Tiêu chuẩn TCVN 13749:2023 về Internet vạn vật - Các khả năng bảo mật tính an toàn hỗ trợ

5  Phân loại các vấn đề bảo mật trong Internet vạn vật theo vector tác động của chúng

Theo truyền thống, các mối đe dọa bảo mật được coi là các vấn đề phát sinh trong môi trường ảo và nhằm vào quá trình xử lý dữ liệu. Điều này dẫn đến việc diễn giải bảo mật công nghệ thông tin (CNTT) là tập hợp các khía cạnh của tính bí mật, tính toàn vẹn, tính khả dụng (CIA). Hành vi hệ thống CNTT không phù hợp (ví dụ: lỗi phần mềm, cửa sau, chương trình Trojan) cũng được coi là nguồn gốc của các vấn đề ảnh hưởng đến các khía cạnh này và do đó chỉ gây ra các mối lo ngại về xử lý dữ liệu.

Nỗ lực phân loại các mối đe dọa an toàn đối với loT giống như cách chúng được phân loại cho các hệ thống CNTT thuần túy dẫn đến khó khăn trong việc mô tả tác động vật lý tiềm ẩn do một cuộc tấn công mạng gây ra. Một ví dụ của cách tiếp cận này là sắp xếp lại bộ ba CIA thành tính khả dụng, tính toàn vẹn, tính bí mật (AIC) bằng cách đầu tiên đảm bảo khía cạnh tính khả dụng trong hệ thống vật lý và ít coi trọng tính bí mật hơn [b-NIST CPS]. Khía cạnh khả dụng là quan trọng, nhưng nếu chỉ một mình, nó không thể xác định tất cả các đặc điểm vật lý quan trọng.

Internet vạn vật kết nối với nhau ít nhất qua hai loại môi trường: môi trường ảo và môi trường vật lý. Do đó, các vấn đề có thể nảy sinh từ cả hai loại môi trường và ảnh hưởng đến khía cạnh vật lý (P), khía cạnh ảo (V) và bản thân sự vật (T). Hình 1 cho thấy các vector tác động có thể có trong Internet vạn vật.

Hình 1 - Các vector tác động có thể có trong Internet vạn vật

Tác động tiềm ẩn và các phương pháp ngăn chặn có thể khác nhau đáng kể đối với những vấn đề này

Các phân loại của các mối đe dọa bảo mật trong miền loT được liệt kê trong Bảng 1, phù hợp với các vector tác động được thể hiện trong Hình 1.

Mục đích của việc phân loại này là để xác định các mối đe dọa bảo mật nào có liên quan đến từng vector tác động theo các tiêu chí sau:

...

...

...

- Chúng có thể được kích hoạt từ xa mà không cần truy cập vật lý hoặc cục bộ vào sự vật, do đó cung cấp xác suất bổ sung của các cuộc tấn công như vậy trong thế giới được kết nối.

- Tác động của chúng có thể vượt ra ngoài tính bí mật, tính toàn vẹn và tính khả dụng của thông tin, do đó chứng tỏ nhiều phương pháp bảo mật máy tính không thể đối phó với chúng.

Chúng có thể gây ra các vấn đề an toàn chức năng và do đó cung cấp động lực để tìm ra cách chống lại chúng. Tiêu chuẩn này sẽ xem xét thêm những mối đe dọa phù hợp với tiêu chí được liệt kê ở trên.

Bảng 1 - Phân loại các mối đe dọa bảo mật máy tính trong Internet vạn vật dựa theo vector tác động

Vector tác động

Có thể chỉ xảy ra đối với những sự vật được thể hiện trong cả môi trường vật lý và ảo

Có thể được gây ra từ xa mà không có truy cập vật lý nào vào sự vật

Có thể vượt ra ngoài khía cạnh từ bộ ba CIA

Có thể gây ra các vấn đề về an toàn chức năng

...

...

...

Ví dụ

V-T

Không

Có

Không

Không

Tấn công nhắm đến sự vật bên trong môi trường ảo của nó.

Tấn công từ chối dịch vụ

Ăn cắp thông tin bí mật

...

...

...

Không

Có

Không

Không

Khai thác các lỗi phần mềm hoặc các tính năng được che giấu, làm tổn hại đến bảo mật môi trường mà không có bất kỳ tác động nào. Có thể được coi là một vấn đề an toàn thông tin.

Được triển khai không đúng cách hoặc bị nhiễm phần mềm độc hại ảo có khả năng gây hại cho người khác

V-T-V

Không

Có

...

...

...

Không

Tấn công nhắm vào môi trường ảo của sự vật bằng cách khai thác các tính năng được triển khai không đúng cách của nó.

Tấn công XSS

Từ chối phân tán đối với một dịch vụ sử dụng botnet

V-T-P

Có

Có

Có

Có

...

...

...

Tấn công vào một chiếc xe thông minh nhằm thay đổi hướng lái, tốc độ hoặc gây ra bất kỳ hiệu ứng vật lý nào khác

Tấn công vào hệ thống điều khiển công nghiệp ảnh hưởng đến việc thực thi hoặc hiệu quả của quá trình công nghệ

Tấn công vào thiết bị y tế có thể đeo được để thay đổi liều lượng thuốc đã uống

P-T-V

Có

Không

Không

Không

Các hành động gây ra các vấn đề về các khía cạnh bảo mật thông tin bằng các giao diện vật lý thuần túy.

...

...

...

Giả mạo vật lý của hệ thống giám sát video bằng cách đặt hình ảnh trước camera

P-T-P

Không

Không

Có

Có

Các mối nguy vật lý thường có khả năng gây hại cho môi trường vật lý hoặc con người.

Phá hoại, sơ xuất

Xử lý sai

...

...

...

Không

Không

Có

Có

Lỗi phần mềm hoặc các chức năng có thả ảnh hưởng đến các yếu tố quan trọng trong môi trường vật lý. Có thể được coi là sự việc an toàn chức năng.

Các chức năng hệ thống được thực hiện mà không có hoặc không xem xét đầy đủ các yêu cầu an toán

P-T

Không

Không

...

...

...

Có

Các mối nguy vật lý thường có khả năng gây hại cho hệ thống hoặc các thành phần của nó.

Bỏ qua các hướng dẫn vận hành

Xử lý sai

Các vector phát sinh từ môi trường ảo là các cuộc tấn công mạng có thể được thực hiện từ xa mà không cần truy cập vật lý. Các vector V-T và V-T-V thường được nghiên cứu kĩ lưỡng trong lĩnh vực bảo mật mạng và máy tính truyền thống. Các vector này không được đề cập chi tiết trong Tiêu chuẩn này.

Tuy nhiên, vector V-T-P nhắm vào môi trường vật lý vẫn chưa được nghiên cứu kĩ.

Tất cả các vấn đề có nguồn gốc từ hành vi của sự vật do triển khai không đúng cách hoặc do bị xâm phạm có thể được hiểu là các vấn đề an toàn thuần túy ở khía cạnh thông tin và chức năng (vector T-V và T-P tương ứng). Các vector này được đề cập chi tiết trong Tiêu chuẩn này.

Các vector P-T-P và P-T phát sinh trong môi trường vật lý nằm trong số những vector thường có khả năng gây hại cho sự vật và cơ sở hạ tầng xung quanh. Những mối nguy này thường được giảm thiểu bằng một loạt các biện pháp vật lý, tổ chức và răn đe. Các vector này không được đề cập chi tiết trong Tiêu chuẩn này.

Vector P-T-V đề cập các tác động đến an toàn thông tin bằng các giao diện vật lý thuần túy. Mặc dù các cuộc tấn công như vậy có thể quan trọng, nhưng chúng chỉ dành riêng cho miền hoặc môi trường loT của sự vật. Vector này không được đề cập chi tiết trong Tiêu chuẩn này.

...

...

...

Dựa trên các loại vấn đề có thể xảy ra này trong loT, cần đặc biệt chú ý đến vector tác động V-T-P, phát hiện các điều kiện mà các phương pháp hiện có đang đảm bảo hành vi đúng đắn có thể không hiệu quả đối với tác động này và cần đề xuất một cách tiếp cận thích hợp để mô hình hóa mối đe dọa nhằm loại bỏ các rủi ro tính an toàn liên quan.

Điều đáng nói là vector tác động có thể được hiểu là V-T-P ngay cả khi kết quả của cuộc tấn công chỉ là thay đổi dữ liệu, nhưng ở đó các đối tượng vật lý cuối cùng bị hư hại do các quyết định hoặc hành động sai theo những dữ liệu này. Một ví dụ có thể là một vụ tai nạn máy bay do dữ liệu sai về độ cao trong điều kiện tầm nhìn kém và thời tiết khắc nghiệt.

Tiêu chuẩn này sẽ tập trung vào việc phân tích các mối đe dọa và các biện pháp liên quan đến vector tác động V-T-P.

Mặc dù các phương pháp đảm bảo hành vi sự vật an toàn trong một số lĩnh vực loT đã được biết và đã được áp dụng trong nhiều thập kỷ, nhưng các phương pháp này có thể không phải lúc nào cũng đưa ra những đảm bảo giống nhau trong trường hợp cố tình gây ra hành vi không đúng. loT có tiềm năng rộng rãi để thực hiện các thử nghiệm như vậy do khả năng truyền thông được cung cấp của hệ thống.

6  Các mối đe dọa bảo mật ảnh hưởng đến tính an toàn trong Internet vạn vật

Các mối đe dọa bảo mật ảnh hưởng đến tính an toàn nói chung sử dụng Vector tác động V-T-P gây ảnh hưởng đến môi trường vật lý (cụ thể là gây ra vi phạm an toàn) bằng cách khai thác các tính năng hoặc lỗ hổng bảo mật.

6.1  Các nguồn đe dọa bảo mật ảnh hưởng đến tính an toàn

Các nguồn đe dọa bảo mật ảnh hưởng đến tính an toàn nằm trong môi trường ảo. Các nguồn này có thể gây ra rủi ro cho cả những sai lầm không cố ý và sự lạm dụng có chủ ý đối với chức năng của sự vật.

Tập hợp các tác nhân độc hại tiềm ẩn bao gồm bắt kỳ tác nhân nào có thể truy cập vào nội dung bằng bất kỳ giao diện ảo nào. Kẻ tấn công bên ngoài truy cập từ xa vào hệ thống thường được coi là một ví dụ nổi bật cho mục đích này. Trên thực tế, bất kỳ tác nhân loT nào trong môi trường ảo và vật lý đều có thể được coi là nguồn có thể gây ra vấn đề, hoặc là kẻ địch.

...

...

...

Do đó, không thể phân biệt được các nguồn tấn công từ bên trong môi trường ảo trong loT với các nguồn tấn công vào bảo mật của các hệ thống CNTT thuần túy. Những nguồn có thể ảnh hưởng đến môi trường vật lý là mối quan tâm đặc biệt đối với Tiêu chuẩn này.

6.2  Các tình huống đe dọa tính an toàn chức năng

Đối với các miền loT khác nhau, cách thức mà các khía cạnh vật lý của sự vật bị ảnh hưởng rõ ràng sẽ khác nhau. Điều đáng nói là nếu quá trình vật lý được điều khiển trực tiếp bằng các lệnh do một vật ảo phát ra; những lệnh này thường được kiểm tra để tránh tác hại trực tiếp. Do đó, các kịch bản, theo đó tính an toàn bị ảnh hưởng bởi các giao diện ảo, phải phức tạp hơn. Ví dụ: kẻ địch có thể sử dụng hai kênh độc lập để gây ra tác động không mong muốn (như một kênh để vô hiệu hóa các cơ chế bảo vệ và một kênh khác để đặt vật thể vào trạng thái không hợp lệ).

6.3  Yêu cầu để xác định các mối đe dọa bảo mật ảnh hưởng đến tính an toàn

Một kỹ thuật mô hình hóa mối đe dọa hiệu quả sẽ tính đến cả các lỗi hệ thống có thể xảy ra và các mối đe dọa mà kẻ địch có thể quan tâm. Việc xác định và lập mô hình mối đe dọa được sử dụng để tìm ra lỗ hổng nào của sự vật là nguy hiểm nhất và cách kẻ địch có thể lợi dụng chúng để vi phạm các khía cạnh bảo mật và gây hại (đặc biệt là đối với tính an toàn).

Thẩm định các kết quả xác định mối đe dọa phụ thuộc vào tính đúng đắn của các giả định đã đặt ra. Điều này đúng cho cả bảo mật thông tin và an toàn chức năng. Đặc biệt, nếu các cơ chế an toàn dựa trên hành vi của tác nhân được giả định là hợp lý (thậm chí có tính đến các lỗi không cố ý), thì vi phạm tính an toàn có thể do tác nhân cố ý gây ra. Các sự cố bảo mật cũng thường xảy ra theo một kịch bản sử dụng hệ thống không lường trước được. Kẻ địch phá vỡ các giả định được đưa ra trong quá trình tạo mô hình mối đe dọa và triển khai cơ chế bảo mật để vượt qua cơ chế này.

Việc xác định các mối đe dọa bảo mật ảnh hưởng đến tính an toàn yêu cầu:

- Việc sửa đổi các giả định do các kỹ sư an toàn đưa ra theo quan điểm bảo mật.

- Xem xét các điểm yếu có thể có trong các thành phần bảo vệ.

...

...

...

6.4  Các biện pháp an toàn và cách chúng giảm thiểu các mối đe dọa

Mặc dù các yêu cầu tính an toàn được đặt ra bởi các sự vật trên các lĩnh vực loT có thể khác nhau đáng kể, nhưng nhìn chung các điều khoản tính an toàn cho các ứng dụng đa dạng bao gồm cơ chế giám sát và thực thi. Phân loại đơn giản này cũng bao gồm các trường hợp cực đoan. Nếu cơ chế an toàn được định hướng nhiều hơn vào việc đặt sự vật ở trạng thái an toàn, thì việc giám sát chỉ đảm bảo rằng điều kiện để thực thi bảo vệ được đáp ứng. Nếu sự can thiệp vào quá trình là không mong muốn hoặc không hợp lý, thì việc giám sát có thể là cơ chế duy nhất theo dõi các thông số an toàn.

Trong một số trường hợp, Vector tác động V-T-P có thể được loại bỏ một cách hiệu quả bằng các biện pháp thực thi an toàn được thiết kế ban đầu cho Vector T-P; nhưng trong những trường hợp khác, điều này sẽ không thể thực hiện được. Việc phân tích các trường hợp khác như vậy cho thấy những lý do sau dẫn đến sự kém hiệu quả này:

- Khả năng giả mạo hoặc bỏ qua các giới hạn an toàn. Các biện pháp an toàn thường không tìm cách che đậy khả năng vi phạm có chủ ý. Các vi phạm mà họ giải quyết được coi là tai nạn hoặc tập hợp các sự trùng hợp.

Việc khai thác các điểm yếu của các cơ chế an toàn giúp làm cho các hành động của kẻ địch có vẻ an toàn trong khi chúng thực ra là không. Vì mục đích này, kẻ địch đưa dữ liệu được hình thành cụ thể làm đầu vào của hệ thống để đánh lừa các thuật toán xác thực.

- Tấn công vào các cơ chế an toàn được triển khai riêng biệt. Việc thực hiện các cơ chế an toàn bởi một bên độc lập và lắp đặt tách biệt khỏi hệ thống được kiểm soát sẽ giảm nguy cơ xảy ra các lỗi do nguyên nhân chung này. Đồng thời, kẻ địch có thể xâm phạm các cơ chế giám sát và thực thi an toàn độc lập nếu chúng không được bảo vệ đúng cách.

6.5  Các biện pháp bảo mật

Khi hiểu rằng một cuộc tấn công tạo ra một dữ liệu đầu vào đặc biệt (để khai thác lỗ hổng) nhằm đặt hệ thống vào trạng thái bất thường (không bảo mật) trong các điều kiện cụ thể, hai phương pháp chung để giữ hệ thống ở trạng thái bảo mật có thể được mô tả như sau:

- Xác thực dữ liệu đầu vào. Kết quả của việc xác thực này, dữ liệu đầu vào hoặc dữ liệu được xử lý bởi hệ thống được kết nối có thể được sửa đổi để phù hợp với các quy tắc đã thiết lập hoặc nỗ lực tương tác thích hợp với hệ thống có thể bị từ chối.

...

...

...

Các phương pháp này được áp dụng phổ biến cho tất cả các loại hệ thống và phần mềm. Một số giải pháp bảo vệ có thể thực hiện các phương pháp này cùng nhau. Ví dụ, các giải pháp chống phần mềm độc hại có thể sử dụng phát hiện chữ ký như một phương pháp xác thực đầu vào và thực hiện các hạn chế, đây là một loại kiểm soát trạng thái hệ thống. Bất kỳ phương pháp bảo vệ kỹ thuật nào cũng có thể được hiểu là một loại xác thực đầu vào hoặc kiểm soát trạng thái bảo mật.

Trong bối cảnh loT, các giải pháp và phương pháp bảo vệ thông thường có thể không hiệu quả do những lý do sau:

- Không có xác thực dữ liệu đầu vào hoặc khả năng bỏ qua nó. Kẻ địch có thể sử dụng các kỹ thuật đặc biệt và khai thác các tính năng của hệ thống theo cách không thích hợp để ảnh hưởng đến các khía cạnh vật lý của hoạt động hệ thống. Hoạt động này có thể không nằm trong cơ chế giám sát đầu vào hoặc không được phát hiện bằng các phương pháp xác thực do thiếu kiến thức về bản chất vật lý của sự vật. Ngoại trừ những thứ dựa trên nền tảng có mục đích đặc biệt, phần mềm bảo vệ có thể không tồn tại.

- Xung đột về bảo mật và an toàn, hoặc về bảo mật và chức năng. Các biện pháp tích cực được thực hiện để ngăn chặn vi phạm bảo mật có thể dẫn đến việc can thiệp có hại vào các quy trình đang chạy. Sự can thiệp như vậy có thể không được chấp nhận đối với một số quá trình vật lý yêu cầu thực hiện liên tục. Hầu hết các kỹ sư an toàn thích cắt bỏ các biện pháp bảo mật để xác nhận bảo mật thụ động.

- Tấn công vào các cơ chế bảo mật. Các cơ chế bảo mật, cả riêng biệt và tích hợp, cũng có thể là mục tiêu tấn công. Các kiểm soát bảo mật riêng biệt có nhiều khả năng bị tấn công hơn. Đồng thời, đối với nhiều ứng dụng, bảo mật được coi là yếu tổ phụ được phép tắt trong bất kỳ tình huống nghi ngờ nào. Kẻ địch có thể khai thác yếu tố này để xâm phạm bảo mật.

6.6  Danh sách các mối đe dọa bảo mật loT

Đối với Internet vạn vật, các trường hợp sử dụng để duy trì hoạt động an toàn và bảo mật của sự vật có thể được tóm tắt như trong Hình 2. Hình này mở rộng mô hình trường hợp sử dụng chung được mô tả trong [TCVN 13115:2020].

Hình 2 - Mô hình trường hợp sử dụng chung của loT được mở rộng với các cơ chế bảo mật và an toàn

...

...

...

Bảng 2 - Danh sách các mối đe dọa bảo mật trong loT có khả năng ảnh hưởng đến tính an toàn

Số tham chiếu mối đe dọa

Mô tả

Ví dụ

T-1

Cố ý giả mạo hoặc bỏ qua các hạn chế được cung cấp bởi các cơ chế an toàn.

Giả mạo dữ liệu từ các cảm biến được sử dụng để giám sát các điều kiện an toàn môi trường.

T-2

Vô hiệu hóa hoặc dừng hoạt động các cơ chế an toàn riêng biệt do các hành động độc hại của kẻ địch ảo.

...

...

...

T-3

Khai thác việc thiếu hoặc các kiểm tra bảo mật không thích hợp, nếu được thực hiện đúng cách, sẽ phát hiện các hành động hoặc có khả năng gây hiểu lầm hoặc lừa đảo (kỹ thuật xã hội, yêu cầu giả mạo, v.v.).

Tấn công giả mạo yêu cầu chéo trang web trên bảng điều khiển của nhà điều hành dựa trên công nghệ ứng dụng web dẫn đến việc khởi chạy trái phép hoạt động vật lý.

T-4

Khai thác việc thực thi bảo mật thiếu hoặc không phù hợp đã bị hạn chế bởi các yêu cầu an toàn hoặc các yêu cầu liên quan đến bản chất của các quy trình vật lý và liên quan đến ứng dụng.

Tránh sử dụng các công nghệ chống phần mềm độc hại tại các máy chủ công nghiệp vì lo ngại về sự chậm trễ trong hoạt động dẫn đến sự xâm nhập của các máy chủ này với phần mềm độc hại.

T-5

Vô hiệu hóa hoặc dừng hoạt động các cơ chế bảo mật do các hành động độc hại của kẻ địch ảo.

Quản lý trái phép bằng cách khai thác lỗ hổng trong cơ chế xác thực như đối với T-2. Làm cạn kiệt tài nguyên bởi các yêu cầu thường xuyên có chủ đích đối với hệ thống, do đó làm cho các biện pháp kiểm soát bảo mật vượt quá khả năng hoạt động của hệ thống và buộc người dùng phải tắt chúng.

...

...

...

7.1  Danh sách ban đầu về khả năng bảo mật

Các khả năng bảo mật và bảo vệ quyền riêng tư sau đây được liệt kê trong mục 8.7 của [ITU-T Y.4401]:

- Khả năng bảo mật truyền thông [C-7-1]

- Khả năng bảo mật quản lý dữ liệu [C-7-2]

- Khả năng bảo mật cung cấp dịch vụ [C-7-3]

- Khả năng bảo mật tích hợp bảo mật [C-7-4]

- Khả năng bảo mật xác thực và ủy quyền lẫn nhau [C-7-5]

- Khả năng bảo mật kiểm toán bảo mật [C-7-6]

Trong Tiêu chuẩn này, những khả năng bảo mật cụ thể được liệt kê ở trên có thể hỗ trợ tính an toàn trong Internet vạn vật sẽ được nghiên cứu thêm. Sự xem xét này có giá trị đối với việc triển khai Internet vạn vật an toàn hơn, bảo mật hơn và là một ví dụ về các khả năng loT cơ bản để phân tích và thiết kế các yêu cầu kỹ thuật cho những sự vật khác nhau trên các lĩnh vực loT.

...

...

...

7.2.1  Khả năng bảo mật truyền thông [C-7-1]

Cung cấp khả năng xác thực đầu vào ở lớp kênh giao tiếp, bao gồm kiểm tra các nguồn, giao thức và luồng thông tin giữa những vật được kết nối, để giảm thiểu các mối đe dọa [T-3].

Cung cấp khả năng truyền thông tin cậy, bao gồm khả năng chống tràn kênh và tấn công từ chối dịch vụ, để giảm thiểu các mối đe dọa [T-1], [T-2], [T-5].

Duy trì tính toàn vẹn và tính xác thực của các lệnh và dữ liệu ở lớp kênh truyền thông, bao gồm mã ha dữ liệu giao thức, để giảm thiểu các mối đe dọa [T-2], [T-3], [T-5].

7.2.2  Khả năng bảo mật quản lý dữ liệu [C-7-2]

Cung cấp khả năng xác thực đầu vào ở lớp diễn giải dữ liệu, bao gồm kiểm tra các lệnh cho các ứng dụng loT, các tham số và ngữ nghĩa của chúng (để xác định hiệu ứng vật lý có thể xảy ra), để giảm thiểu các mối đe dọa [T-3].

Duy trì tính toàn vẹn và không từ chối của các lệnh và dữ liệu ở lớp ứng dụng loT, bao gồm mã hóa dữ liệu ứng dụng, tính toán tổng kiểm tra và ký để giảm thiểu các mối đe dọa [T-3], [T-4], [T-5].

7.2.3  Khả năng bảo mật cung cấp dịch vụ [C-7-3]

Cung cấp cơ chế giám sát như (các) dịch vụ chuyên dụng dựa trên hợp đồng, bao gồm việc tách biệt dữ liệu thu được và phân tích các thành phần được giám sát, cách ly việc thực thi chính sách khẩn cấp và cơ chế báo động, cách ly và thực hiện độc lập toàn bộ cơ chế giám sát, tạo điều kiện cho giảm thiểu các mối đe dọa [T-3], [T-4], [T-5].

...

...

...

Cung cấp khả năng tích hợp các quy tắc và chính sách khác nhau để xác thực đầu vào ở các lớp khác nhau nếu các công nghệ đa dạng được sử dụng bởi các lớp này, tạo điều kiện giảm thiểu các mối đe dọa [T-1], [T-2], [T-3], [T-5].

Cung cấp khả năng tích hợp các quy tắc và chính sách khác nhau để kiểm soát bảo mật ở các lớp khác nhau nếu các công nghệ đa dạng được sử dụng bởi các lớp này, tạo điều kiện giảm thiểu các mối đe dọa [T-1], [T-2], [T-4], [T-5].

7.2.5  Khả năng bảo mật xác thực và ủy quyền lẫn nhau [C-7-5]

Cung cấp khả năng xác thực và ủy quyền cho các chủ thể trước khi họ cố gắng quản lý và kiểm soát các cơ chế bảo vệ, tạo điều kiện giảm thiểu các mối đe dọa [T-2], [T-5].

8.2.6  Khả năng bảo mật kiểm toán bảo mật [C-7-6]

Cung cấp khả năng giám sát các nỗ lực quản lý và kiểm soát các cơ chế bảo vệ, giảm thiểu các mối đe dọa [T-2], [T-5].

Cung cấp khả năng phát hiện tấn công, bao gồm phát hiện thăm dò, tấn công cơ sở hạ tầng, tấn công từ xa, tấn công nội gián và lạm dụng hệ thống, để giảm thiểu các mối đe dọa [T-1], [T-3].

Cung cấp khả năng giám sát tải trên thiết bị và các kênh liên lạc, bao gồm phát hiện cả quá tải không chủ ý và tấn công từ chối dịch vụ, để giảm thiểu các mối đe dọa [T-1], [T-2], [T-5].

Cung cấp khả năng phát hiện các cuộc tấn công vào khả năng phục hồi và phản ứng để giảm thiểu các mối đe dọa [T-1], [T-2], [1-5],

...

...

...

Phụ lục A

(Tham khảo)

Phát triển các yêu cầu theo các mối đe dọa đã xác định

A.1  Đèn giao thông thông minh

Ban đầu hệ thống này được thiết kế như một phần cứng độc lập, giờ đây các tín hiệu giao thông hiện đang trở thành một phần của sự phức hợp của các hệ thống kết nối mạng. Bộ điều khiển giao thông không chỉ sử dụng lịch trình cụ thể về thời gian mà còn phân tích dữ liệu được cung cấp bởi các cảm biến, giao tiếp với những bộ điều khiển khác được đặt trên các nút giao thông gần đó và hỗ trợ điều khiển từ xa để điều tiết giao thông tốt hơn.

Do đó, hệ thống đèn giao thông thông minh nên sử dụng các khả năng bảo mật để đảm bảo tính an toàn tối đa cho giao thông đường bộ do hệ thống này điều phối.

Một hệ thống đèn giao thông thông minh điển hình, như trong Hình A.1 của [5], bao gồm một hoặc đôi khi nhiều hơn, bộ điều khiển giao thông cho mọi giao lộ, số lượng tín hiệu giao thông bắt buộc, cảm biến để phát hiện xe và kiểm tra các giao lộ (vòng cảm ứng, vi sóng, siêu âm, cảm biến radar và camera giám sát), các đơn vị truyền thông có dây hoặc không dây và các đơn vị kiểm soát an toàn tách rời hoặc tích hợp trên bộ điều khiển giao thông.

Bộ điều khiển giao thông về loT là một ‘vật’ chính tham gia vào việc điều tiết giao thông. Bộ điều khiển giao thông xác định trạng thái của đèn giao thông do đó có khả năng ảnh hưởng đến sự an toàn của đường giao thông.

...

...

...

Hình A.1 Hệ thống đèn giao thông thông minh

An toàn cho cả đèn giao thông được kết nối và độc lập thường được cung cấp bằng cách lắp đặt một đơn vị quản lý sự cố đặc biệt là cơ chế an toàn phần cứng. Bộ phận này có nhiệm vụ buộc bộ điều khiển và các tín hiệu giao thông thích hợp vào trạng thái an toàn trong trường hợp phát hiện ra cấu hình nguy hiểm tiềm ẩn. Do đó, cơ chế hoạt động như một bộ lọc chỉ cho phép các trạng thái được xác định trước và thay đổi tất cả các trạng thái khác thành trạng thái đã biết. Trong hầu hết các trường hợp, thiết bị chỉ ghi đè bộ điều khiển và đặt nó ở trạng thái mặc định (tức là đèn đỏ nhấp nháy), đảm bảo rằng mức độ an toàn giảm xuống không quá mức tối thiểu có thể chấp nhận được. Việc đưa bộ điều khiển trở lại hoạt động bình thường có thể yêu cầu can thiệp bằng tay. Đây là trường hợp thực hiện quản lý và điều khiển từ xa cơ chế an toàn, cơ chế này có thể trở thành mục tiêu tấn công.

Tập hợp các mối đe dọa bảo mật ảnh hưởng đến tính an toàn được đưa ra đối với bộ điều khiển giao thông trong Bảng A.1, xem xét rằng mức tác động tối thiểu có thể chấp nhận được thể hiện việc đưa đèn vào trạng thái mặc định (tức là đèn đỏ nhấp nháy).

Các mức tác động sau được đặt cho các mối đe dọa:

- Cao: giảm mức độ an toàn xuống mức không thể chấp nhận được, tức là có thể đặt đèn giao thông ở giao lộ xuống mức nguy hiểm;

- Trung bình: hạ cấp độ an toàn xuống mức tối thiểu có thể chấp nhận được, tức là có thể đặt đèn giao thông ở ngã tư về cấu hình mặc định;

Bảng A.1 - Các mối đe dọa bảo mật ảnh hưởng đến tính an toàn của bộ điều khiển giao thông

Mối đe dọa bảo mật chung ảnh hưởng đến tính an toàn cho loT

Mối đe dọa đối với bộ điều khiển giao thông thông minh

...

...

...

Mức độ tác động

[T-1]

[T-STL-1]

Đơn vị quản lý sự cố được lắp đặt không đúng cách, có thể làm giả mạo hoặc bỏ qua thiết bị quản lý sự cố. Mối đe dọa này không có vector tác động từ môi trường ảo

Cao: Hạ cấp độ an toàn xuống mức không thể chấp nhận được

[T-2]

[T-STL-2]

Ngừng hoạt động từ xa của đơn vị quản lý sự cố trong trường hợp nó để lộ một số giao diện ảo với bộ điều khiển hoặc với các đơn vị khác được kết nối với mạng bên ngoài. Mối đe dọa này có vector tác động và chỉ hoạt động từ môi trường ảo nếu tồn tại giao diện được đề cập

Cao: Hạ cấp độ an toàn xuống mức không thể chấp nhận được

...

...

...

[T-STL-3]

Việc thiếu hoặc xác nhận bảo mật không thích hợp dữ liệu đầu vào từ bất kỳ loại cảm biến và camera giám sát nào được lắp đặt.

Trung bình: Hạ cấp độ an toàn xuống mức tối thiểu có thể chấp nhận được

[T-3]

[T-STL-4]

Việc thiếu hoặc xác nhận bảo mật không thích hợp dữ liệu đầu vào từ thiết bị quản lý từ xa được kết nối bằng các giao diện có dây hoặc không dãy.

Trung bình: Hạ cấp độ an toàn xuống mức tối thiểu có thể chấp nhận được.

[T-4]

[T-STL-5]

...

...

...

Trung bình: Hạ cấp độ an toàn xuống mức tối thiểu có thể chấp nhận được.

[T-5]

[T-STL-6]

Vô hiệu hóa từ xa các cơ chế bảo mật thông qua các giao diện quản lý trực tiếp.

Trung bình: Hạ cấp độ an toàn xuống mức tối thiểu có thể chấp nhận được.

[T-5]

[T-STL-7]

Vô hiệu hóa từ xa các cơ chế bảo mật bằng cách khai thác các lỗ hổng của chúng.

Trung bình: Hạ cấp độ an toàn xuống mức tối thiểu có thể chấp nhận được.

...

...

...

Bảng A.2 tóm tắt các chi tiết cần thiết để thiết lập các yêu cầu về khả năng chống lại phần mềm điều khiển giao thông đối với các mối đe dọa bảo mật có thể ảnh hưởng đến tính an toàn. Nó chứa các tham chiếu đến mối đe dọa, thành phần hệ thống hoặc kênh có thể bị tấn công, các giả định có thể không hợp lệ và do đó tạo điều kiện cho một cuộc tấn công, khiếm khuyết hoặc lỗ hổng có khả năng bị khai thác, các biện pháp đối phó trước đó và các yêu cầu để chống lại một cuộc tấn công.

Dựa trên kiến thức về các chi tiết cụ thể từ một hệ thống đèn giao thông thông minh nhất định, có thể tiến hành phân tích sâu hơn để có được các yêu cầu cụ thể cho hệ thống này. Một số giả định có thể được loại bỏ, các chi tiết khác được làm rõ và sau đó các yêu cầu có thể được tinh chỉnh cho đến khi có được đặc điểm kỹ thuật chi tiết về các biện pháp bảo vệ cho hệ thống đã cho.

Bảng A.2 - Các yêu cầu bảo mật cho bộ điều khiển giao thông

Mối đe dọa

Những giả định sai lầm có thể xảy ra về sự vật hoặc môi trường

Loại lỗ hổng bị kẻ địch lợi dụng

Các biện pháp xử lý trước

Các yêu cầu

[T-STL-1]

...

...

...

Đơn vị quản lý sự cố không tiếp xúc với bất kỳ truy cập vật lý trái phép nào

Thiếu quyền kiểm soát

-

Vì mối đe dọa này không có Vector tác động từ môi trường ảo, không có yêu cầu kỹ thuật nào được đưa ra

[T-STL-2]

Hành vi người dùng hợp lý

Giao diện quản lý không tiếp xúc với kẻ địch độc hại

Xác thực và ủy quyền được triển khai hoặc định cấu hình không đúng, bao gồm thông tin xác thực mặc định và mật khẩu yếu

Sử dụng kênh giao tiếp chuyên dụng để truy cập giao diện quản lý của cơ chế an toàn, nếu giao diện đó tồn tại

...

...

...

Thực hiện xác thực và ủy quyền của các tác nhân từ xa trước khi họ cố gắng quản lý và kiểm soát các cơ chế an toàn [C-7-5]

Thực hiện giám sát các nỗ lực quản lý và kiểm soát các cơ chế an toàn [C-7-6]

Cung cấp hướng dẫn để cấu hình phù hợp trong số các cơ chế này [C-7-4]

[T-STL-3]

Sự thiếu vắng của bất kỳ loại lỗ hổng nào có thể gây ra hành vi bị lỗi của bộ điều khiển

Xử lý dữ liệu được triển khai không đúng cách

-

Thực hiện lọc ở lớp giao tiếp cho các luồng và nguồn mạng để đảm bảo rằng các giả định về các kết nối có thể xảy ra là hợp lệ (Khả năng [C-7-1])

Thực hiện lọc ở lớp ứng dụng để đảm bảo rằng các giả định về môi trường ảo được kết nối là hợp lệ (Khả năng [C-7-2])

...

...

...

Thực hiện kiểm tra ứng dụng cụ thể với khả năng phát hiện tấn công để theo dõi hành vi không phù hợp (Khả năng [C-7- 6])

[T-STL-4]

Hành vi người dùng hợp lý

Giao diện truy cập từ xa không tiếp xúc với kẻ địch độc hại

Xác thực và ủy quyền được triển khai hoặc định cấu hình không đúng, bao gồm thông tin xác thực mặc định và mật khẩu yếu

Xử lý dữ liệu được triển khai không đúng cách

-

Thực hiện lọc ở lớp giao tiếp cho các luồng và nguồn mạng để đảm bảo rằng các giả định về người dùng có thể xảy ra là hợp lệ (Khả năng [C-7-1])

Thực hiện lọc ở lớp ứng dụng theo khu vực miền để đảm bảo rằng các giả định về hành vi của người dùng là hợp lệ và hành vi này đáp ứng các hạn chế cần thiết (Khả năng [C-7-2])

...

...

...

Thực hiện giám sát các nỗ lực quản lý và kiểm soát bộ điều khiển [C-7-6]

Cung cấp hướng dẫn để cấu hình đúng các cơ chế này [C-7- 4]

[T-STL-5]

Sự thiếu vắng của bất kỳ loại lỗ hổng nào có thể gây ra hành vi bị lỗi của bộ điều khiển

Xử lý dữ liệu được triển khai không đúng cách

-

Thực hiện lọc ở lớp giao tiếp cho các luồng và nguồn mạng để đảm bảo rằng các giả định về các kết nối có thể xảy ra là hợp lệ (Khả năng [C-7-1])

Thực hiện lọc ở lớp ứng dụng để đảm bảo rằng các giả định về môi trường ảo được kết nối là hợp lệ (Khả năng [C-7-2])

Thực hiện kiểm tra và xác thực tích hợp, đặc biệt chú ý đến việc làm mở đầu vào ở lớp khác của hệ thống (Khả năng [C-7-4])

...

...

...

[T-STL-6]

Hành vi người dùng hợp lý

Giao diện quản lý không tiếp xúc với kẻ địch độc hại

Xác thực và ủy quyền được triển khai hoặc định cấu hình không đúng, bao gồm thông tin xác thực mặc định và mật khẩu yếu

Sử dụng kênh giao tiếp chuyên dụng để truy cập giao diện quản lý của các cơ chế bảo mật, nếu giao diện đó tồn tại

Trong trường hợp có giao diện quản lý cho các cơ chế bảo mật:

Thực hiện xác thực và ủy quyền cho các tác nhân từ xa trước khi họ cố gắng quản lý và kiểm soát các cơ chế bảo mật [C-7- 5]

Thực hiện giám sát các nỗ lực quản lý và kiểm soát các cơ chế bảo mật [ C-7-6]

Cung cấp hướng dẫn để cấu hình đúng các cơ chế này [C-7- 4]

...

...

...

Truyền thông là đáng tin cậy

Giao diện quản lý không tiếp xúc với kẻ địch độc hại

Cơ sở hạ tầng truyền thông yếu kém

Quản lý và kiểm soát các cơ chế bảo mật được triển khai không đúng cách

Sử dụng kênh giao tiếp chuyên dụng để truy cập giao diện quản lý của các cơ chế bảo mật, nếu giao diện đó tồn tại

Triển khai cơ sở hạ tầng truyền thông đáng tin cậy và chống lại các cuộc tấn công (Khả năng [C-7-1])

Triển khai cơ chế bảo mật như một tập hợp các thành phần được ghép nối, độc lập với phần mềm khác (Khả năng [C-7-3])

Thực hiện giám sát tải trên thiết bị và kênh liên lạc (Khả năng [C-7-6])

A.2  Hệ thống điều khiển công nghiệp

...

...

...

Đồng thời, ngay cả đối với những khu vực có độ nguy hiểm cao, không phải cơ sở nào cũng tuân thủ việc phân tách an toàn và điều khiển chặt chẽ đề bảo vệ an toàn. Cách tiếp cận đối với một công ty cụ thể phụ thuộc vào chiến lược kinh doanh và khả năng chấp nhận rủi ro. Nếu an toàn là ưu tiên hàng đầu bằng mọi giá thì các hệ thống điều khiển và an toàn riêng biệt vẫn là lựa chọn tốt nhất, trong khi việc áp dụng nền tảng tích hợp các hệ thống kiểm soát và an toàn có thể được ưu tiên hơn để tiết kiệm tối đa chi phí.

Vector tác động của môi trường vật lý từ bên trong môi trường thông tin ảo được mô tả trong Hình A.2. Các cơ chế bảo vệ chung (xác thực đầu vào, giám sát môi trường và hệ thống) cũng được đặt trong Hình A.2.

Hình A.2 - Vector tác động V-T-P với các cơ chế bảo vệ có thể có

Các mối đe dọa được đề cập có thể được giải thích cho lĩnh vực công nghiệp của loT như được mô tả trong Bảng A.3.

Bảng A.3 - Các mối đe dọa bảo mật ảnh hưởng đến tính an toàn của hệ thống điều khiển công nghiệp

Mối đe dọa bảo mật chung ảnh hưởng đến tính an toàn cho loT

Mối đe dọa đối với hệ thống điều khiển công nghiệp

Mô tả

...

...

...

[T-3]

[T-5]

[T-ICS-1]

Việc thiếu, hoặc xác thực đầu vào không phù hợp có thể được sử dụng để giám sát các nỗ lực sử dụng sai hệ thống, các cuộc tấn công vào kênh thông tin ảo hoặc vào người dùng (kỹ thuật xã hội, yêu cầu giả mạo, v.v.). Nếu xác thực đầu vào vẫn được thực hiện, nó có thể là mục tiêu của một cuộc tấn công.

Trung bình, trong trường hợp SIS được đặt đúng vị trí và hoạt động chính xác

[T-2]

[T-ICS-2]

Giám sát hệ thống có thể bị vô hiệu hóa do một cuộc tấn công thành công. Đây là một lập luận cho việc sử dụng giám sát (môi trường) tách rời, mặc dù trong trường hợp tấn công có chủ đích, SIS bên ngoài có thể bị vô hiệu hóa. Điều này chứng minh nhu cầu bảo mật SIS.

Cao, trong trường hợp chức năng SIS bị xâm phạm.

...

...

...

[T-ICS-3]

Dữ liệu hoặc kết quả giám sát có thể bị giả mạo với dữ liệu sai lệch để đưa ra quyết định sai lầm về tình trạng an toàn hiện tại. Mức độ phức tạp của cuộc tấn công này phụ thuộc vào kiến trúc của hệ thống và các cơ chế an toàn, nhưng nó cũng cần được tính đến.

Cao, trong trường hợp chức năng SIS bị xâm phạm

[T-2]

[T-ICS-4]

Cơ chế thực thi an toàn có thể bị vô hiệu hóa.

Cao, trong trường hợp chức năng SIS bị xâm phạm

[T-1]

[T-ICS-5]

...

...

...

Cao, trong trường hợp chức năng SIS bị xâm phạm

[T-4]

[T-ICS-6]

Việc giữ cho quá trình thực thi liên tục không buộc hệ thống điều khiển vào trạng thái bảo mật (ví dụ: xóa các tệp nghi ngờ bị nhiễm phần mềm độc hại, v.v.) Điều này có thể dẫn đến việc kiểm soát quá trình bởi tác nhân độc hại.

Trung bình, trong trường hợp SIS được đặt đúng vị trí và hoạt động chính xác

Các mối đe dọa có liên quan đến sự thỏa hiệp của các cơ chế an toàn, có khả năng ảnh hưởng đến mức độ an toàn cao, trong khi các mối đe dọa khác có thể có mức rủi ro trung bình vì chúng được giảm thiểu một phần bởi các cơ chế an toàn.

Bảng A.4 tóm tắt các dữ liệu cần thiết để thiết lập các yêu cầu đối với hệ thống điều khiển công nghiệp nhằm chống lại các mối đe dọa bảo mật có thể ảnh hưởng đến tính an toàn. Nó chứa các tham chiếu đến mối đe dọa, thành phần hệ thống hoặc kênh có thể bị tấn công, các giả định có thể không hợp lệ và do đó tạo điều kiện cho một cuộc tấn công, khiếm khuyết hoặc lỗ hổng có khả năng bị khai thác, các biện pháp đối phó trước đó và các yêu cầu để chống lại một cuộc tấn công.

Dựa trên kiến thức về các chi tiết cụ thể từ một hệ thống nhất định, có thể tiến hành phân tích sâu hơn để có được các yêu cầu cụ thể cho hệ thống này. Một số giả định có thể được loại bỏ, các chi tiết khác được làm rõ và sau đó các yêu cầu có thể được tinh chỉnh cho đến khi có được đặc tả chi tiết về các biện pháp bảo vệ cho hệ thống đã cho.

Bảng A.4 - Yêu cầu bảo mật đối với hệ thống điều khiển công nghiệp

...

...

...

Những giả định sai lầm có thể xảy ra về sự vật hoặc mỏi trường

Loại lỗ hổng bị kẻ địch lợi dụng

Các biện pháp xử lý trước

Các yêu cầu

[T-CPS-1]

Hành vi người dùng hợp lý.

Thiếu các Vector tấn công mạng có thể gây ra thiệt hại vật lý.

Thiểu hoặc xác thực đầu vào không phù hợp. Bỏ qua xác thực đầu vào

Kiểm tra lại các giả định về người dùng.

...

...

...

Thực hiện lọc ở lớp giao tiếp cho các luồng và nguồn mạng để đảm bảo rằng các giả định về người dùng có thể xảy ra là hợp lệ (Khả năng [C-7-1])

Thực hiện lọc ở lớp ứng dụng theo khu vực miền để đảm bảo rằng các giả định về hành vi của người dùng là hợp lệ và hành vi này đáp ứng các hạn chế khu vực miền (Khả năng [C-7-2])

Thực hiện kiểm tra tích hợp và xác thực cho sự kết hợp của các quy tắc và chính sách liên quan đến xác thực đầu vào ở lớp khác nhau của hệ thống (Khả năng [C-7-4])

Triển khai kiểm tra ứng dụng cụ thể với khả năng phát hiện tấn công để theo dõi hành vi không phù hợp (Khả năng [C-7- 6])

[T-CPS-2]

Không để lộ các cơ chế giám sát đối với các cuộc tấn công

Các giao thức và cơ sở hạ tầng hỗ trợ kém

Thực hiện giám sát kém

Tích hợp chặt chẽ hệ thống giám sát với hệ thống đang giám sát

...

...

...

Triển khai cơ sở hạ tầng truyền thông đáng tin cậy và chống lại các cuộc tấn công (Khả năng [C-7-1])

Triển khai các thuật toán giám sát quản lý và kiểm soát đáng tin cậy để chống lại các cuộc tấn công (Khả năng [C-7-2])

Thực hiện các cơ chế giám sát như một tập hợp các các thành phần, độc lập với hệ thống và được kết nối với hệ thống bằng các giao diện được xác định rõ ràng (Khả năng [C-7-3])

Thực hiện xác thực và ủy quyền lẫn nhau cho các thủ tục quản lý và kiểm soát (Khả năng [C-7-5])

Thực hiện đánh giá các thủ tục quản lý và kiểm soát, cơ chế phát hiện tấn công và giám sát tải trên thiết bị và các kênh truyền thông (Khả năng [C-7-6])

[T-CPS-3]

Không để các kênh tiếp xúc với các cuộc tấn công mạng

Giám sát bằng chứng không giả mạo

Kiểm tra lại các giả định về quyền truy cập vào các kênh về tính toàn vẹn của dữ liệu.

...

...

...

Triển khai các thuật toán giám sát quản lý và kiểm soát đáng tin cậy để chống lại các cuộc tấn công (Khả năng [C-7-2])

Thực hiện kiểm tra tích hợp và xác thực cho sự kết hợp các quy tắc và chính sách liên quan đến giám sát ở các lớp khác nhau của hệ thống (Khả năng [C-7-4])

[T-CPS-4]

Không để lộ cơ chế thực thi an toàn trước các cuộc tấn công mạng.

Cơ chế thực thi an toàn dễ bị tấn công và bị truy cập trái phép

Xác minh khả năng chống lại các cuộc tấn công mạng của cơ chế thực thi an toàn

Triển khai cơ sở hạ tầng truyền thông tin cậy và chống lại các cuộc tấn công (Khả năng [C-7-1])

Triển khai các thuật toán giám sát quản lý và kiểm soát đáng tin cậy để chống lại các cuộc tấn công (Khả năng [C-7-2])

Thực hiện các cơ chế giám sát như một tập hợp các các thành phần, độc lập với hệ thống và được kết nối với hệ thống bằng các giao diện được xác định rõ ràng (Khả năng [C-7-3])

...

...

...

Thực hiện đánh giá các thủ tục quản lý và kiểm soát, cơ chế phát hiện tấn công và giám sát tải trên thiết bị, các kênh truyền thông (Khả năng [C-7-6])

[T-CPS-5]

Không để kênh thực thi an toàn tiếp xúc với các cuộc tấn công mạng.

Cơ chế thực thi an toàn dễ bị tấn công và bị truy cập trái phép

Xác minh khả năng chống giả mạo và từ chối dịch vụ của các kênh thực thi an toàn

Triển khai cơ sở hạ tầng truyền thông tin cậy và chống lại các cuộc tấn công (Khả năng [C-7-1])

Thực hiện cơ chế giám sát như một tập hợp các thành phần được ghép nối, độc lập với hệ thống và được kết nối với hệ thống bằng các giao diện được xác định rõ ràng (Khả năng [C-7 -3])

Thực hiện giám sát tải trên thiết bị và các kênh truyền thông (Khả năng [C-7-6])

A.3  Thiết bị đeo thông minh cho an toàn công nghiệp và quản lý năng suất

...

...

...

Đối với mục đích giám sát và kiểm soát tại chỗ, các thiết bị đeo thông minh được kết nối, chẳng hạn như kính hoặc mũ bảo hiểm được kết hợp tùy chọn với các cảm biến có thể đeo được, tận dụng lợi thế của công nghệ thực tế tăng cường. Công nghệ này cho phép các kỹ sư vận hành chồng các bản đồ, giản đồ và hình ảnh nhiệt để "nhìn xuyên qua” các bức tường, đường ống và các vật thể rắn khác. Đối với mục đích giám sát trung tâm, các thiết bị đeo thông minh được kết nối truyền phát video, giao tiếp bằng giọng nói, vị trí của công nhân và thông tin từ các cảm biến tùy chọn đến nền tảng điều khiển. Các thiết bị này có khả năng cung cấp trong thời gian thực trạng thái của công nhân/công trường, các điểm chính xác trên bản đồ, chức năng giao tiếp bằng giọng nói và thông tin tùy chọn như nhịp tim của công nhân hoặc điều kiện môi trường.

Các lợi thế khác cũng tạo điều kiện cho sự phổ biến ngày càng tăng của các thiết bị đeo thông minh tại các cơ sở công nghiệp. Không cần bộ đàm hoặc điện thoại di động trong trường hợp sử dụng mũ bảo hiểm thông minh, do đó, nó cho phép bạn rảnh tay và tăng tính an toàn cho cá nhân. Khả năng hợp tác qua video với các chuyên gia ở các địa điểm xa giúp sửa chữa nhanh hơn và tiết kiệm chi phí đưa chuyên gia đến địa điểm để trợ giúp. Nhân viên tại các địa điểm từ xa có thể giao tiếp và chia sẻ video về những gì họ nhìn thấy với các nhân viên có kinh nghiệm để nhận được lời khuyên về cách chẩn đoán và khắc phục sự cố. Bằng cách này, các doanh nghiệp có thể cải thiện hiệu quả chi phí của dịch vụ thực địa và hoạt động từ xa của họ bằng cách sử dụng tỷ lệ lao động ít kinh nghiệm hơn so với những người hoặc chuyên gia có kinh nghiệm, do đó tiết kiệm chi phí lao động.

Video được phát trực tuyến có thể được lưu trữ làm bằng chứng cho thấy công việc được thực hiện chính xác hoặc mọi thứ đều ồn trong quá trình kiểm tra. Các bản ghi video như vậy có thể có giá trị nếu khách hàng đưa ra cáo buộc chống lại công ty dịch vụ hiện trường. Bản ghi video cũng rất quan trọng đối với các ngành khác, đặc biệt là người điều chỉnh bảo hiểm, người thẩm định bất động sản, thanh tra xây dựng và người giao hàng để chứng minh việc giao hàng trọn gói.

Các mối quan tâm liên quan đến an toàn sau đây cùng tồn tại với các thiết bị đeo thông minh được kết nối tại các cơ sở công nghiệp.

1. Cả giám sát tại chỗ và giám sát trung tâm đều yêu cầu cung cấp dữ liệu liên tục để phân tích và phản ứng ngay lập tức đối với các trường hợp khẩn cấp có thể xảy ra. Một trong những ưu điểm của thiết bị đeo thông minh tại các cơ sở công nghiệp là giảm thời gian phản ứng của người lao động có kinh nghiệm. Ví dụ, tầm nhìn nhiệt cung cấp cho người lao động các đặc tính nhiệt của các vật thể hoặc hạng mục tại nơi làm việc cần được bảo dưỡng hoặc giám sát bổ sung và người lao động được trang bị khả năng kiểm soát thích hợp có thể khắc phục sự cố ngay lập tức.

Trong trường hợp các thiết bị đeo được kết nối, dữ liệu giám sát được phân phối qua các kênh không dây sẽ bị tấn công. Nếu tính toàn vẹn và tính xác thực của dữ liệu không được cung cấp, dữ liệu giả mạo được đưa vào bởi kẻ địch độc hại và phản ứng thích hợp của nhân viên đối với những dữ liệu này có thể đe dọa thiết bị, quy trình và thậm chí gây ra các nguy cơ về an toàn. Sự hiện diện thực tế của kẻ địch tại cơ sở là không bắt buộc; cuộc tấn công có thể được thực hiện nếu anh ta có thể đi qua đường dẫn trong môi trường ảo để truy cập thiết bị. Điều này có thể xảy ra, chẳng hạn, nếu thiết bị có giao diện để bảo trì từ xa.

2. Thông thường, các thiết bị đeo thông minh được coi là thiết bị bảo vệ cá nhân (PPE) nhằm giảm mức độ tiếp xúc của người lao động đối với các mối nguy khi các biện pháp kiểm soát kỹ thuật và kiểm soát hành chính không khả thi hoặc không hiệu quả đề giảm những rủi ro này xuống mức có thể chấp nhận được. Ví dụ, tầm nhìn nhiệt trang bị cho người dùng khả năng xem dữ liệu nhiệt độ trong môi trường thế giới thực của họ. Điều này ngăn chúng tương tác với thứ gì đó ở nhiệt độ không an toàn. Đồng thời, bất kỳ PPE nào cũng có hạn chế nghiêm trọng là nó không loại bỏ được mối nguy hiểm tại nguồn và có thể khiến nhân viên tiếp xúc với mối nguy hiểm nếu thiết bị bị lỗi. Đặc biệt, lỗi này có thể xảy ra trong trường hợp bị tấn công thông qua các giao diện truyền thông của thiết bị này.

Đây là trường hợp để phân tích bảo mật và mô hình hóa mối đe dọa.

Ví dụ này không cải tiến loại thiết bị đeo cũng như không mô tả các giao diện cụ thể và các loại công nghệ truyền thông. Trong khi bao gồm toàn bộ phạm vi thiết bị, ví dụ này không đề cập chi tiết các mối đe dọa và chỉ cung cấp ước tính sơ bộ về tác động có thể xảy ra.

...

...

...

- Tác động cao: dữ liệu được cung cấp bởi thiết bị đeo thông minh cho nhân viên trên công trường hoặc cho hệ thống giám sát trung tâm, bị thay đổi, giả mạo hoặc chứa thông tin sai lệch do một số lý do khác có hại.

- Tác động trung bình: thiết bị đeo thông minh không có khả năng cung cấp dữ liệu cho nhân viên tại chỗ hoặc cho hệ thống giám sát trung tâm, hoặc không thể làm như vậy trong khung thời gian được yêu cầu, do sự can thiệp vào hoạt động của nó hoặc trong liên lạc và cơ sở hạ tầng xung quanh.

- Tác động thấp: dữ liệu được cung cấp bởi thiết bị đeo thông minh, chẳng hạn như thông số quy trình, luồng video, trạng thái của công nhân trên công trường bị tiết lộ cho bên thứ ba trái phép.

Do đó, các mức tác động được thiết lập tùy theo tính toàn vẹn, tính sẵn có và tính bí mật của dữ liệu do thiết bị cung cấp. Đối với một số trường hợp, mức độ tác động có thể được xác định theo một số cách khác. Đối với ví dụ chung này, người ta tin rằng việc cung cấp dữ liệu giả mạo nguy hiểm cho sự an toàn hom là ngăn những dữ liệu này bị truy cập và do đó, việc ngăn chặn việc tiết lộ dữ liệu có thể có ít ưu tiên hơn (vì sự an toàn) so với việc giữ nguyên tính toàn vẹn và tính sẵn sàng của nó.

Bảng A.5 liệt kê các mối đe dọa bảo mật ảnh hưởng đến sự an toàn đối với thiết bị đeo thông minh, trong khi Bảng A.6 liệt kê các yêu cầu bảo mật đối với các thiết bị đeo thông minh được kết nối để an toàn công nghiệp và quản lý năng suất.

Bảng A.5 - Các mối đe dọa bảo mật ảnh hưởng đến sự an toàn của thiết bị đeo thông minh

Mối đe dọa bảo mật chung ảnh hưởng đến tính an toàn cho loT

Mối đe dọa đối với thiết bị đeo thông minh được kết nối tại cơ sở công nghiệp

Mô tả

...

...

...

[T-3]

[T- SWI -1]

Xâm phạm các kết nối không dây bằng cách sử dụng thiết bị giả mạo hoặc thiết bị bị xâm nhập bởi phần mềm độc hại

Tác động cao: tính toàn vẹn của dữ liệu có thể bị xâm phạm trong trường hợp KHÔNG áp dụng kiểm soát tính xác thực của dữ liệu, chẳng hạn như trong trường hợp tấn công xen giữa (Man in the Middle)

Lưu ý: Các mức độ tác động khác có thể xảy ra theo cuộc tấn công như sau:

- Tác động trung bình: dữ liệu có thể không có sẵn cho cá nhân viên tại hiện trường và hệ thống giám sát trung tâm

- Tác động thấp: dữ liệu không được mã hóa có thể bị tiết lộ cho người không có thẩm quyền

[T-3]

[T- SWI -2]

...

...

...

Tác động thấp: dữ liệu không được mã hóa có thể bị tiết lộ cho người không có thẩm quyền

[T-3]

[T- SWl -3]

Cản trở truyền thông không dây bằng cách triệt tiêu hoặc gây nhiễu tín hiệu vô tuyến

Tác động trung bình: dữ liệu có thể không có sẵn cho cả nhân viên tại chỗ và hệ thống giám sát trung tâm

[T-3]

[T- SWI -4]

Khai thác giao diện điều khiển từ xa của thiết bị đeo để kiểm soát thiết bị

Tác động cao: tính toàn vẹn của dữ liệu có thể bị xâm phạm THẬM CHÍ NẾU có kiểm soát tính xác thực của dữ liệu

...

...

...

[T- SWI -5]

Khai thác lỗ hổng của các giao thức cấp ứng dụng để đưa dữ liệu sai vào luồng thông tin từ thiết bị đến hệ thống giám sát trung tâm và ngược lại

Tác động cao: tính toàn vẹn của dữ liệu có thể bị xâm phạm trong trường hợp KHÔNG áp dụng kiểm soát tính xác thực của dữ liệu, chẳng hạn như trong trường hợp tấn công xen giữa

CHÚ THÍCH: Các mức độ tác động khác có thể xảy ra theo cuộc tấn công như sau:

- Tác động trung bình: dữ liệu có thể không có sẵn cho cá nhân viên tại hiện trường và hệ thống giám sát trung tâm.

[T-3]

[T- SWI -6]

Khai thác các lỗ hổng của các giao thức cấp ứng dụng để cản trở việc trao đổi dữ liệu giữa thiết bị và hệ thống giám sát trung tâm

Tác động trung bình: dữ liệu có thể không có sẵn cho cá nhân viên tại hiện trường và hệ thống giám sát trung tâm

...

...

...

[T- SWI -7]

Tấn công từ xa vào thiết bị đeo thông minh hoặc lây nhiễm phần mềm độc hại

Tác động cao: tính toàn vẹn của dữ liệu có thể bị xâm phạm THẬM CHÍ NẾU có kiểm soát tính xác thực của dữ liệu

[T-5]

[T- SWI -8]

Chặn lưu lượng mạng do cơ sở hạ tầng mạng bị xâm phạm

Tác động cao: tính toàn vẹn của dữ liệu có thể bị xâm phạm trong trường hợp KHÔNG áp dụng kiểm soát tính xác thực của dữ liệu, chẳng hạn như trong trường hợp tấn công xen giữa

CHÚ THÍCH: Các mức độ tác động khác có thể xảy ra theo cuộc tấn công như sau:

- Tác động trung bình: dữ liệu có thể không có sẵn cho cá nhân viên tại hiện trường và hệ thống giám sát trung tâm

...

...

...

Bảng A.6 - Yêu cầu bảo mật đối với thiết bị đeo thông minh được kết nối cho an toàn công nghiệp và quản lý năng suất

Mối đe dọa

Những giả định sai lầm có thể xảy ra về sự vật hoặc môi trường

Loại lỗ hổng bị kẻ địch lợi dụng

Các biện pháp xử lý trước

Các yêu cầu

[T-SWI-1]

Xâm nhập các kết nối không dây sử dụng thiết bị giả mạo hoặc thiết bị bị xâm nhập bởi phần mềm độc hại

Không có hoặc không thể lắp đặt các điểm truy cập không dây giả mạo

...

...

...

Thiếu hoặc việc thực thi không phù hợp kiểm soát truyền thông không dây.

Thực thi chính sách kiểm kê và kiểm soát các điểm truy cập không dây bên trong phạm vi nơi sử dụng các thiết bị đeo thông minh

Triển khai khả năng xác thực đầu vào ở lớp kênh giao tiếp, bao gồm kiểm tra các điểm truy cập không dây (Khả năng [C-7-1])

Thực hiện tính toàn vẹn và tính xác thực của các lệnh và dữ liệu ở lớp kênh giao tiếp, bao gồm mã hóa dữ liệu giao thức (Khả năng [C- 7-1])

Triển khai khả năng xác thực đầu vào ở lớp diễn giải dữ liệu, bao gồm kiểm tra các lệnh và dữ liệu (Khả năng [C- 7-2])

Duy trì tính toàn vẹn và không từ chối của các lệnh và dữ liệu ở lớp thiết bị thông minh, bao gồm mã hóa dữ liệu, tính toán tổng kiểm tra và ký (Khả năng [C-7-2])

Thực hiện giám sát liên tục đối với các điểm truy cập không dây giả mạo và không mong muốn (Khả năng [C- 7-3], Khả năng [C-7-6])

Thực hiện kiểm tra tích hợp và xác thực sự kết hợp của các quy tắc và chính sách liên quan đến truyền thông không dây (Khả năng [C-7-4])

[T-SWI-2]

...

...

...

Truyền thông khoảng cách ngắn không bị ảnh hưởng trước các cuộc tấn công

Thiếu hoặc việc thực thi không phù hợp kiểm soát thông tin liên lạc khoảng cách ngắn

Tránh sử dụng các phiên bản cũ của truyền thông khoảng cách ngắn (giao thức, thông số kỹ thuật, v.v.)

Đảm bảo rằng truyền thông khoảng cách ngắn đã sử dụng tất cả các tính năng an toàn được xác định bởi thông số kỹ thuật của chúng

Thực hiện kiểm tra các nguồn, giao thức và luồng thông tin bằng cách sử dụng các tính năng có sẵn của liên lạc khoảng cách ngắn (Khả năng [C-7-1])

Thực hiện tính toàn vẹn và tính xác thực của các lệnh và dữ liệu bằng cách sử dụng các tính năng có sẵn của liên lạc khoảng cách ngắn (Khả năng [C-7-1])

Thực hiện xác thực đầu vào cơ bản tại thiết bị đeo thông minh, bao gồm kiểm tra các lệnh và dữ liệu (Khả năng [C-7-2])

Đảm bảo tính toàn vẹn và không từ chối các lệnh và xác thực dữ liệu tại thiết bị đeo thông minh sử dụng mã hóa dữ liệu, tính toán tổng kiểm tra và ký (Khả năng [C-7-2])

Thực hiện giám sát các liên lạc trong khoảng cách ngắn và sử dụng chúng đúng cách khi các tính năng và đặc tính cụ thể của chúng cho phép giám sát như vậy (Khả năng [C-7-3])

...

...

...

Thực hiện phát hiện tấn công trong thời gian ngắn liên lạc từ xa trong đó các tính năng và đặc tính cụ thể của các liên lạc này yêu cầu và cho phép phát hiện (Khả năng [C-7-5])

[T-SWI-3]

Cản trở truyền thông không dây bằng cách triệt tiêu hoặc gây nhiễu tín hiệu vô tuyến

Không có nguồn tín hiệu nào khác có thể can thiệp cố ý hoặc vô tình vào truyền thông không dây

Thiếu hoặc không phù hợp trong việc thực thi chính sách tạo điều kiện cho tín hiệu vô tuyến ổn định

Thực thi chính sách về kiểm soát truyền thông không dây không gây nhiễu và đặt ra trách nhiệm thực thi chính sách này

Kiểm tra tín hiệu vô tuyến ở dải tần dành cho liên lạc hợp lệ (Khả năng [C-7-1]), Khả năng [C-7-3])

Thực hiện phát hiện các đặc điểm có thể liên quan đến việc gây nhiễu cố ý hoặc vô ý hoặc cản trở sóng vô tuyến của tín hiệu (Khả năng [C-7-5])

[T-SWI-4]

...

...

...

Không có bất kỳ loại lỗ hổng nào có thể gây ra hành vi không phù hợp cho thiết bị đeo thông minh

Giao diện truy cập từ xa không tiếp xúc với kẻ địch độc hại

Dữ liệu được triển khai không đúng hoặc xử lý lệnh trên thiết bị

-

Đảm bảo xác thực nguồn, giao thức và luồng thông tin giữa thiết bị đeo thông minh và các tác nhân bên ngoài (Khả năng [C-7-1])

Duy trì tính xác thực của dữ liệu ở lớp kênh giao tiếp (Khả năng [C-7-1])

Đảm bảo dữ liệu và xác thực lệnh cho thiết bị đeo thông minh (Khả năng [C-7-2])

Đảm bảo tính toàn vẹn và không từ chối các lệnh và dữ liệu cho thiết bị đeo thông minh (Khả năng [C-7-2])

Thực hiện cơ chế giám sát để đảm bảo trách nhiệm giải trình và tính xác thực của tất cả các giao tiếp với (các) thiết bị đeo thông minh (Khả năng [C-7-3])

...

...

...

Thực hiện phát hiện tấn công, bao gồm phát hiện thăm dò, tấn công cơ sở hạ tầng, tấn công từ xa, tấn công nội gián và sử dụng sai thiết bị đeo thông minh (Khả năng [C-7-5])

[T-SWI-5]

Khai thác các lỗ hổng của các giao thức cấp ứng dụng để đưa dữ liệu vào luồng thông tin từ thiết bị đến hệ thống giám sát trung tâm và ngược lại

Không có lỗ hổng giao thức cấp ứng dụng

Giao diện truy cập từ xa không tiếp xúc với kề địch độc hại

Xử lý dữ liệu hoặc lệnh không đúng bởi giao thức hoặc việc triển khai quá trình

Đảm bảo xác thực các nguồn, giao thức và luồng thông tin giữa thiết bị đeo thông minh và các tác nhân bên ngoài (Khả năng [C-7-1])

Duy trì tính toàn vẹn và tính xác thực của dữ liệu ở lớp kênh truyền thông (Khả năng [C-7-1])

...

...

...

Đảm bảo tính toàn vẹn và không từ chối các lệnh và dữ liệu tại thiết bị đeo thông minh và hệ thống giám sát trung tâm (Khả năng [C-7-2])

Thực hiện cơ chế giám sát như (các) dịch vụ chuyên dụng dựa trên hợp đồng, bao gồm việc cô lập dữ liệu thu thập và phân tích các thành phần giám sát, cô lập việc thực thi chính sách khẩn cấp và một cơ chế báo động, cô lập và thực hiện độc lập toàn bộ quá trình giám sát cơ chế (Khả năng [C-7-3])

Đảm bảo sự bảo vệ thích hợp và hợp lệ được cung cấp bởi các quy tắc và chính sách khác nhau để xác thực đầu vào ở lớp thiết bị, kênh và cơ sở hạ tầng (Khả năng [C-7-4])

Thực hiện phát hiện tấn công, bao gồm phát hiện thăm dò, tấn công cơ sở hạ tầng, tấn công từ xa, tấn công nội gián và sử dụng sai thiết bị đeo thông minh (Khả năng [C-7-5])

[T-SWI-6]

Khai thác các lỗ hổng của các giao thức cấp ứng dụng để cản trở việc trao đổi dữ liệu giữa thiết bị và hệ thống giám sát trung tâm

Không có lỗ hổng giao thức cấp ứng dụng

Giao diện truy cập từ xa không tiếp xúc với kẻ địch độc hại

Xử lý dữ liệu hoặc lệnh không đúng bởi giao thức hoặc việc triển khai quá trình

...

...

...

Duy trì tính toàn vẹn và tính xác thực của dữ liệu ở lớp kênh truyền thông (Khả năng [C-7-1])

Đảm bảo xác thực dữ liệu và lệnh tại thiết bị đeo thông minh và hệ thống giám sát trung tâm (Khả năng [C-7-2])

Đảm bảo tính toàn vẹn và không từ chối các lệnh và dữ liệu tại thiết bị đeo thông minh và hệ thống giám sát trung tâm (Khả năng [C-7-2])

Đảm bảo sự bảo vệ thích hợp và hợp lệ được cung cấp bởi các quy tắc và chính sách khác nhau để xác thực đầu vào ở lớp thiết bị, kênh và cơ sở hạ tầng (Khả năng [C-7-4])

[T-SWI-7]

Tấn công từ xa vào thiết bị đeo thông minh hoặc lây nhiễm phần mềm độc hại

Sự thiếu vắng của bất kỳ loại lỗ hổng nào có thể gây ra hành vi không phù hợp của thiết bị đeo thông minh

(Các) giao diện truy cập từ xa không tiếp xúc với kẻ địch độc hại

Xác thực và ủy quyền được triển khai hoặc định cấu hình không đúng, bao gồm thông tin xác thực mặc định và mật khẩu yếu

...

...

...

Thực thi chính sách truy cập, kiểm soát và quản lý cho thiết bị đeo thông minh

Duy trì tính toàn vẹn và không từ chối của các lệnh và dữ liệu ở lớp thiết bị đeo thông minh, bao gồm mã hóa dữ liệu ứng dụng, tính toán tổng kiểm tra và kỷ (Khả năng [C-7-2])

Thực hiện cơ chế giám sát như (các) dịch vụ dựa trên hợp đồng chuyên dụng, bao gồm việc cô lập việc thu thập dữ liệu và phân tích các thành phần giám sát, cô lập việc thực thi chính sách khẩn cấp và cơ chế báo động, cô lập và thực hiện độc lập toàn bộ cơ chế giám sát (Khả năng [C-7-3])

Đảm bảo tích hợp thích hợp các quy tắc và chính sách khác nhau để kiểm soát an ninh ở các lớp khác nhau nếu các lớp này sử dụng các công nghệ đa dạng (Khả năng [C-7-4])

[T-SWI-8]

Truyền thông là đáng tin cậy

Giao diện quản lý không tiếp xúc với kẻ địch độc hại

Cơ Sở hạ tầng truyền thông yếu kém

Quản lý và kiểm soát cơ sở hạ tầng mạng được triển khai không đúng cách

...

...

...

Triển khai cơ sở hạ tầng truyền thông đáng tin cậy, bao gồm khả năng chống tràn kênh và các cuộc tấn công từ chối dịch vụ (Khả năng [C-7-1])

Đảm bảo tính toàn vẹn, tính xác thực và chống chối bỏ của các lệnh và dữ liệu ở lớp kênh truyền thông, bao gồm mã hóa dữ liệu giao thức để truyền thông quản lý cơ sở hạ tầng (Khả năng [C-7-1], Khả năng [C-7-2])

Đảm bảo tích hợp thích hợp các quy tắc và chính sách khác nhau để quản lý cơ sở hạ tầng truyền thông (Khả năng [C-7-4])

Thực hiện xác thực và ủy quyền của các đối tượng quản lý và kiểm soát cơ sở hạ tầng truyền thông (Khả năng [C-7-5])

Thực hiện cơ chế hoặc khả năng giám sát các nỗ lực quản lý và kiểm soát cơ sở hạ tầng truyền thông (Khả năng [C-7-6])

Thực hiện cơ chế giám sát tải trên thiết bị và các kênh liên lạc, bao gồm cả việc phát hiện việc quá tải không chủ ý và các cuộc tấn công từ chối dịch vụ (Khả năng [C-7-6])

Thư mục tài liệu tham khảo

[1] ISO/IEC 27000:2016 Information Technology - Security Technique - Information security management systems - Overview and vocabulary.

...

...

...

[3] Gyber Physical  Systems Public Working Group. Framework for Cyber Physical Systems, Release 1.0, May 2016.

[4] NISTIR 7298 Revision 2. Glossary ò Key Information Security Terms.

[5] Branden Ghena, William Beyer, Allen Hillaker, Jonathan Pevarnek and J. Alex Halderman (2014). Green Lights Forever: Analysing the Security of Traffic Infrastructure, Proc. of the 8th USENIX Workshop on Offensive Technologies.

[6] Recommendation ITU-T Y.4806, Security capabilities supporting safety of the Internet of things.