Những điều bạn cần biết về an ninh mạng trong ngành đường sắt

Là một trong những phương thức vận tải hành khách phổ biến nhất, tàu hỏa đóng vai trò đặc biệt quan trọng đối với các đô thị đang đô thị hóa nhanh chóng. Khi hoạt động đường sắt ngày càng được số hóa, các đơn vị vận hành có thể triển khai, phát triển và nâng cấp nhiều ứng dụng khác nhau, chẳng hạn như giám sát và điều khiển hệ thống đường sắt. Mạng backbone Ethernet trên tàu thường được sử dụng để hỗ trợ truyền thông giữa các thiết bị, hệ thống trên tàu và kết nối các hệ thống IP khác nhau. Tuy nhiên, dù mang lại nhiều lợi ích, các hệ thống mạng dựa trên Ethernet cũng khiến mạng dễ bị tấn công mạng hơn.

Theo báo cáo Securing Industrial Control Systems – 2017 của SANS Institute, ba mối đe dọa hàng đầu mà người dùng cuối quan tâm gồm: thiết bị trái phép được thêm vào mạng, các mối đe dọa nội bộ như lỗi vô ý của con người, và các mối đe dọa bên ngoài từ tin tặc. An ninh mạng là yếu tố bắt buộc, nhưng cách giảm thiểu rủi ro vẫn là vấn đề mà các đơn vị vận hành tàu cần thêm thông tin. Hiện nay đã có nhiều tiêu chuẩn an ninh liên quan, cung cấp hướng dẫn và khuyến nghị rõ ràng cho ngành. Trong đó, ISA99/IEC 62443 là tiêu chuẩn an ninh công nghiệp được tham chiếu phổ biến nhất, và tiêu chuẩn EN 50159 cũng quy định các yêu cầu truyền thông mạng liên quan đến an toàn dành riêng cho hệ thống đường sắt. Thực hành an ninh tốt nhất là tăng cường bảo mật cho từng thiết bị kết nối theo các hướng dẫn trong những tiêu chuẩn này. Tuy nhiên, điều này không phải lúc nào cũng khả thi do chi phí cao và yêu cầu bảo trì lớn.

071_01_security-vs-cost.jpg

Để đơn giản hóa vấn đề an ninh trên tàu, cần xem xét liệu có những nguyên tắc chung nào mà các đơn vị vận hành có thể tham khảo khi nâng cao bảo mật mạng hay không. Hãy tiếp tục theo dõi để khám phá bốn yếu tố quan trọng nhất mà các chuyên gia an ninh mạng trong ngành đường sắt khuyến nghị.

Việc bảo vệ mạng đường sắt đòi hỏi hệ thống truyền thông mạng vững chắc với các chức năng bảo mật nâng cao, cơ chế bảo vệ theo lớp cho mạng không dây, kiến trúc mạng an toàn theo mô hình phòng thủ nhiều lớp, và cuối cùng là phần mềm quản lý mạng dễ sử dụng. Việc đánh giá các biện pháp đối phó này có được triển khai hiệu quả hay không là yếu tố then chốt để đảm bảo mạng đường sắt được bảo vệ trước các cuộc tấn công mạng.

Chức năng bảo mật nâng cao

Phương pháp hiệu quả nhất để tăng cường bảo mật thiết bị là đảm bảo các thiết lập không thể bị thay đổi theo cách gây rủi ro cho thiết bị và toàn bộ hệ thống mạng. Nhiều chuyên gia an ninh mạng xem tiêu chuẩn IEC 62443 là tài liệu quan trọng nhất trong việc bảo mật thiết bị trên mạng công nghiệp. Dưới đây là những ưu tiên hàng đầu cần được triển khai trên các thiết bị mạng trong ngành đường sắt.

• Phân quyền (Authorization)
Một trong những bước đầu tiên để nâng cao bảo mật là đảm bảo chỉ những người cần thiết mới được phép thay đổi cấu hình mạng. Quản lý tài khoản thường bị xem nhẹ vì việc chia sẻ chung thông tin đăng nhập cho các quản trị viên mạng là dễ dàng hơn. Tuy nhiên, điều này trở thành lỗ hổng nghiêm trọng nếu những người có ý đồ xấu có cơ hội xâm nhập và phá hoại hệ thống mạng.

• Kiểm soát truy cập và xác thực mạng
Việc kiểm soát người dùng có thể được thực hiện thông qua cơ chế xác thực để đảm bảo đúng người có đúng mức quyền hạn khi thay đổi cấu hình mạng. Nếu không có kiểm soát truy cập hoặc xác thực, hệ thống chẳng khác nào mở cổng và cho phép mọi người tự do tiếp cận các khu vực quan trọng.

• Toàn vẹn và bảo mật dữ liệu
Khi nhiều thiết bị và hệ thống được kết nối vào mạng, dữ liệu trở thành yếu tố then chốt trong giám sát và điều khiển hệ thống đường sắt. Do đó, dữ liệu phải được truyền tải một cách an toàn và bảo mật. Có nhiều cách để đảm bảo tính toàn vẹn dữ liệu, chẳng hạn như sử dụng SSL hoặc VPN.

• Bảo vệ theo lớp cho mạng không dây
Hành khách trên tàu kỳ vọng có thể kết nối Wi-Fi ổn định. Các đơn vị vận hành thường cung cấp dịch vụ này như một tiện ích gia tăng cho hành khách có nhu cầu. Tuy nhiên, điều này tiềm ẩn rủi ro. Khi thiết bị của hành khách kết nối vào các điểm truy cập không dây trên tàu, chúng cùng truy cập chung một mạng, khiến kẻ xấu dễ dàng đánh cắp dữ liệu cá nhân của người khác. Vì vậy, cơ chế cô lập thiết bị khách (wireless client isolation) là rất cần thiết để ngăn các thiết bị cá nhân giao tiếp trực tiếp với nhau trên cùng mạng.

071_02_security-vs-cost.jpg

Kiến trúc mạng an toàn theo mô hình phòng thủ nhiều lớp

Khi thiết kế mạng, nhiều đơn vị vận hành hệ thống nhận thấy một trong những cách hiệu quả nhất để bảo mật là áp dụng kiến trúc phòng thủ nhiều lớp (defense-in-depth), được thiết kế để bảo vệ từng vùng và từng phân đoạn mạng. Bước đầu tiên khi xây dựng hệ thống đường sắt theo mô hình này là phân đoạn mạng để cô lập lưu lượng, nhằm bảo vệ trước các cuộc tấn công có chủ đích hoặc lỗi do con người. Với tường lửa, quản trị viên mạng có thể xác định các tương tác giữa các vùng mạng để giám sát lưu lượng. Dựa trên yêu cầu vận hành tàu, mạng có thể được cấu hình sẵn để chỉ cho phép giao tiếp giữa các thiết bị hoặc vùng nhất định, qua đó giảm thiểu rủi ro an ninh.

Quản lý mạng dễ sử dụng cho giám sát an ninh

Sau khi xác định rằng thiết bị mạng và cấu trúc mạng đã an toàn, cần xây dựng chính sách quản lý mạng để đảm bảo người vận hành có thể nắm được toàn cảnh trạng thái an ninh của hệ thống. Việc xử lý các vấn đề này trước khi tàu được đưa vào vận hành là vô cùng quan trọng, bởi các công ty đường sắt có thể phải chịu các khoản phạt rất lớn nếu tàu buộc phải dừng giữa hành trình. Do đó, đơn vị vận hành cần tận dụng phần mềm quản lý mạng để có cái nhìn tổng thể về tình trạng an ninh. Khi đã có được bức tranh toàn cảnh này, việc xác định những khu vực cần nâng cấp sẽ trở nên dễ dàng hơn, giúp ngăn chặn các mối đe dọa an ninh mạng phát sinh.

Moxa cung cấp các thiết bị mạng tích hợp chức năng bảo mật theo tiêu chuẩn an ninh mạng IEC 62443, cùng các tính năng quản lý bảo mật như xác thực RADIUS, giúp ngăn chặn truy cập trái phép, các lỗ hổng đã biết và những cuộc tấn công chưa xác định. Bên cạnh đó, để bảo vệ các mạng trên tàu ngày càng mở rộng, Moxa còn cung cấp các bộ định tuyến bảo mật tích hợp tường lửa, VPN và NAT, hỗ trợ phân đoạn mạng đường sắt và bảo vệ dữ liệu quan trọng trước các rủi ro tiềm ẩn. Moxa cũng cung cấp các điểm truy cập không dây trên tàu hỗ trợ tính năng cô lập thiết bị, tăng thêm một lớp bảo vệ cho mạng không dây. Để biết thêm thông tin, vui lòng liên hệ với chúng tôi.