يُعتبر قطاع الطاقة في الهند، الذي يشمل النفط والغاز والكهرباء والفحم والطاقة المتجددة، في كثير من النواحي العمود الفقري لاقتصاد البلاد والبنية التحتية الحيوية. مع تطور ونمو التهديدات والأخطار السيبرانية على مستوى العالم، تواجه الشركات الهندية في قطاع الطاقة ضغوطاً متزايدة لحماية بيئات التكنولوجيا التشغيلية (OT) الخاصة بها. ووفقاً لتقرير Shieldworkz عن مشهد التهديدات الأمنية على التكنولوجيا التشغيلية، فإن شركات الطاقة الهندية مستهدفة من قبل مجموعات القراصنة من الصين وكوريا الشمالية وباكستان وإيران.  

يلعب المركز الوطني لحماية البنية التحتية للمعلومات الحيوية في الهند (NCIIPC) دورًا مركزيًا في حماية هذه القطاعات ذات الأهمية الوطنية، وتزداد عمليات تدقيقه نقطة تركيز للرؤساء التنفيذيين لأمن المعلومات ومسؤولي الأمن في التكنولوجيا التشغيلية.

ومع ذلك، فإن العديد من المنظمات تتعامل اليوم مع عمليات تدقيق NCIIPC بشكل متفاعل، حيث تسارع لإغلاق الثغرات غالبًا قبل أيام قليلة من التقييم. لا يزيد هذا من خطر عدم الامتثال فحسب، بل يضعف أيضًا من متانة الوضع الأمني وقدرة الاستجابة للحوادث بمرور الوقت. النهج الأكثر وعيًا والمستحسن هو تطبيق تدابير أمنية استباقية في التكنولوجيا التشغيلية التي تُدمج فيها جاهزية التدقيق في العمليات اليومية والحوكمة وسلسلة التوريد.

فكيف يمكن لشركات الطاقة الهندية القيام بذلك؟ دعونا نستكشف الإجابات.

فهم تفويض NCIIPC بالتدقيق

يعمل المركز الوطني لحماية البنية التحتية للمعلومات الحيوية في الهند (NCIIPC) تحت رعاية منظمة الأبحاث الفنية الوطنية (NTRO)، وتتمثل مهمته في حماية البنية التحتية للمعلومات الحيوية (CII) في الهند، كما هو محدد في المادة 70 من قانون تكنولوجيا المعلومات لعام 2000.

بعض المتطلبات الرئيسية تشمل:

· تحديد وتصنيف أصول البنية التحتية للمعلومات الحيوية عبر البنية التحتية

· تقييماً للأساس الأمني

· خطط الكشف عن الحوادث والاستجابة

· التحكم في الوصول ومحاسبة المستخدم

· الأمان الفيزيائي والبيئي

· التقييم الدوري للثغرات والاختبارات الاختراقية (VAPT)

· تقارير الحوادث وتقديم الامتثال

تحديد وتصنيف الأصول الحيوية في التكنولوجيا التشغيلية

تواجه معظم المنظمات تحديات كبيرة هنا. بدون الرؤية الدقيقة للأصول التشغيلية وتدفقات البيانات، لن تعرف المنظمات ما يجب حمايته.

التكتيكات الموصى بها

· إجراء تمرين تقييم الأصول الحيوية بتفاصيل عالية (CAI): حدد ما يشكل البنية التحتية للمعلومات الحيوية بناءً على التأثير المحتمل للتعطيل وأهمية الأعمال (الأمن القومي، سلامة الموظفين والجمهور، الخسارة الاقتصادية).

· استخدام أدوات اكتشاف الشبكة غير المفعلة مثل Shieldworkz لرسم خريطة الأجهزة المتصلة.

· نشر هيكل قوي باستخدام معايير مثل نموذج بوردو.

توصية أمنية محددة: إشراك فرق العمليات وموظفي المعدات الأصلية (OEMs) ومهندسي المصانع في تأكيد أهمية الأصول. لا تعتمد فقط على الفحوصات الشبكية.

تحسين وتعزيز بيئة التكنولوجيا التشغيلية الخاصة بك

بمجرد تعيين الأصول، قم بتحسينها باستخدام تدابير محددة لتقليل سطح الهجوم.

التدابير الموصى بها

· تكوينات الأساس: سجل جميع حالات التكوين المعروفة والجيدة لجميع أجهزة PLC وSCADA وRTU، إلخ.

· إدارة التصحيحات: حيثما لا يمكن تنفيذ التصحيحات، استخدم الضوابط التعويضية (مثل العزل والقوائم البيضاء المسموح بها).

· التجزئة: تطبيق تجزئة الشبكة الصارمة بين تكنولوجيا المعلومات والتكنولوجيا التشغيلية، وعبر مناطق التكنولوجيا التشغيلية (مثلاً الهندسة مقابل العمليات).

استخدم جدران الحماية مع التفتيش العميق للحزم (DPI) لضمان الأمان المحيطي عبر البروتوكولات الصناعية (Modbus، DNP3، IEC 60870-5-104).

استخدام منصة للعثور على الشبكة والاستجابة للأحداث مثل Shieldworkz لتأمين كل شيء داخل المحيط.

تعزيز هوية الدخول وضوابط الوصول في التكنولوجيا التشغيلية

لم تصمم الأنظمة التشغيلية أبداً لنماذج الدخول الحديثة المبنية على الهوية

خطوات عملية:

· تطبيق التحكم في الوصول على أساس الدور (RBAC) مع أقل قدر من الامتيازات عبر التطبيقات والأجهزة التشغيلية.

· تعطيل البيانات الافتراضية والحسابات غير المستخدمة على الأجهزة الميدانية وأنظمة HMI.

· استخدام خوادم القفز مع المصادقة متعددة العوامل لجميع الدخول عن بعد إلى التكنولوجيا التشغيلية.

· الاحتفاظ بسجلات الدخول مركزياً ومراجعتها بانتظام لرصد الشذوذات.

توصية محددة: تستخدم العديد من شركات الطاقة الوصول عن بعد أثناء الصيانة. فرض ضوابط على الدخول المقيد بالوقت وتسجيل الأنشطة بالتفصيل.

تنفيذ برنامج لإدارة الثغرات بصفة مستمرة

لا تكفي عمليات التدقيق السنوية وVAPT. توقع NCIIPC المراقبة والتقييمات المنتظمة مع العلاج.

التدابير التكتيكية

· نشر ماسحات ضوئية للثغرات تعرف على التكنولوجيا التشغيلية وتجنب تعطيل عمليات المصنع.

· جدولة عمليات المسح أثناء فترات التوقف المخطط لها لتجنب التأثير.

· الاحتفاظ بلوحة متابعة مركزية لتتبع الثغرات وإجراءات العلاج.

· ربط الثغرات بالمؤشرات المعروفة (مثل MITRE ATT&CK لنظم التحكم الصناعي) والأولوية بناءً على الأهمية.

نشاط جمع البيانات هذه في سجلات التدقيق أو لوحة المعلومات يحسن بشكل كبير من موقفك أمام التدقيق.

بناء خطة استجابة للحوادث المتعلق بالتكنولوجيا التشغيلية (IRP)

لا تزال العديد من المنظمات تفتقر إلى كتيبات استجابة الحوادث الخاصة بالتكنولوجيا التشغيلية، وهذا بمثابة إشارة حمراء للمدققين.

ما يجب تضمينه:

· تحديد الأدوار ومسارات التصعيد خلال حادث أمني للتكنولوجيا التشغيلية.

· آلية "kill switch" لعزل الأصول المتعرضة للخطر بأمان.

· تمارين محاكاة لهجمات الفدية أو اختراق عن بعد للأجهزة الميدانية.

· خطط التنسيق مع CERT-In وNCIIPC، بما في ذلك بروتوكولات الإخطار بالحوادث.

· يمكن استخدام أدوات المحاكاة الهجومية لاختبار مرونة خطة استجابة الحوادث.

· إعداد قدرات المراقبة والكشف الخاصة بالتكنولوجيا التشغيلية

· يبحث المدققون عن المراقبة النشطة، وليس السياسات السلبية فقط.

الخطوات العملية:

· نشر SIEM يتعلق بالتكنولوجيا التشغيلية أو منصة لرصد الأمن لاكتشاف السلوك الشاذ في البروتوكولات.

· دمج تدفقات الاستخبارات التهديدية ذات الصلة بقطاع الطاقة (مثل APT33، Dragonfly، Volt Typhoon).

· استخدم اكتشاف الشذوذ السلوكي، وليس القواعد المستندة إلى التوقيع فقط.

· إعداد تنبيهات لاستخدام البروتوكولات غير العادية، وتغييرات البرمجيات الثابتة غير المصرح بها أو التحركات الجانبية.

ينبغي النظر في إنشاء SOC يتعلق بالتكنولوجيا التشغيلية أو توسيع مركز عمليات الأمن الحالي للتكنولوجيا المعلومات مع قدرات وكتيبات تتعلق بالتكنولوجيا التشغيلية.

الحفاظ على التوثيق المناسب ومسارات التدقيق

تعتمد عمليات تدقيق NCIIPC بشكل كبير على الوثائق كدليل على الامتثال.

توصية محددة: الاحتفاظ بمسار وثائقي عن ضوابط الأمان المُنفذة

قائمة التدقيق الوثائقي

· مخططات الشبكة مع الجرد المحدث للأصول

· سياسة الأمن للتكنولوجيا التشغيلية ونموذج الحكم

· سجلات إدارة التصحيحات والثغرات

· تقارير التحكم في الوصول والمراجعات

· خطة الاستجابة للحوادث ونتائج التمارين المحاكاة للحوادث

· تقارير من عمليات التدقيق من طرف ثالث أو تقييمات الفرق الحمراء

احتفظ بهذه الوثائق بتحكم في النسخة ومراجعتها بانتظام بواسطة القيادات المعنية بالامتثال والتكنولوجيا التشغيلية.

إشراك الأطراف المعنية الصحيحة

يتطلب الاستعداد لعمليات التدقيق الناجحة تعاوناً متعدد الوظائف.

نموذج الحكم

· تعيين مالك للأمن السيبراني للتكنولوجيا التشغيلية على مستوى القيادة.

· إنشاء فريق عمل مشترك يضم تكنولوجيا المعلومات، التكنولوجيا التشغيلية، الامتثال وفريق الأمن المادي.

· عقد مراجعات لجنة مخاطر الأمن السيبراني للتكنولوجيا التشغيلية بشكل ربع سنوي.

· يجب إشراك مهندسي التكنولوجيا التشغيلية من اليوم الأول - اجعلهم أبطالاً وليس عوائق.

· قم بإجراء تدقيقات NCIIPC الوهمية سنوياً

· لا تنتظر التدقيق الرسمي لاكتشاف الفجوات.

الخطوات

· استأجر مدققًا مستقلًا مثل Shieldworkz على دراية بإرشادات NCIIPC وIEC 62443.

· محاكاة التقييمات الفنية والإجرائية.

· تحديد وتوثيق الفجوات باستخدام قائمة تدقيق متوافقة مع إرشادات NCIIPC وأفضل الممارسات.

· تعيين مالكين وأطر زمنية للتصحيح.

إنشاء لوحة معلومات تعرض درجة جاهزية التدقيق حسب المواقع والأجهزة والأنظمة والشبكات - استخدمها لتعزيز الوعي التنفيذي والتمويل.

الخاتمة

يجب أن لا يكون الاستعداد للتدقيقات NCIIPC نشاطًا لمرة واحدة فقط. يجب أن يكون النتيجة الطبيعية لاستراتيجية الأمان المعتمدة على المخاطر والناضجة للتكنولوجيا التشغيلية.

الشركات الهندية في قطاع الطاقة التي تتبنى الرؤية والتجزئة واكتشاف الشبكة والاستجابة والتحكم في الهوية واكتشاف التهديدات وتقييم المخاطر والسلامة بناء على IEC-62443 والحوكمة ليسوا فقط أكثر احتمالًا لتجاوز التدقيقات NCIIPC - بل هم أيضًا أكثر استعداداً لمواجهة تهديدات الدول، والمخاطر الداخلية، وهجمات الفدية التي تستهدف الأنظمة الحرجة.

بدلاً من الاندفاع في اتجاهات مختلفة خلال التدقيقات، ابني عمليات قابلة للتكرار وقائمة على الأدلة تجعل الامتثال جزءاً من عملياتك اليومية. هذا ليس فقط أمانًا سيبرانيًا جيدًا - بل إنه عمل جيد أيضًا.

قائمة مراجعة ملخصة سريعة لاستعداد التدقيق NCIIPC:

هل ترغب في الاستعداد لتدقيق NCIIPC؟ تحدث إلى Shieldworkz للحصول على استشارة مجانية.