Các hệ thống điều khiển công nghiệp nhìn từ góc độ an toàn thông tin
Hệ thống điều khiển công nghiệp (Industrial Control System - ICS) là tổ hợp các phương tiện kỹ thuật, các chương trình phần mềm và con người thực hiện điều khiển quy trình công nghệ sản xuất tại cơ sở công nghiệp. Các ICS được ứng dụng rộng rãi trong các lĩnh vực sản xuất công nghiệp, năng lượng, giao thông.... Trong những năm gần đây, các hệ thống này đa+ng trở thành mục tiêu của giới tội phạm sử dụng công nghệ cao. Điển hình là các cuộc tấn công vào cơ sở hạt nhân của Iran, nhà máy hoá chất của Đức và mạng lưới điện của Ukraina. Các cuộc tấn công vào các ICS có đặc điểm chung là có độ phức tạp cao, được chuẩn bị công phu và việc thực hiện được tiến hành qua nhiều giai đoạn, với hậu quả xảy ra rất nặng nề. Điều này là do cấu trúc phức tạp và các đặc điểm khác biệt của các hệ thống điều khiển công nghiệp so với các hệ thống công nghệ thông tin (CNTT) thông thường.
Do vai trò quan trọng của các ICS, nên các nước trên thế giới ngày càng quan tâm đến công tác đảm bảo an toàn cho các hệ thống này. Các tổ chức tiêu chuẩn hoá quốc tế cũng đã kịp thời ban hành các tài liệu hướng dẫn xây dựng các hệ thống điều khiển công nghiệp an toàn, bao gồm các tiêu chuẩn chung do các tổ chức ISA, IEC, NIST ban hành [1], [2], [3] và các tiêu chuẩn chuyên ngành cho lĩnh vực điện, công nghiệp hoá, dầu khí....
Khái quát về hệ thống điều khiển công nghiệp
Ban đầu, các ICS được thiết kế như những hệ thống đóng, cô lập, chạy trên các giao thức riêng, sử dụng phần cứng và phần mềm chuyên dụng. Tuy nhiên, cùng với sự phát triển của CNTT, các ICS đã từng bước được cải tiến thành hệ thống hiện đại, hoạt động theo các giao thức mang nhiều đặc điểm của một mạng CNTT thông thường.
Ngày nay, một ICS được cấu tạo từ ba thành phần chính bao gồm: Các hệ thống điều phối và thu thập dữ liệu (Supervisory Control and Data Acquisition System - SCADA), các hệ thống điều khiển phân tán (Distributed Control System - DCS) và các bộ điều khiển lập trình logic (Programmable Logic Controller - PLC).
Hệ thống SCADA tích hợp các hệ thống thu thập dữ liệu với các hệ thống truyền dữ liệu và phần mềm giao diện người - máy (Human-Machine Interface - HMI) để đảm bảo hệ thống giám sát và quản lý tập trung. Hệ thống DCS được tích hợp vào ICS như một cấu trúc điều khiển các hệ thống con, chịu trách nhiệm kiểm soát chi tiết các quá trình cục bộ cùng thực hiện các nhiệm vụ chung của toàn bộ quá trình sản xuất. Các PLC được sử dụng cả trong các SCADA và DCS - như những thành phần của hệ thống điều khiển phân cấp, nhằm đảm bảo điều khiển cục bộ các quá trình thông qua điều khiển có phản hồi. Khi sử dụng trong SCADA, các PLC đảm bảo hoạt động cho các trạm từ xa, trong DCS, PLC hoạt động như những bộ điều khiển cục bộ.
Hình 1. Sơ đồ vận hành cơ bản của hệ thống ICS
Một ICS điển hình thường có cấu trúc ba lớp. Lớp trên cùng gồm các trạm của những người vận hành và các kỹ sư ICS, máy chủ cơ sở dữ liệu và các máy chủ ứng dụng; lớp giữa gồm các PLC; lớp dưới cùng gồm các bộ cảm biến thu thập dữ liệu và các cơ chế thực thi. Các lớp được kết nối với nhau bởi các máy chủ truyền thông hoặc các bộ điều khiển.
Một ICS thông thường chứa số lượng lớn các mạch điều khiển, HMI các công cụ chẩn đoán từ xa (Remove Diagnostic Tools) và các công cụ bảo trì (Maintenance Tools), được xây dựng dựa trên một loạt giao thức mạng cơ sở. Mạch điều khiển sử dụng các thiết bị cảm biến (sensors), cơ cấu dẫn động (actuator) và các PLC để sắp đặt một số quá trình được điều khiển. Bộ cảm biến là thiết bị tạo ra thước đo một số thuộc tính vật lý, rồi gửi thông tin này như biến điều khiển đến bộ điều khiển. Bộ điều khiển dịch tín hiệu và tạo ra biến điều khiển tương ứng, dựa trên thuật toán điều khiển và điểm đặt mục tiêu, truyền chúng đến cơ cấu dẫn động. Cơ cấu dẫn động, bao gồm các van điều khiển, các bộ chuyển mạch và động cơ được dùng để trực tiếp sắp đặt các quá trình được điều khiển dựa trên các mệnh lệnh từ bộ điều khiển.
Người điều hành và kỹ sư sử dụng HMI để giám sát và cấu hình xác lập điểm, các thuật toán điều khiển, điều chỉnh và thiết lập thông số trong bộ điều khiển. Giao diện HMI hiển thị thông tin về hiện trạng của tiến trình công nghệ và thông tin quá khứ. Các phương tiện chẩn đoán và bảo trì dùng để ngăn ngừa, xác định các sai sót và khôi phục hệ thống từ những sai sót đó.
Ngày nay, phần lớn các ICS được bổ sung các thiết bị CNTT hiện đại như: máy tính và thiết bị di động, máy chủ (kể cả máy chủ ảo hóa) để giám sát và điều khiển, hệ thống mạng LAN, WAN và các thiết bị công nghiệp số với các mức độ thông minh khác nhau.
So sánh ICS với hệ thống CNTT
Mặc dù hệ thống điều khiển công nghiệp hiện đại được tích hợp nhiều tính năng của hệ thống CNTT, nhưng hệ thống này vẫn có những khác biệt lớn với hệ thống CNTT thông thường. NIST SP 800-82 trong [3] đã tiến hành so sánh hai hệ thống này theo một số đặc trưng về chức năng và vận hành, tóm tắt kết quả so sánh đó được trình bày trong Bảng 1.
Những đặc điểm của ICS xét từ góc độ an toàn thông tin
Khác biệt căn bản nhất và có tính nguyên tắc của các ICS là thứ tự ưu tiên trong bộ ba thuộc tính là: tính bí mật, tính toàn vẹn và tính sẵn sàng.
Nếu trong các hệ thống thông tin, thông thường tính bí mật và tính toàn vẹn của thông tin là các nội dung có ý nghĩa quan trọng nhất, thì đối với các ICS, tính sẵn sàng được đặt lên hàng đầu. Các ICS về bản chất là các hệ thống liên tục, do đó, sự ngừng trệ hoặc sự cố trên các hệ thống này là không được chấp nhận, bởi chúng có thể đưa đến những hậu quả nặng nề không chỉ đối với quá trình công nghệ mà còn đối với môi trường sống và sức khoẻ con người. Bởi vậy, nhiều ICS được trang bị các thành phần dự trữ và chạy song song để đảm bảo cho các quá trình công nghệ được hoạt động liên tục.
Bảo vệ các ICS thực chất là bảo vệ một tiến trình, do đó các phương tiện tấn công lên các hệ thống này thường có độ phức tạp rất cao. Năm 2013, hãng Kaspersky đã công bố thông tin về một hiện tượng hoàn toàn mới trong lĩnh vực tấn công mạng công nghiệp. Đó là việc phát hiện mã độc gián điệp “Red October” chuyên tìm cách đánh cắp bí mật quốc gia. Đây là một tổ hợp các mã độc phức tạp nhất, tới gần 1000 tệp, liên quan tới 30 nhóm môđun [4]. Các tấn công vào các hệ thống điều khiển công nghiệp được chuẩn bị công phu và được thực hiện qua nhiều giai đoạn.
Ví dụ minh chứng cho nhận định này là sâu Stuxnet đã được nhiều tài liệu mô tả. Một ví dụ khác là cuộc tấn công vào lưới điện tại Ukraina vào tháng 12/2015 đã làm tê liệt 57 trạm cung cấp điện. Kết quả điều tra được tiến hành sau đó cho thấy, cuộc tấn công đã được lên kế hoạch rất chi tiết và quá trình khảo sát đã kéo dài từ ba tháng trước đó. Cuộc tấn công đã được thực hiện với các bước sau:
- Áp dụng phương pháp kỹ nghệ xã hội để sơ bộ gây nhiễm mạng lưới thông qua các tấn công giả mạo (phishing).
- Chiếm quyền điều khiển các hệ thống điều khiển tự động các trạm điện; thực hiện việc ngắt điện tại các trạm; loại các thành phần thuộc hạ tầng thông tin như nguồn nuôi, modem, tổng đài.
- Hủy thông tin trên các máy chủ và các trạm làm việc.
Theo thống kê của hãng Kaspersky được tiến hành tại nhiều cơ sở công nghiệp trên toàn thế giới [4], các cuộc tấn công lên ICS không phải là những tấn công tuỳ hứng của các tin tặc không chuyên nghiệp, mà phần lớn là tấn công có chủ đích. Trong tấn công có chủ đích, ngoài việc sử dụng các mã độc phổ biến, tin tặc còn tạo ra các mã độc chỉ dành cho mục tiêu cụ thể. Thậm chí, tin tặc còn tìm ra nhiều phương cách xâm nhập vào các mạng ICS cô lập, vốn trước đây được coi là bất khả xâm phạm. Với các khả năng của CNTT ngày nay, sự an toàn của các mạng ICS cô lập chỉ là câu chuyện hoang đường. Việc sâu Stuxnet tung hoành trong mạng lưới hạt nhân cô lập của Iran là minh chứng thuyết phục.
Sự phát triển độc lập của các mạng công nghiệp dẫn đến trình trạng các nhà thiết kế trong quá trình xây dựng phần cứng và phần mềm cho các ICS đã không tính đến các khả năng đảm bảo an toàn thông tin cho hệ thống. Mặt khác, việc trang bị cho ICS các công nghệ hiện đại và các thiết bị công nghiệp số với mức độ thông minh khác nhau, đã làm cho bức tranh an toàn của các hệ thống này gần hơn với bức tranh an toàn của các hệ thống CNTT thông thường, nhưng với mức độ phức tạp cao hơn.
Chẳng hạn các ICS có thể phải đối phó với các rủi ro sau đây:
- Phong toả hoặc làm chậm dòng thông tin luân chuyển trong các mạng, có thể dẫn đến phá vỡ sự vận hành của ICS.
- Thay đổi trái phép các lệnh, các chỉ dẫn, ngưỡng báo động làm tổn hại, hoặc làm ngừng hoạt động của thiết bị, dẫn đến các hậu quả về môi trường và sức khoẻ con người.
- Gửi thông tin không kịp thời đến những người vận hành hệ thống, che giấu những sửa đổi trái phép hoặc làm cho người vận hành thực hiện các hành động không phù hợp có thể gây nên các hậu quả nghiêm trọng.
- Thay đổi phần mềm hoặc cấu hình phần mềm ICS, hoặc gây nhiễm mã độc cho phần mềm tạo nên nhiều hệ quả tiêu cực.
Các ICS đang được ứng dụng rộng rãi trong các nhà máy, xí nghiệp. Bên cạnh những lợi ích to lớn của các ICS thì cũng tiềm ẩn những nguy cơ về mất an toàn thông tin. Do đó, đòi hỏi phải có những giải pháp nhằm đảm bảo tuyệt đối an toàn cho các ICS.
Tài liệu tham khảo 1. ISA/IEC 62443 : Security for industrial Automation and Control Systems 2. IEC 61784-4 3. NIST SP 800800-82 “Guide to the Industrial Control Systems Security” 4. Kaspersky Lab. ICS Cert, Ландшафт угроз для систем промышленной автоматизации 5. Спасенных Елизабета, Особенности обеспечения информационной безопасности АСУ ТП 6. Б. Н. Пищик, Безопасность АСУ ТП (Вычислительные технологии Том 18, Специальный выпуск, 2013) |