5 دروس صعبة عن الأمن السيبراني OT علمتنا عام 2025 (وما يجب فعله حيالها)

تهانينا، لقد وصلنا إلى نوفمبر ولم تقم 3i Atlas بشيء يؤدي إلى تفعيل دفاعاتنا الكوكبية. رغم أنها تغير الألوان وتقوم ببعض الأمور الرائعة، لم يظهر المسافر بين النجوم بعد أي مجسات أو عربات جوالة. لذا لا يوجد شيء يدعو للقلق بعد، أو على الأقل يمكننا الافتراض أنه كذلك.

فيما نتجه نحو الجزء الأخير من عام 2025، حان الوقت لفحص الحالة الصحية بسرعة. إذا كانت 2024 هي السنة التي بدأنا فيها الحديث بصراحة عن أمن OT، فإن 2025 كانت السنة التي تأكدنا فيها من أهميته وما زال أمامنا شهر كامل لنذهب.

تذكر التهديدات النظرية البسيطة التي تم تحذيرنا بشأنها في المؤتمرات؟ لم تعد نظرية بعد الآن. هذا العام، أكثر أو أقل، تم خلع القفازات. رأينا المهاجمين يتحركون بسرعة مقلقة عن طريق التلاعب بسلوك الموظفين، من اختراقات بسيطة لشبكة تكنولوجيا المعلومات إلى التسبب في اضطرابات مادية حقيقية في العالم المادي.

إذن ما هو الدرس الأكبر الوحيد الذي تعلمناه من 2025؟ إذا كان علي أن ألخصه، فإليك الدروس العريضة التالية.

·          تحتاج لمعرفة ما يحدث في شبكات OT الخاصة بك (بما في ذلك ما تقوم به الأصول) و

·          زيادة الوعي بين الموظفين حول أمن OT لم يعد حاجة طقوسية.

المفاجأة أن تعقيد البرمجيات الخبيثة لم يرتفع إلى مستويات استثنائية هذا العام (على عكس 2024 حيث كان لدينا برمجيات خبيثة مبرمجة بواسطة الذكاء الاصطناعي ومتغيرات يتم تقديمها بسرعة أكبر من انبعاثات أشعة جاما القادمة من نجم نيوتروني). ومع ذلك، كانت هناك العديد من الأهداف الذاتية التي تم تسجيلها بفضل بضع ثغرات أمنية. نحتاج إلى معرفة ماهيتها والعمل على معالجتها حتى نكون جاهزين لعام 2026.

فلنكن واقعيين. لنذهب بعمق. إليكم أكبر خمسة دروس تعلمناها جميعًا هذا العام.

قبل الغوص، لا تنس قراءة مدونتنا السابقة حول لماذا يعد NERC CIP-015-1 لأمن الشبكة الداخلية أمرًا لابد منه للدفاع عن أنظمة التحكم الصناعي هنا.

جدار حماية IT/OT هو خرافة ويمثل غربالًا متسربًا.

لعدة سنوات، عملنا بفرضية بسيطة (وخطيرة للغاية): تأمين شبكة IT، وستقوم شبكة OT، بنظمها القديمة ووحدات التحكم المبرمجة، برعاية نفسها.

درس 2025: لقد تلاشى هذا الجدار منذ زمن بعيد مثلما يتصاعد مادة متطايرة بشدة عند الاشتعال. لا يكلف المهاجمون عناء تحديد استغلال نادر ليوم الصفر لوحدة تحكم عمرها 3 عقود. لماذا يفعلون ذلك؟ هم فقط يخدعون موظفًا، أو يستخرجون مؤهلات من خزينة مشتركة للـ VPN، ثم ينتقلون من نظام الفوترة (IT) مباشرة إلى واجهة المستخدم البشرية HMI الخاصة بالأرضية الصناعية (OT).

تقارير هذا العام، بما في ذلك أحدثها من Shieldworkz، أكدت أسوأ مخاوفنا: معظم الحوادث المتعلقة بـ OT نشأت في بيئة IT.

• حالة مرجعية: مجموعات التهديد تستغل بشكل نشط أدوات الوصول عن بُعد المرتكزة على IT، مثل شبكات VPN القياسية في الشركات، كنقطة دخول رئيسية (المصدر 1.1، 3.4). آیا شبکة VPN التي قمت بإعدادها لمورد خارجي؟ أصبحت الآن تحت بطنك الأكثر ليونة.

• الخلاصة: اختراق IT هو اختراق OT. وضعك الأمني يكون قويًا فقط كقوة الرابط بين شبكتك المؤسسية وأنظمة التحكم لديك. تقسيم الشبكة ليس اقتراحًا؛ إنها الدفاع الأكثر أهمية الذي تمتلكه. يجب أن تفترض أنهم بالفعل داخل شبكة IT وتعمل على وقف حركتهم الجانبية.

"المرحلة 2.5" قد وصلت ولديهم وصول إلى الآلات

هذه واحدة قليلاً ما تكون مقلقة. لمدة طويلة، كان المهاجمون الذين دخلوا إلى شبكات OT يقومون فقط بجولات استطلاعية. لقد نظروا حولهم، أخذوا بعض التفاصيل وانتقلوا.

درس الأمن السيبراني لعام 2025: هجمات "المرحلة 2.5"- حيث يتخذ المهاجمون إجراءات تسبب عواقب مادية- لم تعد نادرة. لقد تحولت الهدف من التجسس إلى التخريب.

الاضطرابات المادية تتزايد الآن بسرعة مع تهديد الأطراف التي تحاول كسر الأشياء بطريقة تجعل التعافي منها صعبًا.

• الخلاصة: لا يمكن أن يقتصر خطتك للكشف عن البرمجيات الخبيثة فقط. يجب أن تبحث عن عدم الاستقرار في العمليات. لماذا فتح ذلك الصمام بدون جدول في الساعة 3 صباحًا؟ لماذا يعمل ذلك المحرك بنسبة 20% فوق السرعة؟ تحتاج إلى رؤية العملية نفسها، وليس فقط حركة مرور الشبكة.

بنيتك التحتية قد تكون ميدانًا جيوبولتيكيًا

إذا كانت مؤسستك جزءًا من بنية تحتية حرجة للطاقة، الماء، الغذاء، النقل، فلست هدفًا ماليًا فقط. أنت أيضًا هدف سياسي.

درس الأمن السيبراني لعام 2025: الدول القومية والهاكرز ذوو الدوافع السياسية ينظرون الآن باستمرار إلى بيئة OT الخاصة بك ولن يكون ذلك لأن لديهم شيئًا ضدك. الدافع ليس الفدية؛ بل لإثارة الخوف، والتعطيل، والضغط النفسي.

• حالة مرجعية: شاهدنا ذلك مع اختراق كبير حيث زعمت مجموعة تهديد التلاعب بواجهة تشغيل المياه. لقد رأيناها في هجمات استهدفت وحدات تحكم البرنامج في المياه الصغيرة وما بعدها. لا يتوقف الأمر والمهاجمون لا يتعبون الآن.

• الخلاصة: هذه ليست هجمات عالية المستوى، ذات مهارة مرتفعة، لكن ذات تأثير كبير، مصممة لإنشاء عملية "نفسية هجينة" لفرض أقصى ضغط وربما تدخل من الحكومة. يريدون منك، ومن عملائك، أن يفكروا باستمرار أن الماء ليس آمنًا. ينبغي أن تتضمن خطة استمرارية الأعمال لديك الآن جميع أنواع السيناريوهات لاضطراب ذو دوافع سياسية، وليس فقط الفدية.

سطح الهجوم الأكبر لديك

يمكن أن تكون لديك الشبكة الأكثر أمانًا في العالم، لكن يمكن أن يعني ذلك لا شيء إذا تعرض مورد HVAC الخاص بك، أو موزع الطعام الخاص بك، أو مزود الدعم من طرف ثالث للاختراق.

درس الأمن السيبراني لعام 2025: سلسلة التوريد هي، بلا شك، الحلقة الأضعف لدينا. تم تسميتها من قبل منتدى الاقتصاد العالمي في مخرجات 2025 بأنها الخطر السيبراني الأول للنظام البيئي (المصدر 5.2). وها نحن رأينا لماذا.

• حالة مرجعية: بعض الهجمات السيبرانية الأكثر إعاقة نشأت من نظام المورد أو بدأت هناك.

• الخلاصة: "الثقة ولكن التحقق" ماتت. النموذج الجديد هو الثقة بدرجة صفر. تحتاج إلى قائمة مواد البرامج (SBOM) من مورديك. تحتاج إلى فرض المصادقة المتعددة العوامل على جميع الولوجات من طرف ثالث. وكذلك تحتاج إلى التقييد بعقود وبشكل تقني وصولهم إلى ما هو ضروري فقط.

إنه AI ضد AI

كلنا نعلم أن الذكاء الاصطناعي سيكون كبيرًا، لكن 2025 كانت السنة التي أصبح فيها قوة ملموسة على الجانبين من المحيط.

درس الأمن السيبراني لعام 2025: المهاجمون يستخدمون الذكاء الاصطناعي للتوسع ولصياغة هجمات تصيد أفضل. لكن في OT، الذكاء الاصطناعي هو أداة تحتاج إلى إنسان للنجاح.

• الهجوم: أفادت وكالات الأمن السيبراني والإنترنت الأوروبية (ENISA) قبل بضعة أشهر أن أكثر من 80% من هجمات الهندسة الاجتماعية تعتمد الآن على الذكاء الاصطناعي بشكل أو بآخر. وهذا يعني أن رسائل البريد الإلكتروني الفائقة الواقعية والمكالمات الصوتية الوهميّة (التصيد الصوتي) التي تكاد لا يمكن للبشر اكتشافها. يتجاوز دور الذكاء الاصطناعي ذلك حتى تستخدمه الجهات المهاجمة لتحديد الموظفين المعرضين والهجوم تقريبًا في أفضل الأوقات باستخدام خوارزميات تحديد الأنماط.

• الدفاع: نستخدم الذكاء الاصطناعي لمعالجة الكمية الهائلة من البيانات اللازمة لاكتشاف الأنماط غير الطبيعية في الوقت الفعلي. في الواقع، إنه "العقل" الذي يمكنه الكشف عن ذلك التغير الضئيل في الصمام الشاذ في بيانات كثيرة. يمكننا بالتأكيد العمل على توسيع دور الذكاء الاصطناعي في بناء نماذج هجوم حتمية يمكن استخدامها لتدريب الموظفين وإعلان "تنبيهات حمراء" عندما تكون الهجمات السيبرانية على أعلى احتمال.

• الخلاصة (وربما الفخ أيضًا): لا يمكنك ببساطة "إطلاق العنان" للذكاء الاصطناعي على شبكة كهربائية أو مصفاة أو حتى خط أنابيب الغاز. في شبكة IT، يمكن لأداة الأمن المدفوعة بالذكاء الاصطناعي أن تعزل كمبيوترًا محمولًا يتصرف بشكل غريب من تلقاء نفسه. إذا كان إيجابي كاذب، لا بأس في الغاية ربما تحتاج للتعامل مع موظف غاضب. في شبكة OT، مع ذلك، يمكن أن يتسبب رد الفعل الآلي لنتيجة إيجابية كاذبة في إغلاق خط تجميع أو حتى محطة كهرباء أو توربين. درس 2025 هو أن الذكاء الاصطناعي في OT يجب أن يكون نموذجًا متمحورًا حول الإنسان. يجب أن ينبه ويوجه مشغلًا بشريًا ويزوده بالمعلومات، لكن القرار النهائي لـ "الزر الأحمر" يجب أن يبقى مع شخص يعرف العملية المادية.

مهمتنا لعام 2026: الانتقال من الأمان إلى المرونة

إذن، ما هو الدرس الكبير الوحيد من 2025؟

المرونة المستدامة إلزامية.

قد لا تكون قادرًا على بناء حصن لا يمكن اختراقه بين عشية وضحاها. قد تواجه اختراقًا من مصدر غير محتمل. سيواجه المورد الخاص بك حادثة. ولكن مع الدفاع العميق والثقة بدرجة صفر مع وعي الموظفين القابل للتنفيذ، ستكون قادرًا على اكتشاف وكبح الهجمات بسرعة.   

الأمر يتعلق بالرؤية (معرفة أنهم موجودون، بسرعة)، والتجزئة (منعهم من الوصول إلى الجواهر الثمينة)، والمرونة (وجود خطة لإعادة تشغيل المصنع بأمان وسرعة).

لقد حصلنا على نداء استيقاظنا عدة مرات. الآن يبدأ العمل الحقيقي.

هل تخطط لتقييم المخاطر القادم لـ OT؟ تحدث إلينا.

متعلق بالتحسين من استجابتك للحوادث؟ لدينا شيء يناسبك.