لا يمكنك حماية ما لا يمكنك رؤيته. هذا المبدأ يقع في صميم كل إطار عمل رئيسي للأمن السيبراني الصناعي - ولم يكن قط أكثر إلحاحاً مما هو عليه الآن.

لقد تطورت هجمات سلاسل التوريد من مجرد خطر نظري إلى واقع تشغيلي. فعندما يخترق المهاجمون الموردين في المراحل السابقة، أو نقاط الضعف في الشبكات المترابطة، أو الأصول غير المكتشفة التابعة لأطراف خارجية، فإن نطاق التأثير يمتد إلى ما هو أبعد بكثير من مؤسسة واحدة. إن الاختراق لدى مورد أحد المكونات يمكن أن يمتد تأثيره المتتالي ليشمل مصانع التصنيع، ومنشآت معالجة المياه، وشبكات الطاقة.

وهنا يكمن التحدي: تفتقر معظم العمليات الصناعية إلى الرؤية الكاملة لمشهد أصول التكنولوجيا التشغيلية (OT) الخاصة بها. ولا تزال العديد من المصانع تعتمد على جداول البيانات اليدوية، أو مخططات الشبكة القديمة، أو قوائم الموردين غير المكتملة. وعندما يحين موعد عمليات تدقيق الامتثال - أو الأسوأ من ذلك، عند وقوع حادث - تصبح تلك الرؤية المفقودة نقطة ضعف حرجة.

تستعرض معك هذه المدونة ما يعنيه اكتشاف الأصول حقاً لإدارة مخاطر سلاسل التوريد، وكيف يتوافق مع معايير NIST 800-161 و IEC 62443-4-1 و NIS2 CIP-013، وكيفية بناء برنامج عملي فعال في بيئتك. وسواء كنت مديراً للمصنع أو مهندس تكنولوجيا تشغيلية (OT) أو رئيساً لأمن المعلومات (CISO)، فستجد تكتيكات قابلة للتنفيذ يمكنك البدء في تطبيقها اليوم.

قبل أن نمضي قدماً، لا تنسَ الاطلاع على تدوينتنا السابقة حول التحليل العميق: هجوم برمجيات فدية Gentlemen على شركة Mackay Sugar من هنا

لماذا يعد اكتشاف الأصول أمراً حاسماً لإدارة مخاطر سلاسل التوريد

اكتشاف الأصول ليس مجرد ميزة إضافية تكميلية، بل هو الأساس لكل شيء آخر تبنيه.

عندما تقوم برسم خريطة لكل أصل - من وحدات التحكم الصناعية، وعقد الشبكة، وتكاملات الأطراف الخارجية، ونقاط الوصول عن بعد، إلى المستشعرات اللاسلكية - فإنك تكتسب القدرة على:

• تحديد تبعيات سلاسل التوريد: فهم الموردين والمكونات والأنظمة التي تغذي عملياتك الحيوية.

• كشف نقاط الوصول غير المصرح بها: العثور على الاتصالات غير المعتمدة مع أطراف خارجية، أو موردي الصيانة، أو تكاملات السحابة التي لم تتم الموافقة عليها رسمياً.

• تقييم التعرض للثغرات الأمنية: معرفة الأصول المعرضة للثغرات الأمنية الشائعة والمعروفة (CVEs)، أو البرمجيات التي انتهت فترة دعمها، أو إصدارات البرامج الثابتة غير المدعومة.

• التحقق من حالة الامتثال: إثبات لمدققي الحسابات أنك قمت بالفعل بجرد أنظمتك وتقييم مخاطرها.

• الاستجابة الأسرع للحوادث: أثناء أي حدث أمني، تتسبب بيانات الأصول غير المكتملة في إهدار ساعات عمل طوال. بينما تتيح لك الرؤية الكاملة عزل الأنظمة المتأثرة على الفور.

تتطلب إدارة مخاطر سلاسل التوريد هذه الرؤية. فلا يمكنك تقييم الضوابط الأمنية للموردين إذا كنت لا تعرف كل نقطة يتصلون من خلالها بشبكتك، ولا يمكنك تقييم وصول الأطراف الخارجية إلى البيانات إذا لم توثق من لديه اتصال مشروع.

NIST 800-161: إطار عمل إدارة مخاطر سلاسل التوريد

يوفر معيار NIST SP 800-161، ممارسات إدارة مخاطر سلاسل التوريد لأنظمة المعلومات الفيدرالية والمؤسسات، المعيار الحاكم لتقييم وإدارة مخاطر الموردين. ورغم أنه صُمم في الأصل للأنظمة الفيدرالية، إلا أن مبادئه تُعتمد الآن على نطاق واسع في مختلف القطاعات الصناعية.

مبادئ NIST 800-161 الأساسية

يتطلب معيار NIST 800-161 من المؤسسات القيام بما يلي:

1. رسم خريطة لمنظومة سلاسل التوريد: تحديد جميع الموردين والمكونات ومزودي الخدمات ونقاط التكامل.

2. تقييم مخاطر الموردين: تقييم النضج الأمني، والشهادات، وتاريخ الحوادث لكل مورد.

3. تحديد التدابير الحمائية: إلزام الموردين تعاقدياً بتلبية معايير أمنية محددة والإبلاغ عن الحوادث.

4. مراقبة أمن الموردين: إجراء تقييمات دورية، وطلب الوثائق الأمنية، والتحقق من الامتثال.

5. تطوير إجراءات الاستجابة: إعداد خطط التصعيد، ومتطلبات الإخطار بالحوادث، والجداول الزمنية للمعالجة.

كيف يُمكّن اكتشاف الأصول الامتثال لمعيار NIST 800-161

اكتشاف الأصول هو الخطوة الأولى نحو الامتثال لمعايير NIST. ويجب عليك معرفة:

• ما هي مكونات الأطراف الخارجية المدمجة في بيئة التكنولوجيا التشغيلية (OT) الخاصة بك.

• أين تتدفق البيانات إلى الأنظمة الخارجية (التحليلات السحابية، منصات مراقبة الموردين، إلخ).

• من هم الموردون الذين يمتلكون وصولاً عن بُعد إلى شبكاتك.

• ما هي الأنظمة القديمة أو البرمجيات منتهية الصلاحية التي قد تعتمد على شركاء سلاسل توريد معرضين للمخاطر.

بدون اكتشاف الأصول، فإنك تقوم أساساً بإجراء تقييم لمخاطر سلاسل التوريد دون رؤية واضحة.

المهام العملية لاكتشاف الأصول وفقاً لمعيار NIST 800-161:

• فهرسة جميع الأجهزة والبرمجيات والخدمات المشتراة والمستخدمة في أنظمة التكنولوجيا التشغيلية (OT).

• توثيق جميع عمليات التكامل التي يوفرها الموردون (واجهات برمجة التطبيقات APIs، أدوات المراقبة عن بُعد، تحديثات البرامج الثابتة).

• تحديد ورسم خرائط لجميع اتصالات الشبكة بالكيانات الخارجية.

• وضع علامة تحذيرية على أي أصول أو موردين ليس لديهم شهادات أمنية موثقة أو سجل حوادث معروف.

• إنشاء "سجل مخاطر الموردين" يربط كل أصل تم تحديده بالمورد الخاص به والمخاطر المرتبطة به.

IEC 62443-4-1: المعيار الصناعي لأمن سلاسل التوريد

يعد المعيار IEC 62443-4-1 (تطبيق IEC 62443-2-1 على أنظمة الأتمتة والتحكم الصناعي - تقييم المخاطر الأمنية) المعيار المعترف به من قبل ISO لتقييم أمن التكنولوجيا التشغيلية (OT). وخلافاً لمعيار NIST الذي يركز أساساً على الحوكمة، يقدم IEC 62443-4-1 دليلاً فنياً مفصلاً لتقييم الأمن على مستوى الأصول.

متطلبات جرد الأصول وفقاً لمعيار IEC 62443-4-1

يتطلب معيار IEC 62443-4-1 صراحة من المؤسسات الاحتفاظ بجرد شامل للأصول يتضمن:

• تحديد الأصول وتصنيفها: يجب فهرسة كل وحدة تحكم، ومستشعر، وبوابة، وجهاز شبكة وتصنيفه حسب الأهمية الأمنية.

• معلومات الموردين والمصنعين: ربط الأصول بالشركات المصنعة والموردين لها.

• حالة دورة الحياة: توثيق موعد نشر كل أصل، وموعد انتهاء دعمه، وموعد إيقافه عن العمل.

• الخصائص الأمنية: تسجيل حالة التحديثات، وقدرات المصادقة، ودعم التشفير، والثغرات الأمنية المعروفة.

• الاتصال وتدفق البيانات: رسم خريطة لكيفية اتصال كل أصل بالآخرين والبيانات التي يعالجها.

نموذج المناطق الأمنية الأربع

يستخدم معيار IEC 62443-4-1 نهجاً قائماً على المناطق للأمن. حيث تُجمع الأصول بناءً على الوظيفة والمتطلبات الأمنية:

ولكل منطقة، يجب أن يحدد اكتشاف الأصول:

• الأجهزة والأنظمة الموجودة مادياً.

• التبعيات الشبكية بين المناطق.

• تدفقات البيانات التي تدخل وتغادر المنطقة.

• الاتصالات الخارجية بالموردين أو الخدمات السحابية.

NIS2 CIP-013: اللائحة الأوروبية الملزمة لسلاسل التوريد

يشتمل توجيه الاتحاد الأوروبي لأمن الشبكات والمعلومات (NIS2) ولائحته التنفيذية EU 2024/1928 على **المعيار CIP-013** (أمن الاستيراد والمباني)، والذي يعالج تحديداً الأمن السيبراني لسلاسل التوريد. وأصبح هذا التنظيم إلزامياً الآن لمشغلي البنية التحتية الحيوية في أوروبا ويؤثر بشكل متزايد على المعايير العالمية.

متطلبات مخاطر سلاسل التوريد وفقاً لمعيار NIS2 CIP-013

يفرض معيار CIP-013 على مشغلي البنية التحتية الحيوية القيام بما يلي:

1. تحديد وفهرسة جميع الموردين والخدمات التي قد تؤثر على سرية الأنظمة الحيوية أو سلامتها أو توافرها.

2. إجراء تقييمات أمنية للموردين قبل دمج منتجاتهم أو خدماتهم.

3. وضع المتطلبات الأمنية للموردين من خلال اتفاقيات تعاقدية.

4. مراقبة امتثال الموردين بشكل مستمر.

5. تنفيذ متطلبات الإخطار بالحوادث لكي يقوم الموردون بالإبلاغ فوراً عن أي قرصنة أو أحداث أمنية.

وخلافاً لمعيار NIST 800-161 (الذي يقدم إرشادات توجيهية) أو معيار IEC 62443-4-1 (الفني)، فإن معيار NIS2 CIP-013 تنظيمي قانوني، ويترتب على عدم الامتثال له عقوبات وغرامات.

كيف يدعم اكتشاف الأصول الامتثال لمعيار NIS2 CIP-013

يدعم اكتشاف الأصول الامتثال لمعيار CIP-013 بشكل مباشر من خلال:

• إنشاء سجل التدقيق الفعلي: توثيق كل أصل من أصول التكنولوجيا التشغيلية (OT) ومورده، لإثبات الوفاء بمتطلبات الفهرسة.

• تمكين تقييم الموردين: معرفة أي الموردين يتطلب إجراء تقييمات أمنية رسمية وأيهم ينطوي على أكبر قدر من المخاطر.

• دعم إنفاذ العقود: استخدام بيانات الأصول للتحقق من أن الموردين يلتزمون فعلياً بالتزاماتهم الأمنية التعاقدية.

• إظهار العناية الواجبة: إثبات للجهات التنظيمية أنك بذلت العناية الواجبة والتقصي اللازم عبر سلسلة التوريد الخاصة بك.

تهديدات سلاسل التوريد الواقعية في بيئات التكنولوجيا التشغيلية (OT)

يتطلب فهم سبب أهمية اكتشاف الأصول معرفة التهديدات الفعلية القائمة:

ناقلات هجمات سلاسل التوريد

الأجهزة المخترقة: يمكن للمكونات المقلدة، أو البرامج الثابتة التي تحتوي على أبواب خلفية، أو الرقائق التي تم إضعافها عمداً، أن تتسلل إلى سلاسل التوريد. وبدون عملية اكتشاف الأصول، قد لا تعرف حتى أنك قمت بالشراء من موزع غير معتمد.

برمجيات الأطراف الخارجية المعرضة للخطر: تستخدم العديد من المصانع برمجيات صناعية قديمة تحتوي على ثغرات غير مرقعة. فإذا كانت هذه البرمجيات آتية من جهة تم الاستحواذ عليها أو تستخدم مكتبات مفتوحة المصدر بها عيوب مستغلة، فإن اكتشاف الأصول يساعدك على العثور عليها.

الوصول عن بُعد غير المصرح به: غالباً ما يطلب الموردون وصولاً عن بُعد لأغراض "المراقبة" أو "الدعم الفني". وبدون الرؤية الشاملة لجميع اتصالات الشبكة، يمكن لقنوات VPN غير المصرح بها، أو أجهزة المودم، أو تكاملات السحابة أن تظل نشطة دون أن يتم اكتشافها.

اختراق سلاسل التوريد عبر مزودي الخدمة: قد يتعرض مورد صيانة خارجي، أو شركة هندسية، أو موفر خدمة سحابية للاختراق، مما يعطي المهاجمين باباً خلفياً للوصول إلى شبكتك. ويكشف اكتشاف الأصول عن نقاط الاتصال هذه.

ثغرات البرامج الثابتة وسلسلة التحديثات: إذا كنت لا تعرف الأصول التي تشغل برامج ثابتة قديمة أو إصدارات أنظمة تشغيل غير محدثة، فلن تتمكن من تقييم ما إذا كانت معرضة لثغرات معروفة - أم أن هذه الثغرات وتسللت عبر سلاسل توريد مخترقة.

سيناريو من الواقع العملي

تخيل مصنعاً لتجهيز الأغذية يقوم بتشغيل أنظمة سكادا (SCADA) قديمة تتصل بمزود خدمات لوجستية خارجي عبر اتصال VPN قديم وغير مشفر. وبدون اكتشاف الأصول، لم يكن أحد يعلم بوجود هذا الاتصال - أو أنه لم يتم تحديثه منذ ثلاث سنوات. وعندما سأل مدققو الحسابات عن تكاملات الأطراف الخارجية، لم تكن لدى المصنع قائمة كاملة بذلك. وعندما وقع حادث بعد أشهر، وجد المحققون أن نفق VPN كان مخترقاً لعدة أشهر.

كان من شأن عملية اكتشاف الأصول أن تكشف هذا الأمر فوراً.

بناء برنامج فعال لاكتشاف أصول التكنولوجيا التشغيلية (OT)

إن اكتشاف الأصول ليس مشروعاً ينفذ لمرة واحدة، بل هو برنامج عمل مستمر. وإليك كيفية بنائه:

المرحلة الأولى: إنشاء أساس جرد الأصول

الخطوة 1: جمع الوثائق اليدوية ابدأ بجمع السجلات الحالية: مخططات الشبكة، وسجلات شراء المعدات، وقوائم الموردين، ووثائق النظام، وعمليات تدقيق الامتثال. فحتى البيانات غير المكتملة توفر خط أساس للبدء منه.

الخطوة 2: جولة تفقدية في المصنع اطلب من مهندسي التكنولوجيا التشغيلية (OT) القيام بجولة فعلية في المناطق الحيوية وتوثيق ما يرونه بالعين المجردة. التقط صوراً، وسجل الأرقام التسلسلية، ودون أي اتصالات أو تعديلات غير موثقة.

الخطوة 3: مقابلة أصحاب المصلحة تحدث مع مشغلي المصنع وفرق الصيانة والموردين، فهم غالباً على دراية بالحلول الالتفافية والمؤقتة، والاتصالات القديمة، والتكاملات غير الرسمية التي لا تظهر في الوثائق الرسمية.

الخطوة 4: إنشاء القائمة الرئيسية للأصول ابنِ جدول بيانات مركزياً أو قاعدة بيانات (كحد أدنى) تسجل ما يلي:

• اسم الأصل ونوعه (PLC، HMI، بوابة، مستشعر، إلخ)

• الشركة المصنعة والطراز

• عنوان IP أو معرف الشبكة

• إصدار البرنامج الثابت/البرمجيات

• تاريخ النشر والتشغيل

• المورد/الجهة المزودة

• تصنيف الأهمية (سلامة حرجة، أساسي، غير أساسي)

• تاريخ آخر تحديث/إصلاح للثغرات

• الثغرات الأمنية المعروفة

المرحلة الثانية: تحديد تبعيات سلاسل التوريد

الخطوة 1: رسم خريطة لعلاقات الموردين لكل أصل، قم بتوثيق المورد/الشركة المصنعة له. بحيث يشمل ذلك:

• اسم المورد وموقعه

• الشهادات الأمنية (ISO 27001، SOC 2، إلخ)

• مدى توفر الدعم/التحديثات

• متطلبات الوصول عن بُعد

الخطوة 2: فهرسة تكاملات الأطراف الخارجية وثق كل نقطة يتصل فيها طرف خارجي بشبكة التكنولوجيا التشغيلية (OT) الخاصة بك:

• الوصول عن بعد للموردين (أجهزة المودم، شبكات VPN، الأدوات السحابية)

• خدمات المراقبة والتحليلات القائمة على السحابة

• خدمات الصيانة والخدمات الهندسية الخارجية والاستشارية

• تغذية البيانات من الموردين أو العملاء في المراحل السابقة والمتقدمة

الخطوة 3: تقييم مخاطر الموردين بالنسبة للموردين ذوي المخاطر العالية، قم بتقييم ما يلي:

• استقرار الشركة (هل لا تزال تمارس نشاطها التجاري؟)

• الوضع الأمني (هل لديهم رئيس لأمن المعلومات CISO، وخطة استجابة للحوادث؟)

• تاريخ الحوادث (هل تم اختراقهم من قبل؟)

• الامتثال التنظيمي (هل يلبون المعايير اللائحية ذات الصلة؟)

المرحلة الثالثة: تنفيذ الاكتشاف الآلي

إن الاكتشاف اليدوي للأصول يساعدك في البداية، ولكنه لا يتناسب مع التوسع. لذا ينصح بتنفيذ أدوات تقوم بما يلي:

• مسح شبكاتك لتحديد الأجهزة النشطة وعناوين IP والمنافذ المفتوحة الخاصة بها.

• تحليل حركة مرور الشبكة للكشف عن تدفقات البيانات غير الموثقة، والتكاملات السحابية، والاتصالات الخارجية.

• المراقبة المستمرة للتغييرات ليتم تنبيهك فوراً عند اتصال أجهزة جديدة أو تعديل أصول موجودة.

• إنشاء تقارير الامتثال التي توائم بيانات أصولك مع متطلبات NIST 800-161 و IEC 62443-4-1 و NIS2.

المرحلة الرابعة: الصيانة والتحديث

عملية اكتشاف الأصول مستمرة وتتطلب:

• إجراء مراجعات ربع سنوية لجرد الأصول الخاص بك.

• تحديث تصنيفات الأهمية عند تغير ظروف الإنتاج أو ترقية الأنظمة.

• إعادة تقييم مخاطر الموردين سنوياً.

• توثيق التغييرات مع ذكر التاريخ، والسبب، واسم الشخص الذي وافق عليها.

• أرشفة الأصول الموقوفة عن العمل للاحتفاظ بسجل تاريخي كامل ومثالي.

قائمة التحقق العملية لاكتشاف الأصول

استخدم قائمة التحقق هذه لإطلاق برنامجك الخاص:

قائمة التحقق لتأسيس الاكتشاف

• [ ] جرد جميع أجهزة التكنولوجيا التشغيلية (OT) (أجهزة PLC، RTUs، IEDs، واجهات HMI، البوابات، المستشعرات)

• [ ] توثيق طبوغرافيا الشبكة (مخططات الشبكة، وتخصيصات VLAN، وجدران الحماية)

• [ ] فهرسة إصدارات البرمجيات والبرامج الثابتة لكل أصل

• [ ] تحديد جميع الأجهزة المتصلة بالإنترنت (مباشرة أو من خلال جسور الاتصال)

• [ ] إدراج جميع نقاط الوصول عن بُعد (أجهزة المودم، أجهزة VPN، التكاملات السحابية)

• [ ] رسم خريطة لتدفقات البيانات بين المناطق والأنظمة الخارجية

• [ ] تحديد بيانات الاعتماد الافتراضية التي لا تزال مستخدمة والتخطيط لتغييرها

• [ ] توثيق الشبكات اللاسلكية وضوابطها الأمنية والوقائية

قائمة التحقق لمخاطر سلاسل التوريد

• [ ] إنشاء مصفوفة للموردين (ربط كل أصل بالمورد والجهة المصنعة الخاصة به)

• [ ] التحقق من الشهادات الأمنية للموردين (الامتثال لمعايير ISO 27001، و NIST، و IEC 62443)

• [ ] تقييم سجل الحوادث للموردين (هل تعرضوا للاختراق مسبقاً؟)

• [ ] توثيق متطلبات الوصول عن بعد للموردين (شبكات VPN، الأدوات السحابية، أجهزة المودم)

• [ ] تحديد المتطلبات التعاقدية للموردين (اتفاقيات مستوى الخدمة SLAs، الإخطار بالحوادث، الضوابط الأمنية)

• [ ] إجراء إعادة تقييم سنوية لمخاطر الموردين

• [ ] إنشاء سجل لجميع عمليات وصول الأطراف الخارجية للبيانات (نوع البيانات، تكرار الوصول، ومدة الاتصال)

قائمة التحقق لمواءمة الامتثال

بالنسبة لمعيار NIST 800-161:

• [ ] توثيق تقييم مخاطر سلاسل التوريد

• [ ] استكمال نموذج تقييم أمن الموردين لجميع الموردين الحيويين

• [ ] إدراج لغة تعاقدية تفرض وجود ضوابط أمنية لدى المورد

• [ ] أدلة وإثباتات على مراقبة الموردين (تقارير التدقيق، التقييمات الأمنية)

بالنسبة لمعيار IEC 62443-4-1:

• [ ] تصنيف جميع الأصول حسب المستوى الأمني (SL 1–4)

• [ ] توثيق مدى أهمية الأصول والتبعيات المتبادلة بينها

• [ ] تحديد حالة دورة الحياة لكل أصل (منشور قيد التشغيل، منتهي الدعم، ملغى مهجور)

• [ ] جرد قائم على المناطق (السلامة، التحكم، المعلومات، الأطراف الخارجية)

بالنسبة لمعيار NIS2 CIP-013:

• [ ] قائمة رئيسية بالموردين تحدد جميع الكيانات التي تمتلك وصولاً إلى الأنظمة الحيوية

• [ ] تقارير تقييم أمن الموردين

• [ ] اتفاقيات تعاقدية تتضمن متطلبات الإخطار الفوري بالحوادث

• [ ] سجل تدقيق لمراقبة امتثال الموردين

خارطة طريق تنفيذ اكتشاف الأصول

إليك جدولاً زمنياً عملياً لبرنامج اكتشاف الأصول ونشره:

التغلب على التحديات الشائعة

التحدي 1: الأنظمة القديمة أو المملوكة لجهات محددة بشكل حصري تأتي العديد من المصانع بمعدات تعمل منذ أكثر من 20 عاماً. وقد لا تتعرف أدوات اكتشاف الأصول التقليدية على البروتوكولات القديمة أو الأنظمة الحصرية الخاصة بجهات الصنع.

الحل: اجمع بين المسح الآلي والتحقق اليدوي. واعمل جنباً إلى جنب مع مهندسي التكنولوجيا التشغيلية (OT) الذين يألفون الأنظمة القديمة لضمان عدم إغفال أي شيء.

التحدي 2: مقاومة التغيير قد يشعر المشغلون بالقلق من أن يؤدي فحص الشبكات ومسحها إلأى مقاطعة العمليات التشغيلية، أو أن التوثيق الإلزامي سيخلق أعباء عمل إضافية.

الحل: أكد لهم بأن اكتشاف الأصول يساهم في الواقع في منع الانقطاعات من خلال كشف المشاكل الأمنية ومعالجتها قبل أن تتسبب في توقف كلي. واعرض المسألة على أنها عملية عناية واجية وليست عقاباً.

التحدي 3: قيود الموارد تفتقر العديد من المصانع إلى موظفين متخصصين في الأمن السيبراني لإجراء اكتشاف وتتبع الأصول.

الحل: ابدأ بأنظمتك الأكثر عرضة للمخاطر. وركز أولاً على مناطق السلامة الحرجة واتصالات الأطراف الخارجية، واستخدم نهج الإطلاق المتدرج والمرحلي بدلاً من محاولة القيام بكل شيء دفعة واحدة.

التحدي 4: ممانعة الموردين قد يبدي بعض الموردين تردداً أو رفضاً عند مطالبتهم بشهاداتهم الأمنية أو تاريخ الحوادث الأمنية لديهم.

الحل: أوضح لهم وبكل حسم أن إجراء العناية الواجبة غير قابل للتفاوض أو النقاش. وأدرج متطلبات أمن الموردين في الاتفاقيات والعقود منذ البداية كشرط رئيسي بدلاً من محاولة فرضها بأثر رجعي.

مواءمة اكتشاف الأصول مع عملياتك الأمنية

اكتشاف الأصول ليس مجرد مهمة امتثال معزولة، بل هو الركيزة الأساسية لكل شيء آخر:

• تعتمد إدارة الثغرات الأمنية كلياً على معرفة الأصول الموجودة لديك وما هي الأصول المعرضة للخطر.

• تتطلب عمليات كشف التهديدات فهماً مسبقاً لأنماط حركة المرور الطبيعية، وهو ما لا يمكنك تحديد معاييره القياسية إلا بعد رسم خرائط لجميع أصولك.

• تصبح عمليات الاستجابة للحوادث أسرع بمراتب عندما تعرف بدقة العناصر التي تمتلكها ومن يمتلك صلاحيات الوصول إليها.

• يستحيل الدفاع التنظيمي والقانوني دون تقديم دليل ملموس على قيامك بالعناية الواجبة وتوثيقها.

يفيد اكتشاف الأصول أيضاً في صياغة وتوجيه:

• سياسات التحكم في الوصول (من يجب أن يمتلك حق الوصول عن بُعد، ومتى، وإلى أي أنظمة)

• جداول إدارة تحديثات الأمان وحل الثغرات (ما هي الأصول الأكثر أهمية وتتطلب تحديثات عاجلة وطارئة)

• إجراءات النسخ الاحتياطي والاستعادة (ما هي الأنظمة التي يجب نسخها احتياطياً والبدء باستعادتها أولاً في حال الطوارئ)

• عقود إدارة الموردين (الضوابط الأمنية المحددة والمطلوبة من هؤلاء الموردين)

وعندما يتم اكتشاف الأصول بالشكل الصحيح، فإنه يتحول إلى وثيقة حيوية حية ترشد وتوجه جميع القرارات الأمنية اللاحقة والمستقبلية.

البدء بالعمل اليوم

أنت لا تحتاج إلى أدوات مثالية أو ميزانية غير محدودة لتبدأ؛ بل تحتاج إلى الالتزام والمنهجية المنظمة في العمل.

هذا الأسبوع:

• حدد موعداً لاجتماع تمهيدي يضم فرق التكنولوجيا التشغيلية (OT)، وتكنولوجيا المعلومات (IT)، والامتثال والتنظيم.

• قم بتعيين مسؤول لإدارة برنامج اكتشاف الأصول (شخص تقع على عاتقه مسؤولية قيادة المبادرة تتبعها).

• اجمع المستندات والوثائق المتوفرة حالياً (مخططات الشبكة، قوائم الأصول المعمول بها، وعقود الموردين).

الشهر المقبل:

• أكمل قائمتك الرئيسية للأصول بالكامل باستخدام قائمة التحقق المذكورة أعلاه.

• حدد أفضل 10 موردين تتعامل معهم وقم بتقييم وضعهم الأمني.

• ارسم خريطة واضحة لجميع اتصالاتك الخارجية (اتصالات VPN، تكاملات السحابة، والوصول عن بُعد).

الربع السنوي القادم:

• قم بنشر وتفعيل أدوات لاكتشاف الأصول آلياً لدعم واستكمال الوثائق اليدوية الخاصة بك.

• أجرِ تقييماً لمخاطر سلاسل التوريد بشكل يتوافق تماماً مع متطلبات NIST 800-161، أو IEC 62443-4-1، أو NIS2 CIP-013.

• ابدأ بمعالجة النتائج الأكثر خطورة وتهديداً لبيئتك (التحديثات المفقودة، الوصول غير المصرح به، الموردون غير المدعومين).

وكلما طالت فترة انتظارك وبقائك دون اتخاذ إجراء، كلما تركت ثغراتك مفتوحة ومعرضة للاستغلال - وبالتالي يزداد حجم المخاطر المحيطة بسلسلة التوريد الخاصة بك.

الخلاصة:

لم تعد هجمات سلاسل التوريد مجرد مفهوم نظري، بل إنها تحدث الآن بشكل فعلي، وغالباً ما تبدأ من الفجوات الموجودة في وضوح رؤية أصولك وتتبعها.

ومن خلال تنفيذ برنامج اكتشاف شامل وشامل للأصول التشغيلية (OT) يتوافق مع معايير NIST 800-161، و IEC 62443-4-1، و NIS2 CIP-013، فإنك تكتسب الرؤية الكاملة التي تؤهلك للقيام بما يلي:

• تحديد كافة مخاطر سلاسل التوريد والتعامل معها قبل أن تتحول إلى هجوم أو حادث أمني.

• إثبات حالتك في الامتثال بالكامل أمام المدققين والجهات التنظيمية المسؤولة.

• تسريع الاستجابة للحوادث بفعالية في حالة وقوع أي خروقات أمنية.

• اتخاذ قرارات صائبة ومبنية على أساس صحيح فيما يتعلق بالأنظمة والموردين الذين يحظون بالأولوية القصوى.

• حماية البنية التحتية الحيوية لديك من التعرض للاختراق السيبراني عبر سلاسل التوريد.

عملية اكتشاف الأصول ليست خالية من التحديات والمفاجآت؛ فمن الطبيعي أن تعثر على أنظمة غير موثقة، أو تكشف عن علاقات ومصادر توريد لم تكن على علم بها، وقد تكتشف حقائق صعبة ومقلقة حول وضعك الحالي. ولكن تلك الرؤية على وجه التحديد هي الكفيلة والضمانة الحقيقية لإبقائك دائماً متقدماً بخطوات على المهاجمين المحتملين.

الخطوات التالية

لتسريع وتيرة برنامج اكتشاف الأصول لديك، يمكنك تحميل مواردنا المجانية المتاحة:

• قائمة جرد وتتبع أصول التكنولوجيا التشغيلية (OT): نموذج مفصل بالكامل يمكنك تخصيصه ومواءمته مع احتياجات بيئتك، وبما يتوافق مع متطلبات NIST 800-161 و IEC 62443-4-1 و NIS2.

• دليل إجراءات تقييم مخاطر الموردين: إرشادات توجيهية خطوة بخطوة لتقييم ضوابط الأمن لدى الموردين وتوثيق ممارسات العناية الواجبة.

• نموذج مصفوفة رسم خرائط الشبكة وتحديد الأهمية: جدول بيانات منظم يساعدك في فرز وترتيب أصولك بحسب المناطق، ودرجة الأهمية، والتأثير والمورد.

أو يمكنك طلب استشارة مجانية من فريق الخبراء لدينا. حيث سنساعدك في تقييم الفجوات الحالية في رؤية أصولك، ومواءمة برنامجك مع المتطلبات التنظيمية الصارمة، وتصميم خارطة طريق مخصصة تتلاءم مع القيود الفريدة لمنشأتك ومصنعك. إن استمرارية عملياتك ونجاحها معلق وموثوق بأمن سلسلة التوريد الخاصة بك، وأمن سلسلة توريدك يبدأ من نجاحك في اكتشاف وتتبع أصولك؛ فلا تترك الأمر للتخمين والمصادفة.

مصادر إضافية مفيدة لبيئتك الأمنية:

الدليل الشامل لكشف الشبكات والاستجابة للتهديدات (NDR) لعام 2026 من هنا
قائمة جاهزية مراقبة أمن الشبكات الداخلية لمؤسسات وشركات الكهرباء وفقاً لـ NERC CIP-015 من هنا
الدليل التأسيسي لمركز العمليات الأمنية في التكنولوجيا التشغيلية (OT SOC) من هنا
خدمات مركز العمليات الأمنية المدارة (Managed SOC) من هنا
التقرير الاستشاري الاستخباراتي حول التهديدات السيبرانية للتكنولوجيا التشغيلية (OT) - الشرق الأوسط من هنا
توجيه NIS2 وتحقيق الامتثال الكامل بالتوجيه عبر معيار IEC 62443 الصناعي من هنا
ما هي الوسائط القابلة للإزالة؟ المخاطر، السياسات، والحلول الأمنية للتكنولوجيا التشغيلية (OT) من هنا
نموذج سياسة استخدام الوسائط القابلة للإزالة مجاناً لفرق التكنولوجيا التشغيلية (OT) وتكنولوجيا المعلومات (IT) من هنا