من تقييم المخاطر إلى التنفيذ: إجراء عمليات تدقيق فعالة لأمن تكنولوجيا العمليات في المحطات الفرعية

الصفحة الرئيسية

مدونات

من تقييم المخاطر إلى التنفيذ: إجراء عمليات تدقيق فعالة لأمن تكنولوجيا العمليات في المحطات الفرعية

برايوكت كيه في

5 يونيو 2025

من تقييم المخاطر إلى الإجراءات: إجراء عمليات تدقيق فعالة في أمان OT في محطات الطاقة الفرعية (مع قائمة تحقق عملية)

في المشهد المتطور للتهديدات الإلكترونية، أصبحت محطات الطاقة الفرعية، وهي نقاط حيوية في شبكة الكهرباء، أهدافًا ذات قيمة عالية للمهاجمين الإلكترونيين. مع تحول المحطات الفرعية إلى الرقمنة باستخدام أجهزة إلكترونية ذكية (IEDs) وتكامل SCADA والاتصالات الممكّنة بتقنية IP، لم يعد نموذج الأمان التقليدي بالعزل (المعروف بالهواء الفجوة) صالحًا. لمواجهة ذلك، أصبحت عمليات تدقيق أمان التكنولوجيا التشغيلية (OT) ضرورية الآن لتقييم الثغرات، وفرض الامتثال (مثل معايير CEA أو NERC CIP)، وتعزيز الدفاعات الإلكترونية على مستوى المحطات الفرعية.

يستكشف مدونة أمان OT اليوم تشريح عملية تدقيق أمن CPS/ICS الفعالة في المحطات الفرعية، من خلال تفصيل المراحل والأولويات الفنية، وختامًا بقائمة تحقق عملية للممارسين.

لا تتردد في التواصل معنا إذا كان لديك أي أسئلة.

لماذا تعد عمليات تدقيق أمان OT في المحطات الفرعية مهمة للغاية

التقاء التهديدات

يزداد استهداف المحطات الفرعية من قبل جهات دولة، مجموعات الفدية، والمجرمين الإلكترونيين لأنها تعمل كمضخمات للشبكة، مما يؤثر على مناطق واسعة إذا ما تعرضت للاختراق. وقد أظهرت الهجمات مثل Industroyer وBlackEnergy كيف يمكن لسوء استخدام البروتوكول (مثل IEC 60870-5-101 أو IEC 61850) أن يُعطل مرحلات الحماية أو أجهزة التوصيل.

يمكن أن تبقى التهديدات في المحطات الفرعية لفترات طويلة دون اكتشاف.

الأنظمة القديمة في العالم الرقمي

تُبنى المحطات الفرعية غالبًا على بنى تحتية قديمة ترجع لعقود، وتربط الآن بأنظمة تكنولوجيا المعلومات الحديثة. لم تُصمم أجهزة مثل وحدات RTUs ووحدات PLCs ومرحلات الحماية مع وضع الأمان الإلكتروني في الاعتبار وتتطلب حماية متعددة الطبقات.

الدوافع التنظيمية

يتزايد الالتزام بالمعايير مثل OTCC وNIS2 وإرشادات الأمن السيبراني CEA وNERC CIP وIEC 62443 التي تفرض التقييمات الاستباقية وخطط تخفيف المخاطر وإثبات المرونة.

مراحل تدقيق أمان OT الفعال في المحطات الفرعية

المرحلة 1: التخطيط والتحضير لما قبل التدقيق

قبل نشر الأدوات أو جمع السجلات، يجب على المراجعين:

· تحديد حدود النطاق: تحديد ما إذا كان التدقيق يغطي المحطات الفرعية الأساسية، أو محطات توزيع الطاقة، أو كليهما.

· مواءمة النطاق مع IEC 62443

· تصنيف جميع الأصول التشغيلية: تشمل IEDs وPLCs وRTUs والبروتوكولات إلى إيبهات الوحدات (serial-to-IP gateways)، المحولات، الجدران النارية، وأنظمة HMI.

· إشراك الفرق المتعددة التخصصات: إشراك المهندسين الكهربائيين، مالكي أنظمة التحكم، فرق الأمن السيبراني، والموردين.

· تحديد أهداف تمرين تقييم المخاطر بوضوح

· فهم هيكل الشبكة: طلب أو إنشاء مخططات طبوغرافية محدّثة، تشمل شبكات VLAN و البروتوكولات ومناطق الثقة.

· التحدث إلى مورد متخصص في أمان OT مثل Shieldworkz لإجراء تقييم المخاطر والفجوات مع VAPT

تجنب استخدام أدوات تكنولوجيا المعلومات التقليدية بدون تحقق متعدد المستويات، فقد تسبب سلوكيات غير متوقعة في المعدات الحساسة مثل مرحلات الحماية.

المرحلة 2: اكتشاف الشبكة السلبي وجرد الأصول

بدلاً من الفحوصات الاقتحامية، استخدم مراقبة الشبكة السلبية وأدوات كشف الشبكة والاستجابة (NDR) مثل Shieldworkz للتعرف على:

· الأجهزة المتصلة وأدوارها

· استخدام البروتوكول (DNP3 وIEC 61850 وModbus)

· أنماط الاتصال (مثل دورات الاستطلاع، تعيين النقاط، محفزات الأحداث)

· يجب أن يكون جرد الأصول محدثًا

تُبنى هذه المرحلة أساسًا للسلوك الطبيعي وتبرز الأجهزة غير المعروفة أو الخبيثة، وغالبًا ما تكون علامة على سوء التكوين أو الاختراق.

المرحلة 3: مراجعة التكوين والبرامج الثابتة

· تحقق من إصدارات البرامج الثابتة للأجهزة: هل هي محدثة؟ هل تحتوي أي منها على CVEs معروفة؟ هل تعمل كما هو مقرر؟

· تحليل إعدادات تعزيز الأمان: بالنسبة لـ IEDs وPLCs، راجع سياسات كلمات المرور، مداخل USB، الوظائف غير المستخدمة (مثل خوادم الويب)، وإعدادات الوصول عن بعد.

· البحث عن بيانات الدخول الافتراضية أو الجلسات غير المشفرة: يعتبر Telnet أو SNMP العادي إشارات حمراء.

المرحلة 4: تقسيم الشبكة وتدقيق الجدران النارية

تدقيق الجدران النارية الداخلية بما في ذلك تحسين السياسات، وتقسيم الطبقة الثانية، وممرات الوصول عن بعد. راجع:

· فصل بين OT وIT: هل يوجد DMZ آمن؟

· استخدام خوادم القفز أو مضيفات الباستيون للوصول الهندسي عن بعد.

· ACLs وعزل شبكات VLAN لمنع الحركة الأفقية

· ملاءمة الإدارة السياسية وحركة المرور

· هل هناك طريقة ممكنة يمكن من خلالها تجاوز التقسيم؟

ينبغي أن تتبع المحطات الفرعية بنية المناطق وفقا لـ IEC 62443، مع مستويات ثقة محددة بين HMI، واجهة SCADA ، شبكة التحكم، وشبكات الأجهزة.

المرحلة 5: تقييم الثغرات وإدارة التصحيحات

· قوم بتشغيل خرائط الثغرات على إصدارات البرامج الثابتة وبناء أنظمة التشغيل (مثل HMIs المستندة إلى Windows XP وإصدارات نواة Linux).

· مراجعة تاريخ التصحيحات: متى تم تطبيق آخر تصحيح OT؟ هل هناك سياسة تصحيح خاصة بالمحطات الفرعية؟ كم مرة يتم تطبيقها؟

· تحديد البرمجيات التي وصلت لنهاية الحياة والتي لا يمكن تصحيحها وتحتاج إلى ضوابط تعويضية

· هل جرد الأصول محدث؟

· هل هناك أي أنظمة قديمة تتطلب دفاعات إضافية؟

· هل تم تحديد مسارات الهجوم وتم كسرها؟

ينصح بإجراء عمليات فحص الثغرات في بيئات الاختبار أولاً لتجنب تعطيل الأنظمة الحية.

المرحلة 6: تسجيل الدخول، المراقبة، وجهوزية الاستجابة للحوادث

· تحقق من تسجيل الدخول الخاص بـ OT: تقدم العديد من أجهزة IED سجلات محدودة، لذا قم بربط الأحداث عبر syslog أو مصائد SNMP أو المنافذ المعكوسة في منصات SIEM/NDR مثل Shieldworkz.

· خطة الاستجابة للحوادث: هل هناك دليل IR وخطة لمحطات الطاقة الفرعية؟ هل يعلم مهندسو الميدان كيفية فصل الأجهزة الضارة بأمان؟ هل تم اختبار هذه الخطة؟

· تزامن الوقت: هل كل الأنظمة تستخدم NTP، وهل هو مقاوم للعبث؟

المرحلة 7: الأمن الفيزيائي والعوامل البشرية

· مراجعة أنظمة التحكم في الوصول الفعلي: من يمكنه الدخول فعليًا إلى غرفة التحكم في المحطة أو مناطق اللوحات؟ هل يحتاجون إلى هذا الوصول؟

· تحقق من استخدام الوسائط المحمولة: هل يتم فحص محركات USB باستخدام حل فحص الوسائط قبل الاتصال بأجهزة الحماية؟

· تدقيق سجلات التدريب: هل تلقى المشغلون تدريبًا على الوعي بالأمن السيبراني خاصًا بأنظمة OT بما في ذلك الاستجابة للحوادث؟

· هل تم استخدام الدروس المستفادة من الحادث الأخير لتحسين الأمان؟

الانتقال من النتائج إلى الفعل

بعد تحديد جميع الثغرات والفجوات، يتحول التركيز إلى التصحيح:

· تحديد والعمل على مستوى الأمان المستهدف IEC 62443

· تشكيل فريق من المتخصصين لوضع الخطة في حيز التنفيذ وتتبع التقدم

· إتاحة الأولوية للنتائج ذات التأثير الكبير باستخدام مصفوفة المخاطر (الاحتمالية × الأثر)

· تطوير خارطة طريق للتصحيح مع مراعاة الأوقات المستقطعة لـ OT

· إشراك الموردين لتحديثات البرامج الثابتة، وتوجيه التكوين، والمساعدة في تقسيم الشبكة مع توجيهات من مورد أمن OT

· عقد جلسات توعية للمشغلين والمهندسين المحليين

عملية تدقيق جيدة لا تنتهي فقط بتقرير PDF مقفل وقابل للقراءة فقط، يجب أن تطلق سلسلة من التحسينات الأمنية، التدريب، وتقليل المخاطر.

قائمة تدقيق لأمان OT في محطات الطاقة الفرعية

استخدم هذه القائمة العملية أثناء عملية تدقيق المحطة الفرعية التالية:

المنطقة	عنصر قائمة التحقق
جرد الأصول	تحديد جميع IEDs وRTUs وPLCs وHMIs والمحولات وبوابات البروتوكول
جرد الأصول	تأكيد إصدارات البرامج الثابتة وحالة دعم الشركة المصنعة
اكتشاف الشبكة	خريطة تدفق الاتصالات (مثل استقصاء SCADA، رسائل الترحيل GOOSE)
اكتشاف الشبكة	تحديد الأجهزة الخبيثة أو غير المعروفة
مراجعة التكوين	التحقق من كلمات المرور الافتراضية، المنافذ المفتوحة، البروتوكولات غير المؤمّنة
مراجعة التكوين	مراجعة سجلات الوصول ومستويات الامتياز لجميع الأجهزة
التقسيم والجدران النارية	التحقق من تقسيم الشبكة (المناطق والممرات حسب IEC 62443)
التقسيم والجدران النارية	تدقيق قواعد الجدار الناري، قوائم التحكم في الوصول، ومسارات الوصول عن بعد
إدارة الثغرات والتصحيحات	مطابقة إصدارات البرامج الثابتة وأنظمة التشغيل مع CVEs المعروفة
إدارة الثغرات والتصحيحات	مراجعة جداول التصحيح والقيود لأنظمة OT
التسجيل والمراقبة	ضمان إرسال السجلات الحرجة إلى منصة SIEM مركزية أو OT NDR
	تأكيد تزامن NTP للاستعدادات الجنائية
الأمن الفيزيائي وموقع الحماية	التحقق من ضوابط الدخول على الأبواب، وتغطية كاميرات المراقبة، وسجلات البطاقات
الأمن الفيزيائي وموقع الحماية	مراجعة سياسات استعمال USB / الوسائط وسجلات الحوادث
التدريب والوعي	التحقق مما إذا كان العاملون الميدانيون قد أكملوا تدريب الوعي بأمان OT
التدريب والوعي	اختبار خطة الاستجابة للحوادث من خلال تمارين الطاولة بمشاركة موظفين هندسيين. إجراء تدقيقات من جهات خارجية للتحقق من الجاهزية للحوادث