إنشاء برنامج للأمن السيبراني في تكنولوجيا التشغيل باستخدام IEC 62443 و NIST SP 800-82
فريق شيلدوركز
نشارك اليوم دليلاً للممارسين حول كيفية الجمع بين أفضل إطارين لأمن التكنولوجيا التشغيلية (OT) في العالم لإنشاء برنامج قوي وفعال على أرض الواقع.
تفشل معظم برامج الأمن السيبراني للتكنولوجيا التشغيلية (OT) ليس بسبب الاختيارات التقنية السيئة، بل لأنها أُسست على أطر عمل مستعارة من تكنولوجيا المعلومات لم تُصمم قط لبيئات يمكن أن يؤدي فيها خطأ في ضبط الإعدادات إلى تعريض الأرواح للخطر. هذا المقال هو دليل عملي كُتب للأشخاص الذين يعملون في صالات المصانع، ويتفاوضون مع موردي أنظمة التحكم الموزعة (DCS) بشأن تحديثات البرامج الثابتة (firmware)، ويتعين عليهم أن يشرحوا لإدارة العمليات سبب كون أداة التحكم الأمني التي يبدو تطبيقها منطقياً للغاية في مركز بيانات تكنولوجيا المعلومات قد تسبب توقفاً مفاجئاً غير مرغوب فيه في محطة ضواغط. |
قبل أن نمضي قدماً، لا تنسوا الاطلاع على منشور مدونتنا السابق حول مجموعة أدوات أمن سلسلة توريد تكنولوجيا المعلومات والاتصالات الجديدة للاتحاد الأوروبي، هنا.
لماذا نحتاج إلى إطارين عمل ولماذا نستخدمهما معاً؟
من الأخطاء الشائعة والمفهومة اختيار إطار عمل واحد وبناء برنامج كامل حوله حصرياً. وغالباً ما يتساءل مديرو البرامج: هل معيار IEC 62443 كافٍ بمفرده؟ هل إرشادات NIST SP 800-82 كافية؟ الجواب على كلا السؤالين هو: ليس تماماً، وإليكم السبب.
يعتبر IEC 62443 معياراً هندسياً تم تطويره من قِبل الجمعية الدولية للأتمتة (ISA) واعتماده من قِبل اللجنة الكهرتقنية الدولية (IEC) بمشاركة وثيقة من مهندسي أنظمة التحكم، ومحترفي سلامة العمليات، وموردي التكنولوجيا التشغيلية (OT). تركز بنيته الأساسية على بيئة المصنع عبر المناطق والممرات (Zones & Conduits)، ومستويات الأمان، ومتطلبات المكونات، وسلسلة توريد مزودي الخدمات. فهو يحدد الخصائص الأمنية التي يجب أن تتوفر في أنظمتكم، والأهم من ذلك، يحدد درجتها بدقة.
أما معيار NIST SP 800-82 بإصداره الثالث والأحدث (المنشور في سبتمبر 2023)، فهو يمثل وثيقة إرشادية في المقام الأول. إنه معيار وصفي وليس توجيهياً، حيث يوضح الأمور التي ينبغي عليكم مراعاتها وكيفية التفكير في أمن أنظمة التحكم الصناعية والتكنولوجيا التشغيلية (ICS/OT). كما أنه يتوافق مع إطار الأمن السيبراني للمعهد الوطني للمعايير والتقنية (NIST CSF 2.0)، مما يوفر مستويات تنفيذ، وملفات تعريف، وتصنيفاً شاملاً لتهديدات التكنولوجيا التشغيلية وثغراتها وهياكلها الهندسية.
| سلسلة معايير IEC 62443 | إرشادات NIST SP 800-82 الإصدار الثالث |
النوع | معيار هندسي: توجيهي | وثيقة إرشادية: وصفية |
الشهادة | قابل للاعتماد والترخيص (ISA/IEC) | غير قابل للحصول على شهادة رسميّة؛ متوافق مع معايير الامتثال |
الاستخدام الأساسي | يحدد مستويات الأمان (SL1–SL4)، والمتطلبات الأساسية (FR1–FR7)، ونموذج المناطق والممرات، ومتطلبات سلسلة التوريد للمكونات والأنظمة ومزودي الخدمات | يتوافق مع إطار NIST CSF 2.0. ويوفر إرشادات هيكلية، ونماذج التهديد، وفهرس الإجراءات الوقائية والمضادة |
الأفضل لـ | الدقة الهندسية وتصميم البنية الأمنية المستهدفة للتكنولوجيا التشغيلية (OT) | بنية إدارة البرنامج والتغطية الشاملة للحوكمة |
الجهات المستخدمة | قطاعات النفط والغاز، والطاقة، والتصنيع؛ ذو نطاق عالمي | الجهات الفيدرالية الأمريكية، والبنية التحتية الحيوية، والمؤسسات المتوافقة مع إطار NIST CSF |
⚠ تقييم الواقع الميداني في قطاعات النفط والغاز، وتوليد الطاقة، ومعالجة المياه، تزداد توقعات الجهات التنظيمية والتدقيقية بأن تثبت المؤسسات توافقها مع معيار IEC 62443 (للحفاظ على دقة الضوابط الفنية) وإطار NIST CSF/SP 800-82 (لحوكمة البرامج). إن البناء على كلا الإطارين منذ البداية يجنبكم عمليات إعادة التصميم الهيكلي المكلفة لاحقاً. |
02 فهم عميق لكل إطار عمل
IEC 62443: سلسلة المعايير التي يتعين عليك الإلمام بها بدقة
إن معيار IEC 62443 ليس معياراً واحداً بل هو عائلة متكاملة من المعايير المنظمة في أربع سلاسل. ويقع الممارسون الذين يتعاملون معه كوثيقة واحدة في أخطاء تنفيذ بالغة الخطورة. وإليكم ما تغطيه كل سلسلة وأهميتها من الناحية التشغيلية:
المعيار | العنوان (مختصر) | الأهمية التشغيلية |
IEC 62443-1-1 | المصطلحات والمفاهيم والنماذج | يحدد المناطق، والممرات، ومستويات الأمان المستهدفة والمنفذة والمتحققة، وأنظمة التحكم والأتمتة الصناعية (IACS)، ونظام إدارة الأمن السيبراني (CSMS). فإذا لم يتفق فريقكم على هذه التعريفات، فسيتشتت برنامجكم. لذا لا تنسوا قراءة هذا أولاً. |
IEC 62443-2-1 | نظام إدارة الأمن السيبراني (CSMS) | يحدد المتطلبات التنظيمية: عملية إدارة المخاطر، والسياسات الأمنية، والتدريب على التوعية، والاستجابة للحوادث، ودورة حياة نظام إدارة الأمن السيبراني بالكامل. ويتوافق مباشرة مع ميزتي الحوكمة والتحديد (Govern and Identify) في إطار NIST CSF. |
IEC 62443-2-3 | إدارة الرقع البرمجية والتحديثات | يحدد الأدوار والمسؤوليات بين مالكي الأصول والموردين لتطبيق التحديثات. وهو أمر بالغ الأهمية للقطاعات ذات فترات الصيانة الطويلة (من 12 إلى 24 شهراً بين فترات التوقف المخطط لها). |
IEC 62443-2-4 | متطلبات مقدمي الخدمات | يحدد المتطلبات الأمنية لمهندسي الأنظمة ومقدمي الخدمات. فإذا كنتم تستعينون بموردي خدمات خارجيين للتكنولوجيا التشغيلية، فإن هذا المعيار يحدد ما يمكنكم مطالبتهم به تعاقدياً. |
IEC 62443-3-2 | تقييم المخاطر الأمنية لتصميم النظام | منهجية تقييم المخاطر الأساسية. يحدد كيفية إنشاء المناطق والممرات، وتحديد مستوى الأمان المستهدف (SL-T)، وتوثيق تقييم المخاطر الأمنية. هذا هو القلب النابض للمعيار من الناحية التشغيلية. |
IEC 62443-3-3 | المتطلبات الأمنية للنظام ومستويات الأمان | يحدد 51 متطلباً للنظام موزعة تحت المتطلبات الأساسية FR1–FR7 في المستويات SL1 و SL2 و SL3 و SL4. هذا هو المقياس الفني الذي تقيمون على أساسه أنظمة التكنولوجيا التشغيلية لديكم. |
IEC 62443-4-1 | دورة حياة التطوير الآمن (SDL) | متطلبات مطوري المنتجات. وتعد هامة عند تقييم مستوى النضج الأمني لموردي التكنولوجيا التشغيلية وعند شراء أنظمة جديدة. |
IEC 62443-4-2 | المتطلبات الفنية لمكونات أنظمة IACS | متطلبات مستوى الأمان الخاصة بالمكونات للأجهزة المدمجة (PLCs و RTUs)، والأجهزة المضيفة (HMI و EWS)، وأجهزة الشبكة. يُستخدم عند تحديد متطلبات الشراء والتعاقد. |
يعد نموذج مستويات الأمان (SL) المساهمة الأبرز لمعيار IEC 62443. إن مستويات الأمان من SL1 إلى SL4 ليست مجرد تصنيفات لشدة المخاطر، بل تحدد قدرة الجهة المهاجمة التي يجب أن تصمد أمامها ضوابطكم الأمنية:
مستوى الأمان | الجهة المهاجمة | تطبيقات التكنولوجيا التشغيلية (OT) النموذجية |
SL 1 | انتهاك عارض / غير مقصود | المرافق منخفضة الأهمية، وإدارة المباني، والبنية التحتية لشبكات غير الإنتاج |
SL 2 | مقصود، بوسائل بسيطة، وبأهداف منخفضة | أنظمة التحكم الموزعة (DCS) للإنتاج، وأنظمة سكادا القياسية، وخوادم تجميع البيانات وتأريخها، ووحدات RTU الحقلية في المواقع غير الحيوية |
SL 3 | أدوات متطورة ومخصصة للتكنولوجيا التشغيلية، مهاجم ذو دوافع قوية | أنظمة السلامة المخصصة (SIS/ESD)، وأنظمة سكادا لخطوط الأنابيب الحيوية، وتجزئة المصافي، وأنظمة تحديد المواقع الديناميكية البحرية (DP) |
SL 4 | مدعوم من دول، قدرات واسعة، ثغرات يوم الصفر مخصصة لبيئات OT | البنية التحتية الوطنية الحيوية المحددة؛ نادراً ما يُطلب تجارياً |
NIST SP 800-82 الإصدار الثالث: ما الذي تغير ولماذا يهم؟
يعد الإصدار الثالث، المنشور في سبتمبر 2023، تحديثاً جذرياً مقارنة بالإصدار الثاني (2015). إليكم أهم التغييرات للممارسين:
• توافق كامل مع إطار عمل الأمن السيبراني NIST CSF 2.0، بما في ذلك ميزة الحوكمة الجديدة. هذا يرفع رسمياً مستوى حوكمة الأمن السيبراني للتكنولوجيا التشغيلية إلى المستوى التنظيمي للمؤسسة، وليس فقط المستوى الفني.
• تغطية موسعة للتكنولوجيا التشغيلية المتصلة بالسحاب، وإنترنت الأشياء الصناعي (IIoT)، وبنى الحوسبة الطرفية التي لم يتم التطرق إليها في الإصدار الثاني، وهي بالغة الأهمية لبيئات النفط والغاز والتصنيع المتقدم الحديثة.
• تحديث مشهد التهديدات ليشمل البرمجيات الخبيثة المخصصة لأنظمة التحكم الصناعية بعد عام 2015: مثل TRITON/TRISIS (الهجوم على أنظمة السلامة)، و INDUSTROYER2 (شبكات الطاقة)، و PIPEDREAM/INCONTROLLER (إطار عمل لمهاجمة أنظمة التحكم الصناعية متعددة المنصات).
• تحديث البنى الهندسية المرجعية بتصميمات حديثة للمناطق العازلة (DMZ)، والدفاع المتعمق لشبكات التكنولوجيا التشغيلية، وإرشادات حول دمج مراكز العمليات الأمنية (SOC) الخاصة بالـ OT.
• توفير خرائط مرجعية صريحة للمطابقة بين ضوابط SP 800-82 ومعيار IEC 62443، ومعايير NERC CIP وأطر عمل التكنولوجيا التشغيلية الأخرى، مما يمكن من مواءمة الامتثال متعدد الأطر.
ملاحظة بالغة الأهمية تقر إرشادات NIST SP 800-82 الإصدار الثالث صراحةً بأن معيار IEC 62443 هو معيار مكمل وتتضمن جداول المواءمة الخاصة به. ولم يكن هذا بمحض الصدفة، فقد صمم فريق التأليف المعيارين ليُستخدما معاً. وإذا كنتم تعملون في قطاعات تفرض متطلبات فيدرالية أمريكية إلى جانب عمليات دولية، فإن هذا النهج ثنائي الإطار هو المسار العملي الوحيد المتاح. |
03 هندسة التكامل: كيف نجعل الإطارين يعملان معاً
الرؤية الأساسية للتكامل الناجح هي تاليها: استخدم إطار عمل NIST SP 800-82 / CSF كهيكل عام لإدارة برنامجك، واستخدم معيار IEC 62443 كدليل مواصفات التنفيذ الفني لديك. توفر الوظائف الست لإطار عمل CSF (الحوكمة، التحديد، الحماية، الكشف، الاستجابة، التعافي) هيكل دورة الحياة، بينما يملأ IEC 62443 كل وظيفة بمحتوى هندسي مخصص للتكنولوجيا التشغيلية.
وظائف إطار عمل NIST CSF 2.0 | مواءمة معيار IEC 62443 | نشاط البرنامج | المخرجات المخصصة للتكنولوجيا التشغيلية (OT) | مرجع البند الرئيسي |
الحوكمة (GV) | IEC 62443-2-1 CSMS | تأسيس إستراتيجية الأمن السيبراني للتكنولوجيا التشغيلية، وتحديد الأدوار والمسؤوليات، والقدرة على تحمل المخاطر، والمساءلة | وثيقة نظام إدارة الأمن السيبراني للـ OT؛ سياسة الأمن السيبراني للـ OT؛ مصفوفة المسؤوليات (RACI) للأدوار الأمنية للتكنولوجيا التشغيلية | IEC 62443-2-1 الفقرة 4 |
التحديد (ID) | IEC 62443-3-2 الفقرات 4.2–4.5 | جرد الأصول، وتخطيط هندسة المناطق والممرات، ونمذجة التهديدات، وتقييم المخاطر | سجل أصول التكنولوجيا التشغيلية؛ مخطط المناطق والممرات؛ سجل المخاطر مع تحديد مستوى الأمان المستهدف (SL-T) لكل منطقة | IEC 62443-3-2 الفقرة 4.3 |
الحماية (PR) | IEC 62443-3-3 الأساسيات FR1–FR7؛ و62443-4-2 | ضوابط الوصول، وتقسيم الشبكة، وإدارة التحديثات، وتقوية الأنظمة | قواعد جدران الحماية؛ إدارة الهوية والوصول (IAM) للتكنولوجيا التشغيلية؛ معايير تقوية الأنظمة؛ مصفوفة اتفاقية مستوى الخدمة لإدارة التحديثات | IEC 62443-3-3 الفقرات 7–14 |
الكشف (DE) | IEC 62443-3-3 الأساس FR6؛ و62443-2-1 الفقرة 4.3.6 | المراقبة المستمرة، ورصد التغييرات والأنشطة غير الطبيعية، واستخبارات تهديدات التكنولوجيا التشغيلية | منصة رؤية التكنولوجيا التشغيلية؛ أدلة إجراءات العمل لمركز العمليات الأمنية للـ OT؛ إجراءات فرز وتحليل التنبيهات | IEC 62443-3-3 الفقرة 13 |
الاستجابة (RS) | IEC 62443-2-1 الفقرة 4.3.6؛ و SP 800-82 الفقرة 6.2 | الاستجابة للحوادث، والتنسيق مع إدارة سلامة العمليات، والتحقيق الجنائي الرقمي | خطة الاستجابة لحوادث التكنولوجيا التشغيلية؛ إجراءات التصعيد من الأمن السيبراني إلى سلامة العمليات | SP 800-82 الإصدار الثالث الفقرة 6.2.9 |
التعافي (RC) | IEC 62443-3-3 الأساس FR7؛ و62443-2-1 الفقرة 4.3.7 | تعافي الأنظمة، وسلامة النسخ الاحتياطية، ودمج الدروس المستفادة | خطة استمرار الأعمال والتعافي من الكوارث للـ OT؛ نظام النسخ الاحتياطي للإعدادات؛ وقت التعافي المستهدف (RTO) لكل منطقة | IEC 62443-3-3 الفقرة 14 |
“إن أخطر برنامج أمني للتكنولوجيا التشغيلية هو ذلك الذي يبدو شاملاً على الورق ولكنه لم يخضع قط لاختبار حقيقي ضد سيناريو مهاجم واقعي في بيئة مصنع فعلية.” الواقع الميداني، ممارسات أمن التكنولوجيا التشغيلية |
04 جرد الأصول وتقييم المخاطر: الأساس الذي لا يقبل التفاوض
كل برنامج أمني للتكنولوجيا التشغيلية واجه الفشل سابقاً (وهي كثيرة) كان فشله يكمن في الخطوة التأسيسية نفسها. فلا يمكنك حماية ما لا تعلم بوجوده. وفي بيئات التكنولوجيا التشغيلية، تكون الفجوة بين سجل الأصول الموثق والأصول المتصلة بالفعل بالشبكة أكبر بكثير مما يتصوره أي شخص في الإدارة.
الخطوة 1: كشف أصول التكنولوجيا التشغيلية - بالطريقة الصحيحة
تجنب استخدام أدوات الفحص النشط على شبكات التكنولوجيا التشغيلية الحية والنشطة. هذا ليس مجرد تفضيل شخصي، بل هو متطلب تشغيلي يتعلق بسلامة الأفراد والمعدات. ترسل أدوات الفحص النشط استفسارات فحص قد تفوق قدرة المعالجة المحدودة لأجهزة PLC القديمة، أو تتسبب في تلف الذاكرة في بعض وحدات RTU القديمة، أو تثير تصرفات غير متوقعة في الأنظمة الحيوية للسلامة. وقد حدث هذا بالفعل في بيئات عمل حقيقية. وتحذر إرشادات NIST SP 800-82 الإصدار الثالث الفقرة 6.2.1 صراحة من استخدام الفحص النشط في بيئات أنظمة التحكم الصناعية الحية دون التحقق أولاً من المورد.
النهج الصحيح هو الكشف السلبي عن الأصول: قم بتركيب نقطة توصيل شبكية سلبية (network tap) أو منفذ تكرار حركة المرور (SPAN port) على محولات شبكة التكنولوجيا التشغيلية وتطبيق أداة ذكية لرؤية الـ OT تتعرف على المكونات والبروتوكولات عبر تفحص البيانات الجارية. هذا النهج، كما يحدده معيار IEC 62443-3-2 الفقرة 4.2، يتيح لكم بناء سجل أصول يسجل نوع الجهاز والمورد والموديل وإصدار نظام التشغيل والبروتوكولات المستخدمة وأنماط الاتصال — دون إرسال حزمة بيانات واحدة داخل شبكة التكنولوجيا التشغيلية الحية.
ملاحظة ميدانية - فجوة كشف الأصول في أحد التقييمات النموذجية لمنشأة نفط وغاز، كشف الفحص السلبي بانتظام عن وجود زيادة تتراوح بين 46% إلى 78% في عدد الأجهزة مقارنة بما هو مسجل يدوياً في سجل الأصول. وشملت الفجوة المكتشفة: أجهزة مودم منسية للموردين على خزائن التحليل، ونقاط وصول لاسلكية غير موثقة قام مقاولو الصيانة بتركيبها، ومحولات قديمة من تسلسلي إلى إيثرنت تمت إضافتها للتسهيل، وأجهزة كمبيوتر محمولة هندسية تُركت متصلة بمحولات شبكة التحكم. كل جهاز من هذه الأجهزة يمثل ثغرة هجوم محتملة لم تكن المؤسسة على علم بوجودها. |
تسليط الضوء على المنصة منصة شيلد ووركس لأمن التكنولوجيا التشغيلية: رؤية الأصول في الممارسة العمليّة توضح منصة شيلد ووركس قدرتها على اكتشاف أصول التكنولوجيا التشغيلية وجردها بنسبة تزيد بمقدار 46% إلى 78% مقارنة بالأدوات المنافسة، وذلك باستخدام تقنية الفحص العميق لحزم البيانات المتوافقة مع البروتوكولات والتي تفهم بروتوكولات أنظمة التحكم الصناعية بدقة تفوق ما يمكن لأدوات تكنولوجيا المعلومات العامة تمييزه. بالنسبة للمؤسسات التي تبني أساس أصولها، فإن هذا المستوى من الرؤية العميقة هو الفارق الحاسم بين تقييم مخاطر مستند إلى بيانات واقعية وآخر مبني على افتراضات ناقصة. القدرات الأساسية: • كشف تلقائي وسلبي للأصول عبر جميع فئات أصول التكنولوجيا التشغيلية • تحليل السلوك بما في ذلك حالة نهاية عمر الأجهزة وأنماط الاتصال • تحديد بصمة البروتوكولات بما يتجاوز أدوات كشف تكنولوجيا المعلومات القياسية • إدارة جرد ورؤية الأصول في مواقع متعددة وبناءً على الأدوار والمستخدمين • تحديد الأصول المعرضة للثغرات بربطها مع معرّف CVE • توضيح مسارات الهجوم المفتوحة لتحديد أولويات المعالجة |
الخطوة 2: تحديد المناطق والممرات (IEC 62443-3-2 الفقرة 4.3)
بمجرد الحصول على صورة كاملة للأصول، قم بتقسيمها إلى مناطق أمنية بناءً على: المتطلبات الأمنية المشتركة، وعواقب الاختراق المحتملة، والوظيفة التشغيلية. المنطقة هي تجمع منطقي للأصول التي تشترك في نفس مستوى الأمان. بينما الممر هو أي مسار اتصال بين المناطق — ويجب توثيق كل ممر، والتحكم فيه، وحمايته.
في بيئة النفط والغاز، يبدو هيكل المناطق النموذجي كالتالي: تظل طبقة السلامة (أنظمة السلامة المخصصة SIS/ESD، الحد الأدنى للأمان SL3) معزولة تماماً وتتصل بطبقة التحكم الأساسية في العمليات (DCS، عادة الأمان SL2) عبر صمام ثنائي للبيانات (data diode) مادي وباتجاه خارجي فقط. وتتصل طبقة التحكم الأساسية بالطبقة الإشرافية (سكادا/مجمع البيانات، الأمان SL2) عبر ممر محمي بجدار حماية. بينما تتصل الطبقة الإشرافية بطبقة المؤسسة/تكنولوجيا المعلومات عبر منطقة عازلة (DMZ) معزولة تماماً مع ميزة فحص طبقة التطبيقات. لا توجد منطقة تتصل مباشرة بأخرى متجاوزة الطبقات الفاصلة. هذا ليس مجرد ترتيب هندسي أنيق، بل هو طريقتكم لمنع وصول عدوى برمجيات فدية تصيب حاسوباً محمولاً للشركة إلى نظام تحكم Rockwell ControlLogix.
الخطوة 3: تقييم المخاطر - الأولوية للنتائج والعواقب في التكنولوجيا التشغيلية
يحدد معيار IEC 62443-3-2 منهجية لتقييم المخاطر مخصصة لأنظمة التحكم والأتمتة الصناعية (IACS). ويكمن الاختلاف الكبير عن تقييم مخاطر تكنولوجيا المعلومات في أنه يجب تقييم النتائج والعواقب من منظور تشغيلي ومنظور سلامة الأفراد والبيئة، وليس من منظور مالي فقط. إن الاختراق الذي قد يكلف 50,000 دولار لمعالجته في سياق تكنولوجيا المعلومات قد يمثل خطراً كارثياً في بيئة التكنولوجيا التشغيلية إذا أدى لتسرب مواد أو أضرار بيئية أو تعطيل وظائف السلامة.
وهذا ما يتوافق معه معيار NIST SP 800-82 الإصدار الثالث بتحديد فئات العواقب لأنظمة التحكم الصناعية: السلامة (إصابة/وفاة الموظفين)، والتسرب البيئي، والتأثير على الإنتاج، وتلف المعدات. استخدموا تعريفات العواقب من كلا الإطارين لبناء مصفوفة عواقب يمكن لفريق سلامة العمليات لديكم مراجعتها واعتمادها، لأنهم الخبراء الأدرى بما يعنيه التلاعب بقيم ضبط إعدادات DCS على سلامة العمليات واستقرارها.
فئة العواقب | منهجية IEC 62443-3-2 | منهجية NIST SP 800-82 الإصدار الثالث |
السلامة | تفرض الحد الأدنى من مستوى الأمان المستهدف (نظام SIS = الحد الأدنى للـ SL3) | المستوى الأعلى في فئة العواقب؛ يتطابق مع مستوى التأثير العالي (NIST Impact High) |
البيئة | تُدرج ضمن حساب نقاط العواقب لتحديد مستوى الأمان المستهدف (SL-T) | تُدرج صراحة في تصنيف عواقب التأثير؛ مما يستوجب رفع تقارير للجهات التنظيمية |
الإنتاج | تؤخذ بالحسبان عند تحديد القدرة على تحمل المخاطر للمناطق | فئة تأثير التوافر والخدمة؛ وتتطابق مع أهداف التعافي |
المالية / السمعة | تدعم التبرير العام للمخاطر وتكلفة معالجتها | تُدرج في صياغة إطار عمل المخاطر؛ وتوجه أولويات برامج الاستثمار للمؤسسة |
05 ضوابط الحماية: تطبيق دور معيار IEC 62443-3-3 الأساسي (FR1–FR7)
يحدد معيار IEC 62443-3-3 سبعة متطلبات أساسية (FRs) و51 متطلباً للنظام (SRs) تصف القدرات الأمنية المحددة التي يجب أن يوفرها النظام عند كل مستوى أمان. ويطابق معيار NIST SP 800-82 الإصدار الثالث فئات ضوابطه مع متطلبات FRs هذه. وإليكم كيفية تطبيقها من الناحية التشغيلية:
FR1: التحكم في تحديد الهوية والمصادقة
يجب تحديد هوية ومصادقة كل مستخدم وجهاز يدخل إلى أنظمة التكنولوجيا التشغيلية. وهذا يعني عملياً: إلغاء استخدام الحسابات المشتركة على أنظمة HMI و EWS؛ وفرض بيانات اعتماد فريدة لكل مهندس ومُشغل ومُورد؛ وتطبيق مصادقة ثنائية أو متعددة العوامل (MFA) على جميع مسارات الوصول عن بُعد. ولمصادقة الأجهزة عند مستوى الأمان SL2 وأعلى، استخدم المصادقة القائمة على الشهادات الرقمية حيثما كان مكون التكنولوجيا التشغيلية يدعم ذلك — على سبيل المثال، يدعم بروتوكول OPC-UA المصادقة المشتركة القائمة على الشهادات ويجب تفضيله على بروتوكول OPC-DA القديم مع مصادقة DCOM. وعند مستوى الأمان SL3 (أنظمة السلامة SIS)، تفرض الرموز المادية الصلبة (hardware tokens) أو مصادقة قوية مكافئة لأي وصول إلى محطات العمل الهندسية التي يمكنها تعديل منطق عمل نظام السلامة.
FR2: التحكم في الاستخدام وحقوق الوصول
لا تكفي المصادقة وحدها بل يجب فرض حقوق وصلاحيات الوصول. قم بتقسيم الأدوار الأمنية إلى: للقراءة فقط (للمشغلين لمراقبة سير العمليات)، والتحكم (للمشغلين لتنفيذ الأوامر والإجراءات)، والهندسي (لتعديل المنطق والبرمجة)، والإداري (لتهيئة وإعداد الأنظمة)، وللموردين (وصول بإذن محدد زمنياً وجلسة مراقبة). وأكثر حالات فشل متطلب FR2 شيوعاً في بيئات التكنولوجيا التشغيلية هي استخدام الجميع لحساب المسؤول الإداري لعدم قضاء الوقت الكافي في بناء مصفوفة أدوار صحيحة. هذا يعني أن المقاول الذي يحتاج فقط لقراءة تشخيصية يمتلك صلاحية كتابة وتعديل كامل لإعدادات نظام DCS — وهي صلاحية غير ضرورية وخطيرة للغاية.
بالنسبة لخدمات الوصول عن بُعد، يجب فرض المصادقة المبنية على كل جلسة استخدام: حيث يتطلب كل وصول لمورد خارجي أو مهندس عن بعد موافقة صريحة مسبقة من خلال سير عمل معتمد، وتحديد حد أقصى لوقت الجلسة، والوصول عبر خادم قفز (jump server) لتسجيل الجلسة بالكامل بالصوت والصورة، مع إنهاء الجلسة وتسجيلها في السجلات فور الانتهاء. يمنع منعاً باتاً وجود اتصالات VPN مفعلة دائماً بشبكة التكنولوجيا التشغيلية دون استثناء.
FR3 و FR4: سلامة البيانات وسريتها
صممت بروتوكولات التكنولوجيا التشغيلية القديمة بتركيز تام على الموثوقية فقط دون أمن للمعلومات، مثل: Modbus TCP، و DNP3 (دون مصادقة آمنة)، وبروتوكول OPC-DA الكلاسيكي. وهي لا تحتوي على آليات لحفظ سلامة وسرية البيانات داخلياً. وهذا يعني أن أي مهاجم يُمنح وصولاً للشبكة يمكنه مراقبة كافة بيانات العمليات، وإرسال أوامر تحكم كاذبة، وإعادة تشغيل الأوامر المشروعة التي قام بالتقاطها سابقاً. وتحل إرشادات NIST SP 800-82 الإصدار الثالث الفقرة 6.2.4 ومعيار IEC 62443-3-3 الأساسيات FR3/FR4 هذا الواقع الميداني بنفس التوجيه العملي: حيث يتعذر عليكم استبدال البروتوكول القديم، يترتب عليكم التعويض بضوابط حماية للشبكة (عزل تام للمناطق، جدران حماية ذكية تفهم التطبيقات، أنظمة كشف السلوكات غير الطبيعية)؛ وحيثما أمكنكم استبدال أو تعزيز البروتوكول (باستخدام OPC-UA، أو DNP3-SA، أو قنوات IPsec)، قوموا بذلك فوراً.
FR5: تدفق البيانات المقيد
هذا هو تطبيق نموذج المناطق والممرات على أرض الواقع. يجب السماح صراحة بكل مسار اتصال بين المناطق — ولا ينبغي ترك أي مسار اتصال بدون تصريح صريح. الموقف الافتراضي الواجب اتخاذه هو المنع التام لكافة الاتصالات. ويجب أن تكون قواعد جدران الحماية بين مناطق التكنولوجيا التشغيلية محددة بدقة بالغة: تشمل عنوان IP المصدري، وعنوان IP المستهدف، والمنفذ، والبروتوكول المستخدم. ويعد وجود أي قاعدة تسمح باتصال عشوائي كلي "any-to-any" في جدران حماية الـ OT خطأ فادحاً يستوجب المعالجة الفورية. وبالنسبة لمسارات الاتصال ذات العواقب الأعلى (بين نظام السلامة SIS وأنظمة التحكم الموزعة DCS، على سبيل المثال)، يجب استخدام بوابات الحماية أحادية الاتجاه (صمامات البيانات المادية) لمنع تدفق أي حركة مرور بالاتجاه المعاكس نحو المنطقة الحساسة أمنياً. فجدران الحماية البرمجية وحدها، مهما كانت معدة ومبرمجة بشكل ممتاز، يظل الخوف قائماً من إمكانية تغيير تهيئتها بالخطأ أو اختراقها، بينما صمامات البيانات المادية تمنع مرور البيانات بالاتجاه الخاطئ بحكم قوانين الفيزياء المصممة بها.
FR6: الاستجابة للحوادث في الوقت المناسب
لا يمكنكم الاستجابة لحادث لا تستطيعون رؤيته. وهذا يستوجب ميزة المراقبة الأمنية المخصصة للتكنولوجيا التشغيلية. فأدوات إدارة الأحداث والمعلومات الأمنية (SIEM) الخاصة بتكنولوجيا المعلومات العادية التي لا تفهم بروتوكولات الـ OT ستتسبب في تنبيهات خاطئة كثيرة على شبكة التكنولوجيا التشغيلية وستغفل عن مؤشرات الاختراق الفعلية والخطيرة. البنية الهندسية المثالية هنا هي نشر منصة مخصصة لرصد التكنولوجيا التشغيلية بوضعية المرقاب السلبي والتي تفهم ببروتوكولات الأجهزة الصناعية، وتقوم برفع تنبيهات منظمة إلى مركز العمليات الأمنية (OT SOC) لمقارنة وتحليل الأحداث الجارية عبر جميع المناطق الأمنية للتكنولوجيا التشغيلية. وتوفر إرشادات NIST SP 800-82 الإصدار الثالث الفقرة 6.2.8 دليلاً لبنية مراقبة التكنولوجيا التشغيلية يتوافق تماماً مع متطلبات FR6 لمعيار IEC 62443.
تسليط الضوء على المنصة شيلد ووركس: كشف التهديدات بالشبكة وإدارة الوضع الأمني المتوافق مع متطلب FR6 تقدم منصة الأمن السيبراني للتكنولوجيا التشغيلية من شركة شيلد ووركس ميزة المراقبة السلبية غير التداخلية للشبكة مدعومة بمعلومات استخباراتية سياقية للتهديدات مرتبطة بنطاق الـ OT، ومستخلصة مما تصفه الشركة بكونه أكبر شبكة من مصائد الاختراق الموجهة والمصممة لبيئات التكنولوجيا التشغيلية على مستوى العالم. وتكشف المنصة تهديدات الأصول والشبكة والنشاطات غير الطبيعية وتنفيذ الأوامر عالية الخطورة — بما في ذلك إطلاق أوامر تحكم وسلامة خطيرة للعملية الصناعية — بنسبة تنبيهات خاطئة منخفضة جداً وهي ميزة جوهرية لعمليات مركز العمليات الأمنية للـ OT حيث يمثل إرهاق تنبيهات الأمان خطراً تشغيلياً كبيراً. وتتجاوز ميزة إدارة الوضع الأمني القائمة على الذكاء الاصطناعي الذاتي (Agentic AI) مجرد المراقبة السلبية: إذ يمكن للمنصة التدخل والتعامل عند الحاجة للاستجابة للأحداث الأمنية وتقديم مدخلات الحوكمة والامتثال التي تنسجم تماماً مع متطلبات التحسين المستمر لنظام إدارة الأمن السيبراني IEC 62443-2-1 CSMS. كما تحتفظ المنصة بسجلات مفصلة وجرد دوري للأصول لتعزيز مستويات الاستعداد لعمليات التدقيق والامتثال لمعايير IEC 62443، و NIST CSF، و NERC CIP، و NIS2. القدرات الأساسية: • مراقبة سلبية لشبكة التكنولوجيا التشغيلية (OT) دون إجراء فحص نشط، آمنة تماماً لبيئات العمل الحية • معلومات استخباراتية عالمية مصممة للتكنولوجيا التشغيلية مستمدة من شبكة مصائد مخترقين متخصصة • كشف أوامر أنظمة التحكم الصناعية العالية الخطورة والتنبيه بالنشاطات غير الطبيعية بالشبكة • توليد لبيانات وتقارير إثبات الامتثال لمعايير IEC 62443، و NIST CSF، و NERC CIP، و NIS2 • ربط وتحليل الأحداث المتطابقة بين بيئتي تكنولوجيا المعلومات والتكنولوجيا التشغيلية لمعرفة السبب الجذري للاختراق • إدارة مرنة ومؤتمتة للوضع الأمني والاستجابة استناداً للذكاء الاصطناعي الذكي (Agentic AI) |
FR7: توافرية الأصول والموارد
يجب أن تظل أنظمة التكنولوجيا التشغيلية متاحة ونشطة للعمل دائماً — وغالباً ما يكون عامل توافرها وعملها باستمرار أكثر أهمية بكثير من سرية بياناتها. هذا ما يجعل ميزات المرونة واستبقاء الأنظمة البديلة العاملة بمثابة ضوابط معالجة وحماية أمنية، وليست مجرد قرارات وتصميمات هندسية إضافية. بالنسبة لأنظمة التكنولوجيا التشغيلية الحيوية، ينبغي التحقق دائماً من: استبقاء وحدات تحكم وفيرة ونشطة مستعدة للعمل المباشر تلقائياً (hot standby)، ومسارات شبكة بديلة وفيرة (باستخدام بروتوكولات HSR، أو PRP، أو RSTP للتحول السريع للمسار البديل)، ومصادر طاقة بديلة وفيرة (أجهزة UPS مدعومة بمولدات طاقة)، وسلامة النسخ الاحتياطية للإعدادات وتوافرها بشكل فوري. كما يجب اختبار عمليات الاستعادة بانتظام — فالنسخ الاحتياطي غير المختبر على الإطلاق يظل مجرد افتراض نظري وليس قدرة حقيقية للمؤسسة. ويطلب كل من معيار NIST SP 800-82 الإصدار الثالث الفقرة 6.2.7 ومعيار IEC 62443-3-3 المتطلب الأساسي FR7 توفير قدرة حقيقية ومجربة للتعافي، وليس مجرد إجراءات موثقة على الورق.
إدارة الرقع البرمجية والتحديثات - التحدي الأصعب للتطبيق في بيئة التكنولوجيا التشغيلية (OT) ينظم معيار IEC 62443-2-3 إدارة الرقع البرمجية والتحديثات لبيئات التكنولوجيا التشغيلية. ويتمثل التحدي الأكبر في: تعذر تطبيق التحديثات على أجهزة التكنولوجيا التشغيلية بدورات تكنولوجيا المعلومات المعتادة (30/60/90 يوماً) لأن التحديثات تتطلب مراجعة واعتماداً مسبقاً من الشركة المصنعة للـ OT، ثم اختبارها في بيئة محاكاة معزولة، ثم تطبيقها فعلياً فقط خلال فترات الصيانة والوقوف المجدولة والمخطط لها مسبقاً للمصنع والتي قد تتراوح بين 12 إلى 24 شهراً. لذا تعد ضوابط الحماية التعويضية حيوية للغاية في الفترات الفاصلة: مثل عزل الشبكات الصارم، وتطبيق القوائم البيضاء للتطبيقات، والمراقبة الدقيقة للأنظمة غير المحدثة. وتقدم شركة شيلد ووركس حلاً متخصصاً لإدارة التحديثات تم تصميمه خصيصاً لهذه المحددات والبيئات الفريدة للـ OT. |
06 الكشف، الاستجابة، والتعافي: اكتمال الدائرة الأمنية لمواجهة المخاطر
بناء قدرات الكشف الأمنية للتكنولوجيا التشغيلية
تغير واقع التهديدات الموجه لبيئات التكنولوجيا التشغيلية بشكل جذري منذ عام 2017. وبرهن هجوم TRITON/TRISIS أن المخترقين المحترفين يستهدفون بالتحديد أنظمة السلامة المخصصة (SIS) — والتي تعد خط الدفاع الأخير المتبقي قبل أن تصبح العملية الصناعية والمادية خطرة على الأفراد والبيئة. كما كشف ظهور هجوم PIPEDREAM/INCONTROLLER الفتاك في عام 2022 عن توفير إطار هجوم هندسي معياري قادر على استهداف أنظمة Schneider Electric ومنصات OMRON وغيرها من أنظمة التكنولوجيا التشغيلية الرائدة باستخدام بروتوكولات أنظمة التحكم الأصلية والمدمجة بها. هذه ليست مجرد هجمات نظرية مفترضة بل هي قدرات تم توثيقها واستخدامها في هجمات حقيقية على البنى التحتية الحيوية حول العالم.
ويستدعي الكشف في مثل هذه الظروف توفير قدرات تقنية فريدة للـ OT تفتقر إليها أدوات تكنولوجيا المعلومات الأخرى. فنظام كشف اختراق الشبكة العادي الذي لا يعلم دلالات وظائف Modbus، أو تفاصيل محتوى طبقة تطبيقات بروتوكول DNP3، أو مهام وعمليات خدمة OPC-UA لن يتمكن من رصد أي تلاعب خبيث ببروتوكولات الـ OT، لأن تلك البيانات ستبدو بالنسبة له كبيانات وحركة مرور عادية. الفحص العميق لحزم البيانات المتوافق والفاهم لبروتوكولات الأجهزة أمر لا ينبغي غض الطرف عنه لبيئات مستوى الأمان SL2 وأعلى.
الاستجابة لحوادث التكنولوجيا التشغيلية: حلقة الوصل بسلامة العمليات والصناعة
من أكثر الأمور إهمالاً واستخفافاً في خطط الاستجابة لحوادث التكنولوجيا التشغيلية هي فجوة التواصل وحلقة الوصل بين الحدث السيبراني وأحداث سلامة العمليات والمعدات. فالهجوم السيبراني على نظام DCS قد لا يظهر في بدايته كحادث سيبراني تقليدي — بل قد يتبدى في البداية على هيئة تذبذب وقراءات غير مبررة للعملية، أو تعطل في صمام ميكانيكي، أو قراءات خاطئة تظهر على شاشات المراقبة. فقد تم اكتشاف هجوم TRITON لأول مرة بواسطة مهندس تحكم لاحظ قراءة وسلوكاً غريباً في نظام السلامة المفتوح أمامه، وليس عبر رصد مسؤول أمن سيبراني للتنبيهات.
وعليه، يجب أن تتضمن خطتكم للاستجابة لحوادث التكنولوجيا التشغيلية ما يلي: تحديد معطيات واضحة وملزمة للتحديث والتصعيد الفوري لخطة الطوارئ بالتعاون مع فريق سلامة العمليات بالمنشأة؛ وتحديد أدوار واضحة لفريق مراجعة السلامة قبل بدء التشغيل (PSSR) إذا ما تطلب الأمر إعادة تشغيل أنظمة الـ OT إلى الخدمة بعد وقوع حادث سيبراني؛ ومنح صلاحية كاملة لفريق العمليات التشغيلية لعزل أي نظام مشتبه بتعرضه للاختراق فوراً عن شبكة التحكم دون الانتظار للحصول على موافقة مسؤولي تكنولوجيا المعلومات أو الأمن السيبراني ما دامت سلامة الأفراد ومعدات المنشأة عرضة لخطر محدق. ويعالج كل من دليل NIST SP 800-82 الإصدار الثالث الفقرة 6.2.9 ومعيار IEC 62443-2-1 الفقرة 4.3.6 كيفية الاستجابة للحوادث، ولكن دون تقديم تفاصيل كافية حول واجهة الاتصال بين السلامة الميكانيكية والأمن السيبراني — ويجب أن يغطي برنامجكم هذا النقص المهم بالاستعانة بدراسات تقييم المخاطر الفنية (HAZOP) والتقييمات المخصصة للموقع.
⚠ متطلب حيوي لنجاح البرنامج يجب اختبار وتمرين إجراءات الاستجابة لحوادث التكنولوجيا التشغيلية عملياً بانتظام، وليس الاكتفاء بمجرد توثيقها على الورق. تمرين المحاكاة الافتراضية واختبار مسارات التصعيد بين الأمن السيبراني وسلامة العمليات مرة واحدة على الأقل سنوياً هو متطلب أساسي للمنشآت ذات العمليات الحيوية للسلامة. ويجب إشراك ممثلين عن إدارات العمليات وسلامة العمليات والأمن السيبراني والإدارة العليا على حد سواء، فالأضرار التشغيلية والميكانيكية الناتجة عن حادث سيبراني بالتكنولوجيا التشغيلية لا ينحصر حلها في دائرة الأمن السيبراني وحدها. |
التعافي: الوظيفة المنسية في الغالب
تتطلب ميزات متطلب FR7 لمعيار IEC 62443-3-3 ووظيفة التعافي بإطار عمل NIST CSF توفير قدرة حقيقية وموثقة للتعافي السريع بعد التعرض للاختراق. وفي التكنولوجيا التشغيلية، تكون إجراءات التعافي معقدة للغاية مقارنة بقطاع تكنولوجيا المعلومات لعدة أسباب: تطلب بعض الأجهزة لخطوات استعادة محددة وحصرية لكل مورد مصنع؛ وضرورة تنزيل البرمجة والمشاهد البرمجية لمتحكمات PLCs ونظام DCS وفق تتابع هندسي محدد مسبقاً؛ والتداخل الكبير لمتطلبات سلامة العمليات للمنشأة عند الرغبة بإعادة تشغيل المصنع بعد توقف طويل (اختبارات الضغط، التخلص من بقايا الغازات، فحص الأجهزة) والتي قد تستمر لعدة أيام أو أسابيع؛ ومتطلبات إخطار الجهات الحكومية والتنظيمية في حال طال الاختراق أي نظام للسلامة.
ينبغي تحديد أهداف زمنية للتعافي (RTOs) لكل منطقة من مناطق التكنولوجيا التشغيلية بناءً على القدرة على تحمل التوقف التشغيلي الفعلي — وليس اعتماداً على معايير تكنولوجيا المعلومات العادية. فبينما قد يكون تحقيق هدف زمني للتعافي بمقدار 24 ساعة للنظام العادي مناسباً ومقبولاً في قطاع الأعمال؛ فإن هدفاً للتعافي بمقدار 24 ساعة في شبكة سكادا خطوط أنابيب النفط والغاز يعني إدارة يدوية عمياء لنظام نقل عالي الضغط ليوم كامل، وهو ما يعد مخاطرة بالغة السوء وغير مقبولة أبداً. ويجب مراجعة هذه الأهداف الزمنية واعتمادها والتأكد من ملاءمتها بواسطة إداراتي العمليات وهندسة سلامة العمليات بالموقع للتأكد من فاعلية التخطيط، وليس إسناد تقديرها لقسم تكنولوجيا المعلومات.
07 خارطة طريق التطبيق العملي: بناء متكامل لبرنامج أمني آمن خلال 24 شهراً
يعد بناء برنامج متكامل لأمن التكنولوجيا التشغيلية هدفاً يستغرق بضع سنوات للاكتمال والتطبيق الفعلي. وتستند خارطة الطريق المقترحة أدناه إلى الدمج الفعال بين الإطارين المعياريين مع مراعاة القيود التشغيلية الحقيقية لبيئات الـ OT: الحذر المطلق من التسبب في وقف العمليات، وضرورة التدرج في التغيير في المؤسسة لعدم إرباك المشغلين، ومراعاة فترات الصيانة المخططة للشركة.
الأشهر 1–3 · المرحلة الأولى: التأسيس والبناء الأولي
تأسيس الحوكمة والبدء برؤية وكشف أساسي للشبكة
قبل شراء أي أدوات حماية فنية، يتوجب عليكم الحصول على موافقة ومشاركة من الإدارة والمشغلين، وتحديد واضح للمسؤوليات ورسم خريطة صحيحة وأمينة للأصول المتصلة. فبدون البدء بهذه الخطوات، سيوضع أي جهد لاحق على أساس مهدد بالانهيار.
• صياغة وإقرار سياسة الأمن السيبراني للتكنولوجيا التشغيلية المتوافقة مع متطلبات نظام IEC 62443-2-1 CSMS
• تحديد أدوار ومسؤوليات الأمن للـ OT (رئيس أمن التكنولوجيا التشغيلية، وممثلو أمن المواقع للـ OT، والجهة المراقبة للموردين الخارجيين) وتوثيقها بالوصف الوظيفي ومصفوفة المسؤوليات RACI
• نشر وتدشين أدوات الفحص السلبي للأصول بمختلف المواقع لبناء وتحديث سجل الأصول الشامل الفعلي للمؤسسة
• البدء الفعلي برسم خريطة للمناطق والممرات المتوافقة مع معيار IEC 62443-3-2 الفقرة 4.3
• تجهيز وبناء مصفوفة سجل المخاطر لتهديدات الـ OT المستلهمة من تصنيفات مستويات التأثير لكل من معايير IEC 62443-3-2 و NIST SP 800-82
• تقييم ودراسة مستوى الأمان الفعلي المتحقق حالياً (SL-A) داخل المنشأة بمقارنته مع أساسيات معيار IEC 62443-3-3 المتطلبات الأساسية FR1–FR7
الأشهر 3–6 · المرحلة الثانية: تقييم المخاطر وتحديد الثغرات
استكمال التقييم الشامل للتهديدات ورسم صورة الهدف الأمني المستهدف
الآن مع وجود رؤية ووضوح كامل للأصول، يتم المضي باستكمال التقييم الرسمي والفعلي للمخاطر. هذه المخرجات وتصنيفاتها تعد الركيزة الأهم لكامل البرنامج — فمن هنا تنبثق كافة الخطوات اللاحقة.
• استكمال تقييم المخاطر الفني المتوافق مع معيار IEC 62443-3-2 لكافة مناطق المنشأة؛ وتعيين مستوى الأمان المستهدف (SL-T) لكل منطقة
• تحديد ودراسة كافة الفجوات المرصودة بمستويات الأمان (الفرق بين المستهدف SL-T والمتحقق فعلياً SL-A) - فهذه الثغرات تشكل سجل مهام المعالجة للأولويات لاحقاً
• إجراء نمذجة المخاطر ومحاكاتها المعتمدة على إرشادات NIST SP 800-82 الإصدار الثالث، مع الأخذ بالاعتبار المخربين مستهدفي الـ OT وتقنياتهم المتبعة (TTPs)
• رصد كافة الملاحظات العاجلة أو الأصول الحرجة جداً التي تتطلب حماية عاجلة معزولة عن التسلسل الزمني لخطوات بناء البرنامج
• دمج وربط سجل مخاطر التكنولوجيا التشغيلية بسجل إدارة المخاطر العام للشركة؛ لعرضه والرفع به للإدارة التنفيذية
• صياغة وتحسين الشروط الفنية والأمنية للمقتنيات والمشتريات وتضمين بنودها لتتطابق مع متطلبات معيار IEC 62443-2-4
الأشهر 6–12 · المرحلة الثالثة: ضوابط الحماية الأساسية وقواعد التنظيم
تطبيق ضوابط وأدوات الحماية للأولويات الحساسة
معالجة الثغرات والعيوب الأكثر أهمية وخطورة في البداية. ركز بالخطوة الأولى على البنية الهندسية للشبكات وأقسامها (فالتقسيم الجيد هو الجدار الحامي الأقوى في بيئة الـ OT) وإدارة حقوق الوصول.
• البدء الفعلي بفصل وتقسيم الشبكات الداخلية: بناء وتفعيل بيئة المنطقة العازلة (DMZ) الفاصلة بين بيئة تكنولوجيا المعلومات وبيئة الـ OT؛ وتفعيل جدران حماية متوافقة ومخصصة للبروتوكولات الصناعية لضبط حدود المناطق الأمنية
• تجهيز صمامات بيانات مادية (data diodes) باتجاه أحادي على مسارات نقل البيانات الخارجة من طبقة السلامة SIS إلى نظام DCS متى ما كان مستوى الأمان المستهدف هو SL3
• إلغاء وتغيير كلمات السر الافتراضية والقديمة لكافة أجهزة الـ OT؛ وتفعيل خاصية إدارة الدخول المبنية على الأدوار والمسؤوليات تماشياً مع متطلبات FR1–FR2
• نشر وإعداد خادم قفز (jump server) لتسجيل وتوثيق كافة جلسات الاستخدام والوصول لمناطق الـ OT عن بعد؛ وفرض ميزة المصادقة المتعددة MFA للوصول الخارجي
• تطبيق وتفعيل أجهزة فحص ذكية وآمنة لوسائط التخزين المتنقلة (كحلول فحص الوسائط من Shieldworkz أو حلول مساوية للتأكد من خلو الفلاشات والوسائط القادمة من الموردين من الملفات الضارة)
• تشغيل منصة رصد مخصصة بموقع المرقاب السلبي للبيانات للبدء برسم وتتبع حركة المرور؛ وبناء تتابع لخطوات وفرز التنبيهات
الأشهر 12–18 · المرحلة الرابعة: نضج عمليات الكشف والاستجابة السريعة
بناء مستدام وراسخ لقدرات رصد الحوادث ومعالجتها
الانتقال من وضع الدفاع السلبي بانتظار المشكلة، إلى ميزة الرصد والتصدي المتفاعل السريع: مراقبة للبيانات بالشبكة، وتتبع ملامح ومؤشرات الهجمات، وتجهيز سيناريوهات مجربة ومحاكية للاستجابة.
• بناء وتجهيز ميزة لمركز العمليات الأمنية للـ OT (داخلي بالمؤسسة أو مدار عبر جهة وسيطة) وتزويدهم بملفات وسيناريوهات تهديدات مخصصة لعوالم الـ OT
الأشهر 18–24 · المرحلة الخامسة: التطوير والتحسين المستمر وبناء النضج
العمل من أجل مأسسة البرنامج، قياس فاعليته، وتطويره باستمرار
إن أي برنامج للأمن السيبراني لا يخضع للتحسين المستمر سيفقد فاعليته تدريجياً مع مرور الوقت. فالتهديدات تتطور، والأنظمة يتم تحديثها، والموظفون يتغيرون. ابدأ ببناء وتأسيس آليات تحافظ على استمرارية البرنامج ونموه وتلقيه الدعم بعد البناء الأولي.
• تفعيل وتقديم تقارير دورية وربع سنوية للإدارة العليا لعرض أداء الأمن السيبراني للـ OT: مع رصد لتطور معايير ومؤشرات القياس (KPIs) كنسبة الالتزام بتثبيت التحديثات، والمخاطر المتبقية العالقة، ومقاييس الحوادث، ونسبة إكمال برامج التدريب والتثقيف
08 أنظمة الحوكمة: الخيط الرفيع بين بناء برنامج دوري مستدام ومشروع ينتهي سريعاً
إن إضافة أجهزة وأدوات للحماية الأمنية دون تفعيل نظام مستمر للحوكمة يؤدي نهاية المطاف إلى تراجع مستواها مع الوقت وتلاشي فاعليتها. يجب دعم برامج الأمن السيبراني للتكنولوجيا التشغيلية بهياكل حوكمة قوية تدوم وتفوق الفترات الوظيفية للموظفين، وتغير ميزانيات الدوائر المختلفة، ولفت نظر الإدارة العليا للموقع. ويحدد معيار IEC 62443-2-1 مواصفات نظام إدارة الأمن السيبراني (CSMS) — والذي يعتبر الهيكل التنظيمي الحامي لاستدامة وجدوى منظومة الأمن السيبراني وتفعيلها كمهمة إدارية متواصلة ودورية بالمؤسسة تحظى بالمتابعة والتعديل، وليس كمجرد مشروع ينتهي فور تفعيل الأدوات لمرة واحدة.
يجب ملاءمة نظام إدارة الأمن السيبراني (CSMS) ليلائم بيئة التكنولوجيا التشغيلية الحصرية
من أبرز أسباب فشل مشاريع ونظم الحوكمة للأمن السيبراني، محاولة تطبيق ممارسات وسياسات أمن تكنولوجيا المعلومات، أو تفعيله تماشياً مع نظام حوكمة تكنولوجيا المعلومات ISMS (مثل تطبيق ضوابط معيار ISO 27001 العادية) على بيئات التكنولوجيا التشغيلية دون تكييفه لملاءمة طبيعتها الفريدة. فلكلا البيئتين تكنولوجيا المعلومات والـ OT أولويات عمل متناقضة تماماً، وقدرة متفاوتة على تحمل المخاطر، وظروف صعبة تفرضها العملية والإنتاج. فالسياسة الأمنية لتكنولوجيا المعلومات التي تقضي مثلاً بفرض ميزة المصادقة متعددة العوامل (MFA) في كل خطوة وصول وسلك إلكتروني هي سياسة جيدة وصحيحة للغاية لقطاع تكنولوجيا المعلومات. بينما تطبيقها دون تكييف بمصنع ووضعها لززاماً على شاشات المشغلين قد تؤدي لتعطيل مُشغل من التحول السريع وتفقد قراءة تحذير صمام خطر في غضون ثانيتين أو مواجهة خلل بالإنتاج — وهذا يفسر الأهمية القصوى لتفصيل وبناء ضوابط الـ CSMS بنهج مخصص لبيئة الـ OT وبمحاذاة ظروفها الميدانية والتشغيلية.
إدارة التغيير الهندسي والتشغيلي مظهر من مظاهر ضوابط الحماية الأمنية
يمثل كل تحديث أو تغيير يطال أجهزة ومعدات الـ OT، أو تطبيقاتها البرمجية، أو إعدادات مسارات وبيانات الشبكة، أو إجراء تشغيلي، بمثابة ثغرة أمنية محتملة لا تستهان. لذا يجب فرض خطوة إلزامية لمراجعة الجوانب الأمنية السيبرانية للـ OT ضمن مسار عملية إدارة التغيير (MOC) المعتمدة بالموقع. وهذا يعني أنه: يمنع الشروع بأي تغيير أو تحديث فني داخل صالة المصنع قبل دراسة تأثيرات هذا التغيير من الناحية السيبرانية بواسطة مسؤول الأمن للـ OT. ويجب تمرير ومراجعة كافة اتصالات الموردين الجديدة، وتحديثات البرمجيات الثابتة، وضبط إعدادات الشبكة، وإضافة مكونات إلكترونية جديدة داخل شبكة المنشأة عبر هذا الممر للموافقة والتقييم أولاً. ويصف كل من معيار NIST SP 800-82 الإصدار الثالث الفقرة 6.2.3 ومعيار IEC 62443-2-1 الفقرة 4.2.3 ميزة إدارة التغيير كمتطلب أساسي وجوهري لإدارة وحوكمة الأمن السيبراني للمنشآت.
أمن ومخاطر سلسلة التوريد والموردين الخارجيين
تمثل أطراف سلسلة التوريد بمختلف درجاتها في بيئات التكنولوجيا التشغيلية الميدان الأوسع لهجمات الاختراق السيبرانية. فالكثير من مصنعي الأجهزة، ومهندسي تكامل الأنظمة، والشركات المسؤولة عن تقديم الخدمات يمتلكون بالفعل مسارات وقنوات وصول وسيطة ومباشرة للشبكة الداخلية للعميل لإجراء عمليات التشخيص الفنية، وإصلاح العيوب الفنية، أو أعمال الصيانة الدورية المجدولة. وقد أبان هجوم SolarWinds الشهيرة بوضوح تام ما يدركه خبراء أمن الـ OT لسنوات عديدة: أن قنوات الاتصال والوصول المصرح بها والممنوحة للموردين الموثوقين قد تتحول فوراً لقنوات وقنوات للهجوم المدمر إذا ما كان المستوى والوضع الأمني لهؤلاء الشركاء هشاً وضعيفاً.
يقدم معيار IEC 62443-2-4 باقة واضحة من المتطلبات والالتزامات الفنية المنظمة للأمن السيبراني والتي يمكنكم تضمينها تعاقدياً لحماية مصالحكم مع موردي خدمات التكنولوجيا التشغيلية. وتتلخص المتطلبات الدنيا والمحايدة لأي جهة أو مورد يُمنح تصريح وصول لشبكة المنشأة بما يلي: توفير سجل وإثبات ممارسات وسياسات أمنية معتمدة؛ والالتزام التام باستخدام أجهزة فنية نظيفة ومعزولة وأخضعت للفحص قبل توصيلها بأجهزة المصنع؛ وضمان أن يكون الوصول مسموحاً به فقط عند تفعيل جلسة العمل المنظمة (منع أي VPN أو اتصال مفتوح باستمرار)؛ واشتراط قبول تسجيل الجلسة بالكامل بالصوت والصورة لتوثيق أفعال المقاول؛ والالتزام بالإفصاح الفوري للعميل بأي اختراق قد يصيبهم. ويجب عليكم فحص وتدقيق هذه المتطلبات والالتزامات على أرض الواقع بانتظام — وتجنب الاكتفاء بالحصول على ورقة تأكيد موقعة ومجاملة من الموردين.
ملاحظة عملية حول الحوكمة الميدانية تكمن أكبر فجوة للحوكمة في أغلب برامج الأمن السيبراني للـ OT في معاملة الأمن السيبراني كجزء من واجبات قسم تكنولوجيا المعلومات في الشركة، والذي يتم الاستعانة به وتذكيره فقط بعد حدوث كارثة أو تفاقم ظرف فني، بدلاً من وضعه كجزء أصيل وجوهري ومهيب ضمن مهام إدارة العمليات اليومية للـ OT. تنجح البرامج وتدوم عندما يحظى مسؤول أمن التكنولوجيا التشغيلية بكرسي ومقعد لاتخاذ القرارات والمناقشة عند البدء بدراسة أي قرار تشغيلي حساس للـ OT — كمشروعات التوسعة الهندسية، واختيار الشركاء وموردي الأجهزة الفنية، والتخطيط لفترات الصيانة الوقائية، وإجراءات استجابة الطوارئ — وليس التواصل معهم فقط بعد إبرام الصفقات واكتمال هندسة الأنظمة مسبقاً. |
مؤشرات القياس التي تحدد كفاءة ونجاح المنظومة الأمنية
أغلب مؤشرات قياس أداء الأمن السيبراني التي يتم عرضها ومناقشتها مع المسؤولين والإدارة التنفيذية تكون مؤشرات قياس للأنشطة والجهد المبذول فقط: كعدد سياسات الأمن المحررة، وعدد جلسات التوعية الأمنية المكتملة، ونسبة فحص جرد الأصول. فهذه المؤشرات تقيس مدى الجهد المنفق في البناء، وليس الأثر الأمني المتحقق فعلياً. بينما المؤشرات المهمة التي تقيس وتحمي أعمالكم هي المؤشرات المبنية على قياس النتائج والحصاد الحقيقي والمتطابقة مع سجل المخاطر لديكم:
مؤشر الأداء | دلالة وقيمة القياس للمؤشر | المصدر المعتمد للبيانات لقراءة المقارنة |
نسبة معالجة وصيانة الملاحظات الحيوية والثغرات المكتشفة في الوقت المحدد (%) | وتيرة وسرعة معالجة وإصلاح العيوب مقارنة بالأولويات والمخاطر الأشد خطورة | بيانات سجل المخاطر + سجل رصد وإصلاح الثغرات الفنية |
عدد المخاطر غير المقبولة التي تظل عالقة دون تفعيل خطة حماية (عدد) | مدى التعرض للمخاطر غير المبررة والمتبقية على الصعيد العام للمؤسسة وبناها | سجل مراجعة تقييم المخاطر المعتمد بشكل ربع سنوي |
الفرق والفجوة بين مستوى الأمان المتحقق (SL-A) والمستهدف (SL-T) لكل منطقة | حجم النقص الحاصل بمستوى وقدرات الأمان لكل منطقة من حدود مناطق الـ OT | دراسة وتقييم متطلبات معيار IEC 62443-3-3 الأساسيات FR1–FR7 |
مستوى الالتزام بتثبيت التحديثات بمقارنته مع أهمية وحيوية الأصول (%) | مستوى كفاءة وسند نظام إدارة الثغرات الفنية وتطبيقه على الفئات والأجهزة الحساسة | أجهزة وبرامج تتبع التحديثات وبوابة جرد الأصول بالمنشأة |
الوقت المتوسط اللازم لكشف وتتبع التهديدات (MTTD) لبيئات الـ OT | مستويات الكفاءة والسرعة الحقيقية لمنصة رصد الشبكة للكشف وتتبع الأخصام والمخاطر | أدوات بوابة تتبع منصة رصد التكنولوجيا التشغيلية / مركز العمليات الأمنية SOC |
الوقت المتوسط لمعالجة والاستجابة (MTTR) للحوادث الأمنية بالـ OT | مستوى الفاعلية وسرعة التدخل والاستجابة للأعطال السيبرانية قبل تفاقم ضررها بالمنشأة | تطبيقات ونظم تتبع حوادث الأمن السيبراني |
عدد محاولات الوصول الخارجي والتحكم عن بعد غير المسموح بها (عدد) | طبيعة وحجم استهداف المخترقين للمنشأة / مستويات مرونة جدران الحماية الخارجية | بيانات فحص جدران الحماية للشبكة / سجل الدخول لخوادم القفز jumpservers |
إن بناء وتطوير برامج الأمن السيبراني للتكنولوجيا التشغيلية ليس مجرد مشروع لشراء تقنيات وأدوات برمجية إضافية. بل هو تحد تنظيمي وهندسي وتشغيلي يستوجب رعاية ومتابعة مستمرة وواعية من القيادة التنفيذية للشركة، وتداخلاً حقيقياً بين جوانب إدارة العمليات التشغيلية وسلامة الأفراد ومعدات المنشأة، وخبرات تقنية واسعة ومتمكنة يندر تواجدها في فرق أمن تكنولوجيا المعلومات النمطية. ويقدم الجمع بين معيار IEC 62443 وتوجيهات NIST SP 800-82 الهيكل الأقوى والمسار الأوضح والأكثر إشراقاً للمضي في هذا الجانب وتصحيح المسار — ولكن تذكر دائماً أن الأطر والمعايير وحدها لا تحمي المصانع. الأشخاص الذين يستوعبون تفاصيل المعايير ومقاصدها الهندسية ويفهمون لغة صالات الإنتاج هم من يفعلون ذلك. |
تعبر هذه المقالة عن وجهات النظر والخبرات الهندسية التشغيلية لكُتابها. وهي موجهة خصيصاً لمساعدة مسؤولي وأخصائيي الأمن السيبراني وإدارة العمليات في القطاعات والمواقع الصناعية. ولا تمثل مواد وتفاصيل هذه المقالة مشورة قانونية أو تنظيمية أو مرتبطة بهندسة السلامة لتطبيقات محددة. وتعود كافة الإشارات والروابط المذكورة لمعايير وأطر حوكمة الأمن كوثائق متوافرة للعامة؛ وينبغي للقراء الرجوع دوماً للنسخ والإصدارات والملخصات الرسمية المنشورة للحصول على تفاصيل ملزمة. وتجدر الإشارة أن معيار IEC 62443 عبارة عن سلسلة نشطة ومستمرة وتخضع أجزاءه المكونة للتحسين والتعديل باستمرار.
تواصَل معنا اليوم لمعرفة المزيد حول كيف يمكنكم الاستفادة من معايير IEC 62443 وإرشادات NIST SP 800-82 لتصميم وبناء برنامج أمني متميز للمؤسسة.
حمّلوا الدليل المساعد لتفاصيل المطابقة ودمج معايير IEC 62443 و NIST SP 800-82، هنا
احصل على تحديثات أسبوعية
الموارد والأخبار
تعرف على كيفية معالجة حلولنا الرائدة في مجال أمن تكنولوجيا التشغيل (OT) للتحديات الأمنية الحيوية
قد تود أيضًا
How to Create a Removable Media Security Policy Template
Team Shieldworkz
The Stuxnet USB Attack: Why Removable Media is Still a Threat
Team Shieldworkz
USB Malware Protection: Defending ICS & OT Environments
Team Shieldworkz
USB Device Control Policy Guide for Industrial Networks
Team Shieldworkz
15 Removable Media Security Best Practices for OT and ICS Environments
Team Shieldworkz
أنظمة الدفاع الصينية المعرضة للإنترنت: دروس مستفادة في الفشل السيبراني الحديث
برايوكت كيه في
