Nation's nuclear power plants prepare for cyberattacks
By Martin Matishak, Global Security Newswire 08/30/2010
Theo: http://www.nextgov.com/nextgov/ng_20100830_2807.php
Bài được đưa lên Internet ngày: 30/08/2010
Lời người dịch: Có những cảnh báo về an ninh không gian mạng đối với các nhà máy điện nguyên tử nói chung, các lưới điện nói riêng tại Mỹ từ những chuyên gia hàng đầu về an ninh và các ủy ban chịu trách nhiệm về đảm bảo an ninh hệ thống điện thông qua các qui định pháp luật của nước Mỹ, đại loại như: “Nếu tôi vào được một nhà máy nhiệt điện, thứ tồi tệ nhất mà tôi sẽ làm là gây ra một sự cúp điện. Nếu tôi vào được một nhà máy điện nguyên tử, thì tôi có thể gây ra một vụ Chernobyl”, hay có thể mất thời gian để đảm bảo an ninh cho một số các mạng điện quốc gia vì “chúng không bao giờ được thiết kế để có an ninh cả”. Còn mạng điện quốc gia của Việt Nam thì được bảo vệ an ninh bằng cách nào nhỉ?
Mối đe dọa đối với các hệ thống số tại các nhà máy điện nguyên tử của quốc gia đang được xem xét, nhưng khu vực này được chuẩn bị tốt để phòng vệ chống lại các cuộc tấn công không gian mạng có tính phá hủy tiềm tàng hơn hầu hết các trang bị khác, theo các quan chức và các chuyên gia của chính phủ và giới công nghiệp.
Các cuộc tấn công không gian mạng ngày càng trở thành nguồn của mối lo trong những năm gần đây nhưng những mối đe dọa này đã được nhấn mạnh vào tháng 07 bằng sự phát hiện lần đầu tiên của mã độc đặc biệt được hình thành để tấn công các hệ thống mà hướng trực tiếp vào những hoạt động bên trong của các nhà máy công nghiệp. Ngày nay phần mềm độc hại được nghĩ ra để lây nhiễm hơn 15,000 máy tính trên thế giới, hầu hết là tại Iran, Indonesia và Ấn Độ.
Vấn đề là quan trọng sống còn cho các trang thiết bị điện nguyên tử mới mà có thể được xây dựng tại nước Mỹ và trên khắp thế giới như những phòng kiểm soát có thể triển khai các hệ thống số để vận hành các nhà máy này. Những công cụ và hệ thống thời thượng này làm cho chúng trở thành những mục tiêu của bọn tin tặc.
Một nữ phát ngôn của Ủy ban Điều chỉnh pháp luật về Nguyên tử của Mỹ đã từ chối nói liệu đã có bất kỳ cuộc tấn công nào vào các trang thiết bị điện hay chưa, liệu có “thông tin nhạy cảm” nào và vì thế không được đưa ra công khai hay chưa, bà nói.
Đã từng có những cuộc tấn công không gian mạng tới nay vào các trang thiết bị nguyên tử của Mỹ, theo Doug Walters, phó chủ tịch các vấn đề điều chỉnh pháp lý tại Viện Năng lượng Nguyên tử, một tổ chức làm chính sách của nền công nghiệp các công nghệ hạt nhân và điện.
The threat to digital systems at the country's nuclear power plants is considerable, but the sector is better prepared to defend against potentially devastating cyberattacks than most other utilities, according to government and industry officials and experts.
Cyberattacks have been an increasing source of concern in recent years but the threat was highlighted in July by the first discovery of malicious code specifically formulated to target the systems that direct the inner operations of industrial plants. To date the malware is thought to have infected more than 15,000 computers worldwide, mostly in Iran, Indonesia and India.
The issue is critically important for new nuclear power facilities that would be built in the United States and throughout the world as control rooms would employ digital systems to operate the plants. Those state-of-the-art instruments and systems make them targets for hackers.
A U.S. Nuclear Regulatory Commission spokeswoman declined to say whether there have been any cyber strikes against the nation's nuclear power sector. Security events, including a computer-based attack at an energy facility, would be "sensitive information" and therefore not released to the public, she said.
There have been no cyberattacks to date on U.S. nuclear facilities, according to Doug Walters, vice president of regulatory affairs at the Nuclear Energy Institute, a policy organization of the nuclear power and technologies industry.
Các cuộc tấn công không gian mạng là “không khác gì so với những hoạt động quân sự khác, trong đó các lưới điện thường là mục tiêu cho đám du kích và quân đội. Đây là thứ gì đó mà họ thường cố gắng tấn công nếu họ rơi vào xung đột”, James Lewis, một người lâu năm tại Trung tâm Chiến lược và Nghiên cứu Quốc tế, nói trong một cuộc phỏng vấn vào tuần trước.
Những chủ nhân và những người vận hành các nhà máy điện nguyên tử “được khuyến khích về lâu dài phải nghĩ về an ninh và đặt nhiều nỗ lực vào đó hơn là những doanh nghiệp dân sự khác”, ông đã nói với tờ Global Security Newswire. “Câu hỏi là làm cách nào chúng có thể bị tổn thương sao cho ai đó sử dụng sự truy cập từ xa để gửi những mệnh lệnh gây thiệt hại và tôi nghĩa câu trả lời là chúng thực sự không có thể bị tổn thương”.
Lewis nói các chuyên gia biết các quốc gia khác, có thể có cả Nga và Trung Quốc, đã tiến hành nghiên cứu đối với những điểm yếu tiềm tàng trong lưới điện của Mỹ và “chúng ta không biết họ để lại những gì ở phía sau”.
“Mọi người với các nhà máy điện nguyên tử phải là và vì thế là, cẩn thận hơn về điều này vì dễ dàng hơn trong tưởng tượng để nhìn thấy được điều gì xảy ra nếu một tin tặc chui được vào một nhà máy điện nguyên tử”, Martin Libicki, một nhà khoa học quản lý cao cấp tại RAND Corp, nói. “Nếu tôi vào được một nhà máy nhiệt điện, thứ tồi tệ nhất mà tôi sẽ làm là gây ra một sự cúp điện. Nếu tôi vào được một nhà máy điện nguyên tử, thì tôi có thể gây ra một vụ Chernobyl”.
“Tôi không chắc điều đó đúng nhưng bạn có thể tưởng tượng cách mà điều đó có thể xảy ra trong các phương tiện và chính trị”, ông bổ sung.
Cyberattacks are "no different from other military activities, in that power grids are a normal target for guerrillas and militaries. It's something they usually try to attack if they get into a conflict," James Lewis, a senior fellow at the Center for Strategic and International Studies, said during an interview last week.
Nuclear power plant owners and operators "have been encouraged for a long time to think about security and to put a lot more effort into it than most civilian enterprises," he told Global Security Newswire. "The question is how vulnerable are they so someone using remote access to send damaging commands and I think the answer is they're not particularly vulnerable."
Lewis said experts know other nations, possibly including China and Russia, have conducted reconnaissance for potential weak spots in the U.S. power grid and "we don't know what they left behind."
"People with nuclear power plants ought to be and thus are, more careful about this because it's easier in the imagination to envision what happens if a hacker gets into a nuclear power plant," said Martin Libicki, a senior management scientist at RAND Corp. "If I get into a coal-fired power plant, the worst I'm going to do is cause a blackout. If I get into a nuclear power plant, I can cause a Chernobyl.
"I'm not sure that's true but you can imagine how that might play in out in the media and politically," he added.
An toàn và kiểm soát các hệ thống mà vận hành các nhà máy điện hạt nhân được tách biệt khỏi Internet và được bảo vệ chống lại sự can thiệp từ bên ngoài. Vâng trong một số trường hợp, những hệ điều hành đó và các hạ tầng sống còn khác là cũ hàng chục năm và không được tách biệt hoàn toàn với các mạng máy tính được sử dụng để quản lý các hệ thống quản trị. Những khoảng trống này đưa ra những cổng vào tiềm tàng cho các tin tặc để chèn vào các virus, mã độc và sâu.
Hơn 85% các hạ tầng sống còn của quốc gia được sở hữu và vận hành bởi các công ty tư nhân, rải từ các nhà máy điện hạt nhân cho tới các hệ thống giao thông và chế tạo. Các trang thiết bị điện nguyên tử là một mục tiêu như trêu ngươi cho sự phá hoại số vì một sự sụp đổ có thể gây ra một sự kiện dò phóng xạ lớn.
Trong tất cả nền công nghiệp hạt nhân đã chi tới 2.2 tỷ USD trong thập niên gần đây vào những cải tiến để tránh những lỗ hổng vật lý hoặc không gian mạng, theo Walters. Những tiền này đã được chi cho những nâng cấp về an ninh để đáp ứng được những yêu cầu của Ủy ban Điều chỉnh pháp luật Hạt nhân Mỹ, bao gồm các vào chắn các phương tiện giao thông, máy quay, các tường chống đạn và những công nghệ khác, ông nói.
The safety and control systems that operate nuclear power plants are isolated from the Internet and are protected against outside invasion. Yet in some cases, those operating systems and other critical infrastructure are decades old and not completely separated from computer networks used to manage administrative systems. Those gaps provide potential gateways for hackers to insert viruses, malicious codes and worms.
As much as 85 percent of the nation's critical infrastructure is owned and operated by private companies, ranging from nuclear power plants to transportation and manufacturing systems. Atomic energy facilities are a tantalizing target for digital sabotage because a meltdown could result in a major radiological event.
In all, the nuclear industry has spent roughly $2.2 billion during the last decade on enhancements to prevent physical or cyber breaches, according to Walters. Those funds paid for security upgrades to meet U.S. Nuclear Regulatory Commission requirements, including vehicle barriers, cameras, bullet resistant enclosures and other new technologies, he said.
Con số đó cũng bao gồm những chi phí cho các nhân viên an ninh bổ sung, số lượng của chúng đã gia tăng khoảng 60% “ở khắp nơi”.
Ngay sau các cuộc tấn công khủng bố ngày 11/09, ủy ban điều chỉnh pháp luật, cơ quan mà xem xét các nhà máy điện nguyên tử của quốc gia, đã đặt ra một loạt các lệnh yêu cầu 104 giấy phép của mình phải tăng cường những nỗ lực an ninh chung của họ, bao gồm bảo vệ vật lý, trách nhiệm cá nhân và phòng vệ không gian mạng, Walters nói. Một năm sau ủy ban lần đầu tiên đã ra lệnh rằng các cuộc tấn công không gian mạng sẽ được đưa vào danh sách các mối đe dọa mà các nhà máy phải có khả năng chống lại.
Tháng 03/2009 ủy ban này đã hé lộ một điều luật yêu cầu các nhà máy điện hoàn chỉnh các kế hoạch an ninh không gian mạng mà có thể bảo vệ chống lại một “mối đe dọa được thiết kế cơ bản”, theo Rich Correia, người đứng đầu Đơn vị Chính sách An ninh của cơ quan này. Các kế hoạch có thể là những phê chuẩn cho các giấy phép sử dụng để vận hành các lò phản ứng hạt nhân. Mối đe doạ được thiết kế cơ bản là “khá nhiều những gì mà ủy ban đã xác định một lực lượng an ninh tư nhân phải có khả năng để kháng cự lại”, Correia nói. “Vì các nhà máy điện được quản lý bởi các thực thể tư nhân, chúng tôi không thể mong đợi họ kháng cự lại được so với của quốc gia”.
Chỉ thị này mô tả những hành động nào mà những người vận hành các nhà máy phải thực hiện để xác định và bảo vệ “các tài sản số sống còn”, các hệ thống máy tính và các thành phần chủ chốt đối với sự bảo vệ các nhà máy mà, nếu bị tổn thương, có thể sinh ra một sự cố dò phóng xạ, ông bổ sung. Một hệ thống sống còn được xác định như là bất kỳ thứ gì thực thi hoặc dựa vào đó cho sự an toàn, an ninh và các biện pháp chuẩn bị khẩn cấp của nhà máy; cung cấp một lộ trình cho một hệ thống mà có thể được sử dụng để gây tổn thương, một cuộc tấn công, hoặc giảm mức độ vận hành, hỗ trợ các hệ thống mà nếu bị tổn thương có thể gây ảnh hưởng tồi cho những sự phòng vệ đó; hoặc bảo vệ chống lại bất kỳ cuộc tấn công không gian mạng nào.
That figure also included expenditures for additional security officers, the number of which has increased by about 60 percent "across the fleet."
Shortly after the Sept. 11 terrorist attacks, the regulatory commission, the agency with oversight of the country's atomic energy plants, put out a series of orders requiring its 104 licensees to enhance their overall security efforts, including physical protection, personnel reliability and cyber defense, Walters said. A year later the commission for the first time ordered that cyberattacks be added to the list of threats sites must be able to defend against.
In March 2009 the commission unveiled a rule that required power plants to complete cyber security plans that would protect against a "design basis threat," according to Rich Correia, head of the agency's Security Policy Division. The plans would be amendments to the utility licenses to operate the reactors.
Design basis threat is "pretty much what the commission has determined what a private security force should be able to defend against," Correia said. "Since power plants are run by private entities, we couldn't expect them to defend against, say, a nation state."
The directive describes what actions site operators must take to identify and protect "critical digital assets," computer systems and components key to the protection of the plant that, if harmed, could produce a radiological incident, he added. A critical system is identified as any that performs or is relied on for plant safety, security and emergency preparedness; provides a pathway to a system that could be used to compromise, attack, or degrade those functions; supports systems that if compromised could adversely impact those defenses; or protects against any of those cyberattacks.
“Trong thực tế, chúng tôi chắc chắn rằng chúng tôi có một cái lá chắn xung quanh nhà máy vượt ra khỏi những tường lửa thông thường mà có thể bảo vệ chống lại một cuộc tấn công không gian mạng”, Walters nói vào tuần trước.
Các giấy phép đã đệ trình về các kế hoạch an ninh không gian mạng của họ cho 65 nhà máy điện hạt nhân của quốc gia cho ủy ban xem xét lại vào tháng 11/2009, Correia đã nói cho GSN. Cơ quan này hy vọng sẽ có các kế hoạch được phê chuẩn vào mùa xuân năm sau.
Các nhà vận hành nhà máy điện sau đó nên triển khai các chương trình này, và 4 văn phòng khu vực của ủy ban điều chỉnh pháp luật có thể bắt đầu những cuộc thanh sát để kiểm tra xem chúng có được được sử dụng như được thiết kế ra hay không, ông nói.
Correia nói bộ phận của ông đang tiếp tục liên hệ với chi nhánh đánh giá đe dọa của ủy ban, mà sẽ đánh giá các thông tin tình báo từ nhiều cơ quan khác nhau của chính phủ, để tiến hành bất kỳ thay đổi nào đối với mối nguy hiểm nhận thức được về không gian mạng.
Ủy ban này cũng đặt ra cùng một “lực lượng giả kẻ thù” để kiểm thử những sự chuẩn bị số của các nhà máy điện như một phần của qui trình thanh sát các nhà máy của NRC, ông bổ sung. Cơ quan này tiến hành những thực tập dạng “lực lượng theo lực lượng” tại các trang thiết bị để thách thức các tài sản an ninh vật lý của họ. Nhiệm vụ của lực lượng giả kẻ thù có thể đưa vào hành động chống lại các hệ thống và thành phần số.
Nền công nghiệp điện nguyên tử của Mỹ cũng đứng ở vị trí tốt để giải quyết mối đe dọa này vì kích cỡ của nó, theo Lewis. Khu vực này chỉ có 104 lò phanruwngs tại 65 nhà máy, so với hàng ngàn các trang thiết bị điện. Các công ty này thường quá nhỏ để bỏ tiền ra để kiểm tra an ninh không gian mạng hoặc quá lớn để bỏ qua nó, ông nói.
“Liệu điều đó có nghĩa là khu vực điện nguyên tử hoàn toàn có thể bị tổn thương hay không? Không”, Lewis đã nói cho GSN. “Nhưng nếu bạn là một kẻ thù thì bạn sẽ tự hỏi, 'Gosh, có quá nhiều mục tiêu rất dễ dàng, vì sao tôi lại phải đi sau những mục tiêu khó khi tôi có thể có được cùng một mức tàn phá vì tiền với ít nỗ lực hơn nhiều?'”
Walters đã nói nền công nghiệp này từng “khá tích cực” về vấn đề này thậm chí không có những mệnh lệnh của NRC, lưu ý là Viện Năng lượng Nguyên tử đã hình thành một đội tác vụ vào năm 2002 để phát triển những chỉ dẫn về an ninh không gian mạng, mà đã nhận được sự ủng hộ của cơ quan điều chính pháp luật này. Chỉ dẫn đó đã vạch ra những biện pháp bảo vệ an ninh không gian mạng mà nên được cài đặt trong các hệ thống nhất định nào đó của các nhà máy.
Viện này cũng đx thiết lập một ủy ban khu vực hạt nhân mà đáp ứng được với các quan chức của Bộ An ninh Quốc nội về một cơ sở theo qúy phải giải quyết những quan tâm tiềm tàng về an ninh, ông nói.
“Với những yêu cầu mà chúng ta có và với những người được cấp phép biết những gì họ cần phải làm về các kiểm soát an ninh... chúng ta đang ở trong một hình hài rất tốt về việc bảo vệ chống lại các cuộc tấn công không gian mạng”, theo Walters.
"In essence, we're making sure that we have a shield up around the plant beyond normal firewalls that would protect against a cyberattack," Walters said last week.
Licensees submitted their cybersecurity blueprints for the country's 65 nuclear power plants for commission review in November 2009, Correia told GSN. The agency hopes to have the plans approved by next spring.
Power plant operators would then implement the programs, and the regulatory commission's four regional offices would begin inspections to verify they were being used as designed, he said.
Correia said his division is in continuous contact with the commission's threat assessment branch, which evaluates intelligence information from various government agencies, to make any changes to the perceived cyber danger.
The commission also has put together a "mock adversary force" to test power plants' digital preparedness as part of the overall NRC site inspection process, he added. The agency conducts "force on force" exercises at facilities to challenge their physical security assets. The mock enemy's mission might include action against digital systems and components.
The U.S. nuclear power industry also is well positioned to address the evolving threat because of its size, according to Lewis. The sector only has 104 reactors at 65 plants, compared to thousands of electrical utilities. Those companies are often too small to spend money to examine the cybersecurity or so large that it is glossed over, he said.
"Does it mean [the atomic energy sector is] totally invulnerable? No," Lewis told GSN. "But if you're an opponent you're going to ask yourself, 'Gosh, there's so many easy targets, why should I go after hard targets when I can pretty much get the same bang for the buck with a lot less effort?'"
Walters said the industry has been "fairly proactive" on the issue even without the NRC orders, noting the Nuclear Energy Institute formed a task force in 2002 to develop cybersecurity guidelines, which received the regulatory agency's blessing. That guidance delineated cybersecurity protection measures that should be installed on certain plant systems.
The institute also has established a nuclear sector council that meets with Homeland Security Department officials on a quarterly basis to address potential security concerns, he said.
"With the requirements we have in place and with licensees knowing what they need to do in terms of security controls ... we are in very good shape in terms of protecting against cyber attacks," according to Walters.
Tương lai của An ninh không gian mạng
Các quan chức và chuyên gia đồng ý là quốc gia đã bắt đầu chú ý hơn tới an ninh không gian mạng trong vài năm qua. Tuy nhiên, nhiều thứ hơn có thể được làm tính tới mối đe dọa chưa từng có đối với lưới điện quốc gia, bao gồm cả các lò phản ứng hạt nhân.
“Nếu là tôi, thì tôi có thể bắt buộc rằng việc phát và phân phối điện sẽ không được kết nối vào Internet”, Libicki nói. Ông đã tiên đoán rằng các thực thể có thể tranh luận rằng một động thái như vậy có thể quá là đắt giá.
Walters nói các nhà máy điện hạt nhân là khác với các trang thiết bị khác vì nhiều trong cố các hệ thống an toàn của chúng là đã được tách ra khỏi Web.
“Đối với một nhà máy điện hạt nhân, khi bạn đang nói về các kiểm soát và các hệ thống cho an toàn, những thứ đó là thực sự được nằm trong nahf máy và không có đầu ra với Internet. Có những sự canh phòng an toàn vốn có mà nó đang tồn tại”, ông nói cho GSN.
Lewis đã tiên đoán có thể mất thời gian để đảm bảo an ninh cho một số các mạng điện quốc gia vì “chúng không bao giờ được thiết kế để có an ninh cả”.
“Chúng ta sẽ chỉ phải nghĩ; chúng ta không kham nổi để thay thế mọi thứ cùng một lúc”, ông bổ sung.
Correia đã mô tả an ninh không gian mạng trong thực tế hạt nhân như một “quá trình đang diễn ra” mà có thể đòi hỏi những khảo sát tiếp tục về những gì đang xảy ra bên trong không gian mạng sao cho các trang thiết bị có thể phản ứng lại được với những mối đe dọa đang phát triển.
“Những người được cấp phép phải có khả năng phản ứng lại một cách nhanh chóng, tinh chỉnh các kế hoạch không gian mạng của họ... để bảo vệ chống lại nó nếu có một cuộc tấn công”, ông nói.
The Future of Cybersecurity
Officials and experts agreed the country has begun to pay more attention to cybersecurity over the last several years. However, more could be done to counter the ever-evolving threat to the nation's power grid, including nuclear reactors.
"If it was up to me, I would mandate that the electrical generation and distribution be provably disconnected from the [Internet]," Libicki said. He predicted that entities would argue that such a move would prove too costly.
Walters said nuclear plants are different from other utilities because many of their safety systems are already detached from the Web.
"For a nuclear plant, when you're talking about controls and the systems for safety, those things are really confined to the sites and there's no output to the Internet. There are inherent safeguards that exist," he told GSN.
Lewis predicted it would take time to secure some of the nation's power networks because "they were never designed to be secure.
"We will just have to think; we can't afford to replace everything at once," he added.
Correia described cybersecurity in the nuclear realm as an "ongoing process" that would require continuous observation of what is happening within cyber space so that facilities could respond to developing threats.
"Licensees have to be able to react to it quickly, to adjust their cyber plans . . . to defend against it if there's an attack," he said.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.