Khi các tổ chức nói về việc triển khai các biện pháp bảo mật cho hệ thống SCADA của họ, “hầu hết mọi người đều muốn mọi thứ được bảo mật hoàn toàn,” Kevin McClusky, đồng giám đốc kỹ thuật bán hàng tại Inductive Automation cho biết. Nhưng việc quyết định hình thức “được bảo mật hoàn toàn” đối với một tổ chức sẽ phụ thuộc vào nhu cầu và nguồn lực cụ thể, từ ngân sách sẵn có, phần mềm và phần cứng hiện có cho đến rủi ro bảo mật thực tế.
Mặc dù hoàn cảnh tổ chức có thể khác nhau, nhưng các phương pháp hay nhất này có thể hướng dẫn bất kỳ tổ chức nào đang tìm cách tăng cường bảo mật của họ. Mỗi bước được xây dựng dựa trên những bước trước đó, vì vậy hãy cân nhắc thực hiện theo thứ tự tuần tự.
1. Sơ đồ hóa tất cả kết nối của hệ thống mạng
Việc tạo một sơ đồ hiển thị tất cả kết nối mạng giữa Bộ điều khiển logic lập trình (PLC), thiết bị, hệ thống phần mềm bên ngoài và nền tảng HMI / SCADA / MES / IIoT mà bạn đã chọn là nền tảng để đưa ra quyết định thông minh. “Hãy coi đây là mục cho phép bạn có hình ảnh về tình hình an ninh của bạn tại thời điểm hiện tại. Nó cho bạn biết đâu là điểm yếu và đâu là yếu tố tấn công tiềm ẩn từ những kẻ xấu cố gắng xâm nhập vào hệ thống nói chung
Trong khi một số công cụ bảo mật có thể tự động hóa sơ đồ này, McClusky vẫn khuyên bạn nên tạo sơ đồ theo cách thủ công. McClusky nói: “Không có gì bằng việc bạn làm bẩn tay để hiểu các kết nối của bạn và cách mọi thứ hoạt động bên trong hệ thống.
2. Mã hóa mọi kết nối không được mã hóa
Nếu bất kỳ kết nối nào không được mã hóa, hãy đảm bảo rằng quyền truy cập vào mạng đó được bảo mật. Các kết nối cơ sở dữ liệu có thể dễ mã hóa, trong khi kết nối PLC có thể khó. Kiểm tra tường lửa hiện có và quyết định kết nối nào nên được mã hóa.
Để đảm bảo dữ liệu được truyền được giữ an toàn, Ewon VPN Router gateway hỗ trợ SSL / TLS giữ an toàn cho các kết nối internet bằng cách bảo vệ mọi dữ liệu nhạy cảm được chia sẻ giữa hai hoặc nhiều bên qua một mạng không an toàn. Các thuật toán mật mã xáo trộn dữ liệu trong quá trình truyền tải, do đó ngăn chặn những kẻ xấu đọc hoặc sửa đổi bất kỳ thông tin nào đang được chuyển.
3. Đầu tư vào Hệ thống phát hiện xâm nhập (IDS)
Có IDS cho mạng điều khiển cho phép dễ dàng phát hiện truy cập trái phép vào mạng. Nếu IDS thậm chí còn có giá trị hơn khi có lưu lượng truy cập không được mã hóa qua mạng, vì nó có thể là một phần quan trọng của bảo mật. Hãy nhớ rằng IDS sẽ không phát hiện ra thứ gì đó giống như vòi mạng có thể đọc dữ liệu không được mã hóa.
4. Xem xét một Diode dữ liệu
Đối với các mạng cực kỳ nhạy cảm không cần dữ liệu bên ngoài, hãy xem xét sử dụng một diode dữ liệu, diode này chỉ cho phép dữ liệu đi ra ngoài mạng, nhưng không chảy vào đó, do đó cắt đứt một vectơ tấn công chính. Mặc dù điều này có thể không liên quan đến tất cả mọi người, nhưng một diode dữ liệu có thể đảm bảo không có thông tin liên lạc từ bên ngoài đến một phần thiết bị cụ thể.
5. Xác định lại khẩu vị rủi ro của bạn.
Các tổ chức có thể dành quá nhiều thời gian và tiền bạc để thực hiện các thủ tục bảo mật, phân lớp nỗ lực bảo mật hơn nỗ lực bảo mật và một số trong số đó có thể là không cần thiết. Để giúp quyết định điều gì là “đủ an toàn” cho mỗi tổ chức, McClusky đưa ra một phép tương tự: hãy nghĩ về các thủ tục bảo mật cho hệ thống SCADA giống như các biện pháp an ninh được thêm vào một ngôi nhà. Chúng phải phù hợp với rủi ro thực tế đối với tổ chức của bạn.
“Nếu bạn đang ở trong nhà của bạn, và bạn có muốn 1 bức tường bê tông dày 1m xung quanh ngôi nhà của bạn? câu trả lời tất nhiên là Không. Nhưng nếu hỏi bạn có muốn ngôi nhà của bạn được an toàn không? thì câu trả lời là Có, ”McClusky nói. “Bạn có thể tiếp tục xếp lớp bảo mật và trở thành Fort Knox về bảo mật, nhưng nó có đáng để đầu tư không?”
6. Hiểu các tùy chọn và giới hạn của phần mềm và phần cứng
Mặc dù có một số ngoại lệ, nhưng nhiều PLC hiện đại không có các công cụ bảo mật được tích hợp bên trong chúng, McClusky nói. Nếu phần cứng hoặc phần mềm của bạn không thực hiện mã hóa ngay lập tức, bạn sẽ cần trang bị thêm chúng để mã hóa đúng vị trí.
McClusky nói: “Nếu bạn không biết các tùy chọn khi mua phần cứng, thì không có cách nào để thực hiện tốt công việc bảo mật của bạn. Để ngăn chặn việc trang bị thêm phần mềm và phần cứng, hãy để ý số lượng thiết bị, PLC và sản phẩm ngày càng tăng.
7. Sử dụng xác thực hai yếu tố hoặc đa yếu tố (MFA / 2FA) và đăng nhập một lần (SSO)
Với khả năng truy cập từ xa vào hệ thống SCADA của bạn thông qua giải pháp ewon VPN Remote Access, các tổ chức có thể cho phép truy cập nhiều hơn vào dữ liệu hệ thống hơn bao giờ hết, từ mọi nơi và trên mọi thiết bị. Tuy nhiên, quyền truy cập rộng hơn có thể dẫn đến rủi ro bảo mật lớn hơn trong trường hợp thông tin đăng nhập của ai đó bị xâm phạm.
Sử dụng đăng nhập một lần (SSO) cho phép người dùng sử dụng một bộ thông tin xác thực để truy cập nhiều ứng dụng. Điều này có thể hợp lý hóa quy trình đăng nhập cho người dùng cũng như giúp giám sát hoạt động của người dùng dễ dàng hơn. Xác thực hai yếu tố hoặc đa yếu tố (MFA / 2FA) yêu cầu người dùng nhập nhiều yếu tố nhận dạng để có quyền truy cập vào hệ thống.