سد الفجوة بين أمن تكنولوجيا المعلومات والتكنولوجيا التشغيلية بإجراءات سهلة التنفيذ

الصفحة الرئيسية

مدونات

سد الفجوة بين أمن تكنولوجيا المعلومات والتكنولوجيا التشغيلية بإجراءات سهلة التنفيذ

فجوة الأمان بين تكنولوجيا المعلومات وعمليات التشغيل

بريوكث ك ف

23 أكتوبر 2025

سد الفجوة الأمنية بين تقنية المعلومات وتكنولوجيا العمليات عبر تدابير سهلة التنفيذ

بصفتي رئيس قسم أمن المعلومات (CISO)، أنا متأكد أنك أتقنت فن الدفاع عن المؤسسة على كافة المستويات. تحمي البيانات، تدير مخاطر السحابة، تضمن الامتثال وتأمين النقاط الطرفية. تقسيم الشبكات وتطبيق تدابير الأمان بشكل خاص على شبكات وأنظمة تكنولوجيا العمليات يمثل تحديات أخرى تمامًا.

بالنسبة لرئيس قسم أمن المعلومات، يشكل دمج تكنولوجيا العمليات وتكنولوجيا المعلومات صندوق باندورا من المخاطر العالية. الهجوم على شبكة تكنولوجيا المعلومات قد يؤدي إلى اختراق البيانات أو فقدانها. لكن الهجوم على شبكة تكنولوجيا العمليات يمكن أن يؤدي إلى إيقاف المصنع، وفقدان الحصة السوقية، وكارثة بيئية، وغرامات تنظيمية ضخمة أو حتى فقدان الأرواح.

المخاطر تختلف من منظور حوكمة وتأثير الأعمال والأولويات التشغيلية. تختلف التكنولوجيا ويجب أن يختلف نهجك. يجب أن تكون سياسة الأمان الخاصة بك مختلفة. هذه هي خريطتك لسد الفجوة.

اقرأ كل شيء عن الهجوم السيبراني على مصنع أساهي هنا.

فجوة الأمان بين تكنولوجيا المعلومات وتكنولوجيا العمليات: لماذا تهم؟

لا يمكنك حماية ما لا تراه أو تفهمه. التحدي الأساسي لرؤساء أمن المعلومات هو أن أنظمة تكنولوجيا المعلومات وتكنولوجيا العمليات مبنية وتعمل على فلسفات مختلفة جذريًا. علاوة على ذلك، جوانب مثل رؤية الأصول شيء يتم اعتباره أمرًا مسلمًا به في جانب تكنولوجيا المعلومات ولكن في شبكة تكنولوجيا العمليات، قد لا يكون مستوى الرؤية كما ينبغي. كيف يمكنك حينها جلب الأمان في تكنولوجيا العمليات إلى مستوى الأمان الذي تعمل به شبكات تكنولوجيا المعلومات الخاصة بك؟

من الضروري أن نتذكر أن تطبيق منطق أمان تكنولوجيا المعلومات على بيئة تكنولوجيا العمليات ليس فقط غير فعال؛ إنه أمر خطير للغاية.

دعني أشرح ذلك لك أكثر.

العامل	تقنية المعلومات (IT)	تكنولوجيا العمليات (OT)
الهدف الرئيسي	السرية والنزاهة (ثالوث "CIA")	التوفر والسلامة (ثالوث "ASA")
الأولوية العليا	حماية البيانات	الحفاظ على العملية الفعلية بشكل آمن، الامتثال (لمشغلي البنية التحتية الحيوية)
الوقت الضائع	مقبول للتحديث والصيانة (مثلاً، "ثلاثاء التصحيح")	غير مقبول. يمكن أن يكلف ملايين في الساعة ويخلق مخاطر أمنية.
دورة حياة النظام	3-5 سنوات. تحديثات واستبدالات دورية.	15-25+ سنة. شعار "إذا لم ينكسر، لا تصلحه".
البيئة	مراكز بيانات خاضعة للتحكم في المناخ	الأرضيات الصناعية القاسية والوعرة (الحرارة، الغبار، الاهتزاز)
البروتوكولات	قياسية (مثل TCP/IP، HTTPS)	غالبًا ما تكون مملوكة وغير مشفرة (مثل Modbus، Profinet)
تأثير الهجوم	فقدان البيانات، السرقة المالية، الضرر السمعة	الإخلال الجسدي، التلف المعدات، الغرامات التنظيمية، التسريبات البيئية، الإصابات البشرية أو الموت.
رؤية الأصول	عالية	متوسط إلى منخفض

تلك الفجوة تهم لأن قوتك الأكبر في أمن تقنية المعلومات يمكن أن تكون ضعفك الأكبر في تكنولوجيا العمليات.

العقبات: لماذا لا تعمل "نسخ ولصق" أمان تكنولوجيا المعلومات على تكنولوجيا العمليات

محاولة فرض ضوابط أمان تكنولوجيا المعلومات على شبكة تكنولوجيا العمليات هي وصفة للفشل. هذه الاستراتيجية تفشل تقريبًا دائمًا لأسباب ذُكرت في الجزء السابق من هذا المقال.

فحص الثغرات يعطل الأمور: فحص البورتات النشط من أي ماسح للثغرات في التكنولوجيا المعلوماتية يمكن أن يربك المعالج ذو النطاق الترددي المنخفض الخاص بوحدة تحكم منطقية قابلة للبرمجة عمرها 20 عامًا بسرعة، مما يتسبب في تعطلها وإيقاف خط الإنتاج.
فوضى التحديثات: لا يمكنك فقط إعادة تشغيل التوربينات لشبكة الطاقة أو مفاعل مجموعة الأدوية لتطبيق تحديث. يجب إدارة تحديثات تكنولوجيا العمليات بدقة خلال فترات الصيانة المجدولة، والتي قد تحدث مرة أو مرتين فقط في السنة. علاوة على ذلك، يجب اختبار التحديث قبل النشر.
فيروس الحاسب يعوق الأداء: برامج مضادة الفيروسات التقليدية العاملة على واجهة الآلة البشرية (HMI) التي تتحكم في العملية السريعة العالية يمكن أن تستهلك الكثير من دورات وحدة المعالجة المركزية الحاسمة، وتخلق تأخيرًا، وحتى تعطل العمليات في الوقت الفعلي.
الثقة الصفرية؟ في حين أن هذا مفهوم حيوي، فإن تطبيق الثقة الصفرية في بيئة مليئة بالأجهزة القديمة التي لا تدعم التحقق الحديث يمثل تحديًا كبيرًا. لا يمكنك ببساطة وضع مطالبة بالتحقق على جهاز استشعار.

فرض أمان تكنولوجيا المعلومات على تكنولوجيا العمليات يعطل الأمور كما ذُكر سابقًا.

خارطة الطريق الخاصة بك: حيث تبدأ رحلة أمن تكنولوجيا العمليات

بالنسبة لكثير من رؤساء أمن المعلومات، تعتبر بيئة تكنولوجيا العمليات غالبًا صندوق أسود. يجب أن تبدأ رحلتك بأبسط متطلبات أمان تكنولوجيا العمليات وهو الرؤية. ببساطة لا يمكنك تأمين ما لا ترى.

أين تبدأ؟

بناء الجسور وليس الجدران (الأشخاص والحكومة)

خطوتك الأولى ليست تقنية. إنها ثقافية. لقد كان مديرو النباتات والمهندسون المسيطرون في عالم تكنولوجيا العمليات يديرون هذه الأنظمة لعقود. إنهم يتحدثون لغة مختلفة (وحدات تحكم منطقية، وليست واجهات برمجة التطبيقات) ولديهم أولويات مختلفة (التشغيل المستمر، وليس التصحيحات).

الشراكة مع مدير المصنع: اذهب إلى أرضية المصنع. ارتدي الخوذة الصلبة. إسألهم: "ما الذي يبقيك مستيقظًا في الليل؟" و"ما هو السيناريو الأسوأ في هذه الحالة؟"
تكوين فريق عبر الوظيفي: إنشئ لجنة حوكمة أمان التقنية المعلوماتية - التقنية التشغيلية. تضم المدير التنفيذي للمعلومات (أنت)، رئيس الهندسة أو العمليات، ومديري المصانع، وقادة الشبكات في تقنية المعلومات.
تأسيس هدف مشترك: ليس هدفك فقط "الأمن." بل هو "العمليات الآمنة والموثوقة." اطرب كل قرار وفقًا لهذا الهدف المشترك.

إنشاء جرد وجود أصول "الجوهرة التاجية"

لا يمكنك ببساطة البدء بفحص الثغرات. يجب أن تبدأ بجرد الأصول بشكل سلبي. استخدم أداة للكشف والمراقبة والتخفيف مصممة لشبكات تكنولوجيا العمليات تستمع إلى المرور بدون استجواب الأجهزة بصورة نشطة مثل Shieldworkz.

هدفك هو الإجابة عن:

ما هي الأجهزة الموجودة على شبكتي؟ (وحدات التحكم والواجهات البشرية والمحركات القابلة للتوضيع والمستشعرات)
مع من يتواصلون؟ (ما هو السلوك المعتاد؟)
ما هي البروتوكولات التي يستخدمونها؟
ما هي الثغرات الخاصة بهم؟ (يتم ذلك عن طريق مطابقة إصدارات الجهاز/البرامج الثابتة مع قاعدة بيانات الثغرات، وليس بواسطة المسح النشط).

تحديد "الجواهر التاجية" الخاصة بك للعمليات الأكثر أهمية. أي اختراق أي نظام سيتسبب في حادثة أمان أو إغلاق كلي؟ ركز جهودك هناك أولاً.

إجراء تقييم للمخاطر بناءً على العواقب

انس مصفوفة المخاطر التقليدية "العالية/المتوسطة/المنخفضة" المبنية على درجات CVSS. في تكنولوجيا العمليات، ليست المخاطر تتعلق فقط بالثغرة؛ إنها تتعلق بـالعواقب.

ثغرة منخفضة المستوى على جهاز IT غير حساس هي مسألة ثانوية. لكن نفس الثغرة على وحدة تحكم في برميل الغلاية؟ هذا خطر حرج مهدد للحياة.

اسأل هذه الأسئلة لأصولك الحرجة:

ما هو أسوأتعليق جسدي للعواقب؟ (مثل الانفجار، الإفراج السام، توقف خط التجميع)
ما هو التأثير التشغيلي؟ (مثل ساعة واحدة من التوقف مقابل 3 أيام)
ما هو التأثير المالي لذلك التوقف؟

سيظهر لك هذا النموذج الجديد للمخاطر أين تبدأ أولوياتك المحدودة في الميزانية والموارد على الفور.

استخدام معيار IEC 62443 كنجم الشمال

لا تحتاج إلى إعادة اختراع العجلة. إن السلسلة IEC 62443 هو المعيار الذهبي العالمي لأنظمة الأتمتة والتحكم الصناعي (IACS) لأمن تكنولوجيا العمليات.

فكر في الأمر كنظام "NIST CSF لتكنولوجيا العمليات." إنه إطار شامل يستند إلى المخاطر لأصحاب الأصول، ومتكاملي الأنظمة، وموردي المنتجات. بالنسبة للمدير التنفيذي للمعلومات ، يوفر لغة وهيكلًا واضحًا لبرنامجك.

المفاهيم الرئيسية من معيار IEC 62443 لاعتمادها فورًا:

المناطق والقنوات: هذا هو قلب المعيار. لا تحاول تأمين شبكة مفروشة ومساحة مفتوحة لتكنولوجيا العمليات. قم بتجميع الأصول بشكل منطقي في مناطق بناءً على وظيفتها وأهميتها (مثل "منطقة التحكم في الغلاية،" و"منطقة خط التعبئة"). يجب أن تمر جميع الاتصالات بين هذه المناطق عبر قناة محددة (مثل جدار ناري) حيث يمكنك فرض سياسات الأمان.
مستويات الأمان (SLs): يحدد المعيار IEC 62443 أربعة مستويات أمان (SL 1-4) بناءً على مهارة المهاجم ودوافعه. بدلاً من أن تسأل "هل هذا آمن؟" يمكنك أن تسأل، "ما هو مستوى الأمان المستهدف (SL-T) لهذه المنطقة؟" هذا يساعدك على تطبيق ضوابط ملائمة، وليس كل الضوابط.

استخدام هذا الإطار يتماشى مع أفضل الممارسات العالمية ويوفر لك معيارًا معقولًا للبناء عليه.

بناء سياسة أمن تكنولوجيا العمليات منفصلة

سياسة أمان تكنولوجيا المعلومات الحالية لديك ليست مناسبة للبيئة التشغيلية في تكنولوجيا العمليات. يجب عليك تطوير سياسة أمن تكنولوجيا العمليات متخصصة بالتعاون مع فرق الهندسة والعمليات.

يجب أن تكون هذه السياسة واضحة وموجزة وتتركز على الواقع التشغيلي.

مثال سياسة IT	المكافئ في سياسة OT
"يجب تصحيح جميع الأنظمة خلال 30 يومًا من اكتشاف الثغرة."	"سوف تُختبر التحديثات في بيئة غير إنتاجية وتُطبق بواسطة موظفي الهندسة المعتمدين خلال نافذة الصيانة المقررة التالية في المصنع."
"تتطلب جميع حسابات المستخدم التدوير كل 90 يومًا."	"ستستخدم الحسابات على مستوى النظام في الواجهات البشرية الحرجة، كلمات مرور طويلة ومعقدة. الوصول عن بعد ممنوع افتراضيًا ويُفعّل فقط للبائعين المحددين لمدة محدودة عبر بوابة آمنة ومراقبة."
"وسائط النقل القابلة للإزالة (USB) معطلة في جميع النقاط الطرفية."	"يمكن استخدام أجهزة USB المعتمدة والمفحوصة فقط من قبل الموظفين المخولين. ستتوفر 'محطة فحص USB' مخصصة عند مدخل المصنع."

يجب أن تغطي سياستك بشكل واضح:

الوصول عن بعد: من، كيف، متى، ولماذا. هذا هو ناقل الهجوم الرئيسي.
تقسيم الشبكة: فرض نموذج "المناطق والقنوات".
إدارة التغيير: كيف تتغير منطق وحدات التحكم، شاشات واجهات الأجهزة البشرية، وقواعد الجدار الناري، ومن يجب أن يوافق عليها؟
الاستجابة للحوادث: خطة خاصة لتكنولوجيا العمليات. (انظر الأسفل)

كيفية تتبع تقدم أمن تكنولوجيا العمليات الخاصة بك (فقط المقاييس التي تهم)

يفهم أعضاء مجلس الإدارة المال والمخاطر، وليس التقاطات الباكتات. تحتاج إلى ترجمة تقدم أمن تكنولوجيا العمليات الخاصة بك إلى مقاييس ذات صلة بالأعمال.

تعدى المقاييس الأساسية لتكنولوجيا المعلومات واعتمد لوحة مؤشرات متوازنة.

المقاييس التشغيلية (للفريق)

نسبة تغطية جرد الأصول: النسبة المئوية للأصول في تكنولوجيا العمليات التي تم تحديدها وتصنيفها.
رؤية الشبكة: النسبة المئوية لقطاعات الشبكة المراقبة لسلوك شاذ.
متوسط الوقت اللازم للكشف (MTTD): ما مدى سرعة كشفك عن أمر ضار أو اتصال عن بُعد غير مصرح به؟ هذا أهم من MTTR.
حالة التصحيح/الثغرة: لا "عدد الأنظمة غير المصححة،" بل على العكس "النسبة المئوية للثغرات الحرجة مع وجود تحكم تعويضي فيها" (مثل تقسيم الشبكة أو التصحيح الافتراضي).

المقاييس الاستراتيجية (لمجلس الإدارة)

تخفيض المخاطر: أظهر درجة المخاطر "قبل" و"بعد" للعمليات التي تشملها عمليات الجوهرة التاجية بناءً على تقييمك القائم على العواقب.
تحقيق مستوى الأمان (SL): أظهر التقدم: "العام الماضي، نسبة 10 بالمائة من المناطق الحساسة لدينا حققت مستوى الأمان المستهدف كما حددته المعيار IEC 62443. هذا العام، نحن عند 40 بالمائة."
جاهزية الاستجابة للحوادث: النسبة المئوية للمصانع التي أكملت تدريب محاكاة لطاولة العمليات خاص بتكنولوجيا العمليات في الـ 12 شهرًا الماضية.
تعرض المخاطر الكمي: استخدم النماذج (مثل FAIR) لإرفاق مبلغ بالدولار إلى مخاطر تكنولوجيا العمليات. "من خلال تطبيق تقسيم الشبكة، قمنا بتقليل خسائرنا المحتملة (أو حتى المخاطر) من إغلاق مصنع بالكامل بمقدار XX مليون دولار."

قائمة مرجعية لمدير أمن المعلومات لأمن تكنولوجيا العمليات: خطة لمدة عام

لقد قمت بإعداد قائمة مرجعية ستساعدك في تشغيل برنامج أمان تكنولوجيا العمليات الخاص بك بسلاسة؟ لا تتردد في إضافة نقاط إضافية.

المرحلة 1: التقييم والحكومة (الأشهر 1-3)

[ ] بناء الفريق: تشكيل جنة حوكمة أمان تكنولوجيا المعلومات - تكنولوجيا العمليات.
[ ] زيارة الموقع: قم بزيارة أرضية المصنع. استمع إلى المهندسين.
[ ] نشر أداة الجرد السلبي للأصول: ابدأ بالحصول على الرؤية.
[ ] تحديد 3-5 عمليات "الجوهرة التاجية": العثور على ما يهم أكثر.
[ ] إجراء تقييم للمخاطر على مستوى عال: ركز على أسوأ العواقب المحتملة.

المرحلة 2: الأمان والتقسيم (الأشهر 4-9)

[ ] صياغة الإصدار الأول من سياسة أمن التكنولوجيا التشغيلية: التعاون مع العمليات لتأليفها.
[ ] تصميم بنية "المناطق والقنوات" الخاصة بك: ابدأ مع الجواهر التاجية الخاصة بك.
[ ] تنفيذ قناتك الأولى (إذا لم تكن قد قمت بذلك): تركيب جدار ناري لحماية منطقتك الأكثر أهمية.
[ ] تأسيس وصول آمن عن بُعد: تخلص من جميع المودمات غير الآمنة والاتصالات غير المؤمنة. أنشئ بوابة واحدة آمنة ومراقبة.
[ ] تطوير خطة الاستجابة للحوادث الخاصة بتكنولوجيا العمليات: تحديد من يفعل ماذا عند احتمال تعريض وحدة تحكم للخطر.

المرحلة 3: المراقبة والنضج (الأشهر 10-12)

[ ] نشر المراقبة الشبكية: ابدأ بمراقبة الترافيك غير المعتاد والتهديدات بنشاط.
[ ] تشغيل أول تدريب محاكاة لطاولة العمليات الخاصة بتكنولوجيا العمليات: محاكاة هجوم واقعي (مثل برنامج ضار يُصيب واجهة آلة بشرية).
[ ] إنشاء لوحة القيادة الخاصة بمؤشرات الأداء: ابدأ بتتبع تقدمك (تغطية الأصول، تخفيض المخاطر).
[ ] تدريب الفرق الخاصة بك: إجراء التدريب الأساسي للوعي الأمني الموجه لموظفي أرضية المصنع.

تحدث إلى خبير برنامج أمان تكنولوجيا العمليات لدينا

تعرف على تأمين جواهرك مع حل NDR الخاص بـShieldworkz.

هل أنت مستعد لإجراء تقييم مخاطر قائم على IEC 62443؟ تحدث معنا الآن.

تعرف على كل شيء عن الهجوم السيبراني على المطارات الأوروبية. هنا