الشركات ذات البنى التحتية الحيوية وتهديدات الأمن الإلكتروني العالمي

| مقالة

تمتلك شركات الصناعات الثقيلة بنية تحتية حيوية بالنسبة للاقتصاد العالمي، سواءً كانت هذه الشركات تعمل في مجال توليد الطاقة أو توزيعها، أو في مجال استخراج النفط أو الغاز أو المعادن أو تكرير هذه المواد وتصفيتها، وهو ما يجعل من هذه الشركات أهدافًا للجرائم الإلكترونية. وتجدر الإشارة إلى أن نحو 60 في المئة من هذا النوع من المنشآت التي شملتها دراسة مسحية بهذا الخصوص، تعرضت لخرق في أنظمة التحكم الصناعي (ICS) أو أنظمة التحكم الإشرافي والحصول على البيانات (SCADA) لديها.1

تواجه شركات الصناعات الثقيلة تحديات فريدة من نوعها في مجال الأمن الإلكتروني، على ضوء توزيع ولامركزية هياكل الحوكمة واتساع نطاق بيئة التكنولوجيا التشغيلية فيها، إذ لا تتمتع هذه البيئة بالجاهزية المناسبة لتطبيق ضوابط الأمن الإلكتروني التقليدية.2 وبينما استثمرت العديد من شركات الصناعات الثقيلة في تطوير "النضج الإلكتروني" لديها، كما فعلت غيرها من القطاعات المُعرَّضة للخطر، مثل قطاعات الخدمات المالية وخدمات الرعاية الصحية، إلا أن فجوة الاستثمار تركت معظم الصناعات الثقيلة دون جاهزية كافية لمواجهة التهديدات المتزايدة.

ومع تزايد الوعي بالتهديدات المحيطة، يعمل العديد من كبار المسؤولين التنفيذيين في هذه الشركات على تعزيز التركيز على الأمن الإلكتروني للشركات، وفي هذا الإطار، يطرح هؤلاء أسئلة هامة منها: ما هي متطلبات تحقيق التحوّل في قدرات الأمن الإلكتروني؟ وما هي طبيعة الاستثمار التي من شأنها التصدي للنسبة الأكبر من هذه المخاطر؟ وكم تبلغ النفقات المطلوبة في هذا المجال؟. يأتي ذلك بينما تعمل الشركات الرائدة على إعادة النظر في نماذج الحوكمة والهياكل التنظيمية التي تعتمدها للأمن الإلكتروني، ومن بينها من يسعى للاستفادة من الأدوات الأمنية الجديدة للتكنولوجيا التشغيلية التي تقدمها الشركات الناشئة المبتكرة في هذا المجال. كما تتبنى معظم هذه الشركات نهجًا أمنيًا قائمًا على مستويات المخاطر التي تواجهها، من خلال تحديد أصولها الحيوية والعمل على وضع الضوابط المناسبة بناءً على مستويات المخاطر المختلفة (يرجى الاطلاع على الفقرة الجانبية، ”التحوّل في الأمن الإلكتروني ضمن قطاع النفط والغاز“).

تطوّر مشهد التهديدات المحيطة

هناك مجموعة من العوامل الكامنة التي تعزز توسع مشهد التهديدات الإلكترونية لقطاع الصناعات الثقيلة، ومنها تصاعد التوترات الجيوسياسية التي أدت إلى استهداف البنى التحتية الحيوية الوطنية بالهجمات. وقد تكون شركات الصناعات الثقيلة عرضة لأضرار تبعية مباشرة نتيجة للهجمات واسعة النطاق، حتى في الأحوال التي لا تكون فيها هذه الشركات مستهدفة بحد ذاتها، وذلك نتيجة للفجوات الأمنية في أنظمة تكنولوجيا المعلومات، وترابط شبكات التكنولوجيا التشغيلية بشبكات تكنولوجيا المعلومات بفعل التقنيات المتقدمة والحديثة. وقد أصبحت هذه التهديدات بلا شك مصدر قلق ومخاوف كبيرة بالنسبة لكبار المديرين ومجالس الإدارات والمؤسسات الحكومية الوطنية.

الهجمات التي تستهدف البنية التحتية الوطنية

فيما يلي أمثلة لبعض من أكبر الهجمات التي استهدفت البنية التحتية الوطنية الحيوية خلال السنوات القليلة الماضية:

  • في عام 2014، تعرَّض مصنع للحديد والصلب في غرب أوروبا لأضرار جسيمة في بيئته التشغيلية بسبب هجوم تصيد احتيالي وقع في البداية بهدف اختراق شبكة تكنولوجيا المعلومات الخاصة بالمصنع، قبل أن يتم اختراق شبكة التكنولوجيا التشغيلية للمصنع ليتمكن المهاجمون من السيطرة على أجهزة المصنع ومُعدّاته.
  • بين عامي 2015 و2016، أدت الهجمات على شبكة توزيع طاقة كهربائية في أوروبا الشرقية إلى قطع التيار الكهربائي عن 230,000 شخص، واستطاع المهاجمون في سلسلة الهجمات هذه اختراق شبكة مزود طاقة خارجي كانت متصلة بشبكة التكنولوجيا التشغيلية لشركة الطاقة، مما سمح للمهاجمين بإجراء تغييرات على نظام التحكم الخاص بالشركة.
  • في عام 2017، تمكّن مهاجمون من الوصول إلى نظام التحكم الصناعي الخاص بمصنع بتروكيماويات في منطقة الشرق الأوسط وحاولوا تخريب العمليات التشغيلية للمصنع وإحداث تفجير فيه.

تشير الاكتشافات الأخيرة في الشبكات الخاصة بشركات توزيع الطاقة الكهربائية القائمة في الاتحاد الأوروبي والولايات المتحدة عن أن الجهات المسؤولة عن التهديدات الأمنية كانت قد أنشأت نقاط مراقبة داخل شبكات التكنولوجيا التشغيلية تتيح لها شن هجمات مستقبلية. ومن الأمثلة على ذلك مجموعة Dragonfly، والتي تم تحميلها مسؤولية اختراق شركات الطاقة الكهربائية في الاتحاد الأوروبي والولايات المتحدة بهدف جمع المعلومات وبناء قدرات إلكترونية لاختراق أنظمة التكنولوجيا التشغيلية.

وتعمل مجموعات مثل مجموعة Dragonfly على امتلاك أدوات هجومية من إنتاج القطاع الخاص لتمكينها من شن هجمات إلكترونية متطورة. ونظرًا للطبيعة الحساسة للجهات التي تستهدفها هذه الهجمات، فقد أصبح هذا الأمر يُمثِّل قضية أمن وطني تشارك المؤسسات الحكومية وأجهزة الاستخبارات في التصدي لها.

الأضرار التبعية للهجمات غير المستهدفة

اتبعت قطاعات الطاقة الكهربائية والنفط والغاز والتعدين نهجًا متسارعًا في رقمنة سلاسل القيمة التشغيلية لديها، ورغم أن هذا الأمر قد حقَّق لهذه القطاعات قيمة كبيرة نتيجة للتحليلات وتحسين العمليات والرقمنة التي أجرتها، إلا أنه أسهم في زيادة إمكانية الوصول إلى الأجهزة الخاصة بكلٍ من أنظمة التحكم الصناعي وأنظمة التحكم الإشرافي والحصول على البيانات، والتي كانت سابقًا معزولة عن هذا الوصول، من قِبل مستخدمي شبكة تكنولوجيا المعلومات والأطراف الخارجية سواء بإمكانية الوصول إلى شبكة التكنولوجيا التشغيلية من خلال الاتصال المباشر و/أو الاتصال عن بُعد. وفي كثير من الحالات، سمحت هذه الرقمنة بالوصول إلى أجهزة التكنولوجيا التشغيلية من خلال شبكة الإنترنت العامة. ووفقًا لتحليل شبكات التكنولوجيا التشغيلية الخاصة بعمليات الإنتاج الذي أعدته شركة CyberX، وهي شركة متخصّصة في الأمن الإلكتروني للقطاع الصناعي، فإن هناك 40 في المئة من المواقع الصناعية لديها اتصال مباشر واحد على الأقل بشبكة الإنترنت العامة، و84 في المئة من المواقع الصناعية لديها جهاز واحد على الأقل يمكن الوصول إليه عن بعد.3 وفي سبيل التصدي لمثل هذه المخاطر، يمكن للشركات المُصنِّعة لأنظمة التحكم الصناعي تحليل التهديدات المنقولة عبر أجهزة USB للكشف عن تلك التهديدات التي يمكنها إحداث تخريب خطير للعمليات التشغيلية، ومن ثم العمل على التخلص منها.

وبدوره، يُشكِّل هجوم الفدية (رانسوم وير) تهديدًا يضاف إلى قائمة التهديدات الأخرى، ومن الأمثلة المعروفة لهذا الهجوم هجوم فيروس WannaCry، والذي عطَّل 80 في المئة من محطات الوقود التابعة لشركة نفط صينية كبرى من خلال استغلال ثغرة في إصدار قديم وغير مدعوم من نظام التشغيل Windows لدى الشركة، بينما كان هجوم فيروس NotPetya أكثر تدميرًا، إذ عمِل هذا الفيروس على محو محتوى أجهزة تكنولوجيا المعلومات في جميع أنحاء العالم، وقد أصاب نحو 25 في المئة من مجموع شركات النفط والغاز على مستوى العالم.

في الآونة الأخيرة، تم اكتشاف شبكات روبوتية لديها القدرة على الكشف عن أنظمة التحكم الإشرافي والحصول على البيانات (SCADA) وإصابتها، كما انتشرت الشبكات الروبوتية التي تستهدف أجهزة إنترنت الأشياء. وقد شهد العام الماضي أيضًا نموًا هائلاً في البرمجيات الخبيثة لتعدين العملات المشفَّرة، والتي تستهدف أجهزة الكمبيوتر الخاصة بأنظمة التحكم الصناعي، مما كان له أثر بالغ على الإنتاجية بفعل زيادة الأحمال على الأنظمة الصناعية.

وتؤثر هذه الأنواع من الهجمات واسعة النطاق وغير المستهدفة بشكلٍ غير متناسب على مختلف الصناعات، بما في ذلك شركات الصناعات الثقيلة التي يتدنى فيها مستوى النضج الإلكتروني، ويرتفع فيها عدد الأجهزة المطلوب حمايتها. وعلاوة على ذلك، تواجه الصناعات الثقيلة تحديًا مزدوجًا يتمثل في توفير الحماية لنفسها من التهديدات الرقمية الجديدة، مع الحفاظ في الوقت نفسه على بيئة التكنولوجيا التشغيلية المستدامة لديها منذ زمن بعيد. ولا تزال معظم الشركات تعمل على مبادرات الأمن الإلكتروني الأولية لديها مثل إدارة التصحيح البرمجي وامتثال الأصول. وقد أشارت إحدى الدراسات التي أُجريت إلى أن أكثر من نصف بيئات التكنولوجيا التشغيلية التي شملتها الدراسة تعمل على إصدارات قديمة من نظام التشغيل Windows لم تعد شركة Microsoft تدعمها بعمليات التحديث ذات العلاقة بالأمن. كما أشارت الدراسة إلى أن نسبة 69 في المئة من مُجمل هذه البيئات يجري فيها تخزين كلمات المرور الخاصة بشبكات التكنولوجيا التشغيلية عن طريق نصوص عادية بسيطة.4

التحديات الأمنية النوعية التي تواجهها الصناعات الثقيلة

أظهرت شركات الكهرباء والتعدين والنفط والغاز أربعة تحديات أمنية فريدة من نوعها، وهي أقل انتشارًا في القطاعات التي تتميز بارتفاع مستوى النضج الإلكتروني، مثل قطاعات الخدمات المالية والتكنولوجيا. وينشأ واحد من هذه التحديات عن التحوّلات الرقمية التي تُجريها العديد من شركات الطاقة والتعدين، في حين يتعلق بعضها الآخر بالانتشار واللامركزية لتلك الشركات، وبيئة التكنولوجيا التشغيلية الكبيرة لديها، وتعرُّض هذه الشركات لمخاطر تدخلات الأطراف الخارجية.

التكاليف غير المنظورة لتوفير الأمن في إطار التحوّلات الرقمية

تشهد العديد من شركات الصناعات الثقيلة موجات تحول رقمي واسعة النطاق، ومنها ما أنجز هذه التحوّلات مؤخرًا، إلا أن قادة هذه الشركات غالبًا ما يغفلون عن تحديد وتخصيص التكاليف المرتبطة بإدارة المخاطر الأمنية المرتبطة بهذه العملية خلال إعداد دراسات الجدوى الاقتصادية، لاسيما أنهم لا يعتبرون الأمن جزءًا رئيسيا من عملية التحوّل، ويستدعون خبراء الأمن الإلكتروني بعد تطوير المنتجات والخدمات الرقمية الجديدة. ومن شأن اتباع هذا النهج بالتفكير في الأمن في المراحل اللاحقة لإجراء التحوّلات زيادة تكلفة عملية التحول الرقمي، كما يتسبب في حدوث تأخيرات بسبب إجراء المراجعات الأمنية في اللحظات الأخيرة، أو تطبيق أدوات أمنية جديدة، أو زيادة الأحمال على استخدام الأدوات الأمنية القائمة. على سبيل المثال، بدلاً من إنشاء الجيل القادم من حزم الأمن باستخدام الحوسبة السحابية، لا تزال معظم الشركات تستخدم أدوات أمنية من أجهزة قائمة في مواقعها للبنية التحتية السحابية لديها، مما يحد من مزايا التكلفة الخاصة بالحوسبة السحابية.

هل ترغب في معرفة المزيد من المعلومات حول ممارسات إدارة المخاطر لدينا؟

بالإضافة إلى ذلك، فإن القدرات الأمنية التي يتم تطبيقها لاحقًا على أنظمة ومنتجات التكنولوجيا تكون بطبيعتها أقل فعالية من القدرات الأمنية المعتمدة في أصل تصميم أنظمة ومنتجات التكنولوجيا. ومن شأن إضافة القدرات الأمنية في وقت لاحق أن يضرّ بإمكانية استخدام المنتجات، مما يتسبب في خلاف بين المطورين ومصممي تجربة المستخدم من جانب، ومهندسي الأمن من جانب آخر. ويؤدي هذا أحيانًا إلى تحايل المستخدمين على الضوابط الأمنية، حيثما كان ذلك ممكنًا.

حماية ”جواهر التاج“ ”الأصول الحيوية“

يمكن لاتساع النطاق الجغرافي التقليدي لشركات الصناعات الثقيلة أن يضر بجهود الأمن الإلكتروني في هذه الشركات بعدّة طرق؛ فاتساع النطاق يحد من قدرة هذه الصناعات الثقيلة على تحديد أهم الأصول أو "جواهر التاج" الحيوية لديها والعمل على حمايتها. وقد تواجه هذه الشركات صعوبة في إدارة جوانب الضعف في الأجهزة الطرفية لديها. ورغم أن هذه الصناعات الثقيلة غالبًا ما تسيطر جيدًا على أصول تكنولوجيا المعلومات التي تديرها إدارة مركزية، إلا أنها لا تمتلك سوى رؤية محدودة أو معدومة للأصول التي تديرها وحدات الأعمال أو الأطراف الخارجية. ومن أمثلة أصول جواهر التاج الحيوية الأصول الخاصة بتكنولوجيا المعلومات والتكنولوجيا التشغيلية والإدارة:

  • تكنولوجيا المعلومات: مخططات الشبكة، وسجلات النظام، ودليل الوصول إلى الشبكة
  • التكنولوجيا التشغيلية: أدوات التحكم المنطقية القابلة للبرمجة، وبروتوكولات أنظمة التحكم الإشرافي والحصول على البيانات (SCADA)، ومعلومات تكوين النظام
  • أصول الإدارة: وثائق الاستراتيجية الداخلية، والاتصالات التنفيذية واتصالات مجلس الإدارة، والمعلومات الشخصية للعملاء والموظفين

وعادة ما تعفي هياكل الحوكمة قادة الأمن المركزي من أي تكليف بالمسؤولية عن الأمن في وحدات الأعمال أو العمليات التشغيلية. وفي العديد من شركات الصناعات الثقيلة التي شملتها دراستنا، تعذَّر على هذه الشركات تحديد الطرف المسؤول عن أمن التكنولوجيا التشغيلية لديها. فقد يضع المدير التنفيذي لأمن المعلومات السياسات والمعايير الأمنية، ولكنه لا يتحمل غالبًا أي مسؤولية عن تطبيق سياسات ومعايير أمن التكنولوجيا التشغيلية في العمليات التشغيلية، أو تدقيق عملية الالتزام بها. وفي الوقت نفسه، توجد العديد من الوحدات التنفيذية التي ليس لها جهة أمنية واضحة مختصة بها ومسؤولة عن تطبيق الضوابط الأمنية للتكنولوجيا التشغيلية وإدارتها والحفاظ عليها على مستوى المصنع أو المحطة بالكامل. لذلك، غالبًا ما تُهمل تلك الوحدات أمن التكنولوجيا التشغيلية لديها.

التحديات المتعلقة بحماية التكنولوجيا التشغيلية

تتألف معظم شبكات التكنولوجيا التشغيلية اليوم من أجهزة ومعدات قديمة مصمَّمة في الأساس لتكون محمية ببيئة معزولة عن الشبكات غير الآمنة. ولكن مع مرور الوقت، أصبحت الكثير من هذه الشبكات متصلة بشبكات تكنولوجيا المعلومات. وتشتمل معظم الجهود الأمنية لحماية التكنولوجيا التشغيلية على ضوابط قائمة على الشبكة مثل جدران الحماية التي تسمح بخروج البيانات لشبكة التكنولوجيا التشغيلية لأغراض التحليل، ولكنها لا تسمح بدخول البيانات أو الإشارات إليها. ورغم أهمية ضوابط البيئة المعزولة هذه، إلا أنها غير فعّالة في التصدي للهجمات التي تنشأ من داخل شبكة التكنولوجيا التشغيلية ذاتها، كهجمات البرمجيات الخبيثة الموجودة على الأجهزة القابلة للإزالة. بالإضافة إلى ذلك، فقد تم اكتشاف برمجيات خبيثة تستطيع استغلال جوانب الضعف في الشبكات الخاصة الافتراضية وبرامج أجهزة الشبكة.

وفي واقع الحال، لا يمكن تطبيق العديد من الأدوات الأمنية التقليدية في بيئة التكنولوجيا التشغيلية. وفي بعض الحالات، يمكن لهذه الأدوات أن تضر بالأجهزة الحساسة المسؤولة عن التحكم في أجهزة ومعدات المصانع. وحتى مجرد فحص هذه الأجهزة للتحقق من جوانب الضعف فيها أدى إلى تعطّل كبير للعمليات. كما يُمثِّل تطبيق التصحيحات البرمجية في مجال الأمن (التحديثات) بهدف معالجة جوانب الضعف المعروفة في الأنظمة ذات الاستخدام على نطاق واسع المزيد من المخاطر التشغيلية، إذ إن القليل من المواقع فقط هي التي لديها أنظمة احتياطية بديلة يمكن اختبار التصحيحات عليها. وبسبب مخاطر التعطّل هذه، يتردد قادة الوحدات التشغيلية في السماح بإجراء التغييرات في بيئة التكنولوجيا التشغيلية لديهم. ويتطلب هذا الأمر الاستعانة بفرق أمنية لتنفيذ الحلول البديلة التي عادةً ما تكون أقل فعالية في إدارة المخاطر. ومما يُضيف المزيد من المخاطر والتعقيدات تلك التقنيات الحديثة مثل أجهزة إنترنت الأشياء الصناعية والخدمات السحابية والأجهزة الصناعية المحمولة والشبكات اللاسلكية.

لا يمكن تطبيق العديد من الأدوات الأمنية التقليدية في بيئة التكنولوجيا التشغيلية.

وفضلًا عن التكنولوجيا، يأتي العامل البشري، إذ تواجه العديد من الصناعات نقصًا في مهارات وكفاءات الأمن الإلكتروني لديها. وتكون المشكلة أسوأ بالنسبة للصناعات الثقيلة التي تحتاج إلى توظيف فرق أمنية لتكنولوجيا المعلومات وللتكنولوجيا التشغيلية على حدٍ سواء، كما تحتاج إلى جذب المواهب والكفاءات إلى مواقع تشغيلية بعيدة. وفي تقرير صدر عام 2017 حول القوى العاملة في قطاع أمن المعلومات العالمي، توقعت مؤسسة الأمن الإلكتروني المتخصّصة (ISC)2 زيادة الفجوة بين عدد متخصّصي تكنولوجيا المعلومات المؤهلين وعدد الوظائف الشاغرة إلى 1.8 مليون بحلول عام 2022. وتُعدّ الخبرة في أمن التكنولوجيا التشغيلية أكثر تخصّصا وصعوبة في الحصول عليها، مما يجعل تعيين موظفين في هذا التخصّص أمرًا مُكلفًا بصورة خاصة على هذه الشركات.

التعرّض للمخاطر القادمة من أطراف خارجية

تُعدّ بيئة التكنولوجيا التشغيلية مخصّصة للغاية، بالمقارنة مع تكنولوجيا المعلومات، إذ إنها تدعم عملية محددة تخص عملية تشغيلية معينة على وجه التحديد. وتعني الطبيعة الخاصة لأجهزة ومعدات التكنولوجيا التشغيلية أن الشركات تعتمد على مُصنِّع المعدات الأصلية لصيانتها وإجراء التغييرات عليها. وغالبًا ما تكون هذه الأجهزة والمعدات عبارة عن "صندوق أسود" بالنسبة للجهة المالكة لها، إذ لا يكون لها علم بميزات الأمن أو مستويات جوانب الضعف فيها. وعلاوة على ذلك، تتزايد حاليًا استعانة الشركات بمصادر خارجية لصيانة وتشغيل أجهزة ومعدات التكنولوجيا التشغيلية لديها، أو قد تتجه بعض الشركات إلى إبرام عقود خاصة لبناء وتشغيل ونقل ملكية مثل هذه الأجهزة والمعدات. وتتطلب هذه الأنواع من العلاقات الوصول الفعلي لأطراف خارجية إلى شبكات التكنولوجيا التشغيلية لتلك الشركات، وفي حال الحاجة إلى إجراء صيانة عن بعد، يلزم الجهة المالكة إنشاء اتصالات بالشبكات الخاصة بمُصنِّع المعدات الأصلية. وغالبًا ما تكون هذه الاتصالات عن بعد غير مراقبة من قِبل مؤسسات الجهة المالكة، مما يؤدي إلى عدم معرفة الجهة المالكة بمدى تعرّض مثل هذه الاتصالات لأي مخاطر محتملة. وقد أفادت تقارير واردة عن عدد من شركات الصناعات الثقيلة بقيام أطراف خارجية بتوصيل أجهزة كمبيوتر محمولة وأجهزة تخزين قابلة للإزالة بشكلٍ متكرر ومباشر بشبكة التكنولوجيا التشغيلية دون إجراء أي فحص مُسبق للأمن الإلكتروني، وذلك على الرغم من الأخطار الواضحة لاحتمالية إصابة الشبكة بالبرمجيات الخبيثة.

في أغلب الأحوال، لا تتضمن تقييمات المورّدين وعقود مُصنِّعي المعدات الأصلية أحكامًا خاصة بمراجعة الأمن الإلكتروني. ويمنع عدم وجود مثل هذه المراجعة الشركات من تطبيق معايير الأمن دون إعادة التفاوض على العقود القائمة. وفي حال إجرائهم لتقييمات أمنية قبل التعاقد، فنادرًا ما يتم متابعة نتائج تلك التقييمات. ويستفيد المورّدون من مُصنِّعي المعدات الأصلية الذين يزوّدون منتجاتهم بميزات أمان بأن المشترين التشغيليين نادرًا ما يريدون هذه الميزات. وفي بعض الحالات، حتى مع تضمين ميزات الأمان بصورة تلقائية في المنتجات، أو حتى مع تضمينها بدون أي تكلفة إضافية، فإن المشتري لا يستخدمها على أي حال.

الحلول الجديدة في الأفق

نظرًا لتعقيد التحديات القائمة، سارت الشركات في قطاعات الصناعات الثقيلة بخطوات بطيئة نحو الاستثمار في برامج الأمن الإلكتروني التي تُغطّي كلاً من تكنولوجيا المعلومات والتكنولوجيا التشغيلية على حدٍ سواء، ويظهر هذا على وجه الخصوص عند مقارنتها بالشركات الأخرى في قطاعات الصناعات التحويلية والمستحضرات الدوائية. وكان الاستثناء الوحيد لهذا الأمر هو شبكة إنتاج وتوزيع الكهرباء في الولايات المتحدة، إذ جاء سعيها في هذا المسار استجابةً للوائح تنظيمية ناشئة في هذا القطاع. ومما يدعو للتفاؤل أن الحلول الخاصة بقطاع الصناعات الثقيلة أصبحت أكثر تطورًا في وقتنا هذا. وقد طوّر العديد من المورّدين الحاليين من مُصنِّعي المعدات الأصلية، إلى جانب عدد متزايد من الشركات الناشئة، أساليب وتقنيات جديدة مرتكزة على حماية بيئة التكنولوجيا التشغيلية.

ويجب على القادة القائمين على تطبيق هذه الحلول النظر بعناية أولاً في التحديات الفريدة التي يواجهونها ومتطلبات العمليات اللازمة كذلك. ومن ثم يمكنهم الجمع بين الحلول المتوفرة والتغييرات التشغيلية المناسبة. وفيما يلي توضيح للتحديات التي سيكون عليهم التصدي لها خلال مسيرتهم لتحقيق النضج الإلكتروني والاستثمارات اللازمة لإتمام تلك المسيرة، سواءً كان ذلك بالجهود الداخلية أو من خلال مُصنِّعي المعدات الأصلية والشركات الناشئة.

دمج الأمن الإلكتروني في مرحلة مبكرة ضمن كلٍ من بيئات التكنولوجيا التشغيلية وتكنولوجيا المعلومات

مع دخول الشركات في عمليات التحوّل الرقمي، ينبغي للقادة العمل على دمج الأمن الإلكتروني في مرحلة مبكرة داخل كلٍ من بيئات التكنولوجيا التشغيلية وتكنولوجيا المعلومات. وحتى يمكن لشركات الصناعات الثقيلة إدارة المخاطر وتجنب التأخيرات المتعلقة بالمسائل الأمنية خلال التحوّلات الرقمية، فإنها ستحتاج إلى تضمين الأمن في مرحلة مبكرة من هذه العملية، فضلاً عن الاستثمار في مجال تدريب المطوّرين والإشراف عليهم. وفي الوقت نفسه، ينبغي لهذه الشركات أن تتوقع زيادة التقارب بين أنظمة التكنولوجيا التشغيلية وتكنولوجيا المعلومات لديها. لذلك، يجب أن تتضمن استثمارات هذه الشركات في برامج التحوّل الخاصة بالأمن الإلكتروني كلاً من أنظمة التكنولوجيا التشغيلية وتكنولوجيا المعلومات، مع العمل في الوقت نفسه على دمج مهام الأمن الخاصة بها على نحو أعمق في منظومات التكنولوجيا التشغيلية وتكنولوجيا المعلومات على حدٍ سواء.

ومن الطرق التي يمكن استخدامها لتحقيق ذلك أن يتم إنشاء مركز متكامل للعمليات الأمنية يُغطي كلاً من التكنولوجيا التشغيلية وتكنولوجيا المعلومات، ويتضمن بروتوكولات تصعيد تفصيلية وخطط خاصة بالاستجابة للحوادث وفقًا لسيناريوهات الهجوم المتعلقة بالتكنولوجيا التشغيلية. ولدينا مثال على ذلك من شركة Shell، والتي تعمل مع بعض من مزوّدي خدمات شبكات تكنولوجيا المعلومات لديها وبعض مُصنِّعي المعدات الأصلية للتكنولوجيا التشغيلية من أجل تطوير حل موحد لإدارة الأمن في أنظمة التحكم والمراقبة الخاصة بـ 50 محطة تابعة لها.5 وتساعد مثل هذه الحلول في الإدارة المركزية للأصول والمراقبة الأمنية والامتثال، بصورة حيوية وفي الوقت الفعلي.

تحسين الحوكمة والمساءلة فيما يتعلق بالأمن في بيئات تكنولوجيا المعلومات والتكنولوجيا التشغيلية

إن الطبيعة اللامركزية لشركات الصناعات الثقيلة تجعل من دمج الأمن في جميع القرارات ذات الصلة بالتكنولوجيا في بيئات تكنولوجيا المعلومات والتكنولوجيا التشغيلية، من المهام الحيوية، فضلاً عن ترسيخ الأمن في مختلفة الوظائف والمهام ووحدات الأعمال التجارية. وسوف تصبح عملية الدمج هذه أكثر أهمية عندما تصبح هذه الشركات مؤسسات رقمية. وسوف يتطلب تحقيق ذلك وضع نماذج حوكمة جديدة.

على سبيل المثال، أسَّست شركات الصناعات الثقيلة الناضجة إلكترونيًا لجانًا خاصة لمراجعة الهياكل الفنية لديها بهدف التحقق من التقنيات الجديدة التي أدخلتها في بيئات تكنولوجيا المعلومات أو التكنولوجيا التشغيلية لديها، فضلاً عن التحقق من التغييرات التي أجرتها على التقنيات القائمة لديها كذلك. وفي خط الدفاع الثاني، تأتي فرق العمل المسؤولة عن إدارة المخاطر المتعلقة بالمعلومات، بما يشمل الجوانب ذات الصلة بالاستراتيجية والامتثال وإعداد التقارير. بالإضافة إلى ذلك، فقد وظَّفت بعض الشركات قسم التدقيق الداخلي لديها كخط دفاع ثالث، بحيث يؤدي وظيفته هذه على نحو مستقل استقلالاً فعليًا.

ولكن القليل من الشركات هي التي وصلت إلى مثل هذا المستوى من النضج. وبالنظر إلى أربعة مناهج نموذجية خاصة بأمن تكنولوجيا المعلومات والتكنولوجيا التشغيلية، نكتشف أن هناك منهجًا واحدًا فقط هو الذي يعمل على دمج الأمن تحت إدارة مدير أمن وبما يتسق مع عمل وحدة إدارة المخاطر (الشكل 1). وفي الثلاثة مناهج الأولى، يتم تعريف المساءلة بصورة غير كافية. ولكن في المنهج الرابع، يشمل دور مدير الأمن كلاً من بيئات تكنولوجيا المعلومات والتكنولوجيا التشغيلية على حدٍ سواء. ويُقدَّم مدير الأمن تقاريره إلى مدير العمليات التشغيلية مباشرة، مما يساعد في حماية الجانب الأمني من احتمالية خفض نفقات تكنولوجيا المعلومات، كما يساعد ذلك أيضًا في منع تجاوز الأمن باستخدام برامج تكنولوجيا المعلومات.

الشكل 1

في هذا النهج الأمثل، يضع المدير التنفيذي للأمن السياسة والمعايير ذات الصلة ويعمل مع مهندسي العمليات على إنشاء هياكل أمنية تتضمن التفاصيل التشغيلية المطلوبة. وفي السيناريو المثالي، يتم تطبيق وتشغيل المهام الأمنية المتعلقة بالتكنولوجيا التشغيلية في وحدات الأعمال على مستوى المصانع والمحطات الصناعية، ويتم الاستعانة في هذا الأمر بخبراء التكنولوجيا التشغيلية من أصحاب المهارات الشاملة في مجال الأمن. ومع ذلك، يمكن أن يؤدي هذا الفصل بين وضع السياسات وتطبيقها إلى سوء الفهم، مما قد يُفسح المجال للتعرُّض لبعض المخاطر. ويمكن للشركات التخفيف من أثر تلك المخاطر واحتمالية وقوعها عن طريق إنشاء فرق عمل داخلية مُختصة بمراجعة الأمن، بحيث تشمل تلك الفرق مسؤولي الأمن المُثبَّتين في وحدات الأعمال التجارية والذين يُمثِّلون الهيكل التنظيمي للأمن على المستوى الإقليمي أو المحلي. ويمكن إدارة المقاييس وهياكل إعداد التقارير من قِبل لجنة حوكمة إلكترونية على مستوى الشركة تتولى إعداد التقارير وتقديمها إلى مجلس الإدارة.

الحلول التقنية الناشئة

للتغلب على الصعوبات القائمة في مجال أمن التكنولوجيا التشغيلية، يمكن دراسة إمكانية الاستفادة من الحلول التقنية الناشئة. وقد ركّز العديد من مزوّدي الخدمات على حماية بيئة التكنولوجيا التشغيلية واستطاعوا توفير قدرات جديدة لمعالجة التحديات القائمة. ورغم أن العديد من التصوّرات الأولية المُثبتة قد أدت إلى تطبيقات ناجحة على نطاق واسع، إلا أن التكنولوجيا لا تزال تتطور بسرعة كبيرة. وبما أن الشركات تتنافس مع بعضها البعض لتقديم حلول متميزة عن غيرها، لذا لا يمكن تحديد الفائزين في هذا المضمار بعد. ومع ذلك، إليكم بعض الحلول التي يمكن دراسة مدى إمكانية الاستفادة منها:

  • جدران حماية للحد من قدرة المهاجمين على التحرّك عبر الشبكة بعد اختراق قسم واحد منها. إن إدخال التحسينات على عناصر التحكم الخاصة بالبوابة الموصِلة بين شبكات التكنولوجيا التشغيلية وتكنولوجيا المعلومات من شأنه أن يساعد الشركات على فحص الزيارات العابرة لتلك البوابة. كما تعمل هذه التحسينات على أتمتة قدرة النظام على تنفيذ التغييرات في السياسة ومنع التهديدات التي يتم الكشف عنها حديثًا. وتدعو أفضل الممارسات أيضًا إلى وضع الأنظمة والأصول الحيوية في مناطق منفصلة عن بعضها البعض للحد من أثر أي اختراق يقع، ومثال على ذلك وضع نظام مؤمَّن ضد الأعطال في منطقة منفصلة عن أنظمة التحكم الإشرافي والحصول على البيانات (SCADA). ويعمل مزوّدو أنظمة جدار الحماية الحاليون على تخصيص الحلول التي يقدمونها بما يتلاءم مع التكنولوجيا التشغيلية.
  • الهوية الموحدة وإدارة الوصول. تسمح هذه الأدوات للشركة بالإدارة المركزية لعمليات إضافة وتغيير وإزالة وصول المستخدمين إلى أنظمة وأجهزة التكنولوجيا التشغيلية الخاصة بها. وترتبط هذه الإدارة المركزية بنظام إدارة الهوية الخاص بالمؤسسة، مما يوفر ميزة مصادقة قوية. وقد تم اعتماد هذا النهج المنتشر في مجال تكنولوجيا المعلومات كمعيار قياسي في بيئات التكنولوجيا التشغيلية في قطاع الكهرباء في الولايات المتحدة؛ فهو يُقلّل من خطر التعرّض للهجوم عن طريق الحد من حسابات "المستخدمين المميزين". كما أنه يتيح للشركة متابعة من لديهم حق الوصول إلى الأصول الحيوية، ويساعد ذلك في تحديد مصادر الهجوم. ولهذا النهج تطبيقات متعلقة بالسلامة أيضًا، فعلى سبيل المثال، هناك محطة طاقة صينية تستخدم هذا النهج للسماح لمسؤولي الأمن بإغلاق أبواب المرفق عن بعد بهدف تحسين إدارة السلامة.
  • جرد الأصول وتخويل الأجهزة. تساعد هذه الأدوات على إبقاء الشركات على علم بجميع الأجهزة المتصلة بشبكة التكنولوجيا التشغيلية الخاصة بها. ويمكن لهذه الأدوات أن تحدد نقاط الضعف في أجهزة معينة بناءً على نوع الجهاز والشركة المُصنِّعة له وإصداره. كما أنها تُستخدم للتحكم في عمليات تخويل الأجهزة والاتصالات. وإلى جانب التطبيقات الأمنية لهذه الأدوات، فإن بإمكانها تحسين الكفاءة وتحديد الأعطال في الأجهزة المتصلة.
  • مراقبة شبكة التكنولوجيا التشغيلية والكشف عن أعطالها. لقد برز عدد كبير من أدوات المراقبة السلبية لشبكة التكنولوجيا التشغيلية، والتي يمكنها مراقبة الزيارات الإلكترونية بطريقة غير اختراقية. وتستخدم هذه الأدوات خوارزميات تعلُّم الآلة للكشف عن الأعطال والتهديدات المعروفة والتنبيه بشأنها.
  • أفخاخ خداع المهاجمين. تعمل هذه الأدوات الجديدة نسبيًا في مجال تكنولوجيا المعلومات، والمصمَّمة خصيصًا لبيئات التكنولوجيا التشغيلية، على إنشاء أفخاخ من الأصول وبيانات دخول المستخدمين وكذلك إنشاء أجهزة تكنولوجيا تشغيلية وهمية، بما في ذلك أنظمة التحكم الإشرافي والحصول على البيانات (SCADA)، وذلك بهدف التخلص من المهاجمين.

ومع أن جميع هذه الأدوات مفيدة، إلا أن التحديات التنظيمية المذكورة أعلاه قد منعت تبنِّي استخدامها حتى الآن؛ فمشترو منتجات الأمن لا يملكون سوى تأثير ضئيل أو معدوم على بيئة التكنولوجيا التشغيلية. كما أن مُصنِّعي المعدات الأصلية للتكنولوجيا التشغيلية الحاليين، والذين لديهم علاقات بصنَّاع القرار المختصين بالعمليات التشغيلية، قد عقدوا بعض الصفقات الخاصة بهذه الأدوات سواءً بشكل مباشر، أو من خلال إقامة الشراكات في بعض القطاعات. ومع ذلك، فقد أدى انخفاض الوعي الإلكتروني في أوساط صنَّاع القرار إلى الحد من عدد هذه الصفقات حتى الآن.

إدارة المخاطر التي تفرضها الأطراف الخارجية

في بعض الأحيان، تتداخل عوامل التكلفة والتوقيت الزمني مع مسؤولية الشركة عن تقييم مدى امتثال المورّدين لمتطلبات الأمن، سواء قبل التعاقد أو على أساس منتظم بعد ذلك. وقد أصبح من المهم الاستعانة بالمجموعات التعاونية في قطاعات محددة مثل مراكز تبادل وتحليل المعلومات لخفض مثل هذه التكاليف. فعلى سبيل المثال، قام مركز تبادل وتحليل المعلومات الخاص بالصحة، والذي يضم مجموعة من الشركات المُصنَّعة للأدوية والأجهزة الطبية التي تمتلك وحدات تكنولوجيا تشغيلية كبيرة، بتطبيق أداة خاصة لحوسبة جمع الأدلة وتقييمات المخاطر الخاصة بالقطاع، وذلك بهدف قياس المخاطر التي قد يُشكِّلها المورّدون الخارجيون على الأمن والبيانات. وقد أنشأ هذا المركز أيضًا مستودعًا موحدًا للمورّدين يضم الأدلة التي يتم جمعها من قِبل الآخرين.

العوامل المساعدة على دعم التقدّم

نظرًا لحجم الاستثمار المطلوب لتحقيق المرونة الرقمية وزيادة دعوات مدراء الأعمال للوصول إلى هذا الهدف، عملنا على تحديد مجموعة من العوامل الهامة للمساعدة في تعزيز ودعم التقدم في هذا المجال، ومن بينها تعزيز مستوى التنظيم لقطاع الأمن الإلكتروني (سواء من قبل المجموعات المختصة ضمن القطاعات أو الحكومة) وزيادة الاستثمارات الذكية والمبتكرة في برامج المرونة الرقمية، فضلاً عن زيادة التعاون على مستوى القطاع.

تطوّر اللوائح التنظيمية للأمن الإلكتروني

تعتبر اللوائح التنظيمية الحالية التي تخص الأمن الإلكتروني في شركات الصناعات الثقيلة محدودة للغاية. وهناك نموذج واحد محتمل لتلك اللوائح نشأ حديثًا في الولايات المتحدة، حيث يُخوِّل القانون الفيدرالي الأمريكي لإحدى وكالات قطاع الكهرباء، وهي مؤسسة North American Electric Reliability Corporation (NERC) ، صلاحية وضع المعايير المعروفة باسم حماية البنية التحتية الحيوية (CIP). وتعمل هذه المعايير على تنظيم الضوابط التقنية والإجرائية للقطاع. وقد فرضت مؤسسة NERC الأمريكية 12 عقوبة في عام 2017 بقيمة إجمالية تجاوزت 1.7 مليون دولار أمريكي، كما كثَّفت المؤسسة عملها في عام 2018، إذ فرضت في ذلك العام عقوبات بملايين الدولارات. وقد أدى أحد الانتهاكات الخطيرة إلى قيام المؤسسة بفرض عقوبة قدرها 2.7 مليون دولار أمريكي ضد مرفق طاقة كهربائية بسبب قيام المورّد بالكشف عن بيانات غير مُصرَّح له بالكشف عنها. وتُعدّ اللوائح التنظيمية الحالية والناشئة في الاتحاد الأوروبي والمملكة المتحدة بشأن البنية التحتية الحيوية هي الخطوة الأولى نحو إيجاد اتساق وتوافق عام على مستوى القطاع. ومع ذلك، فإن معظم شركات الصناعات الثقيلة تكافح من أجل وضع المعايير الخاصة بها لأمن تكنولوجيا المعلومات والتكنولوجيا التشغيلية، وذلك عن طريق تجميع معايير متوائمة من مصادر المعايير المتعددة في القطاع. ومع استمرار الهجمات على البُنى التحتية الحيوية، من المُتوقع طرح المزيد من اللوائح التنظيمية في هذا القطاع، سواءً من المشتغلين بالقطاع أو الحكومة أو كليهما. وسوف يؤدي هذا إلى إضافة اختصاص ومهمة ضرورية إلى مسؤوليات مدير أمن المعلومات ومدير الأمن، وتتمثَّل هذه المهمة في اتخاذ الإجراءات اللازمة وإنشاء مسار أكثر وضوحًا لوضع معايير ثابتة ومتسقة في مختلف القطاعات الصناعية.

زيادة الاستثمارات الذكية في برامج الأمن الإلكتروني

لا تُنفق شركات الطاقة الكهربائية في المتوسط سوى 4.9 في المئة من ميزانيتها الخاصة بتكنولوجيا المعلومات على الأمن، في حين أنها تُنفق 5.4 في المئة من ميزانيتها على التعدين، وذلك بالمقارنة مع المتوسط العام لجميع القطاعات الصناعية البالغ 6.2 في المئة والمتوسط العام لقطاعات الخدمات المالية البالغ 7.8 في المئة (الشكل 2).

الشكل 2
Critical infrastructure companies and the global cybersecurity threat

لا تعتبر معايير الإنفاق على الأمن الإلكتروني العامل الوحيد الذي تنبغي مراعاته عند اتخاذ قرار بشأن شكل الاستثمار المطلوب في شركة معينة. ففي المراحل المبكرة من عمليات التحوّل في الأمن الإلكتروني، قد ترتفع تكاليف برنامج التحوّل قبل أن تتمكن الشركة من الوصول إلى حالة مستقرة. ويُعدّ مزيج الإنفاق عاملاً مهمًا آخر تنبغي مراعاته كذلك. وتميل الشركات ذات مستويات النضج الأقل إلى إنفاق معظم ميزانيتها الخاصة بتكنولوجيا المعلومات على أنشطة الاستجابة المتعلقة بالامتثال. ويتغير مزيج الإنفاق هذا إلى حدٍ كبير مع نضج الشركات، والذي يتبعه زيادة في إنفاق الشركات على الأنشطة المتطلّعة إلى المستقبل وكذلك الأنشطة الوقائية، مثل أنشطة جمع المعلومات حول التهديدات المحيطة وعمليات التصيد الاحتيالي والخداع المحتملة. وهكذا يمكن للشركات التي تُجري تقييمًا شاملاً لمستوى النضج الإلكتروني وجوانب الضعف الحالية لديها أن تجعل إنفاقها أكثر ذكاءً على المدى الطويل.

زيادة التعاون على مستوى القطاع

بدأت مبادرات مشاركة المعرفة بالظهور في مختلف قطاعات الصناعات الثقيلة، لكن هناك المزيد الذي يمكننا إحداثه والقيام به، فهناك بعض الأمثلة الجيدة من مراكز تبادل وتحليل المعلومات وغيرها من المجموعات الإقليمية والمجموعات الخاصة بقطاعات محددة، والتي دعمت النضج السريع عبر القطاع من خلال تبادل المعلومات وتجميع الموارد (كمشاركة تقييمات المورّدين) وبناء القدرات (كإعداد نماذج لمحاكاة الأزمات ضمن القطاعات). ورغم وجود أعداد قليلة من مراكز تبادل وتحليل المعلومات في قطاعات الصناعات الثقيلة، إلا أن الشركات قادرة على فعل الكثير من أجل إيجاد مستويات عالية من التعاون وتحقيق القيمة الموجودة لدى القطاعات الأخرى. ويمكن للمنشآت التي تتميز بعملها في اقتصاد رقمي مترابط أن تحقق النجاح في حال لجأت إلى التعاون فيما بينها ضمن القطاع الواحد، وبين مختلف القطاعات، وقد عمِلت القطاعات الأخرى، مثل قطاعات الخدمات المالية والتأمين والرعاية الصحية، على بناء شبكات قوية من المتخصّصين في مجال الأمن، وذلك من خلال عقد الاجتماعات وأشكال التعاون الأخرى، وبهدف التصدي للتهديدات المشتركة وزيادة تأمين القطاع لصالح الجميع.

وأخيرًا، تجدر الإشارة إلى أنه لا يمكن الاعتماد على الإنفاق أو الامتثال التنظيمي كمؤشرات دالة على مستوى المرونة الرقمية. وباستخدام الأطر والأدوات التي ذكرناها في هذه المقالة، يمكن للشركات تحقيق تلك المرونة من خلال العمل باستمرار على تطبيق نهج قائم على تحديد المخاطر والتصدي لها، بحيث تقوم الشركة من خلال هذا النهج بتحديد الأصول الحيوية لديها وتطبيق ضوابط تستند بشكلٍ مناسب على مستويات المخاطر المحدّدة، ومن ثم، يمكن أن يساعدها هذا النهج في إنشاء برامج التحوّل الإلكتروني التي من شأنها خفض المخاطر إلى مستويات مقبولة وترتيب أولويات أنشطة التصدي للمخاطر بما يُحقّق أفضل نتيجة ممكنة لكل دولار يتم إنفاقه.


وفي إطار استعداد كبار القادة لمرحلة التحوّل في الأمن الإلكتروني، فإن عليهم أن يحرصوا على تحقيق التعاون وتوفير الدعم من قِبل المتخصّصين والشركات العاملة في مجال الأمن وإدارة المخاطر. ومن خلال مثل هذا التعاون، ستكون الشركات قادرة بالفعل على تحقيق التحوّل في الأمن الإلكتروني، مما يساعدها في تفادي المخاطر والأضرار في العالم الرقمي.

Explore a career with us