Ngành năng lượng trước mối đe dọa an ninh mạng chưa từng có
Ngành năng lượng toàn cầu đang đối mặt với mối đe dọa an ninh mạng chưa từng có, có nguy cơ gây thiệt hại 329,5 tỷ USD trong kịch bản cực đoan nhất. Ước tính này được trích từ Báo cáo Rủi ro Tài chính An ninh OT 2025 do Dragos Inc. - công ty hàng đầu thế giới về an ninh mạng cho môi trường công nghệ vận hành (OT) - công bố.
Ngành năng lượng trước mối đe dọa an ninh mạng chưa từng có. (Ảnh: AFP)
Nghiên cứu, do Trung tâm Tình báo Rủi ro Mạng của Marsh McLennan thực hiện, là phân tích thống kê đầu tiên định lượng rủi ro tài chính từ các sự cố mạng liên quan đến OT. Các khoản thiệt hại gián tiếp - thường bị bỏ qua trong các mô hình truyền thống - chiếm 70% các vụ vi phạm hệ thống OT, trong đó riêng sự cố gây gián đoạn hoạt động đã gây thiệt hại 172,4 tỷ USD.
Các lỗ hổng nghiêm trọng
Những vụ việc gần đây càng củng cố tính nghiêm trọng của các dự báo thiệt hại tài chính. Vụ tấn công bằng ransomware nhằm vào Halliburton vào tháng 8/2024 đã gây thiệt hại trực tiếp 35 triệu USD và buộc tập đoàn trị giá 23 tỷ USD này phải tạm ngừng một phần hệ thống. Nhóm RansomHub - bị cho là thủ phạm - đã cho thấy khả năng làm tê liệt các “ông lớn” ngành dầu mỏ toàn cầu bằng các tác nhân độc hại.
Trước đó, vào tháng 1/2024, phần mềm độc hại FrostyGoop đã tấn công một công ty năng lượng đô thị của Ukraine, khiến hơn 600 tòa nhà không thể sử dụng hệ thống sưởi trong hai ngày giữa thời tiết âm độ. Vụ việc này minh họa cách các hệ thống điều khiển công nghiệp Modbus TCP có thể bị xâm nhập, gây ra hậu quả vật lý tức thì đối với dân thường.
Tại Mỹ, các hạ tầng thủy lợi đã trở thành mục tiêu hàng đầu của các nhóm tin tặc có liên hệ với nhà nước. Nhóm Cyber Army of Russia Reborn (CARR), được cho là liên kết với Sandworm - đơn vị thuộc cơ quan tình báo quân đội Nga GRU - đã gây tràn một hồ chứa nước ở Muleshoe, bang Texas, vào tháng 1/2024. Vụ xâm nhập diễn ra thuận lợi do mật khẩu của hệ thống không thay đổi suốt mười năm, phơi bày những sơ suất cơ bản trong bảo mật hạ tầng trọng yếu. Các thành phố Abernathy, Hale Center và Lockney cũng hứng chịu những cuộc tấn công tương tự, cho thấy đây là một chiến dịch phối hợp nhắm vào hệ thống phân phối nước của Mỹ.
Leo thang địa chính trị với hệ quả kinh tế nghiêm trọng
Phân tích dữ liệu năm 2024 cho thấy sự thay đổi mang tính chất định tính trong các mối đe dọa mạng OT. Dù số lượng các cuộc tấn công chỉ tăng nhẹ - từ 72 vụ năm 2023 lên 76 vụ năm 2024 - nhưng tác động vật lý lại là con số đáng quan ngại, với 1.015 cơ sở bị gián đoạn so với 412 cơ sở của năm trước, tương đương mức tăng 146%. Các vụ tấn công do quốc gia bảo trợ và gây hậu quả vật lý đã tăng gấp ba lần, chủ yếu xuất phát từ chiến dịch của Trung Quốc, Nga và Iran. Trong năm 2024, ba chủng mã độc mới chuyên biệt cho hệ thống điều khiển công nghiệp (ICS) đã được phát hiện - con số này bằng một nửa tổng số phát hiện trong suốt 14 năm trước đó.
Báo cáo của Forescout cho thấy các giao thức tự động hóa công nghiệp đã trở thành kênh tấn công ưa thích của tin tặc. Tỷ lệ tấn công vào các giao thức này đã tăng từ 71% lên 79% trong giai đoạn 2023-2024, với Modbus chiếm 40% số sự cố, tiếp theo là Ethernet/IP với 28%. Các tác nhân đã gia tăng hiện diện gần 93% trong lĩnh vực năng lượng, 71% trong sản xuất và 55% trong y tế. Sự gia tăng theo cấp số nhân đi kèm với mức độ tinh vi cao hơn trong phương thức tấn công và khả năng gây gián đoạn vật lý chưa từng có.
Các biện pháp kiểm soát an ninh định lượng để giảm thiểu rủi ro
Báo cáo của Dragos xác định ba biện pháp kiểm soát an ninh mạng OT hàng đầu cùng khả năng giảm thiểu rủi ro tài chính tương ứng. Kế hoạch ứng phó sự cố có thể giúp giảm trung bình 18,5% rủi ro. Kiến trúc phòng thủ có thể giảm mức phơi nhiễm 17,09%, trong khi khả năng giám sát và quan sát mạng ICS mang lại mức bảo vệ lên tới 16,47%. Những con số này được rút ra từ hàng chục nghìn mô phỏng và dữ liệu vi phạm tích lũy trong một thập kỷ, cung cấp cho lãnh đạo doanh nghiệp các thước đo cụ thể cho việc đầu tư vào an ninh mạng OT.
Yếu tố quy định pháp lý cũng đang trở nên khắt khe hơn khi các chỉ thị NIS2 và CER của châu Âu sẽ có hiệu lực vào cuối năm 2024, áp đặt yêu cầu an ninh mạng đối với hơn 400.000 doanh nghiệp. Tại Mỹ, Cơ quan An ninh Giao thông Vận tải (TSA) đã ban hành các chỉ thị bắt buộc dành cho ngành ống dẫn sau vụ tấn công Colonial Pipeline năm 2021 - sự cố làm gián đoạn 45% nguồn cung nhiên liệu cho bờ Đông nước Mỹ. Các công ty năng lượng hiện cũng buộc phải định lượng rủi ro an ninh mạng để đáp ứng yêu cầu báo cáo của Ủy ban Chứng khoán và Giao dịch (SEC), đặc biệt là quy tắc 8-K về công bố sự cố mạng.
Những thay đổi này đang biến an ninh mạng OT từ một khoản chi phí kỹ thuật thành một ưu tiên chiến lược có thể đo lường bằng giá trị tài chính, qua đó tái định hình thứ tự ưu tiên đầu tư của toàn bộ ngành năng lượng toàn cầu.
