Hà Lan: Rủi ro an ninh mạng đối với hạ tầng công trình thủy  

16/04/2019
Xem cỡ chữ Đọc bài viết In trang Google

Tòa Kiểm toán Hà Lan (COA) vừa qua đã lên tiếng xác nhận nhiều lỗ hổng trong các kế hoạch phòng vệ tấn công an ninh mạng cho các công trình cơ sở hạ tầng ngăn lũ và thoát nước, trong đó đặc biệt chỉ trích Bộ Quản lý Công trình thủy quốc gia Rijkswaterstaat (RWS) đã không thực thi các biện pháp an ninh phù hợp.

Lộ diện lỗ hổng an ninh mạng

Trong Báo cáo kiểm toán, COA nhận định: "Cuộc cách mạng kỹ thuật số đang diễn ra mạnh mẽ mang đến những cơ hội mới chưa từng có. Song công nghệ cũng khiến chúng ta trở nên bị phụ thuộc và hình thành những mối đe dọa an ninh ngày càng phức tạp. Gián điệp, phá hoại, khủng bố và tội phạm đã chuyển sang hoạt động trên nền tảng thế giới kỹ thuật số và đe dọa đến nhiều hệ thống cơ sở hạ tầng quốc gia quan trọng như: cầu, đường, hầm, hệ thống đê ngăn lũ, hệ thống cấp thoát nước”.

Theo COA, một số công trình thủy do RWS quản lý được xác định là “có ý nghĩa sống còn”, nghĩa là bất kỳ một cuộc tấn công nào nhằm vào các công trình này đều có thể gây hậu quả lớn cho đất nước hoa tulip. COA nhận thấy, không phải tất cả các công trình thủy quan trọng của Hà Lan đều được kết nối với Trung tâm Điều hành an ninh (SOC) của RWS và như vậy, RWS có thể sẽ phát hiện muộn hoặc không thể phát hiện ra một cuộc tấn công an ninh mạng nếu xảy ra.
Cuộc kiểm toán của COA chủ yếu nhằm đánh giá khả năng thích ứng, đối phó với các cuộc tấn công an ninh mạng của RWS. COA đã chỉ trích rằng, RWS không đưa ra các kịch bản cụ thể nhằm đối phó với các tình huống khủng hoảng an ninh mạng và “Đánh giá lỗ hổng bảo mật (Pentest)” - một phần không thể thiếu trong các biện pháp an ninh mạng tại các công trình thủy quan trọng - hầu như không được RWS thực hiện.

Đảm bảo kết nối các công trình với hệ thống an ninh

Kể từ sau trận lụt lịch sử năm 1953 khiến gần như toàn bộ vùng duyên hải phía nam quốc gia có địa hình thấp hơn mực nước biển này bị nhấn chìm và hàng nghìn người thiệt mạng, Chính phủ Hà Lan đã đưa công tác trị thủy trở thành vấn đề trọng điểm của quốc gia. Chính phủ nước này hiện đầu tư hơn 1 tỷ EUR/năm cho công tác trị thủy, thoát nước, trữ nước ngọt và thích ứng với biến đổi khí hậu, trong đó 400 triệu EUR dành cho công tác phòng, chống bão lụt.

Cho tới nay, Hà Lan là quốc gia có hệ thống ngăn nước biển dài nhất thế giới với nhiều công nghệ cải tiến và các giải pháp đột phá để có thể chung sống hòa bình với các sự cố thiên tai. Hệ thống các công trình thủy của Hà Lan chủ yếu được hình thành từ những năm 1980 và 1990, dần dần được phát triển liên kết với các mạng máy tính trên nền tảng tự động hóa, để có thể điều khiển từ xa. Điển hình nhất là Bức tường Maeslantskering - một trong những công trình thủy có ý nghĩa quan trọng với người Hà Lan và là công trình tự động hóa độc đáo nhất thế giới. Maeslantskering thực hiện chức năng chắn sóng biển, bảo vệ cho cả một vùng đồng bằng rộng lớn của Hà Lan, trong đó có cảng Rotterdam, cảng biển sầm uất nhất châu Âu. Hai cánh cửa quay của Maeslantkering được lập trình và chạy tự động hoàn toàn để khi bão làm nước biển dâng cao hơn bình thường 3m, hai cánh cửa sẽ tự động nổi lên theo dòng nước rồi đóng lại như một con rô-bốt. Chính phủ Hà Lan đã mất khoảng 6 năm và 2,5 tỷ EUR để hoàn thành công trình này.

COA cho rằng, các biện pháp bảo mật an ninh mạng trên các hệ thống công trình thủy quan trọng như Bức tường Maeslantskering của Hà Lan không được phát triển một cách đầy đủ, đây là nguyên nhân dẫn đến các mối đe dọa về tội phạm an ninh mạng. Do đó, RWS cần phải làm nhiều hơn nữa để đạt được các mục tiêu an ninh mạng của mình. Đồng thời, Bộ trưởng Cora van Nieuwenhuizen - người đứng đầu RWS - cần nhanh chóng điều tra, đánh giá mức độ đe dọa hiện tại đối với các công trình thủy trọng yếu của quốc gia, từ đó quyết định sự cần thiết cho việc bổ sung nguồn lực con người và tài nguyên để thực hiện các biện pháp an ninh mạng càng sớm càng tốt, đảm bảo rằng tất cả các công trình thủy quan trọng đều được kết nối với SOC. Bên cạnh đó, RWS cân nhắc tiến hành sàng lọc nhân sự SOC để đảm bảo nhân sự đủ năng lực phát hiện và xử lý những dữ liệu nhạy cảm liên quan đến các cuộc tấn công mạng có thể xảy ra.

Trong một lá thư phản hồi về những thông tin của Báo cáo, người đứng đầu RWS cho biết, ông sẽ xem xét các kết luận và khuyến nghị của COA một cách nghiêm túc để cải thiện tình hình trong thời gian sớm nhất.

(Theo Netherland Timesvà Telecomper)
(Báo Kiểm toán số 15/2019)

Xem thêm »