Các nhà máy điện hạt nhân chuẩn bị cho các cuộc tấn công không gian mạng

Nation'snuclear power plants prepare for cyberattacks

ByMartin Matishak, Global Security Newswire 08/30/2010

Theo:http://www.nextgov.com/nextgov/ng_20100830_2807.php

Bàiđược đưa lên Internet ngày: 30/08/2010

Lờingười dịch: Có những cảnh báo về an ninhkhông gian mạng đối với các nhà máy điện nguyên tửnói chung, các lưới điện nói riêng tại Mỹ từ nhữngchuyên gia hàng đầu về an ninh và các ủy ban chịu tráchnhiệm về đảm bảo an ninh hệ thống điện thông qua cácqui định pháp luật của nước Mỹ, đại loại như: “Nếutôi vào được một nhà máy nhiệt điện, thứ tồi tệnhất mà tôi sẽ làm là gây ra một sự cúp điện. Nếutôi vào được một nhà máy điện nguyên tử, thì tôi cóthể gây ra một vụ Chernobyl”, hay có thể mất thờigian để đảm bảo an ninh cho một số các mạng điệnquốc gia vì “chúngkhông bao giờ được thiết kế để có an ninh cả”.Còn mạng điện quốc gia của Việt Nam thì được bảovệ an ninh bằng cách nào nhỉ?

Mốiđe dọa đối với các hệ thống số tại các nhà máyđiện nguyên tử của quốc gia đang được xem xét, nhưngkhu vực này được chuẩn bị tốt để phòng vệ chốnglại các cuộc tấn công không gian mạng có tính phá hủytiềm tàng hơn hầu hết các trang bị khác, theo các quanchức và các chuyên gia của chính phủ và giới côngnghiệp.

Cáccuộc tấn công không gian mạng ngày càng trở thành nguồncủa mối lo trong những năm gần đây nhưng những mối đedọa này đã được nhấn mạnh vào tháng 07 bằng sựphát hiện lần đầu tiên của mã độc đặc biệt đượchình thành để tấn công các hệ thống mà hướng trựctiếp vào những hoạt động bên trong của các nhà máycông nghiệp. Ngày nay phần mềm độc hại được nghĩ rađể lây nhiễm hơn 15,000 máy tính trên thế giới, hầuhết là tại Iran, Indonesia và Ấn Độ.

Vấnđề là quan trọng sống còn cho các trang thiết bị điệnnguyên tử mới mà có thể được xây dựng tại nướcMỹ và trên khắp thế giới như những phòng kiểm soátcó thể triển khai các hệ thống số để vận hành cácnhà máy này. Những công cụ và hệ thống thời thượngnày làm cho chúng trở thành những mục tiêu của bọn tintặc.

Mộtnữ phát ngôn của Ủy ban Điều chỉnh pháp luật vềNguyên tử của Mỹ đã từ chối nói liệu đã có bấtkỳ cuộc tấn công nào vào các trang thiết bị điện haychưa, liệu có “thông tin nhạy cảm” nào và vì thếkhông được đưa ra công khai hay chưa, bà nói.

Đãtừng có những cuộc tấn công không gian mạng tới nayvào các trang thiết bị nguyên tử của Mỹ, theo DougWal-ters, phó chủ tịch các vấn đề điều chỉnh pháp lýtại Viện Năng lượng Nguyên tử, một tổ chức làmchính sách của nền công nghiệp các công nghệ hạt nhânvà điện.

Thethreat to digital systems at the country's nuclear power plants isconsiderable, but the sector is better prepared to defend againstpotentially devastating cyberattacks than most other utilities,according to government and industry officials and experts.

Cyberattackshave been an increasing source of concern in recent years but thethreat was highlighted in July by the first discovery of maliciouscode specifically formulated to target the systems that direct theinner operations of industrial plants. To date the malware is thoughtto have infected more than 15,000 computers worldwide, mostly inIran, Indonesia and India.

Theissue is critically important for new nuclear power facilities thatwould be built in the United States and throughout the world ascontrol rooms would employ digital systems to operate the plants.Those state-of-the-art instruments and systems make them targets forhackers.

AU.S. Nuclear Regulatory Commission spokeswoman declined to saywhether there have been any cyber strikes against the nation'snuclear power sector. Security events, including a computer-basedattack at an energy facility, would be "sensitive information"and therefore not released to the public, she said.

Therehave been no cyberattacks to date on U.S. nuclear facilities,according to Doug Wal-ters, vice president of regulatory affairs atthe Nuclear Energy Institute, a policy organization of the nuclearpower and technologies industry.

Cáccuộc tấn công không gian mạng là “không khác gì so vớinhững hoạt động quân sự khác, trong đó các lưới điệnthường là mục tiêu cho đám du kích và quân đội. Đâylà thứ gì đó mà họ thường cố gắng tấn công nếuhọ rơi vào xung đột”, James Lewis, một người lâu nămtại Trung tâm Chiến lược và Nghiên cứu Quốc tế, nóitrong một cuộc phỏng vấn vào tuần trước.

Nhữngchủ nhân và những người vận hành các nhà máy điệnnguyên tử “được khuyến khích về lâu dài phải nghĩvề an ninh và đặt nhiều nỗ lực vào đó hơn là nhữngdoanh nghiệp dân sự khác”, ông đã nói với tờ GlobalSecurity Newswire. “Câu hỏi là làm cách nào chúng có thểbị tổn thương sao cho ai đó sử dụng sự truy cập từxa để gửi những mệnh lệnh gây thiệt hại và tôinghĩa câu trả lời là chúng thực sự không có thể bịtổn thương”.

Lewisnói các chuyên gia biết các quốc gia khác, có thể có cảNga và Trung Quốc, đã tiến hành nghiên cứu đối vớinhững điểm yếu tiềm tàng trong lưới điện của Mỹvà “chúng ta không biết họ để lại những gì ở phíasau”.

“Mọingười với các nhà máy điện nguyên tử phải là và vìthế là, cẩn thận hơn về điều này vì dễ dàng hơntrong tưởng tượng để nhìn thấy được điều gì xảyra nếu một tin tặc chui được vào một nhà máy điệnnguyên tử”, Martin Libicki, một nhàkhoa học quản lý cao cấp tại RAND Corp, nói. “Nếu tôivào được một nhà máy nhiệt điện, thứ tồi tệ nhấtmà tôi sẽ làm là gây ra một sự cúp điện. Nếu tôivào được một nhà máy điện nguyên tử, thì tôi có thểgây ra một vụ Chernobyl”.

“Tôikhông chắc điều đó đúng nhưng bạn có thể tưởngtượng cách mà điều đó có thể xảy ra trong các phươngtiện và chính trị”, ông bổ sung.

Cyberattacksare "no different f-rom other military activities, in that powergrids are a normal target for guerrillas and militaries. It'ssomething they usually try to attack if they get into a conflict,"James Lewis, a senior fellow at the Center for Strategic andInternational Studies, said during an interview last week.

Nuclearpower plant owners and operators "have been encouraged for along time to think about security and to put a lot more effort intoit than most civilian enterprises," he told GlobalSecurity Newswire."The question is how vulnerable are they so someone using remoteaccess to send damaging commands and I think the answer is they'renot particularly vulnerable."

Lewissaid experts know other nations, possibly including China and Russia,have conducted reconnaissance for potential weak spots in the U.S.power grid and "we don't know what they left behind."

"Peoplewith nuclear power plants ought to be and thus are, more carefulabout this because it's easier in the imagination to envision whathappens if a hacker gets into a nuclear power plant," saidMartin Libicki, a senior management scientist at RAND Corp. "IfI get into a coal-fired power plant, the worst I'm going to do iscause a blackout. If I get into a nuclear power plant, I can cause aChernobyl.

"I'mnot sure that's true but you can imagine how that might play in outin the media and politically," he added.

Antoàn và kiểm soát các hệ thống mà vận hành các nhàmáy điện hạt nhân được tách biệt khỏi Internet vàđược bảo vệ chống lại sự can thiệp từ bên ngoài.Vâng trong một số trường hợp, những hệ điều hành đóvà các hạ tầng sống còn khác là cũ hàng chục năm vàkhông được tách biệt hoàn toàn với các mạng máy tínhđược sử dụng để quản lý các hệ thống quản trị.Những khoảng trống này đưa ra những cổng vào tiềmtàng cho các tin tặc để chèn vào các virus, mã độc vàsâu.

Hơn85% các hạ tầng sống còn của quốc gia được sở hữuvà vận hành bởi các công ty tư nhân, rải từ các nhàmáy điện hạt nhân cho tới các hệ thống giao thông vàchế tạo. Các trang thiết bị điện nguyên tử là mộtmục tiêu như trêu ngươi cho sự phá hoại số vì một sựsụp đổ có thể gây ra một sự kiện dò phóng xạ lớn.

Trongtất cả nền công nghiệp hạt nhân đã chi tới 2.2 tỷUSD trong thập niên gần đây vào những cải tiến đểtránh những lỗ hổng vật lý hoặc không gian mạng, theoWal-ters. Những tiền này đã được chi cho những nâng cấpvề an ninh để đáp ứng được những yêu cầu của Ủyban Điều chỉnh pháp luật Hạt nhân Mỹ, bao gồm các vàochắn các phương tiện giao thông, máy quay, các tườngchống đạn và những công nghệ khác, ông nói.

Thesafety and control systems that operate nuclear power plants areisolated f-rom the Internet and are protected against outsideinvasion. Yet in some cases, those operating systems and othercritical infrastructure are decades old and not completely separatedf-rom computer networks used to manage administrative systems. Thosegaps provide potential gateways for hackers to in-sert viruses,malicious codes and worms.

Asmuch as 85 percent of the nation's critical infrastructure is ownedand operated by private companies, ranging f-rom nuclear power plantsto transportation and manufacturing systems. Atomic energy facilitiesare a tantalizing target for digital sabotage because a meltdowncould result in a major radiological event.

Inall, the nuclear industry has spent roughly $2.2 billion during thelast decade on enhancements to prevent physical or cyber breaches,according to Wal-ters. Those funds paid for security upgrades to meetU.S. Nuclear Regulatory Commission requirements, including vehiclebarriers, cameras, bullet resistant enclosures and other newtechnologies, he said.

Consố đó cũng bao gồm những chi phí cho các nhân viên anninh bổ sung, số lượng của chúng đã gia tăng khoảng60% “ở khắp nơi”.

Ngaysau các cuộc tấn công khủng bố ngày 11/09, ủy ban điềuchỉnh pháp luật, cơ quan mà xem xét các nhà máy điệnnguyên tử của quốc gia, đã đặt ra một loạt các lệnhyêu cầu 104 giấy phép của mình phải tăng cường nhữngnỗ lực an ninh chung của họ, bao gồm bảo vệ vật lý,trách nhiệm cá nhân và phòng vệ không gian mạng, Wal-tersnói. Một năm sau ủy ban lần đầu tiên đã ra lệnh rằngcác cuộc tấn công không gian mạng sẽ được đưa vàodanh sách các mối đe dọa mà các nhà máy phải có khảnăng chống lại.

Tháng03/2009 ủy ban này đã hé lộ một điều luật yêu cầucác nhà máy điện hoàn chỉnh các kế hoạch an ninh khônggian mạng mà có thể bảo vệ chống lại một “mối đedọa được thiết kế cơ bản”, theo Rich Correia, ngườiđứng đầu Đơn vị Chính sách An ninh của cơ quan này.Các kế hoạch có thể là những phê chuẩn cho các giấyphép sử dụng để vận hành các lò phản ứng hạt nhân.Mối đe doạ được thiết kế cơ bản là “khá nhiềunhững gì mà ủy ban đã xác định một lực lượng anninh tư nhân phải có khả năng để kháng cự lại”,Correia nói. “Vì các nhà máy điện được quản lý bởicác thực thể tư nhân, chúng tôi không thể mong đợi họkháng cự lại được so với của quốc gia”.

Chỉthị này mô tả những hành động nào mà những ngườivận hành các nhà máy phải thực hiện để xác định vàbảo vệ “các tài sản số sống còn”, các hệ thốngmáy tính và các thành phần chủ chốt đối với sự bảovệ các nhà máy mà, nếu bị tổn thương, có thể sinh ramột sự cố dò phóng xạ, ông bổ sung. Một hệ thốngsống còn được xác định như là bất kỳ thứ gì thựcthi hoặc dựa vào đó cho sự an toàn, an ninh và các biệnpháp chuẩn bị khẩn cấp của nhà máy; cung cấp một lộtrình cho một hệ thống mà có thể được sử dụng đểgây tổn thương, một cuộc tấn công, hoặc giảm mức độvận hành, hỗ trợ các hệ thống mà nếu bị tổn thươngcó thể gây ảnh hưởng tồi cho những sự phòng vệ đó;hoặc bảo vệ chống lại bất kỳ cuộc tấn công khônggian mạng nào.

Thatfigure also included expenditures for additional security officers,the number of which has increased by about 60 percent "acrossthe fleet."

Shortlyafter the Sept. 11 terrorist attacks, the regulatory commission, theagency with oversight of the country's atomic energy plants, put outa series of orders requiring its 104 licensees to enhance theiroverall security efforts, including physical protection, personnelreliability and cyber defense, Wal-ters said. A year later thecommission for the first time ordered that cyberattacks be added tothe list of threats sites must be able to defend against.

InMarch 2009 the commission unveiled a rulethat required power plants to complete cyber security plans thatwould protect against a "design basis threat," according toRich Correia, head of the agency's Security Policy Division. Theplans would be amendments to the utility licenses to operate thereactors.

Designbasis threat is "pretty much what the commission has determinedwhat a private security force should be able to defend against,"Correia said. "Since power plants are run by private entities,we couldn't expect them to defend against, say, a nation state."

Thedirective describes what actions site operators must take to identifyand protect "critical digital assets," computer systems andcomponents key to the protection of the plant that, if harmed, couldproduce a radiological incident, he added. A critical system isidentified as any that performs or is relied on for plant safety,security and emergency preparedness; provides a pathway to a systemthat could be used to compromise, attack, or degrade those functions;supports systems that if compromised could adversely impact thosedefenses; or protects against any of those cyberattacks.

“Trongthực tế, chúng tôi chắc chắn rằng chúng tôi có mộtcái lá chắn xung quanh nhà máy vượt ra khỏi những tườnglửa thông thường mà có thể bảo vệ chống lại mộtcuộc tấn công không gian mạng”, Wal-ters nói vào tuầntrước.

Cácgiấy phép đã đệ trình về các kế hoạch an ninh khônggian mạng của họ cho 65 nhà máy điện hạt nhân củaquốc gia cho ủy ban xem xét lại vào tháng 11/2009, Correiađã nói cho GSN. Cơ quan này hy vọng sẽ có các kế hoạchđược phê chuẩn vào mùa xuân năm sau.

Cácnhà vận hành nhà máy điện sau đó nên triển khai cácchương trình này, và 4 văn phòng khu vực của ủy ban điềuchỉnh pháp luật có thể bắt đầu những cuộc thanh sátđể kiểm tra xem chúng có được được sử dụng nhưđược thiết kế ra hay không, ông nói.

Correianói bộ phận của ông đang tiếp tục liên hệ với chinhánh đánh giá đe dọa của ủy ban, mà sẽ đánh giá cácthông tin tình báo từ nhiều cơ quan khác nhau của chínhphủ, để tiến hành bất kỳ thay đổi nào đối vớimối nguy hiểm nhận thức được về không gian mạng.

Ủyban này cũng đặt ra cùng một “lực lượng giả kẻthù” để kiểm thử những sự chuẩn bị số của cácnhà máy điện như một phần của qui trình thanh sát cácnhà máy của NRC, ông bổ sung. Cơ quan này tiến hành nhữngthực tập dạng “lực lượng theo lực lượng” tạicác trang thiết bị để thách thức các tài sản an ninhvật lý của họ. Nhiệm vụ của lực lượng giả kẻthù có thể đưa vào hành động chống lại các hệ thốngvà thành phần số.

Nềncông nghiệp điện nguyên tử của Mỹ cũng đứng ở vịtrí tốt để giải quyết mối đe dọa này vì kích cỡcủa nó, theo Lewis. Khu vực này chỉ có 104 lò phanruwngstại 65 nhà máy, so với hàng ngàn các trang thiết bịđiện. Các công ty này thường quá nhỏ để bỏ tiền rađể kiểm tra an ninh không gian mạng hoặc quá lớn đểbỏ qua nó, ông nói.

“Liệuđiều đó có nghĩa là khu vực điện nguyên tử hoàn toàncó thể bị tổn thương hay không? Không”, Lewis đã nóicho GSN. “Nhưng nếu bạn là một kẻ thù thì bạn sẽ tựhỏi, 'Gosh, có quá nhiều mục tiêu rất dễ dàng, vì saotôi lại phải đi sau những mục tiêu khó khi tôi có thểcó được cùng một mức tàn phá vì tiền với ít nỗlực hơn nhiều?'”

Wal-tersđã nói nền công nghiệp này từng “khá tích cực” vềvấn đề này thậm chí không có những mệnh lệnh củaNRC, lưu ý là Viện Năng lượng Nguyên tử đã hình thànhmột đội tác vụ vào năm 2002 để phát triển những chỉdẫn về an ninh không gian mạng, mà đã nhận được sựủng hộ của cơ quan điều chính pháp luật này. Chỉ dẫnđó đã vạch ra những biện pháp bảo vệ an ninh khônggian mạng mà nên được cài đặt trong các hệ thốngnhất định nào đó của các nhà máy.

Việnnày cũng đx thiết lập một ủy ban khu vực hạt nhân màđáp ứng được với các quan chức của Bộ An ninh Quốcnội về một cơ sở theo qúy phải giải quyết nhữngquan tâm tiềm tàng về an ninh, ông nói.

“Vớinhững yêu cầu mà chúng ta có và với những người đượccấp phép biết những gì họ cần phải làm về các kiểmsoát an ninh... chúng ta đang ở trong một hình hài rất tốtvề việc bảo vệ chống lại các cuộc tấn công khônggian mạng”, theo Wal-ters.

"Inessence, we're making sure that we have a shield up around the plantbeyond normal firewalls that would protect against a cyberattack,"Wal-ters said last week.

Licenseessubmitted their cybersecurityblueprints for the country's 65 nuclear power plants for commissionreview in November 2009, Correia told GSN.The agency hopes to have the plans approved by next spring.

Powerplant operators would then implement the programs, and the regulatorycommission's four regional offices would begin inspections to verifythey were being used as designed, he said.

Correiasaid his division is in continuous contact with the commission'sthreat assessment branch, which evaluates intelligence informationf-rom various government agencies, to make any changes to theperceived cyber danger.

Thecommission also has put together a "mock adversary force"to test power plants' digital preparedness as part of the overall NRCsite inspection process, he added. The agency conducts "force onforce" exercises at facilities to challenge their physicalsecurity assets. The mock enemy's mission might include actionagainst digital systems and components.

TheU.S. nuclear power industry also is well positioned to address theevolving threat because of its size, according to Lewis. The sectoronly has 104 reactors at 65 plants, compared to thousands ofelectrical utilities. Those companies are often too small to spendmoney to examine the cybersecurity or so large that it is glossedover, he said.

"Doesit mean [the atomic energy sector is] totally invulnerable? No,"Lewis told GSN."But if you're an opponent you're going to ask yourself, 'Gosh,there's so many easy targets, why should I go after hard targets whenI can pretty much get the same bang for the buck with a lot lesseffort?'"

Wal-terssaid the industry has been "fairly proactive" on the issueeven without the NRC orders, noting the Nuclear Energy Instituteformed a task force in 2002 to develop cybersecurity guidelines,which received the regulatory agency's blessing. That guidancedelineated cybersecurity protection measures that should be installedon certain plant systems.

Theinstitute also has established a nuclear sector council that meetswith Homeland Security Department officials on a quarterly basis toaddress potential security concerns, he said.

"Withthe requirements we have in place and with licensees knowing whatthey need to do in terms of security controls ... we are in very goodshape in terms of protecting against cyber attacks," accordingto Wal-ters.

Tươnglai của An ninh không gian mạng

Cácquan chức và chuyên gia đồng ý là quốc gia đã bắt đầuchú ý hơn tới an ninh không gian mạng trong vài năm qua.Tuy nhiên, nhiều thứ hơn có thể được làm tính tớimối đe dọa chưa từng có đối với lưới điện quốcgia, bao gồm cả các lò phản ứng hạt nhân.

“Nếulà tôi, thì tôi có thể bắt buộc rằng việc phát vàphân phối điện sẽ không được kết nối vào Internet”,Libicki nói. Ông đã tiên đoán rằng các thực thể có thểtranh luận rằng một động thái như vậy có thể quá làđắt giá.

Wal-tersnói các nhà máy điện hạt nhân là khác với các trangthiết bị khác vì nhiều trong cố các hệ thống an toàncủa chúng là đã được tách ra khỏi Web.

“Đốivới một nhà máy điện hạt nhân, khi bạn đang nói vềcác kiểm soát và các hệ thống cho an toàn, những thứđó là thực sự được nằm trong nahf máy và không cóđầu ra với Internet. Có những sự canh phòng an toàn vốncó mà nó đang tồn tại”, ông nói cho GSN.

Lewisđã tiên đoán có thể mất thời gian để đảm bảo anninh cho một số các mạng điện quốc gia vì “chúngkhông bao giờ được thiết kế để có an ninh cả”.

“Chúngta sẽ chỉ phải nghĩ; chúng ta không kham nổi để thaythế mọi thứ cùng một lúc”, ông bổ sung.

Correiađã mô tả an ninh không gian mạng trong thực tế hạt nhânnhư một “quá trình đang diễn ra” mà có thể đòi hỏinhững khảo sát tiếp tục về những gì đang xảy ra bêntrong không gian mạng sao cho các trang thiết bị có thểphản ứng lại được với những mối đe dọa đang pháttriển.

“Nhữngngười được cấp phép phải có khả năng phản ứng lạimột cách nhanh chóng, tinh chỉnh các kế hoạch không gianmạng của họ... để bảo vệ chống lại nó nếu có mộtcuộc tấn công”, ông nói.

TheFuture of Cybersecurity

Officialsand experts agreed the country has begun to pay more attention tocybersecurity over the last several years. However, more could bedone to counter the ever-evolving threat to the nation's power grid,including nuclear reactors.

"Ifit was up to me, I would mandate that the electrical generation anddistribution be provably disconnected f-rom the [Internet],"Libicki said. He predicted that entities would argue that such a movewould prove too costly.

Wal-terssaid nuclear plants are different f-rom other utilities because manyof their safety systems are already detached f-rom the Web.

"Fora nuclear plant, when you're talking about controls and the systemsfor safety, those things are really confined to the sites and there'sno output to the Internet. There are inherent safeguards that exist,"he told GSN.

Lewispredicted it would take time to secure some of the nation's powernetworks because "they were never designed to be secure.

"Wewill just have to think; we can't afford to replace everything atonce," he added.

Correiadescribed cybersecurity in the nuclear realm as an "ongoingprocess" that would require continuous observation of what ishappening within cyber space so that facilities could respond todeveloping threats.

"Licenseeshave to be able to react to it quickly, to adjust their cyber plans .. . to defend against it if there's an attack," he said.

Dịchtài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com