مع تسارع عملية الرقمنة للبنية التحتية الحيوية في الهند، وخاصة في قطاع الطاقة، أصبح أهمية الأمن السيبراني أمراً بالغ الأهمية. أصدرت هيئة الكهرباء المركزية (CEA) إرشادات حول الأمن السيبراني في قطاع الطاقة لتعزيز مرونة الأمة ضد التهديدات المتطورة. تتطلب هذه الإرشادات بشكل رئيسي إنشاء مراكز عمليات الأمن (SOCs) لمراقبة واكتشاف والاستجابة للحوادث السيبرانية في الوقت الحقيقي.

تستعرض هذه المقالة نهجاً استراتيجياً لتصميم وتنفيذ مركز عمليات أمن من الجيل التالي ومتوافق مع CEA في الهند، مع الأخذ في الاعتبار الأبعاد التقنية والتنظيمية والتشغيلية.

1. فهم إرشادات CEA: أساس الامتثال

تضع إرشادات الأمن السيبراني في قطاع الطاقة لـ CEA (2021)، التي تنص عليها المادة 73 من قانون الكهرباء، الحد الأدنى من المتطلبات لوضع الأمن السيبراني عبر المرافق الإنتاجية والنقل والتوزيع. تشمل متطلبات SOC الرئيسية:

· إنشاء خطط إدارة أزمات سيبرانية قطاعية.

· تحديد البنية التحتية للمعلومات الحرجة (CII) بشكل إلزامي.

· نشر SOCs (مركزية أو متفرقة) بقدرات مراقبة في الوقت الحقيقي.

· آليات التسجيل والتدقيق بما يتماشى مع إرشادات CERT-In.

· الإبلاغ عن الحوادث لـ CERT-In والقطاعي CERTs ذات الصلة.

تتوافق هذه الإرشادات مع الأطر الوطنية الأوسع مثل سياسة الأمن السيبراني الوطنية، وقانون تكنولوجيا المعلومات، 2000، وتوجيهات CERT-In لعام 2022.

2. تصميم مركز عمليات أمن من الجيل التالي: الركائز الرئيسية

يجب أن يتجاوز مركز عمليات أمن من الجيل التالي المراقبة الأساسية لتمكين البحث الاستباقي عن التهديدات والتنظيم والمرونة. تشمل المكونات المعمارية الرئيسية ما يلي:

a. هيكل مركز عمليات أمن متفرق

نظراً للتوزيع الجغرافي والتنوع التشغيلي في قطاع الطاقة في الهند، يُوصى بنموذج متفرق:

· مركز عمليات أمن مركزي (CSOC): يقع في المقر الرئيسي للمرفق أو المركز الإقليمي؛ مسؤول عن الإشراف الاستراتيجي والتنسيق.

· مراكز عمليات أمن محلية (LSOCs): يتم نشرها في مستويات المحطة أو المحطات الفرعية بقدرٍ من الاستقلالية التشغيلية.

b. التوافق بين أمن تكنولوجيا المعلومات وأمن التكنولوجيا التشغيلية

يجب على مركز العمليات الأمني الحديث مراقبة كل من شبكات تكنولوجيا المعلومات (IT) والشبكات التشغيلية (OT):

· رؤية عمليات التشغيل باستخدام أجهزة استشعار غير نشطة ومحللي بروتوكولات صناعية.

· طبقة دمج بين تكنولوجيا المعلومات والتكنولوجيا التشغيلية باستخدام شبكات مُسورة ومجزئة مع بوابات أحادية الاتجاه أو DMZs.

c. قدرات اكتشاف التهديدات المتقدمة

· حل NDR لاكتشاف ومعالجة التهديدات

· حلول متقدمة للتكنولوجيا التشغيلية لإدارة دورة الحياة الكاملة للتهديدات

· اكتشاف الشذوذ باستخدام الذكاء الاصطناعي/تعلم الآلة لبيئات SCADA/DCS.

· تدفقات استخبارات التهديدات المتوجهة للعمليات التشغيلية وأمن البنية التحتية الحيوية تأخذ في اعتبارها الجهات المهددة الإقليمية (مثل APT41 والجهات المهددة المرتبطة بباكستان وكوريا الشمالية).

· تحليلات سلوكية لاكتشاف تهديدات الداخليين.

d. الاستجابة التلقائية والتنظيم

· منصات SOAR (الأمن والتنسيق، والأتمتة والاستجابة) لمنصات تلقائية.

· التكامل مع كشف النهايات، والجدران النارية، وأنظمة التحكم الصناعي (ICS).

e. التسجيلات التنظيمية والجنائية

· الاحتفاظ بالسجل لأكثر من 180 يوماً وفقاً لتوجيهات CERT-In.

· سجلات متزامنة زمنياً مع تخزين يثبت عدم التلاعب.

· مجموعات أدوات جنائية مصممة للبيئات الصناعية (الالتقاط الحزمي، تحليل الذاكرة، إلخ).

3. الحوكمة والاستعداد التشغيلي

يتطلب إنشاء مركز عمليات أمن فعال ومتوافق آليات حوكمة قوية:

a. توافق السياسات

· سياسة الأمن السيبراني متوافقة مع أطر CEA وNCIIPC.

· تحديثات منتظمة لخطط إدارة الأزمات السيبرانية.

· يُوصى بأن تنقسم السياسة إلى الحوكمة، الموقف، العمليات، الضوابط، مسؤوليات الطرف الثالث، الإطار ومؤشرات الأداء الرئيسية لمتابعة تنفيذها الفعال.

b. تنمية القوى العاملة

· تدريب محللي مركز عمليات الأمن على IEC 62443، NIST CSF، MITRE ATT&CK للبيئات الصناعية، والأطر التنظيمية الهندية.

· تدريب منتظم لضمان بقائهم مدركين للوائح الأمن التشغيلي المتطورة، الاتجاهات والمخاطر

· تمارين مائدة مستديرة منتظمة وتدريبات فرق الأحمر-الأزرق.

c. الاستجابة للحوادث والإبلاغ

· التكامل مع CERT-In، المركزية CERTs (CERT-T)، وSLDCs للاستجابة المتناسقة.

· تنبيهات في الوقت الحقيقي ولوحة تقارير شهرية عن الحوادث.

d. إدارة مخاطر الطرف الثالث

· عمليات تدقيق أمان (VAPT وتقييم مخاطر الأمن التشغيلي والفجوات) للموردين والمزودين من قبل مقيم مؤهل ذو فهم عميق لمتطلبات CEA مثل Shieldworkz .

· الإعداد الأمني للوصول إلى المصنعين الأصليين والمندمجين والخدمات المعتمدة.

4. توصيات تقنية مكدسة

قد تشمل مكدس تقنية مركز عمليات أمن من الجيل التالي على مستوى عال:

· SIEM

· SOAR

· كشف واستجابة الشبكة (Shieldworkz)

· حماية النهاية

· استخبارات التهديدات

· تقنية الخداع

· إدارة الثغرات

 للمزيد من المعلومات حول تأسيس مركز عمليات أمن تشغيلي أو حول ترقية مركز عمليات أمن تكنولوجيا المعلومات الخاص بك إلى مركز عمليات أمن تشغيلي، اتصل بـ Shieldworkz.