تطبيق NIST SP 800-53 لتأمين مصافي النفط: دليل شامل

تُعتبر مصافي النفط من بين المكونات الأكثر حيوية في البنية التحتية للطاقة العالمية. فهي تعمل على تحويل النفط الخام إلى منتجات قابلة للاستخدام مثل البنزين والديزل والبتروكيماويات، مما يجعلها ضرورية لعمل الاقتصادات الحديثة. ومع ذلك، فإن هذه الأهمية تجعلها أيضًا هدفًا رئيسيًا للهجمات السيبرانية المتطورة التي تنفذها جهات تهديد مدعومة من الدولة و/أو متقدمة.

من حوادث طلب الفدية إلى التهديدات الحكومية، تعتبر بيئة الأمن السيبراني للمصافي غالبًا معقدة وترتبط بمخاطر عالية. لمعالجة هذه التحديات، يعد اعتماد إطار عمل أمني شامل وموحد أمرًا ضروريًا. أحد هذه الأطر هو منشور NIST الخاص 800-53 (SP 800-53)، والذي يوفر فهرسًا لسياسات الأمن والخصوصية للأنظمة والمعلومات الفيدرالية. في حين تم تصميمه في الأصل للأنظمة الفيدرالية، يتم الآن تكييف NIST SP 800-53 مع البيئات الصناعية والبنية التحتية الحرجة، بما في ذلك مصافي النفط (والأنابيب).

تستعرض مشاركة المدونة اليوم كيفية تطبيق NIST SP 800-53 عملياً في بيئة مصفاة نفط لتعزيز الموقف الأمني السيبراني، وضمان الامتثال الغذائي، ودعم العمليات المستدامة.

فهم أهمية NIST SP 800-53 لمصافي النفط

يقسم NIST SP 800-53 مجموعة شاملة من عناصر التحكم إلى فئات مثل التحكم في الوصول، الاستجابة للحوادث، حماية النظام والاتصالات، وغيرها. على الرغم من أن المنشور كان في السابق موجهًا إلى أنظمة تكنولوجيا المعلومات، إلا أن طبيعته المعيارية والمرنة تسمح بتكييفه مع بيئات التكنولوجيا التشغيلية (OT) المنتشرة في مصافي النفط.

تعمل مصافي النفط بالفعل تحت ضغوط تنظيمية مثل NIST CSF وIEC 62443 وAPI 1164 وإرشادات TSA في الولايات المتحدة وفي جغرافيات أخرى حيث تعمل المصافي في ظل القضايا الجغرافية السياسية، يوفر دمج SP 800-53 في هذا النظام البيئي فائدة مواءمة عمليات المصفاة مع مجموعة معترف بها عالميًا من أفضل الممارسات.

التحديات في تكييف SP 800-53 لمصافي النفط

في حين أن NIST SP 800-53 يوفر توجيهات وفيرة، فقد يكون تنفيذه يقدم تحديات واقعية مثل تلك المتعلقة بـ:

· الأنظمة القديمة: أصبح العديد من أجهزة OT غير قادرة على تنفيذ ضوابط الأمان الحديثة.

· الارتباك حول القابلية وخريطة الطريق

· الحواجز الثقافية: قد تقاوم فرق الهندسة تغييرات تؤثر على وقت تشغيل المصنع.

· فجوات المهارة: يتطلب تنفيذ الضوابط خبرة متعددة الوظائف في كل من الأمن السيبراني وهندسة OT.

· قيود الموارد: قد تفتقر المصافي الأصغر إلى الميزانية أو الأفراد لتنفيذ الكتالوج الكامل للضوابط.

تجعل هذه التحديات من النهج القائم على المخاطر والمرحل أمراً حاسماً.

إذاً كيف يمكننا التغلب على مثل هذه التحديات؟ لنبدأ برسم خرائط العائلات التحكمية إلى بيئات OT.  

رسم خرائط عائلات التحكم من NIST SP 800-53 إلى بيئات مصفاة OT

1. التحكم في الوصول (AC)

o تنفيذ وصول قائم على الأدوار إلى نظم ICS وSCADA.

o فرض أقل مستوى من الامتيازات للمهندسين والمشغلين.

o استخدام التحقق من الهوية ذو العوامل المتعددة للوصول عن بعد إلى شبكات المصفاة.

o ضمان نشر حواجز احتواء مادية لمنع التلاعب بالأجهزة.

2. المراجعة والمساءلة (AU)

o ضمان تخزين السجلات بطريقة تسمح باستعادتها دون تلاعب.

o الحفاظ على سجلات أعمال المشغلين على أنظمة DCS.

o تنفيذ آليات تسجيل توضح التلاعب.

o مراجعة نشاط غرفة التحكم وأحداث الوصول عن بعد بشكل دوري.

3. حماية النظام والاتصالات (SC)

o فصل الشبكات المؤسسية والتحكم باستخدام الجدران النارية وDMZ.

o استخدام التشفير من أجل قياسات الاستشعار عن بعد.

o تعطيل المنافذ غير المستخدمة في أجهزة PLC وRTUs.

o السيطرة على أطوال الجلسات.

o استخدام أنظمة للكشف عن حلول NIDS مثل Shieldworkz للكشف عن الاتصالات الشاذة.

4. الاستجابة للحوادث (IR)

o تطوير خطط استجابة للحوادث خاصة بمصفاة.

o اختبار دلائل الأنشطة والاستجابات في سيناريوهات شبه واقعية.

o ضمان التحديث المنتظم لدلائل الأنشطة IR.

o تدريب فرق IR.

o تنفيذ تمرينات خاصة بـOT تشمل فرق الهندسة والأمن.

o تنسيق الاستجابة مع فريق CERT المحلي والوكالات الحكومية ذات الصلة، إذا لزم الأمر.

5. إدارة التكوين (CM)

o تحديد إصدارات البرامج الثابتة لجميع الأجهزة الميدانية.

o توثيق والتحكم في التغييرات على منطق التحكم في الأنظمة المجهزة للأمان (SIS).

o منع التغييرات غير المصرح بها على التكوينات

o تنفيذ عمليات التدقيق IEC 62443 بشكل دوري لتحديد ما إذا كانت هناك أي مسارات هجوم مفتوحة أو قابلة للاستغلال وسد هذه الثغرات

o يجب تخزين معلومات التكوين وتحديثها عند الحاجة

6. تكامل النظام (SI)

o تحديد سلوكيات وتكوينات النظام الأساسية

o تطبيق أدوات التحقق من السلامة للكشف عن التغييرات غير المصرح بها في أنظمة HMIs ونظم المؤرخ.

o استخدام أنظمة كشف النقاط النهائية المخصصة للبروتوكولات OT.

7. الأمان الشخصي (PS)

o إجراء فحوصات خلفية على البائعين الخارجيين.

o تقديم تدريب على الأمن السيبراني مصمم خصيصاً لفريق OT الخاص بالمصفاة.

8. تقييم المخاطر (RA)

o إجراء تقييمات دورية للمخاطر السيبرانية باستخدام معايير IEC 62443 وNIST مع التركيز على الأمان والأثر البيئي.

o تضمين مقاييس المخاطر السيبرانية في سجلات المخاطر العالمية للمصفاة.

9. التخطيط للطوارئ (CP)

o الحفاظ على نسخ احتياطية غير متصلة بالإنترنت لمنطق التحكم في العمليات.

o تطوير سيناريوهات تحويل الفشل في حالات انقطاع نظام الشبكة والتحكم.

10. الصيانة (MA)

o تتبع الصيانة من قبل طرف ثالث على أجهزة OT.

o ضمان أن الأنشطة الفنية تلتزم بالبروتوكولات الآمنة.

11. استخدام أدوات الأمان بفاعلية

o تحديد مستويات الأمان الخاصة بك في جميع الأوقات وتحسينها باستخدام ضوابط إضافية

o القيام بعمليات صيد التهديدات للكشف عن أي تهديدات موجودة

تطبيق الضوابط عند طبقة الأجهزة والشبكة

يتمثل أحد التحديات الرئيسية في أمن مصفاة النفط في تنوع عمر أنظمة OT. تم تصميم العديد من PLCs وRTUs وanalysers القديمة بدون اعتبار للأمان. يمكن لـ NIST SP 800-53 المساعدة في التخفيف من هذا التحدي من خلال ضوابط مستهدفة ومتعددة الطبقات.

على مستوى الجهاز:

o تعطيل الخدمات غير المستخدمة والمنافذ.

o فرض التحقق من سلامة البرامج الثابتة.

o تقليل الوصول المادي إلى الخزانات التحكمية.

o إجراء فحوصات تكامل النظام وتسجيل النتائج للتحسين حيثما كان ذلك ممكناً

على مستوى الشبكة:

o تجزئة الشبكات لمنع الحركة الجانبية

o استخدام التقسيم الدقيق لتأمين الجواهر الهامة والنظم التي تحمل مخاطر إضافية أو تعد أهدافًا سهلة

o نشر أجهزة كشف التطفل التي تضبط للبروتوكولات ICS مثل Modbus وOPC وPROFINET.

o إنشاء VLANs وفرض البوابات وحيدة الاتجاه حيثما كان ذلك ممكنًا.

التكامل مع المعايير واللوائح الحالية

دعونا نراجع النقطة التي فيها غالبًا ما تعمل مصافي النفط في بيئات ذات تنظيم عالي. بالنظر إلى مستوى التدقيق، هل يمكن فعل أي شيء آخر لتأمين البنية التحتية بشكل أكبر من التهديدات المستقبلية؟

إليك كيفية توافق SP 800-53 مع أو تكملة الالتزامات واللوائح الحالية:

· NIST CSF: يوفر SP 800-53 الضوابط الفنية التي تدعم وظائف CSF (التعريف، الحماية، الكشف، الاستجابة، الاستعادة). عند تنفيذها معًا أو بالتتابع، يمكن لـ NIST CSF وSP 800-53 أن يساعدا في إدارة وتقليل المخاطر السيبرانية في جميع المجالات.

· NIS2: تلزم المصافي باتخاذ التدابير التقنية والتنظيمية المناسبة لمنع، كشف، والاستجابة للحوادث السيبرانية التي يمكن أن تعطل عملياتها أو تؤثر على سلسلة تزويد الطاقة. الأمان في سلسلة التزويد، تحمل المسؤولية الإدارية، والتدريب وزيادة الوعي هي ركائز أساسية لتحقيق الامتثال لـ NIS2.

· IEC 62443: تشابه في متطلبات النظام، التحكم في الوصول، وتجزئة الشبكة. تعتبر النواحي الأساسية من IEC 62443 2-1، 3-2 و3-3 نقاط رئيسية يمكن اعتبارها جنبًا إلى جنب مع SP 800-53. بالإضافة إلى ذلك، يمكن لتعزيز الإدارة على مدار الحياة، النماذج النطاقية والسلوك، مستويات الأمان والنهج القائم على المخاطر المطلوب من IEC 62443 أن تساعد في تعزيز تنفيذ NIST SP 800-53 بينما يمكن التداخلات أن تساعد في التحقق من صحة الضوابط الحالية.

· API 1164: يوفر توجيهات لإدارة المخاطر السيبرانية المرتبطة بأتمتة العمليات الصناعية ونظم التحكم في عمليات الأنابيب. يعتبر AP 1164 مهمًا في الحالات التي تعتمد فيها المصافي على الأنابيب لنقل المنتجات المكررة.  

· توجيهات الأمان TSA: يساعد في ضمان أن برامج الأمن السيبراني الخاصة بالمصفاة تفي بأنظمة الأنابيب والطاقة القانونية الأمريكية. هذا مرة أخرى ذات صلة في الحالات التي تملك فيها المصافي أيضًا الأنابيب أو تعمل مع مالكي الأنابيب لنقل المنتجات المكررة. يمكن توسيع خطط تقييم الأمن السيبراني، استجابة للحوادث، المراقبة المستمرة والقياسات المحسنة للأمن السيبراني المنفذة على مستوى الأنابيب إلى المصفاة أيضًا، في حالة عدم تنفيذ الأمر نفسه.

تشغيل NIST SP 800-53 في المصفاة

تنفيذ SP 800-53 ليس مشروعًا لمرة واحدة؛ يتطلب عقلية تحسين مستمرة. يمكن للخطوات التالية أن تساعد في تشغيل الإطار:

1. تقييم المخاطر وتحليل الفجوة

o إجراء تقييم للولاية الحالية يتماشى مع عائلات التحكم في SP 800-53.

o تحديد الفجوات الهامة في الوصول، والمراقبة، وإدارة التكوين.

2. تحديد الأولويات استنادًا إلى المخاطر

o ترتيب الضوابط حسب التأثير المحتمل على السلامة والعمليات.

o التركيز على الموجودات ذات القيمة العالية مثل الأنظمة المجهزة للأمان وشبكات التحكم الرئيسية.

o مراجعة المخاطر باستمرار لمراعاة التغييرات في بيئة OT

3. خارطة طريق التنفيذ

o تطوير خارطة طريق مرحلية تدمج ضوابط SP 800-53 خلال 12–24 شهرًا.

o تضمين الانتصارات السريعة (مثل مركزية السجلات) والمشاريع طويلة الأجل (مثل تجزئة الشبكات الكاملة).

4. المراقبة والإبلاغ

o إعداد لوحات عرض لمتابعة نضج الضوابط واتجاهات الحوادث.

o استخدام مؤشرات الأداء الرئيسية (KPIs) متوافقة مع أهداف التحكم في SP 800-53.

5. مراجعات ودورات تدقيق

o إجراء مراجعات دورية مع فرق العمليات وتكنولوجيا المعلومات والامتثال.

o تحديث تنفيذ الضوابط استنادًا إلى معلومات التهديدات والتغييرات في المصنع.

6. التدريب والتوعية

ينبغي أن يمر جميع الموظفين بتدريب دوري وتوعية حول ضوابط SP 800-53 وأهميتها العملية والأمنية

بالرغم من تصميمها في الأصل للأنظمة المعلوماتية الفيدرالية، ذات تطبيق كبير في تأمين البيئات المعقدة العالية المخاطر مثل المصافي النفطية والأنابيب. عبر تخصيص عائلات التحكم الخاصة بها لتناسب حالات الاستخدام المعينة لـ OT والسيناريوهات، يمكن للمصافي بناء قاعدة قوية للأمن السيبراني تدعم الاستدامة التشغيلية، الامتثال التنظيمي، وتحقيق الأداء الآمن للمصنع.

يجب أن تعتبر المصافي الساعية لتحسين وضعها الأمني السيبراني تنفيذًا استراتيجيًا لـ SP 800-53 جنبًا إلى جانب الأطر الحالية مثل NIST CSF، IEC 62443، وAPI 1164. في عالم تواصل فيه الحدود الفاصلة بين التهديدات الفعلية والسيبرانية تتلاشى وتختفي، يعتبر اعتماد تدابير التحكم المتوافقة مع المعايير عملية إلزامية للعمل.

تعرف على المزيد حول نهجنا الفريد نحو اعتماد NIST SP 800-53 من قبل مصافي النفط والغاز.

تحدث إلى متخصص الأمان OT الخاص بنا في مجال النفط والغاز.

تواصل معنا لمناقشة ما قبل التقييم حول ضوابطك الحالية.