy mã độc hoặc bị ghi đè. Khó phát hiện và rất mất công để xử lý (phải gửi trả để nhà sản xuất sửa chữa) thiết bị có firmware bị hack.

Quyền năng của tin tặc càng lớn hơn vì sự vô hình của firmware. Vì thế, tin tặc xâm nhập thành công firmware có thể tiếp cận không chỉ một mà mọi thiết bị do nhà sản xuất chế tạo, bán và giao tới cho khách hàng. Bạn có thể đã bị hack mà không hề hay biết.

Khi firmware đã có thể bị hack, thì những ứng dụng miễn phí giúp cuộc sống của chúng ta trở nên thú vị hơn còn dễ bị xâm nhập tới mức nào? Quan trọng hơn, trong các hệ thống điều khiển công nghiệp/công nghệ vận hành (ICS/OT), các hệ thống PLC (logic điều khiển có thể lập trình), giao diện người máy (HMI) và các hệ thống SCADA của chúng ta trong chuỗi cung ứng phần mềm có được quản lý phù hợp hay không?

Chuỗi cung ứng phần mềm

Là một nhà quản lý sản phẩm, tôi có trách nhiệm làm việc với bộ phận kỹ thuật để phát triển các sản phẩm có thể giải quyết những bài toán thực tế mà khách hàng muốn mua. Tôi hiểu rõ nhu cầu về chuỗi cung ứng phần cứng/phần mềm phải được quản lý cẩn trọng. Mặc dù trong lĩnh vực phần cứng, chuỗi cung ứng là một khái niệm dễ hiểu, tôi đã từng không suy nghĩ nhiều về chuỗi cung ứng phần mềm cho tới khi tôi quan sát con trai đang học đại học của tôi tải các mô-đun phông chữ về máy tính.

Điều mà chúng ta ít nghĩ tới là các nhà lập trình trên thế giới thường xuyên sử dụng các thư viện và mô-đun dùng chung. Như vậy, khái niệm chuỗi cung ứng cũng được áp dụng cho phần mềm, và trong bối cảnh chung là một khái niệm tương đối mới. Mới cho tới khi xuất hiện NOBELIUM - nhóm tin tặc Nga, nổi tiếng vì cuộc tấn công mạng SolarWinds hồi tháng 12/2020.

Thực tế, Nobelium đã nhắm tới hơn 150 tổ chức trên toàn thế giới, bao gồm các cơ quan công quyền, các tổ chức phân tích tư vấn, các nhà tư vấn và các tổ chức phi chính phủ ở ít nhất 25 quốc gia. Ngoài ra, cuộc tấn công mạng làm ngưng trệ hoạt động của nhà cung cấp khí đốt Colonial Pipeline hơn một tuần, ảnh hưởng tới việc cung cấp nhiên liệu cho khu vực bờ Đông nước Mỹ, gây ra hoảng loạn cho hệ thống bơm và khiến giá nhiên liệu tăng vọt, đã hướng chú ý của dư luận tới hoạt động tấn công chuỗi cung ứng phần mềm. Nhà cung cấp khí đốt này đã phải ngưng hoạt động của toàn bộ các hệ thống để ngăn chặn ảnh hưởng của cuộc tấn công sử dụng phần mềm tống tiền, dẫn đến thiếu khí đốt trong nhiều tuần. Cuối cùng, họ đã phải trả 4,4 triệu USD tiền chuộc để lấy lại quyền kiểm soát mạng và dữ liệu.

Bảo mật chuỗi cung ứng và tác động đối với hạ tầng trọng yếu

Dưới tác động của các cuộc tấn công liên tục lên hạ tầng trọng yếu tại Mỹ, ngày 28/6/2021, Tổng thống Biden đã ký Bản ghi nhớ an ninh quốc gia về tăng cường an ninh mạng cho các hệ thống điều khiển hạ tầng thiết yếu.

Ngày 25/8/2021, Viện Tiêu chuẩn và Công nghệ quốc gia (NIST) công bố vai trò dẫn dắt của mình khi tạo ra một framework tăng cường bảo mật và sự toàn vẹn cho chuỗi cung ứng công nghệ.

Chuỗi cung ứng công nghệ

Tâm điểm trong thông báo của NIST là chuỗi cung ứng công nghệ ứng dụng trong hạ tầng thiết yếu. Các thiết bị trước đây được điều khiển bằng các kỹ thuật vật lý như khí nén hoặc cơ điện, đã được chuyển đổi thành các thiết bị được điều khiển bằng kỹ thuật số kết nối internet, tốt hơn - nhưng có thể bị hack. Bảo mật chuỗi cung ứng có tầm quan trọng đặc biệt.

Cần lưu ý rằng tin tặc cũng biết rõ về khả năng kết nối internet của các nhà máy và hạ tầng trọng yếu. Chúng tự coi mình là chúa tể trong thế giới ICS/OT và không ngần ngại tấn công hòng chiếm quyền kiểm soát các hệ thống ICS/OT - đặc biệt là các hạ tầng trọng yếu. Tin tặc không chỉ có khả năng tống tiền những nạn nhân ngờ nghệch của chúng, chúng còn có đủ quyền năng để đầu độc các cộng đồng, ngăn chặn khai thác dầu mỏ, phá hủy các công trình, tung tin giả hay phá hoại nền kinh tế của cả một quốc gia. Trong quá trình này, chúng vẫn có thể chiếm đoạt hàng triệu USD.

Tấn công môi trường ICS/OT cho tin tặc khả năng chế tạo vũ khí hủy diệt hàng loạt của riêng chúng, đặc biệt nếu nạn nhân thuộc một trong 16 lĩnh vực hạ tầng trọng yếu.

Giảm thiểu rủi ro về chuỗi cung ứng công nghệ cho mọi người

Vấn đề thực sự rất nghiêm trọng. Chúng ta nên bảo vệ chuỗi cung ứng công nghệ như thế nào? Trong ngắn hạn, Phần cứng, Phần mềm và Firmware là những lĩnh vực mà chúng ta có thể dễ dàng kiểm tra những gì chứa đựng bên trong, từ đó tìm cơ hội giảm thiểu rủi ro. Hoạt động này có thể giúp chúng ta xác định sản phẩm do nhà sản xuất cung cấp có đúng với những gì chúng ta kỳ vọng hay không. Từ những thông tin thu thập được về sản phẩm, chúng ta có thể quyết định sử dụng sản phẩm này ở đâu trong kiến trúc chung, sẽ cách ly nó như thế nào trong trường hợp cần thiết và làm gì để ứng phó trước biến cố. Trước các mối đe dọa thường xuyên đối với chuỗi cung ứng công nghệ, tất cả các bên đều phải có trách nhiệm. Tất cả các bên liên quan cần hợp tác - các nhà sản xuất, hạ tầng trọng yếu và người tiêu dùng - đều phải đóng vai trò tích cực trong việc biến thế giới của chúng ta thành một nơi chốn an toàn hơn.