Các tiêu chuẩn tự động hóa đề cập tới các mối đe dọa an ninh không gian mạng

Newautomation standards tackle cybersecurity threats

Theo:http://www.engineerlive.com/Asia-Pacific-Engineer/Safety_Environment/New_automation_standards_tackle_cybersecurity_threats/23490/

Bàiđược đưa lên Internet ngày: 02/06/2011

Sựtồn tại của Stuxnet đã nhắc nhở các cơ quan tiêu chuẩntrên thế giới phát triển các chương trình chứng chỉnghiêm ngặt hơn.

Theadvent of Stuxnet has prompted standards bodies around the world todevelop much tougher certification programmes.

Lờingười dịch: Cuộc tấn công bằng Stuxnet đã đặt ra nhucầu khẩn thiết phải cập nhật các tiêu chuẩn về anninh không gian mạng cho các hệ thống kiểm soát côngnghiệp trên toàn cầu. Trong khi các tiêu chuẩn ANSI/ISA99còn đang trong giai đoạn phân tích xử lý kỹ thuật mà“Những khả năng của Stuxnet đang được ghi chép tốtthành tài liệu trong giới báo chí, và một số những khảnăng này có thể chuyển thành những mối đe dọa mới.Trong tương lai, các hệ thống tự động hóa phải có khảnăng dò tìm được và hoặc khóa được hoặc có khảnăng phục hồi được từ những mối đe dọa tiên tiếnnhư Stuxnet” hoặc một loạt các tiêu chuẩn an ninh tựđộng hóa công nghiệp IEC 62443 (đôi khi thường đượcgọi là các hệ thống kiểm soát giám sát và thu thập dữliệu - SCADA) mà “Vài năm tới, những tiêu chuẩn này sẽtrở thành các tiêu chuẩn quốc tế cốt lõi cho việc bảovệ các hạ tầng công nghiệp sống còn mà chúng trựctiếp ảnh hưởng tới an toàn, sức khỏe, và môi trườngcủa con người; và, có thể sẽ được mở rộng chonhững lĩnh vực ứng dụng khác, thậm chí rộng lớn hơnso với những lĩnh vực thường được dán nhãn SCADA”;thì cũng đã có các nhóm khác đưa ra những tiêu chuẩnnhóm cho các sản phẩm của các nhà cung cấp trong nhómnhư Hiệp hội Người sử dụng Công cụ Quốc tế (WIB),một tổ chức cung cấp các dịch vụ đánh giá và địnhgiá các trang thiết bị xử lý cho hơn 25 thành viên lànhững người sử dụng đầu cuối của nó, đã công bốphiên bản 2 của Những yêu cầu về An ninh Lĩnh vực Kiểmsoát Xử lý cho các Nhà cung cấp – tiêu chuẩn quốc tếđầu tiên phác thảo một tập hợp các yêu cầu đặcbiệt tập trung vào những thực tiễn tốt nhất về anninh KGM cho các nhà cung cấp các hệ thống tự động hóavà kiểm soát công nghiệp.

Sự nổi lên của sâuStuxnet mùa hè năm ngoái đã ép các công ty xử lý làmtăng gấp đôi những nỗ lực của họ về an ninh khônggian mạng (KGM). Nó cũng đã kích động nhiều hoạt độngtừ một loạt các cơ quan tiêu chuẩn hóa.

Ví dụ, hôm 03/03, tổchức Xã hội Tự động hóa Quốc tế ISA đã công bốrằng ủy ban tiêu chuẩn ISA99 về An ninh Các hệ thống Tựđộng hóa và Kiểm soát Công nghiệp đã thành lập mộtnhóm đặc nhiệm để 'tiến hành một phân tích khe hởcủa các tiêu chuẩn ANSI/ISA99 hiện hành với mong đợinhanh chóng tiến hóa bức tranh đối với mối đe dọanày'.

Điều này ban đầucó nghĩa là Stuxnet, mà nó đã được nhằm chủ yếu vàocác trình kiểm soát logic có thể lập trình được (PLC)của Siemens (Hình 1).

Mục tiêu của phântích này để xác định liệu các công ty tuân theo cáctiêu chuẩn ISA99 có được bảo vệ khỏi các cuộc tấncông tinh vi phức tạp như vậy không và để xác địnhnhững thay đổi cần thiết, nếu có, đối với các tiêuchuẩn đang được phát triển bởi ủy ban ISA99. Nhóm tácnghiệp mới này mong đợi sẽ đưa ra một báo cáo kỹthuật tóm tắt các kết quả phân tích của họ vào giữanăm 2011.

Theo ISA, Stuxnet làphần mềm độc hại nổi tiếng đầu tiên được viếtđặc chủng với ý định gây tổn thương cho một hệthống kiểm soát và phá hoại một qui trình công nghiệp.

“Những khả năngcủa Stuxnet đang được ghi chép tốt thành tài liệu tronggiới báo chí, và một số những khả năng này có thểchuyển thành những mối đe dọa mới. Trong tương lai, cáchệ thống tự động hóa phải có khả năng dò tìm đượcvà hoặc khóa được hoặc có khả năng phục hồi đượctừ những mối đe dọa tiên tiến như Stuxnet”, tổ chứcnày nói.

Theemergence of the Stuxnet worm last summer has forced processcompanies to redouble their cybersecurity efforts. It has alsoprovoked a lot of activity f-rom various standards authorities.

On3 March, for example, the International Society of Automation (ISA)announced that the ISA99 standards committee on Industrial Automationand Control Systems Security has formed a task group tasked to'conduct a gap analysis of the current ANSI/ISA99 standards withrespect to the rapidly evolving threat landscape'.

Thisprimarily means Stuxnet, which was targeted mainly at Siemensprogrammable logic controllers (Fig.1).

Thepurpose of the analysis to determine if companies following the ISA99standards would have been protected f-rom such sophisticated attacksand to identify changes needed, if any, to the standards beingdeveloped by the ISA99 committee. The new task group intends toproduce a technical report summarising the results of its analysis bymid-2011.

Accordingto the ISA, Stuxnet is the first known malware to have beenspecifically written with the intent to compromise a control systemand sabotage an industrial process.

"Stuxnet'scapabilities are being well documented in the press, and some ofthese capabilities may migrate into new threats. Going forward,automation systems must be able to detect and either block or be ableto recover f-rom advanced Stuxnet-like threats," says theorganisation.

Các tiêu chuẩnANSI/ISA99 giải quyết vấn đề sống còn về an ninh KGMcho sự tự động hóa công nghiệp và các hệ thống kiểmsoát. Các tiêu chuẩn mô tả các khái nhiệm và mô hìnhcơ bản có liên quan tới an ninh KGM, cũng như các yếu tốchứa đựng trong một hệ thống quản lý an ninh KGM đểsử dụng trong môi trường các hệ thống kiểm soát vàtự động hóa công nghiệp. Họ cũng đưa ra chỉ dẫn vềcách để đáp ứng được những yêu cầu được mô tảcho từng yếu tố.

Cáctiêu chuẩn này tạo nên các tài liệu cơ sở cho mộtloạt các tiêu chuẩn an ninh tự động hóa công nghiệpIEC 62443 (đôi khi thường được gọi là các hệ thốngkiểm soát giám sát và thu thập dữ liệu - SCADA). Vài nămtới, những tiêu chuẩn này sẽ trở thành các tiêu chuẩnquốc tế cốt lõi cho việc bảo vệ các hạ tầng côngnghiệp sống còn mà chúng trực tiếp ảnh hưởng tới antoàn, sức khỏe, và môi trường của con người; và, cóthể sẽ được mở rộng cho những lĩnh vực ứng dụngkhác, thậm chí rộng lớn hơn so với những lĩnh vựcthường được dán nhãn SCADA.

“Dựa vào điềunày, là cơ bản để các công ty công nghiệp tuân theo cáctiêu chuẩn IEC62443 biết được họ sẽ có khả năng dừngđược Stuxnet tiếp theo. Công việc của nhóm đặc nhiệmmới ISA99 này sẽ có một ảnh hưởng đáng kể lên việcđảm bảo cho các cơ sở tự động hóa là an ninh an toàntrong tương lai”, ISA bổ sung.

Trong một phát triểnkhác, Hiệp hội Người sử dụng Công cụ Quốc tế(WIB), một tổ chức cung cấp các dịch vụ đánh giá vàđịnh giá các trang thiết bị xử lý cho hơn 25 thành viênlà những người sử dụng đầu cuối của nó, đã côngbố phiên bản 2 của Những yêu cầu về An ninh Lĩnh vựcKiểm soát Xử lý cho các Nhà cung cấp – tiêu chuẩn quốctế đầu tiên phác thảo một tập hợp các yêu cầu đặcbiệt tập trung vào những thực tiễn tốt nhất về anninh KGM cho các nhà cung cấp các hệ thống tự động hóavà kiểm soát công nghiệp.

TheANSI/ISA99 standards address the vital issue of cybersecurity forindustrial automation and control systems. The standards describe thebasic concepts and models related to cybersecurity, as well as theelements contained in a cybersecurity management system for use inthe industrial automation and control systems environment. They alsoprovide guidance on how to meet the requirements described for eachelement.

Thestandards form the base documents for the IEC 62443 series ofindustrial automation (sometimes generically labelled supervisorycontrol and data acquisition, or Scada) security standards. Over thenext few years, these standards will become core internationalstandards for protecting critical industrial infrastructures thatdirectly impact human safety, health, and the environment; and,likely will be extended to other areas of application, even broaderthan those generically labelled Scada.

"Basedon this, it is essential that industrial companies following IEC62443standards know they will be able to stop the next Stuxnet. The workof the new ISA99 task group will have a significant impact onensuring that automation facilities are secure in the future,"adds the ISA.

Inanother development, the International Instrument Users Association(WIB), an organisation that provides process instrumentationevaluation and assessment services for its over 25 end-user members,has announced version 2 of Process Control Domain SecurityRequirements For Vendors - the first international standard thatoutlines a set of specific requirements focusing on cybersecuritybest practices for suppliers of industrial automation and controlsystems.

“Chúng tôi vui mừngtuyên bố hôm nay phiên bản 2 của tiêu chuẩn an ninh KGMcủa chúng tôi”, Alex van Delft, chủ tịch của WIB vàngười quản lý năng lực tại DSM, nói. “Đây là mộtbước quan trọng trong tiến trình đang diễn ra để cảithiện độ tin cậy của các hệ thống sản xuất và chếtạo sống còn của chúng tôi và cung cấp cho những ngườisử dụng đầu cuối khả năng bây giờ để giao tiếpvới những mong đợi của họ về an ninh của các hệthống an toàn và kiểm soát, tự động hóa”.

Với các mạng côngnghiệp đang ngày càng được kết iối với thế giớicông nghệ thông tin thù địch, và tần suất và sự tinhvi phức tạp của các phần mềm độc hại ngày một giatăng đáng kể, thì các nhà đầu tư công nghiệp phảihành động hôm nay để bảo vệ các hệ thống sống còncủa họ. Dù là một cuộc tấn công có mục đích nhưStuxnet, hay một sự phá huỷ ngẫu nhiên nào, thì một vụviệc đơn nhất về KGM có thể làm mất hàng triệu USDvì mất doanh số, gây nguy hiểm cho nhân viên và an toàncủa công chúng và phá huỷ một cách tiềm tàng hạ tầngsống còn quốc gia, WIB cảnh báo.

“Các hệ thống sảnxuất ngày càng được kết nối mạng đang đối mặt vớimối đe dọa ngày một gia tăng trên cơ sở hàng ngày vàchúng ta phải làm tất cả những gì có thể để đảmbảo an toàn an ninh cho môi trường vận hành”, PeterKwaspen, giám đốc phát triển và chiến lược, các hệthống kiểm soát và tự động hóa tại Shell Projects &Technology, nói. “Tài liệu này đưa ra ngôn ngữ chung màchúng ta cần để giao tiếp những mong đợi của chúng taxung quanh an ninh cho các nhà cung cấp và khung công việccủa chúng ta để làm việc cùng nhau giúp cải thiện toànbộ bức tranh về an ninh cho các hệ thống sống còn củachúng ta”.

"Weare pleased to announce today the second version of our cybersecuritystandard," said Alex van Delft, competence manager processcontrol at DSM and chairman of the WIB. "This is an importantstep in the ongoing process to improve the reliability of ourcritical manufacturing and production systems and provides end-usersthe ability to now communicate their expectations about the securityof process automation, control and safety systems."

Withindustrial networks being increasingly connected to the hostile ITworld, and the frequency and sophistication of malware growingexponentially, industrial stakeholders must act today to protecttheir critical systems. Whether it is a targeted attack like Stuxnet,or an accidental disruption, a single cyber incident can costmillions of Dollars in lost revenue, jeopardise employee and publicsafety and potentially disrupt national critical infrastructure,warns the WIB.

"Ourincreasingly connected production systems are facing a growing threaton a daily basis and we must do all we can to ensure a safe andsecure operational environment," said Peter Kwaspen, strategy &development manager, EMEA control & automation systems at ShellProjects & Technology. "This document provides the commonlanguage we need to communicate our expectations around security toour suppliers and the framework to work together to help improve theoverall security posture for our critical systems."

Được dẫn dắt bởicác công ty như Shell, BP, Saudi Aramco, Dow, DuPont, Laborelec,Wintershall cũng như các nhà cung cấp hàng đầu nhưInvensys và Sensus và nhiều cơ quan chính phủ, nhóm này đãbỏ ra 2 năm phát triển và thí điểm chương trình và ràsoát lại những yêu cầu được đưa vào trong phiên bảnmới.

“Các yêu cầu anninh được phác thảo tro tài liệu này đã đi qua mộtnăm bình luận/rà soát lại từ hơn 50 nhà đầu tư trêntoàn cầu và đã được trải nghiệm qua một chươngtrình chứng thực thí điểm nghiêm ngặt trong vòng 8 thángqua”, Jos Menting, nhà tư vấn về an ninh KGM của Nhóm GDFSuez, nói. “Chúng ta bây giờ tới một tiêu chuẩn chứcnăng an ninh KGM thực sự dựa trên những nhu cầu củangười sử dụng đầu cuối và bây giờ nó phụ thuộcvào chúng ta, người sử dụng đầu cuối, để tận dụngđược ưu thế nỗ lực này và khẳng định rằng cácnhà thầu của chúng ta được chứng thực”.

Các thành viên củanhóm làm việc về an ninh các nhà máy của WIB đã bắtđầu rồi việc triển khai những yêu cầu trong các quátrình mua sắm của họ và những người khác trên thếgiới cũng đang chú ý tới lời gọi này.

“Shell đã bắt buộctuân thủ tiêu chuẩn của WIB cho tất cả các nhà cung cấpcác hệ thống sẽ được triển khai trong môi trườngkiểm soát qui trình của Shell bắt đầu từ ngày01/01/2011”, Ted Angevaare, người đứng đầu đội các hệthống tự động và kiểm soát của EMEA, nói. “Nhữngyêu cầu này sẽ trở thành một phần tiêu chuẩn vềngôn ngữ mua sắm tiết kiệm cho chúng tôi một số thờigian và nỗ lực đáng kể”.

Các nhà cung cấp cáchệ thống kiểm soát và tự động hóa xử lý công nghiệphàng đầu cũng đang bắt đầu quá trình tích hợp cácyêu cầu vào các tổ chức của họ.

Leadby companies such as Shell, BP, Saudi Aramco, Dow, DuPont, Laborelec,Wintershall as well as leading vendors such as Invensys and Sensusand multiple government agencies, the group spent two yearsdeveloping and piloting the programme and revising the requirementswhich culminated in the new version.

"Thesecurity requirements outlined in the document went through a year ofcomments/revisions f-rom over 50 global stakeholders and weresubjected to a thorough pilot certification programme over the lasteight months," said Jos Menting, cybersecurity advisor GDF SuezGroup. "We've now come to a truly functional cybersecuritystandard based on the needs of end-users and it is now up to us, theend-user, to take advantage of this effort and insist that ourvendors are certified."

Membersof the WIB plant security working group have already startedimplementing the requirements into their procurement processes andothers around the world are heeding the call, too.

"Shellhas mandated conformance to the WIB standard for all vendorssupplying systems to be deployed in Shell's process controlenvironment starting 1 January 2011," said Ted Angevaare, EMEAcontrol & automation systems team leader. "Theserequirements will become a standard part of the procurement languagesaving us a significant amount of time and effort."

Leadingsuppliers of industrial process control and automation systems arealso starting the process of integrating the requirements into theirorganisations.

“Việc áp dụng cácyêu cầu an ninh của WIB đảm bảo rằng Invensys có mộttập hợp các thực tiễn định lượng được sẵn sànglàm tăng cường cho một hạ tầng sống còn an ninh và antoàn hơn. Không chỉ thực hiện được các yêu cầu cungcấp các biện pháp cho tình trạng hiện hành, mà chúngcòn cho phép chúng ta tiếp tục cải tiến và thích nghiđược với bức tranh an ninh thay đổi chưa từng thấy”,Ernie Rakaczky, quản lý chương trình về an ninh các hệthống kiểm soát tại Invensys Operations Management, nói. “Từquan điểm của chúng tôi, chương trình này là một độngthái chính, không chỉ tập trung vào các chiến thuật, màcòn là một sự chuyển dịch đặt vào trong các yếu tốchiến lược để giải quyết sự thay đổi hoạt động”.

Tiêu chuẩn của WIBđược thiết kế để phù hợp được với các nhu cầucủa người sử dụng đầu cuối - chủ nhân/người vậnhành các hệ thống - và phản ánh những yêu cầu độcnhaats cho các nền công nghiệp như hóa dầu, năng lượngbao gồm cả lưới thông minh, giao thông, dược và hóa vàcác lĩnh vực khác. Mục tiêu là để giải quyết nhữngthực tiễn tốt nhất về an ninh KGM và phân bổ tráchnhiệm ở các giai đoạn khác nhau trong vòng đời hệthống công nghiệp: các thực tiễn về tổ chức, pháttriển sản phẩm, kiểm thử và ủy thác và duy trì và hỗtrợ.

“An ninh không phảilà một ứng dụng một lần mà là một quá trình trong đómọi nhà đầu tư phải đóng góp để đạt được bấtkỳ sự cải tiến đáng kể nào trong sự ổn định hoạtđộng”, Auke Huistra, quản lý dự án tại Hạ tầng Quốcgia chống lại Tội phạm KGM (NICC). “Các yêu cầu củaWIB được thiết kế vói nguyên tắc này trong nhân củanó và chúng tôi đang khuyến khích các nhà đầu tư hạtầng sống còn tại Hà Lan tích hợp các yêu cầu vàotrong các kế hoạch an ninh KGM của họ”.

Các yêu cầu cũng đãđược xây dựng để giải quyết một dải rộng lớncác chủ đề an ninh KGM phù hợp cho các nhà đầu tư côngnghiệp; từ những yêu cầu mức độ cao cho các chínhsách, các thủ tục, và sự quản lý về an ninh nội bộcủa các nhà cung cấp đối với những yêu cầu đặc thùcó liên quan tới sự truy cập/xác định danh tính, bảovệ dữ liệu, bảo vệ mật khẩu mặc định và quản lýcác bản vá.

Khi một giải phápcủa nhà cung cấp tuân thủ với tập hợp các yêu cầunày, thì giải pháp đó được xem xét bởi WIB sẽ đượcxử lý an ninh lĩnh vực kiểm soát tương thích được.Các yêu cầu được chia tách xa hơn thành 3 mức đượcthiết kế để phản ánh một loạt các điểm khởi đầucủa các nhà cung cấp toàn cầu và đưa ra được mộtkhung có khả năng mở rộng về phạm vi để lên kếhoạch cho những cải tiến theo thời gian. Trong chươngtrình này, có các mức vàng, bạc và đồng, mỗi mức cómột tập hợp các yêu cầu được thiết kế cho mộtloạt các chính sách và thực tiễn có thể áp dụng đượcngay tại chỗ, được xúc tác và được trải nghiệm vớinhà cung cấp.

"Adoptingthe WIB's security requirements ensures that Invensys has a set ofmeasurable practices in place that enforce a safer and more securecritical infrastructure. Not only do the requirements providecurrent-state measures, they allow us to continue to improve andadapt to the ever-changing security landscape." said ErnieRakaczky, programme manager for control systems cybersecurity atInvensys Operations Management "F-rom our perspective, thisprogramme is a major shift, not only focusing on tactics, but onethat puts into place strategic elements that address operationalchange."

TheWIB standard is designed to fit the needs of the end-user - thesystem owner/operator - and reflects the unique requirements forindustries like petrochemical, energy including smart grid,transportation, pharmaceutical, and chemical among others. The goalwas to address cybersecurity best practices and allocateresponsibility at the various stages of the industrial systemlifecycle: organisational practices, product development, testing andcommissioning and maintenance and support.

"Securityis not a one-time application but rather a process in which everystakeholder must contribute in order to achieve any significantimprovement in operational reliability," said Auke Huistra,project manager at National Infrastructure against Cyber Crime(NICC). "The WIB requirements are designed with this principleat its core and we are encouraging critical infrastructurestakeholders in The Netherlands to integrate the requirements intotheir cybersecurity plans."

Therequirements were also constructed to address a broad range ofcybersecurity topics relevant to industrial stakeholders; f-romhigh-level requirements for vendors' internal security policies,procedures, and governance, to specific requirements concerningaccess/authentication, data protection, default password protectionand patch management.

Whena vendor's solution complies with this set of requirements, thesolution is considered by the WIB to be process control domainsecurity compatible. The requirements are further broken down intothree levels designed to reflect various starting points of globalsuppliers and provide a scalable framework to plan improvements overtime. In the programme, there are gold, silver and bronze levels,each consisting of a set requirements designed to verify applicablepolicies and practices are in place, enabled and practiced by thevendor

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com