Hãy tưởng tượng bạn là giám đốc IT của một nhà máy sản xuất, ngồi trong phòng họp với ban lãnh đạo và phải giải thích vì sao cần chi 2 tỷ đồng cho bảo mật hệ thống điều khiển công nghiệp (OT - Operational Technology). Ánh mắt nghi ngờ từ CFO, câu hỏi "chi phí này mang lại lợi ích gì?" khiến bạn bối rối. Đây chính là thực trại mà hầu hết các chuyên gia bảo mật OT đang đối mặt - bị coi như "trung tâm chi phí" thay vì "động lực tạo sự bền vững". Webinar "ROI for Cyber-Physical Security Programs" của SecurityWeek hôm nay hứa hẹn sẽ thay đổi hoàn toàn quan điểm này.

Từ gánh nặng tài chính đến tài sản chiến lược

Cyber-Physical Security hay bảo mật cyber-vật lý là việc bảo vệ các hệ thống kết hợp giữa thành phần số (cyber) và thiết bị vật lý như cảm biến, máy móc sản xuất. Khác với bảo mật IT truyền thống chỉ tập trung vào dữ liệu và mạng, cyber-physical security phải đảm bảo an toàn cho cả quy trình sản xuất thực tế. Theo báo cáo của Dragos năm 2023, có tới 74% các vụ tấn công vào hạ tầng công nghiệp đều nhắm vào điểm giao thoa giữa IT và OT.

Chúng tôi nhận thấy rằng nhiều doanh nghiệp Việt Nam vẫn đang mắc phải sai lầm cơ bản: coi bảo mật OT như một khoản chi phí bắt buộc chứ không phải khoản đầu tư sinh lời. Thống kê từ Cục An toàn thông tin (Bộ TT&TT) cho thấy chỉ 23% doanh nghiệp sản xuất trong nước có ngân sách riêng cho bảo mật hệ thống điều khiển công nghiệp, và con số này thấp hơn đáng kể so với mức 45% của các nước ASEAN khác.

Công thức ROI mà các CISO không được dạy

Return on Investment (ROI) trong bảo mật cyber-physical không thể tính theo công thức truyền thống của IT security. Điểm khác biệt cốt lõi nằm ở chỗ: khi hệ thống IT bị tấn công, doanh nghiệp mất dữ liệu và phải đối mặt với downtime; nhưng khi hệ thống OT bị xâm nhập, hậu quả có thể là dừng toàn bộ dây chuyền sản xuất, thiết bị hư hỏng, thậm chí tai nạn lao động. Webinar hôm nay sẽ trình bày framework tính ROI mới, trong đó bao gồm cả "avoided cost" (chi phí tránh được) và "business continuity value" (giá trị duy trì hoạt động).

Theo nghiên cứu của Ponemon Institute, chi phí trung bình cho một vụ tấn công vào hệ thống công nghiệp là 4.5 triệu USD, cao gấp 2.3 lần so với tấn công IT thông thường. Tuy nhiên, con số này chỉ là phần nổi của tảng băng chìm. Chi phí thực sự bao gồm: mất doanh thu do gián đoạn sản xuất (trung bình 23 ngày), chi phí sửa chữa thiết bị hư hỏng, phạt vi phạm quy định an toàn, mất uy tín thương hiệu, và quan trọng nhất là mất lòng tin của khách hàng.

Khi số liệu nói lên sự thật đắng lòng

Báo cáo mới nhất từ Cybersecurity & Infrastructure Security Agency (CISA) tiết lộ rằng 83% các cuộc tấn công ransomware năm 2023 đã lan từ mạng IT sang hệ thống OT trong vòng 72 giờ đầu. Điều này có nghĩa là chiến lược bảo mật "phân tách" truyền thống giữa IT và OT đã lỗi thời hoàn toàn. Các threat actor (kẻ tấn công) như APT groups đã tinh vi hóa chiến thuật, sử dụng living-off-the-land techniques để trốn tránh detection và lateral movement để xâm nhập sâu vào industrial control systems (ICS).

Tại Việt Nam, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) ghi nhận 156 vụ tấn công có chủ đích vào các doanh nghiệp có hệ thống OT trong 6 tháng đầu năm 2024, tăng 89% so với cùng kỳ năm trước. Đáng báo động là chỉ 12% trong số này được phát hiện trong vòng 24 giờ đầu, còn lại đều bị "ẩn náu" từ 2-8 tháng trước khi bị phát hiện.

Lộ trình chuyển đổi từ Cost Center sang Profit Center

Webinar sẽ cung cấp practical framework để các security teams chứng minh giá trị kinh doanh của cyber-physical security programs. Bước đầu tiên là xây dựng baseline assessment: đánh giá hiện trạng bảo mật, xác định critical assets (tài sản quan trọng), và quantify potential impact (định lượng tác động tiềm ẩn). Tiếp theo, tính toán Total Cost of Ownership (TCO) cho security investments, bao gồm cả direct costs (licences, hardware, nhân sự) và indirect costs (training, maintenance, compliance).

Chúng tôi khuyến nghị các doanh nghiệp Việt Nam nên bắt đầu bằng việc triển khai network segmentation để tách biệt mạng IT và OT, kết hợp với continuous monitoring solutions để phát hiện sớm các anomalies (bất thường). Đồng thời, đầu tư vào threat intelligence platforms chuyên về industrial security để cập nhật các indicators of compromise (IoCs) mới nhất từ cộng đồng an ninh mạng toàn cầu. Bước cuối cùng là xây dựng incident response plan riêng cho OT environment, vì quy trình xử lý sự cố trong môi trường sản xuất khác hoàn toàn so với IT thông thường.