Tại sao ngành công nghiệp sản xuất là mục tiêu hấp dẫn của các cuộc tấn công mạng?
Trung Nguyen
Không còn nghi ngờ gì khi nói rằng ngành công nghiệp sản xuất là một trong những mục tiêu hàng đầu của tấn công mạng. Theo EEF, 48% các công ty sản xuất trở thành mục tiêu của sự cố an ninh mạng ở một thời điểm nào đó, và một nửa trong số họ chịu tổn thất tài chính hoặc gián đoán hoạt động. Nhưng tại sao đột nhiên các cuộc tấn công lại nhắm vào các công ty sản xuất?
Tài sản trí tuệ (IP)
Những kẻ tấn công luôn tìm cách đánh cắp trí tuệ ở bất kì sản phẩm, quy trình hoặc công nghệ mới mà nhà sản xuất vừa tạo ra. Những trí tuệ này có thể là bất cứ điều gì từ các bản vẽ thiết kế bí mật, công thức hoặc quy trình lắp ráp độc nhất. Những thông tin này sau đó có thể bị các đối thủ cạnh tranh sử dụng nhằm bán sản phẩm với giá thấp hơn hoặc thu hẹp lợi thế cạnh tranh và lợi nhuận.
Với những kiến thức và thông tin nhạy cảm mang giá trị cao mà các nhà sản xuất nắm giữ, họ trở thành mục tiêu vô cùng hấp dẫn cho những kẻ tấn công. Những thông tin này khiến hệ thống CNTT của họ trở nên dễ bị đe dọa. Điều này có thể được lí giải như sau: Các công ty sản xuất công nghiệp thường chú trọng vào việc bảo mật môi trường Công nghệ vận hành (OT) mà gần như hoàn toàn bỏ qua bảo mật Công nghệ thông tin (IT). Các tin tặc hoàn toàn nhận thức được rằng mạng lưới của một công ty sản xuất thường xuyên ở trạng thái lơ là bảo mật, và các công cụ cũng như quá trình đảm bảo an ninh mạng không được chú ý tới. Bên cạnh đó, chúng cũng biết rằng chuỗi cung ứng của một công ty sản xuất vô cùng lớn và phức tạp với nhiều lỗ hổng. Chính vì vậy, đây là mục tiêu lý tưởng để thực hiện những cuộc tấn công chớp nhoáng trên toàn mạng lưới và làm tê liệt nhiều nhà cung ứng và doanh nghiệp một cách dễ dàng.
Có bằng chứng cho thấy rằng an ninh mạng là thách thức đối với không chỉ phòng Công nghệ thông tin của một doanh nghiệp sản xuất mà còn với cả ban lãnh đạo và vận hành. Hơn một phần ba các công ty sản xuất báo cáo rằng họ không đủ khả năng đảm bảo an ninh mạng. Đây là một con số đáng lo ngại khi mà yêu cầu phải có quy trình đảm bảo an ninh mạng hiệu quả để bảo vệ khách hàng trở thành một điều khoản quan trọng trong hợp đồng đối với các nhà sản xuất. Thêm vào đó, các đổi mới trong yêu cầu pháp lý của Liên minh Châu Âu (EU) cũng như từng quốc gia cũng khiến các nhà sản xuất chịu nhiều áp lực hơn nữa.
Nếu bạn nghĩ điều này chưa đủ nghiêm trọng, hãy nhớ rằng nếu sản xuất bị đình trệ dù chỉ trong khoảng thời gian ngắn nhất, hậu quả của nó gây ra vô cùng lớn. Hàng triệu đô-la doanh thu có thể bị mất, kèm theo đó là nguy cơ bị hủy hoại danh tiếng trong một cuộc tấn công mạng và xâm phạm dữ liệu. Chính vì vậy, để có thể tồn tại và phát triển trong thời đại kĩ thuật số đa liên kết, nhiều công ty sản xuất buộc phải áp dụng lối tư duy và cách tiếp cận chủ động đối với chiến lược an ninh mạng…
…Và để làm được điều đó, trước hết chúng ta cần hiểu rõ những mối đe dọa.
Quốc gia dân tộc
Các nhà sản xuất là một mục tiêu vô cùng hấp dẫn không chỉ với các băng nhóm tội phạm mạng chuyên nghiệp mà còn với các thế lực thù địch quốc gia. Nhiều tin tặc bị tình nghi hoạt động dưới danh nghĩa chính phủ có nhiệm vụ gây gián đoạn hoặc làm tê liệt các tổ chức nhằm mục đích đánh cắp trí tuệ và dữ liệu quý giá hoặc làm lũng đoạn kinh tế, chính trị.
Các mối đe dọa mang tầm quốc gia hiện nay chỉ chiếm 10% tổng số các cuộc tấn công trên toàn thế giới, nhưng đây là những cuộc tấn công quy mô và tốn thời gian lâu nhất để giải quyết. Trên thực tế, nghiên cứu của Secureworks xác định rằng trong năm 2017 các nhà chức trách mất nhiều hơn trung bình 500% thời gian để có thể loại bỏ hoàn toàn một kẻ tấn công quốc gia khỏi mạng so với năm 2016. Sự gia tăng này bắt nguồn từ bản chất ngoan cố của những kẻ tấn công cùng với thời gian cần thiết để hiểu đầy đủ trình độ và khả năng truy cập của chúng. Nếu một tổ chức hành động quá sớm và cố gắng trục xuất kẻ tấn công mà không hiểu cách thức chúng xâm nhập, những gì chúng kiểm soát và thay đổi, thì kẻ tấn công có thể đơn giản chỉ cần thay đổi chiến thuật hoặc tệ hơn, lây nhiễm hoặc làm tê liệt toàn bộ hệ thống vận hành và máy móc.
Các nhà thầu quốc phòng và công ty sản xuất đặc biệt gây hứng thú với những tên tội phạm quốc gia này bởi bản chất dễ tiếp cận với những tài liệu chính phủ và thông tin nhạy cảm. Một tổ chức được biết tới dưới cái tên BRONZE UNION – một nhóm tội phạm bị tình nghi hoạt động dưới trướng chính phủ Trung Quốc. Trong quá khứ, tổ chức này đã thành công trong việc làm tê liệt nhiều công ty sản xuất và quốc phòng. Chúng đặc biệt nhắm vào các công ty liên quan tới khoa học đời sống, máy bay, sản xuất, quốc phòng, năng lượng, công nghệ và các tổ chức chính phủ. Băng nhóm này chuyên xác định kho lưu trữ dữ liệu quan trọng và chọn lọc lấy thông tin mang giá trị cao liên quan tới vấn đề quốc phòng, an ninh và tình báo chính trị. Các hoạt động tìm kiếm thông tin liên quan tới công nghệ máy bay, quy trình chiến đấu và hệ thống phòng thủ hải quân của băng nhóm này đã bị phát hiện trên các mạng lưới quốc phòng Mỹ. Phân tích cho thấy những vấn đề mang tính hệ thống trong nền công nghệ quốc phòng của Trung Quốc có thể là nguyên nhân dẫn tới sự đòi hỏi cho những thông tin này. Nền công nghiệp quốc phòng của quốc gia này không thể đáp ứng được kì vọng của quân đội. Một kĩ thuật xâm nhập mà BRONZE UNION đã sử dụng trong quá khứ là vô hiệu hóa trang web chiến lược (SWC). Đây là kĩ thuật nhằm vô hiệu hóa người dùng bằng cách lây nhiễm các trang web họ thường truy cập và dụ họ đến một trang web chứa mã độc.
Tấn công Chuỗi Cung Ứng
Các nhà sản xuất cũng cần phải ý thức được mối nguy từ các lỗ hổng và điểm yếu trong chuỗi cung ứng. Mặc dù việc các vụ tấn công chuỗi cung ứng chỉ chiếm một lượng vô cùng nhỏ trong tổng số các vụ tấn công trên toàn cầu, chúng thường gây thiệt hại nặng nề nhất.
Chúng ta có thể kể đến vụ tấn công NotPetya khét tiếng. Các bản cập nhận bị cài trojan thông qua phần mềm MeDoc được sử dụng để tiến hành cuộc tấn công, từ đó lây nhiễm sang máy tính cá nhân và các công ty trên khắp thế giới. Chiếm quyền cập nhật phần mềm và sử dụng chúng như một cơ chế truyền tải cho thấy những kẻ tấn công đã lên kế hoạch định vị và hành động một cách cẩn thận. Bên cạnh đó, việc phần lớn các doanh nghiệp của Ukraina sử dụng phần mềm kế toán MEDoc cho thấy rất có khả năng vụ tấn công được thực hiện bởi chính phủ Nga.
Việc nhắm vào các chứng chỉ số, đặc biệt là của các nhà sản xuất công nghệ đang trở thành một kĩ thuật thường thấy được sử dụng bởi những kẻ tấn công. Nếu được thực hiện một cách cẩn thận, như NotPetya, kĩ thuật này giúp gia tăng khả năng xâm nhập vào mạng lưới mà không bị phát hiện bằng cách mạo danh những sản phẩm hợp pháp và chèn phần mềm độc hại (malware) vào trong những bản cập nhật phần mềm hợp pháp.
Các nhà sản xuất có thể làm gì để tự bảo vệ mình?
Điều đầu tiên, các nhà sản xuất nên thử nghiệm và đánh giá lại toàn bộ hệ thống bảo mật nhằm xác định và định lượng mức độ đe dọa họ đang gặp phải. Họ có thể thuê một đối tác chuyên gia về an ninh mạng để có thể thực hiện kiểm thử bảo mật truyền thống nhằm kiểm định khả năng bảo mật của network của các nhà sản xuất trong bối cảnh một cuộc tấn công thực tế một cách an toàn. Đây là một bước đi vô cùng hữu ích trong việc đạt được một sự đánh giá toàn diện về khả năng phòng thủ của tổ chức, các chính sách bảo mật cũng như kiến trúc hệ thống.
Triển khai hoặc tăng cường ghi nhật kí (logging), áp dụng biện pháp xác thực đa yếu tố (MFA), quản lí quyền của người dùng hay tích hợp khả năng bảo mật điểm đích là một số phương pháp cụ thể mà các công ty sản xuất có thể thực hiện nhằm đảm bảo an toàn trước các cuộc tấn công. Kiểm soát bảo vệ hiệu quả đóng vai trò tối quan trọng và cần phải áp dụng xác nhận đa yêu tố đối với mọi truy cập công cộng. Cách tốt nhất là truy cập của những người quản trị cần sử dụng danh sách trắng (whitelist) MFA và IP từ địa chỉ công ty. Việc giám sát, xem xét quyền người dùng, hoạt động và cấu hình đặc quyền thường xuyên cũng vô cùng quan trọng để đạt được bảo vệ an ninh mạng vững chắc.
Bổ sung bản vá vào các tài sản bị tổn hại ngay khi chúng sẵn sàng nên được trở thành ưu tiên thứ hai đối với tất cả phòng ban Công nghệ thông tin. Bản vá thường bị bỏ qua bởi những lo ngại ảnh hưởng tới tính liên tục trong kinh doanh nhưng đây lại là điều vô cùng cần thiết. Nếu bản vá không thể thực hiện được vì lí do có thể làm gián đoạn quá trình sản xuất hoặc kinh doanh, hoặc phá vỡ những liên kết quan trọng, các công ty cần phải có các biện pháp kiểm soát thay thế. Thêm vào đó, các bản vá từ bên thứ ba nên được thử nghiệm trên hệ thống độc lập một cách có kiểm soát trước khi được đưa ra môi trường thực tế. Các nhà sản xuất cần lưu ý rằng bất cứ công nghệ, biện pháp hay quy trình tự động nào đều đươc tạo ra để bảo vệ, phát hiện và phản ứng với các cuộc tấn công mạng một cách hiệu quả. Chỉ có con người chính là mắt xích yếu nhất. Các tội phạm an ninh luôn tìm ra cách mới để có thể khai thác điểm yếu về con người. Một ví dụ điển hình là trường hợp Mia Ash. Vào năm ngoái, các nhà nghiên cứu bảo mật đã theo dõi các chiến dịch lừa đảo bị tình nghi được thực hiện bởi một nhóm thù địch có trụ sở ở Iran dưới cái tên COBALT GYPSY, nhắm vào các công ty (phần lớn là công ty sản xuất) ở Trung Đông và Bắc Phi. Sau những nỗ lực lừa đảo không thành công, nhóm này đã phát động một chiến dịch kỹ thuật xã hội vô cùng tinh vi. Chúng đã tạo một hồ trợ giả mạo trên các phương tiện truyền thông với cái tên Mia Ash – một nhiếp ảnh gia tại London – với mục địch kết bạn với những nhân viên trong công ty mục tiêu thông qua mạng xã hội LinkedIn. Sau nhiều tuần tương tác trên mạng với đối tượng và chiếm được lòng tin, nhóm này đã gửi một email chứa các phần mềm đính kèm mã độc và kết cục thì có lẽ ai trong chúng ta cũng đoán ra.
Chính vì thế các nhà sản xuất cần ưu tiên nhận thức về an ninh mạng của nhân viên. Hiện nay nhiều đội Công nghệ thông tin không có hỗ trợ nội bộ đúng đắn để giúp họ hiểu và ứng dụng thành công những thay đổi cần thiết nhằm tăng cường khả năng phòng thủ mạng và khắc phục những lỗi về con người. Đây là lí do tại sao các công ty chuyên về an ninh mạng là một đối tác quý giá với bất kì công ty sản xuất nào muốn cải thiện hệ thống phòng thủ an ninh và cũng đang gặp khó khăn trong việc tìm kiếm tài năng cho vị trí còn trống. Các chuyên gia có thể giúp các nhà sản xuất áp dụng hệ thống an ninh mạng tốt nhất và đảm bảo những công nghệ thiết yếu như giải pháp sao lưu ngoại tuyến linh hoạt và các quy trình như phát triển và thường xuyên thực hiện kế hoạch ứng phó với sự cố trong công ty.
Bảo vệ cho tương lai
Chúng ta chắc chắn sẽ tiếp tục chứng kiến sự gia tăng các cuộc tấn công mang tính quốc gia khi đang dần bước vào kỉ nguyên của tự động hóa và nhà máy thông minh. Những kẻ tấn công không chỉ cố gắng thâm nhập vào các lỗ hổng mới thông qua việc triển khai các thiết bị IoT mà còn cố gắng phát động các cuộc tấn công gây hậu quả thực tế. Chỉ vừa mới năm ngoái, một công ty sản xuất hóa dầu của Ả-rập Xê-út đã bị tấn công bởi phần mềm độc hại (malware). Phần mềm này đã đánh cắp dữ liệu, làm ngưng trệ toàn bộ hệ thống vận hành và gây ra một vụ nổ với hậu quả thảm khốc. Những phần mềm độc hại nhắm vào hệ thống quản lí công nghiệp của nhà máy và được thiết kế để ngăn chặn mọi thiết bị tự động ngoài các điều kiện hoạt động an toàn và ghi đè mã ban đầu của máy.
Các nhà máy sản xuất ngày nay đã có đa dạng các cảm biến để giám sát hao mòn máy móc, nhiệt độ, độ rung hoặc làm mát giảm thiểu thời gian chết. Tuy nhiên, thiết bị này không được lập trình để giám sát các lần đăng nhập thất bại hoặc xâm phạm và đánh cắp dữ liệu. Chính vì vậy, các nhà sản xuất phải bắt đầu đảm bảo rằng kiểm tra an ninh phù hợp luôn sẵn sàng trước khi thiết bị này được đưa tới khu vực sản xuất.
Ngành công nghệ cũng như các mối đe dọa ngày càng phát triển, và các nhà lãnh đạo sản xuất cần phải bắt kịp điều đó. Những kẻ tấn công liên tục đổi mới, nâng cao tay nghề và ngày càng được trang bị tốt hơn khiến các nhà sản xuất không thể lờ đi mối nguy bị chiếm mất IP giá trị cao hay phá hoại cơ sở hạ tầng IT và OT nữa. Sự phức tạp trong việc nhận thức mạng không còn được chấp nhận như một lời bào chữa khi xảy ra một vụ tấn công quy mô. Các nhà sản xuất giờ đây phải thực hiện đúng quy trình nhằm tránh các khoản tiền phạt đắt đỏ, đình trệ trong sản xuất hoặc tổn hại danh tiếng và vốn – trước khi quá muộn.
