ĐẶC ĐIỂM KỸ THUẬT VÀ NGUYÊN LÝ VẬN HÀNH CỦA HỆ THỐNG CÁP QUANG BIỂN

Một hệ thống cáp quang biển điển hình bao gồm nhiều cấu phần kỹ thuật phức tạp. Lõi truyền dẫn là các sợi quang học với đường kính mỗi sợi khoảng 250 µm (1 µm = 10-6m), được đặt trong các ống bảo vệ. Bên ngoài là các lớp bảo vệ, bao gồm ống dẫn điện cấp nguồn cho các bộ lặp và các lớp vỏ thép tùy thuộc vào độ sâu và rủi ro tiềm ẩn tại khu vực đặt cáp. Đường kính tổng thể của cáp ở vùng nước sâu thường khoảng 17mm.

Các thành phần chính của hệ thống bao gồm bộ lặp quang (Optical Repeaters) lắp đặt cách quãng để khuếch đại tín hiệu; Đơn vị rẽ nhánh cho phép cáp chính rẽ nhánh và Thiết bị cấp nguồn (Power Feeding Equipment – PFE) đặt tại các trạm cập bờ, cung cấp dòng điện một chiều (DC) cho toàn tuyến cáp.

Trạm cập bờ (Cable Landing Stations – CLS) là giao diện giữa cáp ngầm và mạng trên đất liền. Tại CLS có Thiết bị đầu cuối đường truyền cáp ngầm

(Submarine Line Terminal Equipment – SLTE) để chuyển đổi tín hiệu và ghép kênh/phân kênh bước sóng; PFE và Hệ thống quản lý mạng (Network Management Systems – NMS) để giám sát, điều khiển toàn bộ hệ thống. NMS thu thập dữ liệu từ các hệ thống quản lý phần tử của từng thành phần. CLS cũng chứa máy chủ, thiết bị định tuyến và các hệ thống phụ trợ.

Hiện có khoảng 378 tuyến cáp đang hoạt động với tổng chiều dài trên 1,2 triệu km. Hệ sinh thái này bao gồm các nhà khai thác viễn thông lớn, ví dụ như ở khu vực châu Âu có Orange, Telefonica, các nhà đầu tư tư nhân, tập đoàn công nghệ lớn, nhà sản xuất thiết bị (như Subcom, Alcatel Subsea Networks) và các công ty chuyên lắp đặt/bảo trì với đội tàu chuyên dụng (khoảng 35 tàu lắp đặt và 30 tàu bảo trì toàn cầu).

KHUÔN KHỔ KỸ THUẬT VÀ YÊU CẦU AN NINH THEO CHUẨN LIÊN MINH CHÂU ÂU

Liên minh châu Âu đã ban hành các quy định nhằm tăng cường an ninh cho hạ tầng thông tin quan trọng, trọng tâm là Chỉ thị An ninh mạng và thông tin (NIS2) - đây là một văn bản pháp lý then chốt. Điểm diễn giải (Recital) 97 của NIS2 nhấn mạnh rằng các sự cố ảnh hưởng đến cáp ngầm cần được báo cáo cho các Đội Ứng cứu sự cố an ninh mạng máy tính (CSIRT). Chiến lược an ninh mạng quốc gia phải xem xét an ninh mạng cáp ngầm, bao gồm đánh giá rủi ro kỹ thuật và triển khai biện pháp giảm thiểu. Điều 7 yêu cầu các quốc gia thành viên áp dụng chính sách duy trì tính sẵn sàng, toàn vẹn, bảo mật của lõi Internet công cộng, bao gồm an ninh mạng cáp ngầm. NIS2 áp dụng cách tiếp cận “mọi nguy cơ”.

Ngoài ra Bộ luật Truyền thông Điện tử châu Âu (EECC) cũng đặt ra các yêu cầu bảo mật chung cho nhà khai thác, bao gồm báo cáo sự cố. 12 sự cố cáp ngầm (vô ý) đã được báo cáo lên ENISA theo cơ chế này. Bên cạnh đó, Lời kêu gọi chung Nevers (Nevers Joint call point 4) cũng đã yêu cầu các cơ quan đưa ra khuyến nghị dựa trên đánh giá rủi ro để củng cố khả năng phục hồi của hạ tầng truyền thông Liên minh châu Âu, bao gồm SCS.

PHÂN TÍCH THỐNG KÊ VÀ NGUYÊN NHÂN KỸ THUẬT CỦA CÁC SỰ CỐ CÁP NGẦM

Dữ liệu từ ICPC và ENISA cung cấp thông tin chi tiết về các nguyên nhân sự cố như Hình 1.

Hình 1. Thống kê các nguyên nhân chính gây lỗi cáp (theo ICPC report 2022)

Các nguyên nhân gồm: neo tàu (anchoring): 14%, hoạt động đánh bắt cá (fishing): 25%, tác động bên ngoài không xác định (unspecified): 48%, sự kiện địa chất (geological event): 5%, mài mòn (abrasion): 4%, hỏng hóc thiết bị/hệ thống (plant failure): 4%. Tổng cộng, sự can thiệp của con người chiếm 87% sự cố. Khoảng 150 đến 200 sự cố cáp ngầm do tai nạn xảy ra hàng năm. Các dạng lỗi kỹ thuật được phân loại như Hình 2.

Hình 2. Các dạng lỗi kỹ thuật (theo ICPC report 2022)

Các lỗi gồm:

- Lỗi thuần điện (Shunt fault): Chiếm 47% các lỗi được xác định loại, đây là loại lỗi phổ biến nhất, xảy ra khi lớp cách điện cáp bị hư hỏng, làm dây dẫn điện cấp nguồn tiếp xúc nước biển.

- Lỗi thuần quang (Optical Failure): Chiếm 50%, bao gồm đứt sợi hoặc suy hao tín hiệu tăng đột ngột.

- Các lỗi khác ví dụ như mất điện, có thể làm gián đoạn nguồn cung cấp cho PFE khiến toàn bộ tuyến cáp ngừng hoạt động.

Phương pháp kỹ thuật định vị lỗi gồm có:

- Đối với lỗi điện: Đo độ sụt áp từ PFE hoặc đo điện trở DC, sử dụng “tín hiệu điện dò 25 Hertz” để tàu sửa chữa định vị cáp.

- Đối với lỗi quang: Sử dụng Thiết bị đo phản xạ miền thời gian quang (OTDR) hoặc OTDR mạch lạc (COTDR) để xác định vị trí điểm đứt hoặc bất thường.

PHÂN TÍCH CÁC NGUY CƠ VÀ LỖ HỔNG AN NINH MẠNG ĐỐI VỚI SCS

Các nguy cơ an ninh mạng đối với SCS

Các nguy cơ an ninh mạng đối với SCS đang ngày càng trở nên nghiêm trọng, có thể gồm các yếu tố sau đây.

An ninh mạng tại CLS:

- CLS là nơi tập trung nhiều thiết bị công nghệ thông tin và viễn thông, tạo ra bề mặt tấn công lớn, chúng dễ bị tấn công vật lý và an ninh mạng.

- Các vector tấn công mạng tiềm ẩn bao gồm DoS/DDoS xâm nhập hệ thống qua lỗ hổng phần mềm hoặc cấu hình yếu, tấn công chuỗi cung ứng, lây nhiễm mã độc.

Lỗ hổng an ninh của NMS:

- Xu hướng kết nối NMS với Internet để quản lý từ xa tạo ra rủi ro an ninh mạng. Các giao thức quản lý từ xa, giao diện web, cổng dịch vụ mở có thể bị khai thác.

- Hậu quả kỹ thuật của việc NMS bị xâm phạm: Kẻ tấn công có thể giám sát tham số vận hành, thu thập thông tin cấu hình, làm sai lệch dữ liệu đo lường, can thiệp cấu hình điều khiển, hoặc làm gián đoạn/chuyển hướng lưu lượng.

- Nguy cơ từ phần mềm NMS độc quyền, hệ thống công nghệ thông tin cũ, thiếu bản vá bảo mật là rất lớn.

Hoạt động tình báo kỹ thuật số và nghe lén:

- Nghe lén trực tiếp cáp quang dưới biển rất khó khăn về kỹ thuật do các yếu tố như cảnh báo khi cắt cáp, yêu cầu môi trường khô, công nghệ coherent detection, băng thông lớn và yêu cầu nguồn điện. Tuy nhiên, ENISA đánh giá việc nghe lén dữ liệu qua việc xâm nhập NMS hoặc tại các điểm giao tiếp ở CLS là khả thi hơn nhiều.

- Nguy cơ tấn công vào hệ thống giám sát và bảo vệ: Các hệ thống OTDR, giám sát an ninh vật lý nếu kết nối mạng không an toàn cũng có thể thành mục tiêu. Dịch vụ bảo vệ cáp ngầm (như SMART Cables ở Bồ Đào Nha) cũng cần an ninh mạng mạnh mẽ.

Thách thức kỹ thuật trong việc sửa chữa, bảo trì SCS

Hoạt động sửa chữa SCS là một lĩnh vực kỹ thuật cao và phức tạp. Quy trình kỹ thuật sửa chữa sẽ bao gồm: định vị lỗi, huy động tàu chuyên dụng, trục vớt cáp, nối sợi quang chính xác cao, kiểm tra và hạ cáp trở lại đáy biển. Bên cạnh đó, yêu cầu về phương tiện chuyên dụng cũng cần đảm bảo như: tàu sửa chữa có hệ thống định vị động (DP), ROV, phòng thí nghiệm nối quang. Tuy nhiên hiện nay vẫn gặp nhiều hạn chế về nguồn lực và thời gian vì số lượng tàu sửa chữa hạn chế (khoảng 30 tàu bảo trì toàn cầu), thời gian sửa chữa kéo dài, chi phí cao. Không những vậy thủ tục pháp lý xin giấy phép hoạt động trong lãnh hải/EEZ có thể phức tạp và mất nhiều thời gian.

CÁC GIẢI PHÁP KỸ THUẬT VÀ KHUYẾN NGHỊ NHẰM TĂNG CƯỜNG AN NINH CHO SCS

Trong báo cáo ENISA đã đề xuất nhiều giải pháp kỹ thuật và khuyến nghị chuyên môn như:

Giải pháp An ninh mạng cho CLS và NMS:

- Triển khai kiến trúc phòng thủ theo chiều sâu, phân đoạn mạng, kiểm soát truy cập chặt chẽ.

- Giám sát an ninh mạng liên tục cho NMS và hệ thống tại CLS.

- Quy trình vá lỗi và quản lý cấu hình nghiêm ngặt.

Giải pháp kỹ thuật bảo vệ cáp vật lý:

- Chôn cáp ở vùng nước nông (dưới 1500m).

- Sử dụng cáp có vỏ thép gia cường ở khu vực nguy cơ cao.

- Giám sát hải trình tàu thuyền.

Đa dạng hóa hạ tầng kỹ thuật:

- Đa dạng hóa tuyến cáp và điểm cập bờ.

- Nâng cao năng lực hệ thống giám sát và phát hiện sự cố.

- Ứng dụng SMART Cables tích hợp cảm biến.

- Phát triển các phương pháp phát hiện khô như SoP, Phase Detection, DAS.

Yêu cầu chia sẻ thông tin kỹ thuật về mối đe dọa và lỗ hổng: Giữa các nhà khai thác, cơ quan quản lý và CSIRT.

KẾT LUẬN

An ninh và khả năng phục hồi của SCS đòi hỏi phương pháp tiếp cận dựa trên đánh giá rủi ro toàn diện và kiểm soát đa lớp. Phân tích từ ENISA cho thấy, bên cạnh nguy cơ vật lý, các lỗ hổng và mối đe dọa an ninh mạng, đặc biệt tại CLS và NMS, là thách thức kỹ thuật nghiêm trọng. Đảm bảo an ninh cho SCS không chỉ là thách thức kỹ thuật mà còn là yêu cầu chiến lược. Hợp tác giữa chính phủ, viện nghiên cứu và ngành công nghiệp là yếu tố then chốt để đối phó thành công với các mối đe dọa trong lĩnh vực này.

[Quý độc giả đón đọc Tạp chí An toàn thông tin số 4 (086) 2025 tại đây]