CHLB ĐỨC – Quá trình số hóa ngày càng tăng của ngành năng lượng mang đến những cơ hội lớn, nhưng vẫn tồn tại những rủi ro mới. Ngày nay, các hệ thống điện mặt trời và hệ thống lưu trữ được xem là những cơ sở hạ tầng quan trọng. Tuy nhiên, để cung cấp điện ổn định, chúng cần được bảo vệ khỏi các cuộc tấn công mạng. Hội thảo trực tuyến an ninh mạng (cybersecurity): Xây dựng cơ sở hạ tầng công nghệ thông tin mạnh mẽ dành cho hệ thống quang điện (Cyber Security – IT-sicherer Betrieb von PV-Anlagen), do hội chợ Intersolar Europe tổ chức phối hợp với Hiệp hội Năng lượng Mặt trời CHLB Đức (German Solar Association BSW-Solar), với bốn bài thuyết trình chuyên môn về các lĩnh vực như khung pháp lý, nâng cao nhận thức, công nghệ và tiêu chuẩn hóa. Họ đã cùng nhau trình bày về cách các doanh nghiệp vận hành và doanh nghiệp sản xuất hệ thống quang điện có thể đảm bảo an ninh mạng trong tương lai.

Khung pháp lý: KRITIS, NIS2 và trách nhiệm của các doanh nghiệp điều hành
Bà Karla Klasen, luật sư và cộng sự cấp cao tại Công ty Luật thương mại Osborne Clarke, đã phác thảo các hướng dẫn pháp lý quan trọng dành cho các doanh nghiệp vận hành cơ sở hạ tầng năng lượng quan trọng. Theo quy định KRITIS, các nhà máy điện có công suất định danh ròng từ 104 megawatt trở lên được phân loại là “critical infrastructure” (tạm dịch là ‘cơ sở hạ tầng trọng yếu’). Các doanh nghiệp vận hành cơ sở hạ tầng này có nghĩa vụ pháp lý thực hiện các biện pháp nhằm bảo vệ khả năng hoạt động và phòng ngừa sự cố hoặc tấn công hệ thống. Điều này bao gồm việc thiết lập hệ thống quản lý an ninh thông tin (ISMS – Information security management system) theo tiêu chuẩn ISO 27001, triển khai các hệ thống phát hiện tấn công và báo cáo sự cố an ninh cho Cơ quan An ninh thông tin liên bang Đức (BSI – German federal office for information security).

Mức độ nghĩa vụ sẽ được mở rộng đáng kể với việc triển khai chỉ thị NIS2 của châu Âu (Cybersecurity Strengthening Act 2.0, tạm dịch là ‘Đạo luật tăng cường an ninh mạng 2.0’). Trong tương lai, các doanh nghiệp khai thác nhỏ, doanh nghiệp tiếp thị trực tiếp, quản lý nhà máy và doanh nghiệp sản xuất hệ thống điều khiển và truyền thông cũng sẽ được yêu cầu đáp ứng các tiêu chuẩn an ninh ràng buộc. Việc tuân thủ sẽ được giám sát thường xuyên, với mức phạt đến 10 triệu euro hoặc 2% doanh thu toàn cầu hàng năm của công ty trong năm tài chính trước. Ông Klasen tiếp tục giải thích rằng, các giám đốc điều hành và thành viên hội đồng quản trị có thể phải chịu trách nhiệm pháp lý, nghĩa là họ cần có khả năng chủ động chứng minh rằng doanh nghiệp đã thực hiện, giám sát và ghi chép các biện pháp phòng ngừa an toàn.

Nâng cao nhận thức: rủi ro công nghệ trí tuệ nhân tạo, kỹ thuật xã hội và chuỗi cung ứng
Trong bài thuyết trình thứ hai, bà Charline Kappes, Quản lý chương trình công cộng tại Công ty phát triển phần mềm SoSafe, đã minh họa sự phát triển năng động của các phương pháp tấn công mạng. Tội phạm mạng ngày càng sử dụng công nghệ trí tuệ nhân tạo (AI – artificial intelligence) để tạo ra các email lừa đảo có sức thuyết phục cao, giọng nói bị thao túng (1) (voice cloning, tạm dịch là ‘nhân bản giọng nói’) và video deepfake (2). Các cuộc tấn công do công nghệ AI điều khiển này đang trở nên không thể phân biệt được với các thông tin hợp pháp và ngày càng nhắm mục tiêu vào các doanh nghiệp sản xuất năng lượng. 

Ngoài các cuộc tấn công truyền thống qua email, các thủ phạm thường chuyển sang các dịch vụ nhắn tin, công cụ cộng tác và nền tảng mạng xã hội. Các cuộc tấn công chuỗi cung ứng, trong đó các lỗ hổng của nhà cung cấp dịch vụ hoặc nhà cung cấp phần mềm bị khai thác để truy cập vào các hệ thống quang điện (PV – photovoltaic) hoặc lưu trữ được kết nối với nhau, đặc biệt nguy hại. Bà Kappes nhấn mạnh tầm quan trọng của một văn hóa bảo mật mạnh mẽ, tuyên bố rằng nhân viên là một lớp bảo mật được ví như tường lửa (firewall) của công ty. Đào tạo thường xuyên, các kênh báo cáo rõ ràng và các chương trình nâng cao nhận thức có thể đóng vai trò quyết định trong việc phát hiện sớm các cuộc tấn công. Môi trường riêng tư, như điểm truy cập từ xa hoặc dịch vụ đám mây, cần được tích hợp kỹ lưỡng hơn vào các chiến lược bảo mật của doanh nghiệp.
(1) Giọng nói bị thao túng: nghĩa là giọng nói đã bị thay đổi hoặc giả mạo một cách kỹ thuật số, để mô phỏng giọng nói của người khác hoặc để tạo ra một thông điệp giả mạo.
(2) Deepfake video: là thuật ngữ ghép giữa “deep learning” (học sâu) và “fake” (giả mạo). Nó có nghĩa là các video đã được tạo ra hoặc chỉnh sửa bằng công nghệ trí tuệ nhân tạo, với mục đích làm giả nội dung một cách vô cùng chân thực, khiến người xem khó phân biệt được đâu là thật và đâu là giả.

Triển khai kỹ thuật và ví dụ thực tế
Trong bài thuyết trình thứ ba, ông Peter Sode, Trưởng phòng quản lý và bảo mật dữ liệu tại Công ty phát triển dự án Juwi Group, đã giải thích cách các biện pháp phòng ngừa an toàn công nghệ thông tin (CNTT) có thể được triển khai thực tế vào hoạt động sản xuất điện. Ông đã chỉ ra cách các doanh nghiệp điều hành có thể bảo vệ hệ thống của họ khỏi các cuộc tấn công mạng bằng kiến ​​trúc bảo mật nhiều lớp, phân đoạn mạng (*), giải pháp bảo trì từ xa an toàn và giám sát liên tục. Ông Sode đặc biệt nhấn mạnh vào việc tích hợp các chiến lược bảo mật theo thiết kế vào việc lập kế hoạch cho các hệ thống PV mới. Điều này bao gồm các bản cập nhật phần mềm và chương trình cơ sở thường xuyên, giao diện được xác định rõ ràng giữa công nghệ điều khiển hệ thống, bộ biến tần và phần mềm quản lý vận hành, cũng như việc sử dụng các thành phần được chứng nhận tuân thủ các tiêu chuẩn BSI và ISO. Theo ông Sode, bảo mật không phải là một dự án một lần mà là một quá trình liên tục, một quá trình chỉ có thể hoạt động với sự hợp tác chặt chẽ giữa các doanh nghiệp sản xuất, doanh nghiệp điều hành và doanh nghiệp điều hành lưới điện.
(*) Phân đoạn mạng (network segmentation): là biện pháp chia một hệ thống mạng lớn thành nhiều phân đoạn nhỏ, mỗi phân đoạn được kiểm soát quyền truy cập riêng biệt. Nếu một khu vực trong hệ thống bị tấn công, kẻ tấn công sẽ không thể dễ dàng lan sang toàn bộ hệ thống. Phương pháp này giúp tăng khả năng giữ an toàn cho các phần quan trọng của hạ tầng công nghệ thông tin.

Chứng nhận, tiêu chuẩn và văn hóa tổ chức
Cuối cùng, ông Marc Ratfeld, Chuyên gia tư vấn ISMS cấp cao tại Công ty cung cấp hệ thống Pure ISM, đã chia sẻ về vai trò của chứng chỉ và cấu trúc bảo mật tổ chức trong lĩnh vực năng lượng. Ông nhấn mạnh rằng việc thiết lập một hệ thống quản lý an ninh thông tin (ISMS – Information security management system) vững chắc không chỉ đơn thuần là đạt được chứng chỉ chính thức. Nó phải được vận hành như một phần không thể thiếu trong văn hóa doanh nghiệp. Ông Ratfeld đã trình bày các phương pháp đánh giá và kiểm toán đã được chứng minh, giúp các doanh nghiệp vận hành xác định sớm các lỗ hổng bảo mật. Việc thường xuyên xem xét các kênh truyền thông, quyền truy cập và quy trình bảo trì đặc biệt quan trọng trong các cấu trúc nhà máy phức tạp và phi tập trung. Ông cũng chỉ ra rằng bảo mật CNTT đang trở thành một yếu tố ngày càng quan trọng trong chức năng bảo hiểm, tài chính và đấu thầu, tạo ra động lực kinh tế rõ ràng cho các doanh nghiệp vận hành đầu tư vào các biện pháp bảo mật mạnh mẽ.

Phần kết luận
Hội thảo trực tuyến đã khẳng định rõ ràng rằng an ninh mạng là nền tảng cho hoạt động an toàn và tiết kiệm chi phí của các hệ thống quang điện và lưu trữ. Khi tầm quan trọng của việc phát điện phi tập trung ngày càng tăng, các yêu cầu về bảo mật CNTT, tính minh bạch và phòng ngừa cũng tăng theo. Chỉ bằng cách kết hợp các biện pháp về pháp lý, nâng cao nhận thức, công nghệ và và tiêu chuẩn hóa, ngành năng lượng mặt trời mới có thể bảo vệ vai trò then chốt của mình trong một tương lai năng lượng số an toàn trong tương lai.

Để xem các tin bài khác về “An ninh mạng”, hãy nhấn vào đây.

 

Nguồn: Intersolar