مقدمة:
نظرًا للتكامل الشامل للتكنولوجيا التشغيلية في البيئات التقنية لمؤسسات البُنْية التحتية الحيوية، والهيكل المُعقَّد لهذه البيئات، قد يكون من الصعب تحديد كيفية تأثير قرارات العمل على الأمن السيبرانـي للتكنولوجيا التشغيلية، بما في ذلك المخاطر المحددة المنسوبة إلى القرار، وقد تشمل القرارات إدخال أنظمة، أو عمليات، أو خدمات جديدة إلى البيئة، واختيار البائعين أو المنتجات لدعم البيئة التقنية، وتطوير استمرارية الأعمال والخطط، وأدلَّة المبادئ المتعلقة بالأمن، وقد تمَّ تصميم هذه المقالة لمساعدة المؤسسات على اتِّخاذ قرارات لتصميم وتنفيذ وإدارة بيئات التكنولوجيا التشغيلية لضمان سلامتها وأمانها، فضلًا عن تمكين سلامة استمرارية الأعمال للخدمات الحيوية.
الوكالات صانع القرار توصي في OT بتطبيق المبادئ الستَّة:
التي كَتبَها المركز الأسترالي للأمن السيبرانـي التابع لمديرية الإشارات الأسترالية (ASD’s ACSC)، وشارَك في
مبادئ الأمن السيبرانـي OT، ختمها وكالة الأمن السيبرانـي، وأمن البُنْية التحتية الأمريكية (CISA)، ووكالة الأمن القومي (NSA)، ومكتب التحقيقات الفيدرالي (FBI)، ومركز تبادل المعلومات وتحليلها متعدد الولايات (MS- ISAC)، والمركز الوطني للأمن السيبرانـي في المملكة المتحدة (NCSC-UK)، والمركز الكندي للأمن السيبرانـي (Cyber Center)، والمركز الوطني للأمن السيبراني في نيوزيلندا (NCSC-NZ)، والمكتب الفيدرالي الألمانـي لأمن المعلومات (BSI Germany)، والمركز الوطني للأمن السيبرانـي في هولندا (NCSC-NL)، والمركز الوطني اليابانـي للاستعداد للحوادث واستراتيجية الأمن السيبراني (NISC)، ووكالة الشرطة الوطنية (NPA)، وجهاز المخابرات الوطني لجمهورية كوريا (NIS)، والمركز الوطني للأمن السيبرانـي التابع لـ NIS (NCSC)، ستَّة مبادئ تُوجِّه إنشاء وصيانة وسلامة بيئة آمنة للبُنْية التحتية الحيوية للأمن السيبرانـي.
المبدأ (1): السلامة أمرٌ بالغ الأهمية:
السلامة أمرٌ بالغ الأهمية في البيئات المادية، وعلى النقيض من أنظمة تكنولوجيا المعلومات للشركات، حيث يعطي القادةُ الأولويةَ للابتكار والتطوير السريع دون القلق من تهديد الحياة، ويجب على قادة الأنظمة السيبرانية الفيزيائية التشغيلية مراعاة التهديد للحياة في عملية صُنْع القرار اليومية، وتشمل مخاطر الدرجة الأولى من البُنْية التحتية الحيوية: الفولتية العالية، وإطلاق الضغط أو الانفجارات القابلة للاشتعال، والتأثيرات الحركية (مثل: القطارات السريعة)، والمخاطر الكيميائية أو البيولوجية؛ مثل: معالجة المياه، وعلاوةً على ذلك هناك آثار على أسلوب حياة المواطنين إذا تدهورت أو تعطلت الخدمات الأساسية؛ مثل: إمدادات الطاقة والمياه الصالحة للشرب.
إنَّ الطبيعة المترابطة للبُنْية التحتية الحيوية تعني أنَّ الإخفاقات – سواء من طريق الخطأ البشري، أو الاضطراب الخبيث من خلال الوسائل السيبرانية – قد يكون لها آثار واسعة النطاق، وغير متوقَّعة على الوظيفة اليومية للمجتمع.
المبدأ (2): معرفة العمل أمرٌ بالغ الأهمية:
كلَّما زادت المعرفة التي تمتلكها الشركة عن نفسها، كان لها الأفضلية في الحماية من أي حادث إلكترونـي، والاستعداد والاستجابة له، وكان هناك فَهْمٌ أعلى للمخاطر السيبرانية، ورؤيتها، والإبلاغ عنها في المؤسسة – خاصةً أنظمة التكنولوجيا التشغيلية – وكانت النتيجة أفضل.
ويجب على جميع مؤسسات البُنْية التحتية الحيوية التأكُّد من أنها تُلبِّي خطوط الأساس التالية:
- تحديد الأنظمة الحيوية التي تحتاجها المنظمة لمواصلة تقديم خدماتها الحيوية.
- فَهْم عملية نظام OT، وأهمية كل جزءٍ من العملية.
- إنشاء بُنْية تَسْمح بالدفاع عن تلك الأنظمة والعمليات الحيوية من الشبكات الداخلية والخارجية الأخرى.
- التأكُّد من أن الموظفين المسؤولين عن تصميم وتشغيل وصيانة أنظمة التكنولوجيا التشغيلية يفهمون سياق الأعمال الذي يعمل فيه نظام التكنولوجيا التشغيلية، بما في ذلك المصنع المادي، والعملية المتَّصلة بنظام التكنولوجيا التشغيلية، وكيفيَّة تقديم الخدمات لأصحاب المصلحة.
- فَهْم التبعيات التي يجب أن تكون الأنظمة الحيوية قادرةً على تشغيلها، وأين تتَّصل بأنظمة خارجية لنظام OT.
المبدأ (3): بيانات التكنولوجيا التشغيلية قيِّمة للغاية، وتحتاج إلى الحماية:
من وجهة نظر الخَصْم، فإنَّ معرفة كيفيَّة تكوين النظام – بما في ذلك الأجهزة والبروتوكولات المستخدمة – أمرٌ ذو قيمة؛ لأن بيئة OT نادرًا ما تتغيَّر، ويسمح هذا المستوى من المعلومات للممثل السيِّئ بإنشاء واختبار البرامج الضارَّة المستهدفة؛ ممَّا يسهل نطاقًا أكبر من سلامة النتائج الضارَّة المحتملة.
وتعتبر بيانات التكوين الهندسي ذات أهميَّة خاصة؛ مثل: مخططات الشبكة، وأي وثائق حول تسلسل العمليات، والمخططات، ومن غير المحتمل أن تتغيَّر هذه المعلومات في غضون خمس سنوات، وقد تستمرُّ لمدة (20 عامًا)، أو أكثر. وعلى هذا النحو، فإنَّ بيانات التكوين الهندسي لها قيمة دائمة، وهي ذات قيمة عالية للخصم، ويمكن تشبيه الخصم الذي يكتسب معرفة متعمقة بكيفية عمل نظام OT بمفهوم التموضع المسبق في بيئة تكنولوجيا المعلومات للشركات، لا سيَّما من حيث الأهمية والحاجة إلى الاستجابة.
ومن المهم أيضًا توافر المزيد من بيانات OT سريعة الزوال؛ مثل: مستويات الجهد أو الضغط، حيث يمكن أن تُوفِّر نظرةً ثاقبةً لما تفعله المؤسسة، أو عملاؤها، أو كيفيَّة عمل نظام التحكم. ويُعدُّ تأمين بيانات OT أمرًا مُهمًّا أيضًا لحماية الملكية الفكرية (IP)، ومعلومات التعريف الشخصية (PII)؛ مثل: القياس في الكهرباء، أو الغاز، أو الماء، أو لسجلَّات المرضى في مجال الصحة، وهذه الأنواع الأخرى من بيانات OT، تحتاج أيضًا إلى الحماية، ومع ذلك يجب أن تحمي OT Personal أيضًا بيانات التكوين الهندسي، وهو أمرٌ بالغ الأهمية لسلامة العمليات، ولكن غالبًا ما يتمُّ تجاهله.
المبدأ (4): تقسيم وفَصْل التكنولوجيا التشغيلية عن جميع الشبكات الأخرى:
كان تقسيم وفصل الوظائف والشبكات الأكثر أهميةً نصيحة شائعة لعقود، ويجب على الكيانات تقسيم وفصل شبكات OT عن الإنترنت، وعن شبكات تكنولوجيا المعلومات؛ لأنَّ شبكة تكنولوجيا المعلومات الخاصة بالشركة عادةً ما يتمُّ تقييمها على أنها أكثر عُرْضةً للاختراق بسبب اتِّصالها بالإنترنت، وخدمات مثل: البريد الإلكترونـي، وتصفح الويب.
ويجب على مؤسسات البُنْية التحتية الحيوية تقسيم وفصل التكنولوجيا التشغيلية الخاصة بها عن جميع الشبكات الأخرى، ومن المفهوم جيدًا إلى حدٍّ ما في الآونة الأخيرة الحاجة إلى حماية وتقييد شبكات OT من البائعين.
المبدأ (5): يجب أن تكون سلسلة التوريد آمنة:
كان جَعْل سلاسل التوريد أكثر أمانًا هو محور المشورة لبعض الوقت، وتمَّت تغطية هذه النصيحة في العديد من المنشورات السابقة والحالية، بما في ذلك الحاجة إلى وجود برنامج ضمان سلامة سلسلة التوريد لمُورِّدي المعدات والبرامج، والبائعين، ومُقدِّمي الخدمات المدارة (MSPs)، لا سيما عندما يكون لديهم إمكانيَّة الوصول إلى OT لتقديم الدعم، وغالبًا ما أدَّى شرط جَعْل سلاسل التوريد أكثر أمانًا إلى مستوى من الدقة في تقييم البائعين الرئيسين في بيئة التكنولوجيا التشغيلية للمؤسسة، بينما لا يزال يتعيَّن على المؤسسات اتِّباع النصائح الحالية، فإنَّنا نذكر بعض المجالات الإضافية ذات الاهتمام الخاص ببيئات التكنولوجيا التشغيلية.
المبدأ (6): الأشخاص ضروريُّون للأمن السيبرانـي للتكنولوجيا التشغيلية:
لا يمكن مَنْع وقوع حادث متعلق بالفضاء الإلكترونـي أو تحديده في OT بدون أشخاصٍ يمتلكون الأدوات والتدريب اللَّازمَيْن لإنشاء الدِّفاعات، والبحث عن الحوادث، وبمجرَّد تحديد حادث متعلق بالفضاء الإلكتروني في OT، يُطْلب من الأشخاص المُدرَّبين والأَكْفَاء الاستجابة.
وغالبًا ما يكون الموظفون – وخاصةً الفنيين الميدانيين وجميع الأعضاء الآخرين في طاقم التشغيل – هم الخط الأمامي للدفاع، والكشف عن المنظمة.
ومن الضروري وجود مزيجٍ من الأشخاص ذوي الخلفيات المختلفة، مع مختلف المهارات والمعرفة والخبرة والثقافات الأمنية، لدعم سلامة ممارسات الأمن السيبرانـي الفعَّالة للتكنولوجيا التشغيلية، ويشمل ذلك أعضاء من فِرَقِ البُنْية التحتية، والأمن السيبرانـي التي توجد عادةً في تكنولوجيا المعلومات، بالإضافة إلى مهندسي أنظمة التحكم، وموظفي العمليات الميدانية، ومديري الأصول الذين يوجدون عادةً في OT.
الخاتمة:
تُعدُّ ثقافة الأمن السيبرانـي القوية القائمة على السلامة أمرًا بالغ الأهمية للمرونة الإلكترونية المستمرة لأنظمة التكنولوجيا التشغيلية، وهناك حاجةٌ لكل مؤسسة لإعادة صياغة المتطلبات من هذه المبادئ؛ كمتطلبات السلامة في مكان العمل، بدلًا من متطلبات الأمن السيبرانـي.
وتُوصِي الوكالات صانع القرار في OT بتطبيق المبادئ الستَّة الواردة في هذه المقالة للمساعدة في تحديد ما إذا كان من المحتمل أن يؤثر القرار الذي يتمُّ اتِّخاذه سلبًا على الأمن السيبرانـي لبيئة OT، ويتطلَّب تطوير ثقافة متماسكة للأمن السيبرانـي للتكنولوجيا التشغيلية مُوَاءمةً عامةً مع مبادئ التكنولوجيا التشغيلية في جميع أنحاء المؤسسة. ويُعدُّ أعضاء الفريق ذوي الخلفيات غير الهندسية الذين يكتسبون فَهْمًا لتحديات التكنولوجيا التشغيلية أمرًا مُهمًّا للفريق للعمل بشكل متماسك في OT.
