Đăng ký thành viên

Sáu bước để đạt được độ dẻo dai an ninh mạng cho các công ty điện lực

Bài viết này khuyến cáo một bộ sáu nguyên tắc cốt lõi để xây dựng một cơ sở hạ tầng lưới điện có độ dẻo dai an ninh mạng và vượt qua các ràng buộc của thị trường năng lượng hiện đại.

Khi các trạm biến áp, thiết bị tự động hóa phân phối và các cơ sở năng lượng tái tạo kết nối lại với nhau sẽ làm gia tăng bề mặt tấn công và tăng nguy cơ bị tấn công mạng (Ảnh st)

Trong khi thế giới vật lộn với nhu cầu năng lượng gia tăng, xu hướng chuyển sang năng lượng tái tạo và các mối đe dọa ngày càng tăng của biến đổi khí hậu, các công ty điện lực trên toàn cầu đang gấp rút hiện đại hóa cơ sở hạ tầng lưới điện của họ.

Xây dựng các mạng lưới điều khiển hiện đại là rất quan trọng trong việc hỗ trợ các nguồn năng lượng phi tập trung, cân bằng các phụ tải lưới điện và đảm bảo cấp điện không gián đoạn cho tất cả mọi người. Điều này không chỉ đơn thuần là duy trì nguồn điện, nó còn liên quan đến an toàn công cộng và độ dẻo dai về kinh tế.

Thế nhưng, trong khi thế giới kết nối các trạm biến áp, thiết bị tự động hóa phân phối và các cơ sở năng lượng tái tạo với nhau, bề mặt tấn công cũng tăng lên, làm tăng nguy cơ bị tấn công mạng.

Hiện đại hóa lưới điện đòi hỏi các công nghệ không những có khả năng đơn giản hóa các thao tác mạng lưới trên quy mô lớn mà còn giúp bảo vệ các công ty điện lực khỏi các mối đe dọa an ninh mạng và đảm bảo sự phù hợp với các quy định an ninh mạng nghiêm ngặt, chẳng hạn như NERC CIP ở Bắc Mỹ và NIS2 ở Châu Âu.

Trong hơn 20 năm qua, Công ty Cisco (Mỹ) đã giúp nhiều công ty điện lực số hóa hoạt động của họ một cách an toàn. Khi giúp nhiều công ty điện lực xây dựng cơ sở hạ tầng lưới điện ban đầu, Cisco đứng ở vị trí ưu tiên để quan sát họ đối mặt với các ràng buộc về nối mạng mới và các mối đe dọa an ninh mạng.

Thông qua các cuộc thảo luận, Cisco đã nhận dạng sáu bước quan trọng yêu cầu để xây dựng các lưới điện dẻo dai về an ninh mạng.

Bước 1: Nối mạng tiên tiến là rất quan trọng để đảm bảo độ tin cậy của lưới điện

Để thích ứng với các loại kết nối di động khác nhau trên mạng lưới, điều cốt yếu là phải có năng lực thay đổi các giao diện WAN trên các bộ định tuyến mà không cần thay thế toàn bộ thiết bị (Ảnh st)

Kết nối hàng chục nghìn hệ thống lưới điện thông minh trên nhiều khu vực đô thị cũng như nông thôn đòi hỏi tính năng cấp doanh nghiệp, an ninh và độ bền công nghiệp tin cậy. Các khóa chuyển mạch bền chắc có tính năng cao và các bộ định tuyến di động là thiết yếu để đáp ứng các nhu cầu của mạng lưới điện lực phân tán theo địa lý.

Để thích ứng với nhiều loại kết nối di động khác nhau trên mạng lưới này, điều quan trọng là phải có năng lực sửa đổi giao diện WAN trên các bộ định tuyến mà không cần thay thế toàn bộ thiết bị này. Điều này đảm bảo các bộ định tuyến có thể thích ứng khi nhu cầu và công nghệ tiến hóa, từ LTE riêng đến 5G riêng và hơn thế nữa. Và khi các bộ định tuyến này cung cấp quyền truy cập mạng lưới, các bộ định tuyến cũng cần đóng vai trò là các tường lửa để bảo vệ cơ sở hạ tầng điện lực quan trọng.

Các năng lực chính bao gồm:

• Tường lửa thế hệ tiếp theo (NGFW) với khả năng nhận biết ứng dụng để lọc lưu lượng theo thời gian thực và nhận dạng và kiểm soát các ứng dụng.
• Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) để nhận dạng và ngăn chặn các mối đe dọa cũng như các hoạt động độc hại đã biết.
• Bảo vệ phần mềm độc hại nâng cao để nhận dạng và ngăn chặn các mối đe dọa đã biết cũng như chưa biết từ các tệp độc hại.
• Lọc URL để chặn hoặc cho phép người dùng truy cập các URL dựa trên các danh sách cho phép hoặc danh sách chặn, uy tín hoặc các chủng loại web.
• Bảo mật DNS để ngăn chặn các tài sản bị nhiễm độc không cho tiếp xúc với các máy chủ độc hại.
• Quản lý tập trung để thống nhất các chính sách bảo mật và đơn giản hóa việc bảo vệ các thiết bị lưới điện thông minh trên quy mô lớn.

Các yêu cầu đặc thù của vận hành lưới điện yêu cầu có các khóa chuyển mạch và bộ định tuyến chuyên dụng với các tính năng như:

• Chứng nhận IEC 61850-3 và IEEE 1613 để triển khai an toàn trong các cơ sở hạ tầng điện lực.
• Các lựa chọn dải kim loại trượt theo tiêu chuẩn DIN⁽¹⁾ của Đức có khả năng kết nối các thiết bị điện tử thông minh (IED) cáp quang và đồng.
• Nguồn thời gian có độ chính xác cao để đồng bộ hóa các hoạt động và đảm bảo sự ổn định của lưới điện.
• Khả năng mở rộng dễ dàng để tăng mật độ cổng và quản lý đơn giản hơn.
• Cấp nguồn qua Ethernet (POE) để cấp điện cho các thiết bị trong không gian hạn chế.

Bước 2: Biết rõ những gì đang kết nối với cơ sở hạ tầng lưới điện

Các công ty cần phải biết chính xác những gì đang kết nối với mạng cục bộ và theo dõi các hoạt động truyền thông của chúng (Ảnh st)

Bảo vệ các kết nối bên ngoài với các hoạt động lưới điện cũng quan trọng như bảo vệ khỏi các mối đe dọa từ các tài sản đã kết nối. Một trong những thách thức lớn nhất là biết chính xác những gì đang kết nối với mạng lưới cục bộ và theo dõi các hoạt động truyền thông.

Các quy định thường yêu cầu các công ty điện lực phải có khả năng hiển thị toàn diện tài sản của họ để giảm bề mặt tấn công và phát hiện các hành vi bất thường.

Việc duy trì một danh mục tài sản cập nhật liên tục cũng rất quan trọng để xây dựng các chính sách bảo mật hiệu quả. Danh mục này cần bao gồm các chi tiết như loại thiết bị, thông tin nhà cung cấp, số seri và các phiên bản phần mềm. Công nghệ tự động thu thập thông tin này hiện đã có sẵn. Thanh tra sâu gói dữ liệu (DPI) giúp trích xuất dữ liệu từ các luồng truyền thông để tránh việc cập nhật thủ công tốn nhiều công sức và dễ xảy ra sai sót.

Tuy nhiên, đa số các giải pháp hiển thị yêu cầu bạn lắp đặt các thiết bị chuyên dụng tại mỗi địa điểm hoặc sao chép lưu lượng mạng để gửi đến một thiết bị trung tâm để phân tích. Điều này có thể nhanh chóng trở nên quá tốn kém và phức tạp trong triển khai và quản lý. Trong các mạng lưới điện, điều này có thể không thực tế do đôi khi không có không gian có sẵn để lắp đặt thêm tại các địa điểm nhỏ từ xa, hoặc kết nối WAN nhiều khi dựa trên các mạng lưới backhaul⁽²⁾ đắt đỏ như các liên kết bằng vệ tinh hoặc di động.

Khi bạn đánh giá các giải pháp an ninh lưới điện, hãy nhận biết các tác động về mặt kiến trúc của chúng. Tích hợp các năng lực hiển thị vào trong thiết bị mạng lưới là lựa chọn tốt nhất để đơn giản hóa việc triển khai, khiến nó dễ dàng mở rộng quy mô và cho phép bạn thấy nhiều hơn. Hãy tìm kiếm các khóa chuyển đảo và bộ định tuyến công nghiệp có năng lực điện toán để thực hiện DPI (thanh tra sâu) các giao thức lưới điện.

Bước 3: Áp dụng chiến lược Zero-Trust

Zero-trust đảm bảo rằng không cấp quyền truy cập mạng lưới mặc định cho bất kỳ thiết bị nào, bất kể thiết bị đó đến từ bên trong hay bên ngoài tổ chức (Ảnh st)

Đảm bảo an toàn mọi cổng của thiết bị kết nối trường của bạn là yếu tố then chốt. Zero-trust là nguyên tắc an ninh thiết yếu trong công nghệ thông tin doanh nghiệp và cũng áp dụng cho lĩnh vực các thiết bị lưới điện thông minh. Cách tiếp cận bảo mật này đảm bảo rằng không cấp quyền truy cập mạng mặc định cho bất kỳ thiết bị nào, bất kể thiết bị đó đến từ bên trong hay bên ngoài tổ chức. Mọi thiết bị đều phải trải qua quá trình xác thực trước khi kết nối vào mạng lưới.

Quyền truy cập mạng lưới điện thông minh cần giới hạn ở các thiết bị cụ thể, đã cấp phép, trong khi tất cả các thiết bị khác bị từ chối truy cập theo mặc định. Chiến lược này ngăn chặn hiệu quả việc truy cập trái phép và phải tích hợp vào thiết bị nối mạng để bảo vệ hạ tầng điện.

Tại châu Âu, Chỉ thị An ninh mạng 2 (NIS2) đang đưa Zero-trust trở thành yêu cầu pháp lý quan trọng. Hơn nữa, các nguyên tắc Zero-trust còn bao gồm việc theo dõi liên tục các truyền thông để xác minh tính tin cậy và cách ly thiết bị đã bị xâm nhập.

Bước 4: Sử dụng phân đoạn mạng lưới để giảm thiểu rủi ro

Phân đoạn mạng lưới đóng vai trò quan trọng trong việc kiểm soát luồng dữ liệu giữa các phần khác nhau của hệ thống (Ảnh st)

Một khi cấp quyền truy cập cho một thiết bị, các nhà vận hành lưới điện phải đảm bảo rằng thiết bị đó chỉ truyền thông với các nguồn lực thiết yếu để thực hiện chức năng của nó, do đó giảm thiểu rủi ro nếu hệ thống bị tấn công.

Phân đoạn mạng đóng vai trò quan trọng trong việc kiểm soát luồng dữ liệu giữa các phần khác nhau của hệ thống. Ví dụ như, nó có thể tách biệt các hệ thống giám sát bằng video khỏi bộ điều khiển phân phối điện để ngăn chặn truyền thông giữa chúng.

Cách tiếp cận này giúp ngăn chặn lưu lượng độc hại lây lan giữa các hệ thống, bằng cách đó giảm thiểu tác động của một cuộc tấn công mạng.

Bước 5: Cung cấp quyền tiếp cận an toàn từ xa dễ sử dụng

Cho phép tiếp cận từ xa các trạm biến áp rất phân tán, các cơ sở phân phối và sản xuất năng lượng tái tạo là thiết yếu để cắt giảm chi phí vận hành và các hiệu ứng dây chuyền của các vụ mất điện lên độ tin cậy dịch vụ và an toàn hệ thống. Các cổng do các nhà cung cấp hoặc nhà thầu lắp đặt khiến việc kiểm soát ai đang kết nối và những gì họ có thể tiếp cận trở nên khó khăn. Các giải pháp dựa trên VPN (mạng tư nhân ảo) cũng có thể rất phức tạp trong việc quản lý ở quy mô lớn.

Cho dù các đội vận hành cần cấp quyền tiếp cận cho các bên thứ ba hay muốn giúp các kỹ thuật viên của họ dễ dàng quản lý thiết bị kết nối, họ cần một giải pháp tiếp cận từ xa dễ triển khai và hết sức an toàn.

Các nhà vận hành điện lực đang bắt đầu triển khai các giải pháp Zero Trust Network Access (Tiếp cận Mạng lưới Không tin cậy - ZTNA) để đơn giản hóa quy trình tiếp cận từ xa. Người dùng từ xa đăng nhập vào một cổng thông tin duy nhất, nơi xác định và thực thi các chính sách truy cập cho toàn bộ cơ sở hạ tầng, khiến cho việc kiểm soát quyền tiếp cận và xác định các chứng thư để xử lý các trường hợp khẩn cấp trở nên dễ dàng. Cổng thông tin này truyền thông với các bộ định tuyến và các khóa chuyển mạch trong hạ tầng để đảm bảo rằng người dùng từ xa chỉ được cấp quyền tiếp cận các thiết bị họ cần phải cấu hình, thay vì toàn bộ mạng lưới.

Bước 6: Không tự làm mà hãy sử dụng các thiết kế mạng đã kiểm chứng

Khi lập kế hoạch tăng cường bảo mật cho mạng lưới điện, hãy đảm bảo sử dụng các thiết kế tham chiếu để đơn giản hóa quá trình triển khai và khai thác các lợi ích của các công nghệ an ninh mạng mới nhất.

Cisco cung cấp các hướng dẫn thiết kế và triển khai đã thử nghiệm và xác thực về an ninh lưới điện, tự động hóa phân phối, tự động hóa năng lượng tái tạo và trạm biến áp. Các thiết kế đã xác minh này mang lại độ tin cậy đã kiểm chứng và giảm thiểu rủi ro triển khai nhờ vào quá trình thử nghiệm về nhiều mặt của chúng, giúp đảm bảo tính linh hoạt và khả năng mở rộng.

Và chúng có nền tảng nối mạng là bảo mật trong thiết kế và xây dựng.

Xây dựng một hạ tầng lưới điện dẻo dai về an ninh mạng

Như đã khảo sát kỹ trong bài viết này, các bước quan trọng để xây dựng một hạ tầng lưới điện dẻo dai về an ninh mạng và vượt qua những thách thức của thị trường năng lượng hiện đại đã đi đến một tập hợp cốt lõi các nguyên tắc quan trọng sau:

• Kết nối an toàn thiết bị lưới điện thông minh với khả năng kết nối tính năng cao, dẻo dai, bao gồm cả bảo vệ tường lửa.
• Duy trì một danh mục cập nhật tất cả các thiết bị kết nối để theo dõi vị thế bảo mật và xây dựng các chính sách bảo mật chi tiết.
• Triển khai các chính sách zero-trust (không tin tưởng) để ngăn chặn không cho các thiết bị chưa xác minh truy cập vào mạng.
• Phân đoạn mạng lưới để giới hạn truyền thông giữa các thiết bị, ngăn chặn không để các cuộc tấn công lan rộng và gây gián đoạn sản xuất và phân phối điện.
• Triển khai truy cập từ xa với nguyên tắc "ít đặc quyền nhất", chỉ cho phép các cá nhân đáng tin cậy truy cập các thiết bị họ cần để bảo trì hoặc nâng cấp.
• Sử dụng quản lý tập trung để kiểm soát có thể mở rộng các chính sách an ninh trên toàn hệ thống.

1: DIN-rail: Loại thanh kim loại theo tiêu chuẩn DIN (Đức) sử dụng để lắp thiết bị điện và tự động hóa công nghiệp trong tủ điện hoặc bảng điều khiển.

2: Mạng backhaul là phần của hệ thống viễn thông hoặc mạng truyền tải dùng để kết nối mạng truy cập (access network) với mạng lõi (core network) hoặc trung tâm dữ liệu, đóng vai trò trung gian truyền tải dữ liệu từ các thiết bị đầu cuối, trạm phát sóng, trạm biến áp hoặc cảm biến IoT về trung tâm điều khiển hoặc hệ thống xử lý dữ liệu

Biên dịch: Phạm Gia Đại

Theo “smart-energy”, tháng 12/2024