Chủ động bảo đảm an ninh bảo mật cho ngành năng lượng và AI
Nhu cầu điện khổng lồ của AI biến ngành năng lượng thành mục tiêu tấn công mạng, đe dọa an ninh cơ sở hạ tầng toàn cầu.
Gần đây, lưới điện toàn cầu đã trải qua nhiều sự kiện đáng chú ý, trước hết, chúng ta hãy cùng xem xét một số diễn biến mới nhất.
Tại Hoa Kỳ, cựu CEO của Google Eric Schmidt đã có bài phát biểu trước Ủy ban Hạ viện Năng lượng và Thương mại Mỹ về tác động và sự phụ thuộc của AI vào lưới điện. Ông cho biết: “Nhiều người dự đoán nhu cầu năng lượng của ngành chúng tôi sẽ tăng từ 3 phần trăm lên 9 phần trăm tổng sản lượng điện, tương đương thêm 29 gigawatt vào năm 2027 và 67 gigawatt nữa vào năm 2030, đây là một quy mô mà tôi chưa từng thấy trong suốt sự nghiệp của mình liên quan đến quy hoạch năng lượng”.
“Nếu Trung Quốc đạt được siêu trí tuệ trước, điều này sẽ thay đổi cán cân quyền lực toàn cầu theo những cách thức mà chúng ta không thể lường trước hay dự đoán được.”
 |
| Ảnh minh họa |
Sự phụ thuộc năng lượng của AI đã rất rõ ràng. Nhu cầu năng lượng của các trung tâm dữ liệu được dự đoán sẽ tăng vọt, đặc biệt trong bối cảnh ngày càng nhiều hệ thống tiên tiến và tiêu tốn điện năng hơn ra đời. Các lưới điện đang bị khai thác quá giới hạn, trong khi AI có thể tạo tình trạng thiếu điện và đẩy giá điện lên cao. Vai trò thiết yếu của năng lượng trong sự bùng nổ của AI đã biến lĩnh vực này thành mục tiêu hàng đầu của các đối tượng xấu đang tìm cách gây bất ổn cho AI hoặc các hệ thống trọng yếu phụ thuộc vào AI.
Tháng Tư vừa qua đã xảy ra các sự cố mất điện lớn tại Tây Ban Nha, Bồ Đào Nha và một phần của nước Pháp, làm đình trệ hoạt động của các hệ thống giao thông công cộng, máy rút tiền ngân hàng và kết nối Internet. Đây là một trong những sự cố lưới điện lớn nhất từng xảy ra tại châu Âu. Tây Ban Nha, nền kinh tế lớn thứ tư châu Âu, bị mất điện hoàn toàn. Bất kể nguyên nhân là gì, đây là lời cảnh báo về tầm quan trọng của khả năng phục hồi lưới điện.
Mặc dù một số chuyên gia đã loại trừ khả năng bị tấn công mạng trong sự cố mất điện gần đây, nhưng các cuộc tấn công trong lĩnh vực này vẫn tiếp tục gia tăng. Các hệ thống năng lượng phụ thuộc ngày càng nhiều vào IT trong mọi giai đoạn của chuỗi cung ứng - phát, truyền tải và phân phối - và tất cả các giai đoạn này đều cần phải được bảo vệ.
Nhu cầu điện năng của AI
 |
| Ông Scott Register - Phó Chủ tịch phụ trách bộ phận Giải pháp an ninh bảo mật tại Keysight Technologies |
Các trung tâm dữ liệu toàn cầu đang tiêu thụ ngày càng nhiều điện năng, Tổ chức Năng lượng Quốc tế (IEA) ước tính mức độ tiêu thụ điện năng toàn cầu của các trung tâm dữ liệu sẽ tăng gấp đôi chỉ trong bốn năm tới, từ 460 terawatt-giờ hàng năm vào năm 2022 lên 1,000 terawatt-giờ vào năm 2026. Con số này tương đương với tổng mức tiêu thụ điện năng của Nhật Bản. Trong bối cảnh chính phủ các nước trên thế giới công bố các khoản đầu tư nhiều tỷ USD vào AI, dự kiến mức tiêu thụ điện năng của các trung tâm dữ liệu sẽ gia tăng nhanh chóng khi các ứng dụng AI bắt đầu thâm nhập thị trường.
Goldman Sachs Research ước tính rằng tới năm 2030, nhu cầu điện năng của các trung tâm dữ liệu sẽ tăng 160%. Hiện tại, các trung tâm dữ liệu toàn cầu tiêu thụ từ 1-2% tổng công suất điện, tuy nhiên con số này có thể sẽ tăng gấp đôi lên 3-4% vào cuối thập niên này. Tổng mức tăng tiêu thụ điện trong trung tâm dữ liệu do AI tạo ra dự kiến đạt khoảng 200 TWh/năm trong giai đoạn 2023 đến 2028, trong đó AI chiếm khoảng 19% tổng cầu năng lượng của trung tâm dữ liệu.
Điều này càng làm tăng mức độ phụ thuộc cũng như rủi ro cho các hệ thống năng lượng hỗ trợ các trung tâm dữ liệu và ứng dụng AI, biến các hệ thống này thành mục tiêu tấn công mạng.
Cũng cần chỉ ra thêm sự phụ thuộc (của AI) vào nước sạch. Các trung tâm dữ liệu không sử dụng nước bề mặt mà sử dụng nước máy sạch để các hệ thống ống, bơm và trao đổi nhiệt làm mát giá máy và máy chủ không bị tạp chất làm tắc nghẽn. Mức độ tiêu thụ nước trên toàn cầu của Microsoft đã tăng vọt lên mức 34% khi công ty phát triển các công cụ AI ban đầu, và chỉ một cụm trung tâm dữ liệu tại Iowa đã sử dụng tới 6% nguồn cung nước một tháng của quận trong quá trình OpenAI huấn luyện GPT-4. Do đó, các cuộc tấn công mạng ảnh hưởng tới nguồn cung nước cho vận hành trung tâm dữ liệu cũng có thể trở thành mối quan ngại nghiêm trọng.
Ngành năng lượng là một mục tiêu chính của tấn công mạng
Theo Scott Register - Phó Chủ tịch phụ trách bộ phận Giải pháp an ninh bảo mật tại Keysight Technologies, cho biết ở một số nơi trên thế giới, lưới điện phải đối mặt với các mối đe dọa từ tội phạm mạng và các quốc gia thù địch sử dụng mã độc tống tiền, AI và các công cụ xâm nhập tiên tiến. Các băng nhóm mạng có liên hệ với nhà nước đang tăng cường nhắm tới các hệ thống điều khiển công nghiệp thiết yếu đối với hạ tầng năng lượng. Các hệ thống được kết nối trong một số lĩnh vực chính của chuỗi cung ứng năng lượng có thể có lỗ hổng an ninh bảo mật, diển hình như GNSS và GPS để định thời hoặc các hệ thống cáp biển.
Chẳng hạn, cuộc tấn công mã độc tống tiền vào đường ống Colonial Pipelines năm 2021 đã làm tê liệt hệ thống máy tính IT, dẫn đến tình trạng thiếu nhiên liệu và hoảng loạn mua tích trữ tại các tiểu bang bị ảnh hưởng. Năm 2022, cuộc tấn công của Nga vào các vệ tinh đã làm đứt liên lạc và điều khiển của hàng ngàn tua-bin gió tại Ukraine. Vào năm 2023, RedEcho, một nhóm có liên hệ với Trung Quốc, đã tấn công ngành năng lượng của Ấn Độ trong giai đoạn leo thang căng thẳng biên giới.
Ngoài các cuộc tấn công vào hệ thống IT gây tác động hạ nguồn tới các hệ thống điều khiển công nghiệp (ICS), các cuộc tấn công mã độc tống tiền được thiết kế để gây tác động xấu đến môi trường công nghệ vận hành (OT) cũng đang ngày càng gia tăng.
Luật pháp và chủ động kiểm thử an ninh mạng
Tấn công mạng là lý do các cơ quan quản lý nhà nước như Ủy ban quản lý năng lượng liên bang Mỹ (FERC) và Cơ quan đảm bảo điện năng tin cậy Bắc Mỹ (NERC) đang cập nhật các biện pháp kiểm soát an ninh bảo mật mạng cho lưới điện và các công ty điện lực, để bảo đảm các công ty này sẵn sàng trước các mối đe dọa mới nhất.
Trong bối cảnh gia tăng các cuộc tấn công mạng vào lĩnh vực năng lượng, cần triển khai các biện pháp an ninh bảo mật chủ động để bảo vệ cơ sở hạ tầng và giảm thiểu rủi ro tiềm tàng. Cần xác nhận hợp chuẩn các thiết bị, mạng, ứng dụng và các tổ hợp lưu lượng mới. Ông Scott Register nhấn mạnh. Hiện nay các giải pháp kiểm thử an ninh bảo mật có thể tái tạo môi trường và hỗ trợ nhiều loại giao thức và ứng dụng với các kịch bản kiểm thử thực tế.
Keysight có thể giúp xác nhận hợp chuẩn và cải thiện các biện pháp bảo mật cơ sở hạ tầng năng lượng, cải thiện khả năng phục hồi sau tấn công mạng và đảm bảo tuân thủ các yêu cầu về bảo mật mạng thông qua nhận thức và đào tạo, quản lý cấu hình, ứng phó sự cố, đánh giá rủi ro, đánh giá bảo mật, kiểm soát truy cập, nhận dạng và xác thực cũng như bảo vệ hệ thống và thông tin liên lạc.
Phạm Anh