Ngành công nghiệp dầu khí là một mảng quan trọng của nền kinh tế toàn cầu. Có hàng triệu nhân lực trên toàn thế giới đang hoạt động trong ngành. Họ chịu trách nhiệm cung cấp năng lượng cho các gia đình, doanh nghiệp, hệ thống giao thông, cũng như hỗ trợ thương mại, nâng cấp công nghệ, phát triển cơ sở hạ tầng, v.v… Giống như hầu hết các ngành công nghiệp quan trọng hiện nay, các công ty dầu khí ngày càng phụ thuộc vào công nghệ kỹ thuật số – khiến việc triển khai chiến lược an toàn thông tin trở nên quan trọng hơn bao giờ hết.
Sự khác biệt chính giữa các phân khúc trong ngành dầu khí
Dầu khí là một trong những ngành công nghiệp lớn nhất thế giới. Ngành được chia thành ba phân khúc chính: thượng nguồn, trung nguồn và hạ nguồn. Mỗi phân khúc ngành được kết nối với nhau và đóng một vai trò quan trọng trong việc đảm bảo sản xuất, vận chuyển và phân phối các sản phẩm dầu khí hiệu quả. Tuy nhiên, các phân khúc này có một số điểm khác biệt chính. Vì thế, để có một chiến lược an toàn thông tin hiệu quả tùy thuộc vào phân khúc của từng công ty. Dưới đây là những điểm khác biệt chính:
- Thượng nguồn:
Phân khúc thượng nguồn tập trung vào tìm kiếm, thăm dò, khai thác dầu thô và khí tự nhiên. Các công ty trung nguồn và hạ nguồn sẽ vận chuyển và tinh chế thành nhiên liệu, hóa chất và các sản phẩm hoàn chỉnh khác. Thượng nguồn có nhiều phương pháp khai thác vật liệu khác nhau, bao gồm thông qua giếng dầu và giàn khoan, khoan ngoài khơi, khai thác cát dầu và fracking.
Các hoạt động thượng nguồn thường diễn ra trong môi trường xa xôi và nhiều nguy hiểm. Đồng thời tài sản của họ thường được phân bổ trên các khu vực địa lý rộng lớn. Đặc điểm này có thể gây khó khăn cho các công ty thượng nguồn. Không chỉ trong việc giám sát và bảo mật toàn bộ hoạt động và tài sản của họ, mà còn thực hiện cập nhật phần mềm, áp dụng các bản vá và thực hiện các biện pháp kiểm soát bảo mật cần thiết khác. Do đó, các hệ thống dầu khí thượng nguồn có xu hướng dễ bị lộ hơn và dễ bị tấn công mạng hơn.
- Trung nguồn:
Phân khúc trung nguồn bao gồm việc vận chuyển và lưu trữ nguyên liệu dầu khí thô. Các công ty trung nguồn thường sử dụng đường ống, bể chứa, tàu chở dầu và/hoặc các phương tiện chuyên dụng khác để lưu trữ và vận chuyển dầu thô và khí tự nhiên từ các địa điểm khai thác thượng nguồn đến các cơ sở chế biến và lọc dầu ở hạ nguồn, hoặc phân phối đến các trung tâm cho khách hàng. Giống như các tổ chức thượng nguồn, kiến trúc trung nguồn có xu hướng lan rộng và phân tán về mặt địa lý, gây ra những thách thức trong việc giám sát an ninh mạng và truy cập từ xa thường không được bảo mật.
Sự phụ thuộc thường xuyên của các tổ chức này vào đường ống để vận chuyển dầu và khí đốt, cũng như sự phụ thuộc vào các nhà thầu thứ ba để cung cấp thiết bị và dịch vụ, cũng góp phần mạnh mẽ vào những thách thức tiếp cận từ xa của họ. Bằng cách nhắm mục tiêu vào các đường ống hoặc khai thác các lỗ hổng vốn có của nhà cung cấp thứ ba, tin tặc có thể truy cập trái phép, làm gián đoạn hoạt động và thậm chí gây ra thiệt hại vật chất.
Sự cố như này đã từng xảy ra với Colonial Pipeline (Hoa Kỳ), gây ảnh hưởng đến việc vận chuyển dầu và khí đốt, đồng thời khiến giá nhiên liệu đối với người tiêu dùng tăng lên, cùng nhiều hệ lụy khác. Chúng ta sẽ thảo luận thêm về cuộc tấn công chưa từng có này vào cơ sở hạ tầng quan trọng của Hoa Kỳ ở phần sau của bài viết này.
- Hạ nguồn:
Phân khúc hạ nguồn tập trung vào việc xử lý nguyên liệu thô thu được tại thượng nguồn. Điều này liên quan đến việc chuyển đổi dầu thô thành các sản phẩm có thể sử dụng được như xăng, dầu diesel và nhiên liệu máy bay phản lực. Nó cũng liên quan đến việc phân phối các sản phẩm này thông qua mạng lưới đường ống, tàu chở dầu và cửa hàng bán lẻ (tức là trạm xăng) tới người tiêu dùng. Kiến trúc mạng hạ nguồn có xu hướng liên quan chặt chẽ hơn với những kiến trúc trong môi trường “nhà máy” truyền thống, được thấy trong các ngành công nghiệp khác, như sản xuất và điện.
Các quy trình vật lý làm nền tảng cho môi trường hạ nguồn thường dựa vào các hệ thống và thiết bị cũ — hầu hết không được thiết kế chú trọng đến bảo mật. Do các hệ thống và thiết bị này thường quá cũ hoặc dễ hỏng để hỗ trợ cập nhật phần mềm, nên chúng có xu hướng chứa cả các lỗ hổng đã biết và lỗ hổng zero-day mà kẻ tấn công có thể dễ dàng khai thác. Ngoài ra, khi CNTT và OT hội tụ, các hệ thống điều khiển công nghiệp (ICS) đặt trong các môi trường này ngày càng được kết nối với internet. Khả năng kết nối này đã mở rộng bề mặt tấn công cho các tổ chức hạ nguồn, khiến họ dễ bị tổn thương hơn trước rủi ro mạng.
5 lý do tại sao an toàn thông tin là thách thức đặc biệt trong ngành dầu khí
Ngành dầu khí phải đối mặt với một số thách thức đòi hỏi các giải pháp đổi mới và quan hệ đối tác chiến lược để giúp họ thích ứng và ứng phó với những thách thức này.
- Chi phí tăng cao
Thách thức đầu tiên mà các công ty trong ngành này phải đối mặt là giá dầu và khí đốt biến động mạnh. Giá thùng phải chịu một loạt các yếu tố địa chính trị, kinh tế và môi trường. Điều này gây khó khăn cho các công ty đang cố gắng lập kế hoạch và thực hiện các dự án, đầu tư dài hạn. Vấn đề này đặc biệt ảnh hưởng đến sự phát triển thượng nguồn vì nó liên quan trực tiếp đến giá dầu. Các phương pháp thượng nguồn phức tạp hơn như lọc cát dầu, khoan ngoài khơi sẽ ngừng hoạt động nếu giá dầu giảm quá mạnh.
Thách thức này cũng gây áp lực buộc các công ty dầu khí thượng nguồn phải giữ chi phí ở mức thấp nhất có thể. Nhiều khi gây áp lực buộc họ phải giảm chi tiêu cho các sáng kiến an toàn thông tin. Với nguồn lực hạn chế để đầu tư vào các công nghệ bảo mật mạnh mẽ, các công ty chỉ còn lại các hệ thống và thiết bị không được bảo vệ. Cuối cùng, việc không ưu tiên an toàn thông tin có thể dẫn đến tổn thất tài chính lớn, thiệt hại về danh tiếng và bị phạt theo quy định.
- Quy định và tiêu chuẩn
Thách thức lớn thứ hai mà các công ty dầu khí phải đối mặt là sự gia tăng các quy định và tiêu chuẩn đang định hình ngành này. Phần lớn do các cuộc tấn công mạng gần đây trong ngành, các quy định mới liên quan đến yêu cầu an ninh mạng đối với chủ sở hữu và nhà điều hành đường ống đã được Cục Quản lý An ninh Vận tải (TSA, Hoa Kỳ) đưa ra.
Mặc dù các quy định này tác động trực tiếp nhất đến các công ty trung nguồn, nhưng nhiều tổ chức lớn hơn cũng gặp rủi ro do quy mô của họ. Với các mối đe dọa liên tục đối với cơ sở hạ tầng quan trọng, các quy định sẽ tiếp tục phát triển để giảm thiểu rủi ro. Điều này khiến các công ty dầu khí phải chú trọng thực hiện các chiến lược an toàn thông tin phù hợp. Ngoài ra, điều này có thể cực kỳ tốn kém đối với các công ty dầu khí vừa và nhỏ. Nếu không có đội ngũ chuyên trách hoặc hợp tác với các nhà cung cấp an toàn thông tin, các công ty sẽ không chỉ gặp khó khăn trong việc đáp ứng các yêu cầu mà còn không thể cải thiện tình trạng an ninh mạng của mình.
- Cơ sở hạ tầng cũ kỹ
Thách thức lớn thứ ba liên quan đến cơ sở hạ tầng cũ kỹ. Phần lớn cơ sở hạ tầng của ngành dầu khí, đặc biệt là ở khu vực thượng nguồn và hạ nguồn, đã cũ kỹ và cần được sửa chữa hoặc thay thế. Thách thức là chi phí nâng cấp thiết bị trong đường ống, nhà máy lọc dầu và cơ sở sản xuất thường cao hơn sản lượng thương mại dự kiến trong suốt vòng đời của nhà máy. Điều này khiến các dự án gặp khó khăn trong việc giải trình, khiến các thiết bị cũ vẫn được giữ nguyên.
Những hệ thống cũ và công nghệ lỗi thời này cũng gây ra rủi ro an toàn thông tin dầu khí đáng kể, vì chúng không được thiết kế chú trọng đến bảo mật. Nhiều khi, chúng không có bản cập nhật phần mềm hoặc bản vá bảo mật mới nhất, khiến chúng dễ bị tấn công hơn.
- Rủi ro địa chính trị
Một thách thức đáng chú ý khác bắt nguồn từ rủi ro địa chính trị. Ngành dầu khí phải đối mặt với một số thách thức khi gặp rủi ro địa chính trị bao gồm căng thẳng thương mại, kiểm soát và bất ổn ở các nước sản xuất. Những rủi ro này có thể ảnh hưởng đến trữ lượng và giá cả dầu khí, khiến các công ty gặp khó khăn hơn khi hoạt động ở một số khu vực nhất định. Điều này có thể được nhìn thấy ngày nay với sự phân bổ thương mại năng lượng giữa Châu Âu và Nga. Điều này đã thúc đẩy giá của thị trường khí đốt toàn cầu tăng mạnh – gấp sáu đến mười lần giá Henry Hub của Mỹ, theo nhận định triển vọng ngành dầu khí năm 2023 của Deloitte.
Sự bất ổn chính trị như vậy có khả năng tạo ra một môi trường an ninh mạng không ổn định, gây khó khăn cho các công ty trong việc bảo vệ hoạt động và thông tin nhạy cảm. Rủi ro địa chính trị cũng có thể xảy ra dưới hình thức khủng bố mạng, thường được thực hiện nhằm mục đích làm gián đoạn hoạt động hoặc gây thiệt hại vật chất, và có thể khó ngăn chặn hoặc phát hiện. Nhìn chung, những rủi ro này có tác động đáng kể đến an ninh mạng khi những kẻ tấn công tìm cách truy cập vào thông tin nhạy cảm, làm gián đoạn hoạt động hoặc đánh cắp tài sản trí tuệ.
- Cạn kiệt nguồn thăm dò và khai thác
Theo nhiều công ty thượng nguồn, các nguồn dầu và khí đốt dễ thu thập đã được khai thác đến mức nhiều nguồn được coi là trống rỗng. Hiện nay, các phương pháp đắt tiền và phức tạp hơn như cát dầu, ngoài khơi và fracking đang được sử dụng.
Những phương pháp này làm tăng chi phí tìm kiếm nguồn mới, khiến các công ty thượng nguồn thậm chí phải chịu ảnh hưởng nhiều hơn từ giá dầu. Chúng cũng đã nâng cao độ tin cậy của các công ty thượng nguồn về hệ thống OT, hệ thống ICS cũng như hệ thống giám sát và thu thập dữ liệu (SCADA). Những hệ thống này rất quan trọng đối với các hoạt động thăm dò và sản xuất vì chúng làm tăng hiệu quả và độ an toàn. Tuy nhiên, khả năng kết nối của chúng đã mở rộng hơn nữa bề mặt tấn công — khiến chúng dễ bị tấn công mạng hơn.
Những sự cố mạng đáng chú ý trong ngành dầu khí
Đã có nhiều sự cố an ninh mạng gần đây được hình thành và/hoặc làm tăng thêm những thách thức nêu trên đối với các công ty dầu khí, cũng như khiến việc thực hiện chiến lược an toàn thông tin trở nên quan trọng.
- Colonial Pipeline
Một trong những sự cố lớn đã gây khó khăn cho ngành dầu khí là cuộc tấn công bằng ransomware nhằm vào nhà phân phối xăng, dầu diesel và khí đốt tự nhiên lớn nhất Bờ Đông, Colonial Pipeline. Cuộc tấn công vào mạng CNTT của Colonial đã khiến công ty phải đóng cửa các đường ống, khiến giá xăng tăng cao và ở một số bang, và người tiêu dùng phải tranh nhau tìm xăng tại các máy bơm. Đặc biệt, sự cố Colonial Pipeline đã trở thành chất xúc tác cho việc gia tăng các quy định về an ninh mạng trong ngành. Đồng thời, đó là lời cảnh tỉnh cho các giám đốc điều hành khi thiết lập một chiến lược an ninh mạng mạnh mẽ trong toàn tổ chức của họ.
Như chúng ta ngày càng thấy, ransomware đã trở thành tai họa đối với các doanh nghiệp trên toàn thế giới và các cuộc tấn công được dự đoán sẽ ngày càng gia tăng về số lượng và mức độ phức tạp.
- Trung tâm lọc dầu Amsterdam-Rotterdam-Antwerp (ARA)
Một sự cố khác gần đây ảnh hưởng đến an ninh mạng dầu khí là cuộc tấn công nhắm vào các cơ sở nạp dầu ở trung tâm lọc dầu Amsterdam-Rotterdam-Antwerp (ARA). Cuộc tấn công này gây tranh cãi đáng kể về việc bốc và dỡ hàng hóa sản phẩm tinh chế vì nhiều quy trình trong số này được tự động hóa. Tác động rõ ràng lên dòng chảy của sản phẩm dầu như dầu sưởi, dầu diesel, nhiên liệu máy bay và xăng.
Cuộc tấn công mạng này không chỉ gây ra hậu quả nặng nề đối với hoạt động kinh doanh của ARA mà còn có thể gây ra các tác động kinh tế và xã hội lan rộng trên khắp châu Âu. Các cuộc tấn công bằng ransomware vào nhà máy lọc dầu ARA rất giống với sự cố Colonial Pipeline của Hoa Kỳ một năm trước đó, và chứng minh thêm rằng tội phạm mạng đang lợi dụng những thiếu sót của các biện pháp phòng thủ của ngành dầu khí như thế nào.
Cả hai cuộc tấn công này đã tác động cơ sở hạ tầng quan trọng cho toàn bộ nền kinh tế và xã hội. Chúng ta càng thấy rõ nhu cầu ngày càng tăng về việc bảo mật các hệ thống cũ, (vốn không được bảo vệ đầy đủ do chuyển đổi kỹ thuật số), và khả năng kết nối lên Internet ngày càng tăng của chúng. Những cuộc tấn công này cũng thúc đẩy chính phủ hành động về tầm quan trọng của an ninh mạng, có thể thấy rõ điều này qua các quy định và tiêu chuẩn được liệt kê dưới đây.
Các quy định và tiêu chuẩn an ninh thông tin quan trọng đối với ngành dầu khí
Sau cuộc tấn công bằng ransomware tới Colonial Pipeline, chúng ta đã thấy hành động chưa từng có từ chính phủ Hoa Kỳ liên quan đến các thủ tục báo cáo sự cố bắt buộc và các biện pháp tăng cường an ninh mạng từ các chủ sở hữu và người vận hành đường ống xăng dầu. Dưới đây là một số tiêu chuẩn và quy định an ninh mạng quan trọng đã được đưa ra:
- Chỉ thị bảo mật TSA
Như đã thảo luận trước đó trong bài viết này, TSA đã đưa ra chỉ thị về an ninh đường ống với mục tiêu giảm rủi ro mà các mối đe dọa an ninh mạng gây ra cho các hệ thống và cơ sở đường ống quan trọng. Chỉ thị này yêu cầu các chủ sở hữu và nhà điều hành đường ống và khí đốt tự nhiên hóa lỏng do TSA chỉ định thực hiện ba biện pháp an ninh mạng để ngăn chặn sự gián đoạn và suy thoái cơ sở hạ tầng của họ.
Mặc dù chỉ thị này là một cú sốc đối với nhiều công ty dầu khí nhưng đây là một bước đi đúng hướng để các công ty đưa ra quyết định tốt hơn về chính sách mạng, nhận thức, đào tạo và phát triển kỹ năng cho một chương trình an ninh mạng toàn diện.
- Tiêu chuẩn của Ủy ban Kỹ thuật Điện Quốc tế (IEC)
IEC cũng đã phát triển một loạt các tiêu chuẩn quốc tế để bảo vệ các hệ thống điều khiển và tự động hóa công nghiệp (IACS). Ngành dầu khí phụ thuộc rất nhiều vào IACS để quản lý và giám sát các hoạt động quan trọng, khiến tiêu chuẩn IEC 62443 trở thành công cụ quan trọng để các công ty trong ngành này tuân theo. Chúng cung cấp một khuôn khổ toàn diện để giải quyết các nhu cầu an ninh mạng của IACS, vốn đặc biệt dễ bị đe dọa do tính liên kết và phụ thuộc vào công nghệ cũ.
Việc triển khai các tiêu chuẩn IEC 62443 cũng có thể giúp các công ty dầu khí tuân thủ các yêu cầu quy định, bao gồm cả những yêu cầu do Bộ An ninh Nội địa Hoa Kỳ (DHS) và Hiệp hội các nhà sản xuất dầu khí quốc tế (IOGP) đặt ra. Những tiêu chuẩn này có thể được xem là công cụ thiết yếu để các công ty đảm bảo tính bảo mật và khả năng phục hồi của cơ sở hạ tầng quan trọng của họ.
- ISO/IEC 27001
Một tiêu chuẩn khác được công nhận trên toàn cầu dành cho hệ thống quản lý bảo mật thông tin (ISMS) là ISO/IEC 27001. Tiêu chuẩn này tác động đáng kể đến an ninh mạng dầu khí vì các công ty này phụ thuộc nhiều vào CNTT và xử lý khối lượng lớn dữ liệu nhạy cảm. Với ISO/IEC 27001, các công ty dầu khí có thể thiết lập một khuôn khổ toàn diện để quản lý và bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin nhạy cảm – bao gồm dữ liệu thăm dò và sản xuất, dữ liệu tài chính và dữ liệu cá nhân của cả nhân viên và khách hàng.
Giống như IEC 62443, ISO/IEC 27001 có thể giúp các tổ chức tuân thủ các yêu cầu pháp lý, bao gồm cả những yêu cầu do DHS và Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu đặt ra. Nhìn chung, bằng cách triển khai tiêu chuẩn này, các công ty dầu khí có thể bảo vệ dữ liệu nhạy cảm trước các mối đe dọa mạng và duy trì môi trường hoạt động an toàn và bảo mật.
- NIST CSF
Mặc dù ngày nay có một số quy định và tiêu chuẩn khác mà ngành dầu khí phải tuân thủ, nhưng framework an ninh mạng cuối cùng mà chúng ta sẽ thảo luận trong bài viết này là của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST CSF). Framework này cung cấp một bộ hướng dẫn, cũng như các biện pháp thực hành tốt nhất cho các tổ chức để quản lý và giảm thiểu rủi ro an ninh mạng.
NIST CSF bao gồm năm chức năng cốt lõi: Xác định, Bảo vệ, Phát hiện, Phản hồi và Phục hồi. Những chức năng này cho phép các tổ chức ưu tiên các mối đe dọa, tập trung nguồn lực vào các lĩnh vực có rủi ro cao nhất. Giống như IEC 62443 và ISO/IEC 27001, NIST CSF có thể giúp các công ty dầu khí tuân thủ các yêu cầu pháp lý, bao gồm cả những yêu cầu do DHS và NERC đặt ra. Bằng cách áp dụng khuôn khổ này, các công ty dầu khí có thể nâng cao khả năng phục hồi hoạt động và mạng của họ. Đồng thời, nó giúp giảm khả năng xảy ra sự cố mạng trong tương lai.
Các quy định và tiêu chuẩn này cung cấp một khuôn khổ vững chắc cho an ninh mạng dầu khí trong mọi lĩnh vực, nhằm giúp quản lý rủi ro, bảo vệ dữ liệu nhạy cảm và tuân thủ các quy định của ngành. Bằng cách tuân theo các chỉ thị, tiêu chuẩn và khuôn khổ nêu trên, ngành dầu khí có thể đảm bảo họ có sẵn các biện pháp an ninh thích hợp để đáp ứng các yêu cầu này và để bảo vệ cơ sở hạ tầng quan trọng của mình.
Vina Aspire là Công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin
