تعرَّضت شركة نوفا سكوشيا باور (NSP) وشركتها الأم، إميرا إنك (Emera Inc.)، لهجمة إلكترونية مؤخرًا أدت إلى تعطيل أنظمة رقمية رئيسية. رغم أن شبكة الكهرباء نفسها ظلت قيد التشغيل، إلا أن الهجوم كشف عن عدة نقاط ضعف حيوية في البنية التحتية لتكنولوجيا المعلومات التجارية للشركة. لقد وجهت رسالة واضحة إلى قطاع الطاقة: حتى عندما تكون العمليات الفيزيائية آمنة، يمكن أن تقوض الثغرات الرقمية الثقة واستمرارية الخدمة وربما السلامة.

الجدول الزمني للهجوم الإلكتروني

في 25 أبريل، اكتشفت NSP وصول غير مصرح به إلى أجزاء متعددة من شبكتها وخوادمها. أثر الخرق على أنظمة تكنولوجيا المعلومات التجارية، خصوصًا تلك المسؤولة عن إدارة بيانات العملاء، ومنصات الفوترة، والتواصل الداخلي. استجابت الشركة بسرعة من خلال تفعيل خطتها للاستجابة للحوادث المخطط لها مسبقًا، واستعانت بخبراء في الأمن السيبراني وعملت على عزل الأنظمة المتضررة لاحتواء مدى الضرر.

ساعد هذا الجهد للاحتواء في منع الهجوم من الانتشار إلى الشبكات التشغيلية، مثل أنظمة توليد الطاقة ونقلها. الهجوم عطل مؤقتًا العديد من الخدمات التفاعلية مع العملاء، بما في ذلك إدارة الحسابات عبر الإنترنت والدعم الهاتفي. واجه العديد من العملاء صعوبة في دفع الفواتير والوصول إلى حساباتهم، مما أثار قلق الجمهور بشأن أمن المعلومات الشخصية والمالية.

في حين أن الشركة المعنية طمأنت الجمهور بأن توزيع الكهرباء لم يتأثر، أثار الحادث عدة علامات تحذيرية بشأن القدرة على استغلال الهجمات السيبرانية لنقاط الضعف في النظم الرقمية للمرافق، حتى عندما تكون العمليات الأساسية محمية جيدًا. رغم أن الهجوم أثر على أنظمة تكنولوجيا المعلومات، فإن هجومًا على أنظمة التكنولوجيا التشغيلية (OT) التي تعد أقل أمانًا نسبيًا كان يمكن أن يؤدي إلى نتائج أكثر تدميراً مع وجود إمكانية لاستمرار عملية التعافي لتمتد لأسابيع، إن لم يكن لأشهر كما شهدنا في الماضي. 

تأثير على البنية التحتية

كانت التأثيرات الأكثر فورية ووضوحًا على قدرات خدمة العملاء للمرافق:

• البوابات العميلة تم إيقاف تشغيلها لمنع المزيد من التضرر.

• مراكز الاتصال شهدت انقطاعات ووقت انتظار طويل.

• ثقة العملاء تعرضت لضربة، خاصة نظرًا للاهتمام بكشف محتمل للبيانات.

• التنسيق الداخلي تمت إعاقته مع إغلاق أو تشغيل البنية التحتية التجارية للشركة من خلال عمليات يدوية.

في غياب تدقيق، من الصعب تحديد الأنظمة الأخرى التي تأثرت.

على الرغم من عدم وجود أدلة حتى الآن على أن الأنظمة التشغيلية تعرضت للخطر، إلا أن الهجوم خلق العديد من المخاطر التشغيلية غير المباشرة. على سبيل المثال، يمكن أن تعيق تأخر الاتصالات مع العملاء وعدم الوصول إلى بيانات الحسابات استجابة التنسيق للانقطاعات أو دقة الفوترة على المدى الطويل. بالإضافة إلى ذلك، يمكن استخدام البيانات المستخرجة خلال الهجوم الأخير لاختراق الشبكات في المستقبل.

ما الذي كان يمكن فعله لمنعه؟

من البداية، يبدو أن الخرق ناجم عن نقاط ضعف في البيئة التجارية لتكنولوجيا المعلومات، وهو جزء شائع لكن غالبًا ما يكون غير محمي في شبكات المرافق. تشمل الإجراءات الوقائية التي كان يمكن أن تقلل من المخاطر أو التأثير ما يلي:

• طبقة إضافية من الحماية للأنظمة الرئيسية

• تدقيق على أساس IEC 62443 للبنية التحتية العامة

• تقسيم الشبكة القوي: يجب تقسيم أنظمة التكنولوجيا التشغيلية (OT) وأنظمة تكنولوجيا المعلومات بشكل صارم. بينما لم يخترق هذا الهجوم OT، فإن حقيقة أن هذه التقسيمات حافظت على سلامتها قد تشير إلى أنها كانت الخلاص.

• هندسة الثقة الصفرية: تفترض الثقة الصفرية عدم الثقة في أي مستخدم أو جلسة أو جهاز افتراضيًا. من خلال فرض مصادقة صارمة والتحقق المستمر، يجب على الجهات الداخلية إثبات شرعيتها قبل الوصول والاحتفاظ بالوصول إلى الأنظمة الحساسة. هذا النهج يساعد في احتواء الخروقات قبل أن تتفاقم.

• التوعية الأمنية والدفاع ضد التصيد الاحتيالي: تنشأ العديد من الخروقات من التصيد الاحتيالي. يمكن أن تقلل التدريب المنتظم، حملات التصيد الاحتيالي المحاكية، وترشيح البريد المزعج العدواني من خطر تقديم الموظف بيانات الاعتماد عن غير قصد أو تثبيت برمجيات ضارة.

• المراقبة الاستباقية والبحث عن التهديدات: يمكن أن تساعد أنظمة إدارة معلومات الأمان والأحداث (SIEM) مع التحليلات السلوكية في اكتشاف الأنشطة غير العادية قبل أن يصبح الخرق منتشرًا. الكشف في الوقت الفعلي يقلل من "مدة البقاء" للهجوم في النظام. على جانب OT، يمكن لاستخدام الحل الناضج للكشف عن الشبكات التشغيلية والاستجابة أن يساعد في الكشف المبكر عن التهديدات.

• إدارة الضعف ونظافة التصحيح: تعتبر ثغرات البرمجيات غير المعالجة نقطة دخول متكررة. يمكن لبرنامج منضبط ومتعقب لتحديث الأنظمة، وخاصة خدمات الويب التي تواجه العملاء، سد العديد من الفجوات المعروفة التي يستغلها المهاجمون عادة.

تعزيز الأمن السيبراني للمرافق عبر NERC CIP و IEC 62443

للدفاع ضد التهديدات المتزايدة التعقيد، يجب أن تتماشى برامج الأمن السيبراني للمرافق مع المعايير التنظيمية والتقنية المعمول بها. يعتبر اثنان من أهم المعايير في قطاع الطاقة هما NERC CIP و IEC 62443.

NERC CIP (حماية البنية التحتية الحيوية لمؤسسة الكهربية الدولية)

معايير NERC CIP إلزامية للمرافق التي تقوم بتشغيل أنظمة الكهرباء الحيوية في أمريكا الشمالية. تركز هذه المعايير على تحديد وتصنيف وحماية الأصول السيبرانية الحيوية. تشمل المجالات الرئيسية:

• CIP-002: تحديد الأصول وتصنيفها (إدارة الجرد للأصول مع تصنيف الأصول المتوافق مع الأمن)

• CIP-005: محيطات الأمن الإلكتروني والوصول الآمن عن بُعد

• CIP-007: إدارة أمن النظام (التصحيح، NDR، مكافحة الفيروسات، إلخ.)

• CIP-013: إدارة مخاطر الأمن السيبراني في سلاسل التوريد (مقاربة الأمن من وجهة نظر المكونات والنظام طوال دورة الحياة)

ضمان الامتثال لـ NERC CIP يضمن أن تطبق المرافق الكهربائية ضوابط الأمن الأساسية على الأنظمة الحيوية الخاصة بها، مما يساعد على تقليل فرصة الخرق وتمكين الاستجابة السريعة للحوادث عند الحاجة.

IEC 62443 (اللجنة الدولية الكهربائية التقنية)

يوفر IEC 62443 إطارًا معترفًا به عالميًا لتأمين أنظمة التحكم والأتمتة الصناعية (IACS). وهو محايد للجهات البائعة ويوفر إرشادات شاملة عبر مستويات متعددة:

• سياسات وإجراءات (مثل IEC 62443-2-1): لتمكين مالكي الأصول من إدارة الأمن السيبراني بفعالية من خلال برنامج أمن IACS

• إدارة التصحيحات في بيئة IACS: لضمان بقاء الأنظمة آمنة من خلال معالجة نقاط الضعف. يوصي بإدارة التصحيحات التي تغطي تصنيف التصحيح وتحديده، الأولوية (حسب التأثير أو نتيجة الأعمال)، الاختبار، النشر، والتحقق.

• أمن النظام: IEC 62443-3-2:2020 يضع متطلبات لتحديد نظام قيد النظر (SUC) لنظام التحكم والأتمتة الصناعي

• تصميم النظام (مثل IEC 62443-3-3): للمُدمجين لتنفيذ معماريات آمنة مدعومة بأنظمة التحكم التقنية، بهدف تحصين البنية التحتية مع إضفاء العمق على الإجراءات الأمنية

• أمن المكونات (مثل IEC 62443-4-2): لمطوري المنتجات لضمان أمن الأجهزة

تؤكد IEC 62443 على مستويات الأمان بناءً على المخاطر، مما يجعلها مرنة بما يكفي لتتكيف مع مختلف الصناعات وفئات الأصول. عند تنفيذها بفعالية، يمكن أن تكمل متطلبات NERC CIP وتسد الفجوات في العمليات والتصميم وإدارة دورة الحياة.

المضي قدمًا: مخطط أمني لشركات الطاقة

يسلط حادثة NSP الضوء على حقيقة ملحة: لا يمكن للأمن السيبراني في قطاع الطاقة أن يتقيد إلى قوائم التدقيق الامتثال أو يركز فقط على الشبكات التشغيلية. سيستغل المهاجمون الحلقة الأضعف، سواء كان ذلك خادم فواتير أو بائع خارجي أو موظف غير مؤهل.

للتوجه نحو وضع أكثر مقاومة، ينبغي على شركات الطاقة:

1. التعامل مع أمن تكنولوجيا المعلومات والتكنولوجيا التشغيلية على حد سواء بالجدية. من المحتمل أن تكون أهداف البوابات العميلة مستهدفة مثل أنظمة SCADA، ويمكن أن تهدد الخروقات في أحدها الآخر.

2. دمج الأمن السيبراني في السجل المخاطر المؤسسي. يعتبر الأمن قضية على مستوى مجلس الإدارة ويحتاج إلى الميزانية والإدارة والمراجعة على هذا الأساس.

3. الانخراط في التعاون داخل الصناعة. يمكن أن يوفر مشاركة معلومات التهديدات والممارسات الأفضل عبر ISACs والشراكات بين المرافق تنبيهات مبكرة وتسريع الاسترداد.

4. تبني استراتيجيات دفاع متعددة الطبقات. تلعب الجدران النارية، اكتشاف النقاط النهائية، ضوابط الدخول الهوية، وتقوية التطبيقات جميعها دورًا في خطة دفاع شاملة.

يعد الهجوم السيبراني على نوفا سكوشيا باور بمثابة دعوة للاستيقاظ. بينما تجنبت الشركة سيناريو أسوأ يتضمن تعطيل الشبكة، كشف الحادث مدى ضعف الأنظمة التجارية، وكيف يمكن أن تنتشر هذه الثغرات إلى المخاطر التشغيلية والثقة العامة.

يجب أن تتجاوز المرافق الحد الأدنى للامتثال وتتبنى نهجًا قائمًا على المخاطر ومتوافقًا مع المعايير في الأمن السيبراني. من خلال تفعيل إطار العمل NERC CIP و IEC 62443، وتعزيز الدفاعات عبر تكنولوجيا المعلومات والتكنولوجيا التشغيلية، يمكن لمزودي الطاقة الاستعداد بشكل أفضل لموجة التهديدات السيبرانية القادمة وضمان استمرار تقديم واحدة من أكثر الخدمات الحيوية في المجتمع: الطاقة الآمنة والموثوقة.