Hãy tưởng tượng bạn đang ở trong một cơn bùng phát ngộ độc thực phẩm trên toàn quốc nổ ra rất nhanh chóng.
Bạn kiểm tra đi và kiểm tra lại các hồ sơ chế biến; tất cả các lô gà nấu chín đều ổn, vậy thì vấn đề ở đâu?
Bạn không biết rằng một tin tặc, có thể là một nhân viên cũ cảm thấy bất bình, đã xâm nhập và thay đổi các quy trình vận hành quan trọng được truy cập từ xa thông qua một thiết bị IoT không an toàn, dẫn đến một lô gà chưa được nấu chín và gây nguy hiểm. Nhưng bạn không biết lô nào bị ảnh hưởng nên có thể phải thu hồi lại gà trên toàn quốc.
Lợi thế sản phẩm của bạn bị vô hiệu hóa vì một đối thủ cạnh tranh vừa ra mắt một sản phẩm bắt chước sử dụng sở hữu trí tuệ bị một tin tặc đánh cắp. Tin tặc đã trộm thông tin chuỗi cung ứng và thương mại nhạy cảm thuộc về một trong những khách hàng bán lẻ chính của bạn và đòi một khoản tiền chuộc khổng lồ. Bạn sẽ làm gì?
Khó tin ư? Hãy nghĩ lại xem.
Trước đây, lĩnh vực bán lẻ và tài chính là những lĩnh vực nhận được nhiều sự chú ý nhất từ các tội phạm mạng. Nhưng gần đây, hệ thống chăm sóc sức khỏe và chính phủ đã trở thành đối tượng tấn công mạng và khi những lĩnh vực này cải thiện khả năng bảo vệ thì các tội phạm mạng sẽ chuyển sang những mục tiêu khờ khạo hơn, dễ dàng hơn và lĩnh vực thực phẩm lại quá nổi bật rất dễ gây sự chú ý.
Một phần của vấn đề đó là lĩnh vực này tin rằng họ miễn nhiễm. Tại sao lại có người tấn công một công ty thực phẩm? Các tổ chức tội phạm quốc gia và quốc tế thường nhắm mục tiêu vào chuỗi thực phẩm để pha tạp, giả mạo, gian lận, trộm cắp và buôn lậu quy mô lớn; thậm chí là tấn công các hệ thống công ty bảo quản và phân phối để nâng cao hàng giả và đưa hàng giả vào chuỗi cung ứng hợp pháp. Mối nguy hiểm là có thật và các công ty thực phẩm ở mọi quy mô phải thực hiện các bước để cung cấp khả năng phục hồi thông tin. Đây là lý do tại sao:
- CNTT và an ninh mạng không giống nhau. Tại hầu hết các công ty, CNTT cũng chịu trách nhiệm cho an ninh mạng. Đó là một sai lầm cơ bản. Hai ngành này hoàn toàn khác nhau và cần những hướng tiếp cận, suy nghĩ và bộ kỹ năng khác nhau.
- “Chúng tôi là một doanh nghiệp vừa-nhỏ (SME), tại sao phải lo lắng?” Các báo cáo cho thấy các SME bị tấn công thường xuyên như các công ty lớn, thường là qua email.
- “Tất cả dịch vụ CNTT và an ninh mạng của chúng tôi đều thuê ngoài, đó là vấn đề của họ.” Các nhà cung cấp dịch vụ CNTT thường đưa ra những lựa chọn phong phú cho tin tặc và do đó nhận được sự quan tâm đặc biệt. Vấn đề của họ có thể nhanh chóng trở thành vấn đề của bạn.
- Tội phạm mạng ngày càng trở nên dễ dàng hơn và dễ tiếp cận hơn. Mặc dù tội phạm mạng từng là phạm vi độc quyền của những ‘chuyên gia mật mã’, song đã tự trở thành một lĩnh vực kinh doanh. Ngày nay, các tác giả phần mềm độc hại cảm thấy việc cung cấp các dịch vụ và bán sản phẩm cho người khác để thực hiện các cuộc tấn công là sinh lợi hơn—và chắc chắn an toàn hơn.
- Hệ thống di sản. Các hệ thống chế biến thực phẩm hiện nay thường dựa vào những nền tảng phần mềm lỗi thời chẳng hạn như Linux hoặc Windows 98, các hệ điều hành được cài đặt hơn 20 năm trước. Hơn thế nữa, mã cổ không thể cập nhật hoặc vá được.
- Kết nối mạnh mẽ. Bằng việc liên kết các quy trình sản xuất nội bộ một cách nội bộ với hệ thống dữ liệu bên ngoài và mạng lưới thông qua internet, kết nối có nghĩa là có thể đạt được mức tăng năng suất và hiệu quả xử lý. Nhược điểm là đối với các hệ thống hiện đại, khi làm việc với sự lỗi thời thì an ninh thường bị hy sinh. Điều này cũng có nghĩa là vi phạm an ninh tại một điểm có thể lan rộng nhanh chóng.
- Nếu không hỏng, đừng sửa. Có thể hiểu là ban quản lý không muốn đầu tư vào một hệ thống tốt hơn, an toàn hơn trong khi hệ thống cũ vẫn ổn và nghĩ rằng rủi ro chỉ là tưởng tượng. Đây là một nền kinh tế sai lầm.
- Thiếu nhận thức. Nhân viên vận hành được đào tạo để giữ cho các hệ thống hiện có luôn hoạt động và là người không ‘hiểu biểt về mạng’.
- Chạy toán loạn ‘thông minh’. Các thiết bị được gọi là ‘thiết bị câm’ chẳng hạn như các hộp bẫy được thay thế bằng các thiết bị dùng IoT. Những thiết bị này thường chứa các cảm biến ‘có sẵn’ không an toàn được tích hợp chạy trên phần mềm được thiết kế và hỗ trợ kém. Những vấn đề thiết yếu này thường bị bỏ qua trong quá trình mua sắm.
Một công ty thực phẩm có thể phải hứng chịu nhiều loại tấn công mạng khác nhau. Có thể lợi thế sản phẩm của bạn bị vô hiệu hóa vì một đối thủ cạnh tranh vừa tung ra một sản phẩm nhái sử dụng tài sản trí tuệ bị đánh cắp do tin tặc thu được. Hoặc có thể một tin tặc đã đánh cắp thông tin thương mại và chuỗi cung ứng nhạy cảm thuộc về một trong những khách hàng bán lẻ lớn của bạn và đang đòi một khoản tiền chuộc lớn. Trong mọi trường hợp, việc quản lý rủi ro luôn được chú trọng.
Có thể làm gì?
- Xin giới thiệu CHACCP; Phân Tích Nguy Cơ Mạng Điểm Kiểm Soát Quan Trọng. Đảm bảo chất lượng và chức năng kỹ thuật đã có mặt trong lĩnh vực thực phẩm với HACCP trong 30 năm. Hãy coi CHACCP giống như việc mở rộng cách tiếp cận dựa trên rủi ro tương tự để xem xét các lỗ hổng mạng và mối liên kết trong môi trường sản xuất và áp dụng như một phần mở rộng cho hệ thống quản lý an toàn thực phẩm nhúng.
- Thực hiện các tiêu chuẩn an ninh mạng. Hầu hết các công ty sẽ không nghĩ đến việc tìm hiểu mức độ an toàn của họ bằng một bài kiểm tra thâm nhập cũng như triển khai BitSight để xác định rủi ro mạng do các nhà cung cấp của họ gây ra và tích hợp điều này vào việc lựa chọn, giám sát và đánh giá nhà cung cấp của họ. Một cải tiến hợp lý là xem xét triển khai Hệ thống quản lý thông tin ISO 27001 và ủy thác hệ thống này cho các nhà cung cấp chính, đặc biệt là những nền tảng CNTT được tích hợp trong tổ chức của bạn.
- Tạo văn hóa. Tất cả nhân viên phải trở nên ‘hiểu biết về mạng’ thông qua đào tạo nhận thức mạng như một phần của quá trình giới thiệu và phải được khuyến khích gắn cờ bất cứ điều gì khác thường nếu họ nghĩ rằng nó có thể liên quan đến mạng trước khi các vấn đề xảy ra.
Tin tốt là những công ty thực hiện các bước thông thường này không chỉ giảm thiểu được rủi ro cho hoạt động kinh doanh, mà còn kịp thời nhận ra rằng thao tác này đóng góp đáng kể vào việc bảo vệ mạnh mẽ, cẩn trọng và thậm chí có thể mang lại lợi thế đi đầu và cạnh tranh.
Tác Giả: Richard Werran
Giám Đốc Thực Phẩm ─ EMEA