دمج معيار IEC 62443 في إدارة الأمن التقني
بريوكث ك ف
دمج المعيار IEC 62443 في حوكمة أمن تكنولوجيا العمليات
الشركات الناضجة في مجال النفط والغاز تعمل بالفعل على تأمين بنيتها التحتية لتكنولوجيا العمليات من خلال طبقات متعددة من التدخلات. من ناحية، هم يقومون بنشر إجراءات أمنية مثل مراقبة شبكاتهم، فحص الوسائط، ضمان الوصول الآمن عن بعد وإجراء تقييمات المخاطر بدقة، بينما من ناحية أخرى يقومون أيضًا بتدريب موظفيهم وينظرون إلى الأمن كجزء من الضرورات التشغيلية العامة.
سواء كانت تدابير الأمن الخاصة بتكنولوجيا العمليات الخاصة بك يمكن تصنيفها على أنها ناضجة أو أساسية، يمكنك بالتأكيد النظر في سلسلة معايير IEC 62443 لتحسين مستوى الأمان لديك وضمان تكامل أفضل لإجراءات الأمان في العمليات. الأمر لا يتعلق فقط بضمان الامتثال ولكن أيضًا بتتبع الامتثال وضمان توافق التدابير الأمنية مع تعرضك للمخاطر والاستعداد للتعامل مع أي حوادث أو أحداث قد تهدد بالتعطيل.
مع اقتراب عام 2026، حان الوقت للنظر مجددًا في كيفية مساعدة المعيار IEC 62443 لمؤسستك في تطوير وضعها الأمني والتحكم في المخاطر والحفاظ على تعرض المخاطر تحت السيطرة.
إليكم مقالًا يوضح كيفية دمج المعيار IEC 62443 في قاعدة عملياتكم، بدءًا من غرفة المجلس وصولًا إلى مناطق المخاطر.
قبل أن نتعمق، لا تنس الاطلاع على مدونتنا السابقة التي تقدم نظرة شاملة على أحدث توجيهات من CISA ووكالات أخرى بشأن دمج الذكاء الاصطناعي في تكنولوجيا العمليات. أنا واثق أنك ستجدها مفيدة.
الحوكمة: الطبقة التي تترجم النية
أحد أكبر نقاط الاحتكاك في بنية تكنولوجيا العمليات هو غالبًا تصادم الثقافات. أي محاولة لفرض ضوابط تكنولوجيا المعلومات على تكنولوجيا العمليات يمكن أن تؤدي في نزول سريع للأمور. الفجوة بين مستويات الأمان في تكنولوجيا المعلومات وتكنولوجيا العمليات تمنح الجهات الخبيثة والمطلعين الضارين فرصة للتدخل وإحداث فوضى.
يساعدك المعيار IEC 62443-2-1 في سد هذه الفجوة عن طريق طلب نظام إدارة الأمن الإلكتروني (CSMS). لكن كيف يمكنك بالفعل حوكمة ذلك؟
تخلص من نهج "Patch Tuesday": في مصفاة أو في ورشة العمل، لا يمكنك إعادة تشغيل نظام التحكم الموزع (DCS) لمجرد أن ويندوز أطلق تحديثًا. يجب على سياسات الحوكمة الخاصة بك أن تنص صراحة على أن الضوابط التعويضية (مثل قواعد جدار النار الأكثر صرامة أو التحديثات الافتراضية أو قيود المرور) تعتبر بدائل مقبولة للتحديث حتى الجولة المجدولة التالية.
تعريف شهية المخاطر: يجب على الإدارة تحديد ما هو "قابل للتسامح". هل فقدان رؤية لأربعة ساعات على نظام سكادا للأنابيب مقبول؟ إذا كان الجواب لا، فيجب على إطار الحوكمة أن يفرض شبكات مقسمة زائدة مع ضوابط إضافية لتلك القنوات المحددة.
دمج "السلامة": عالج المخاطر السيبرانية كمدخلات لتحليل المخاطر الذي يضم النظام المسند لأدوات السلامة (SIS). إذا كان للانتهاك السيبراني أن يتسبب في فشل النظام المسند لأدوات السلامة (SIS)، فيجب تضمين هذا في مراجعة إدارة سلامة العمليات (PSM)، وليس مجرد تذكرة لتكنولوجيا المعلومات.
المستويات الأمنية ومستويات النضج: يمكن أن تكون المستويات الأمنية ومستويات النضج (SL و ML) مؤشرًا قويًا ومدعومًا بالأدلة على مكانك من حيث النضج الأمني. يجب استخدام هذه البيانات لتحسين ممارساتك الأمنية بطريقة محسوبة.
الهندسة المعمارية: المناطق والقنوات والقلاع
يعتمد المعيار IEC 62443 بشكل كبير على مفهوم المناطق والقنوات. فكر في منشأتك وكأنها قلعة من القرون الوسطى محمية بخندق مرن.
المناطق (الغرف): لا تدع المرسل يدخل مباشرة إلى غرفة الملك دون تصاريح. بالمثل، ينبغي أن يكون نظام السلامة المسند (SIS) في منطقة منفصلة عن نظام التحكم في العمليات الأساسية (BPCS). إذا أصيب غرفة التحكم بواسطة محرك USB، يجب أن يبقى نظام الإغلاق الأمان غير متأثر.
القنوات (أي المعابر): هذا هو المسار الوحيد الذي يمكن أن تسلكه البيانات. نتصادف في كثير من الأحيان بشبكات مسطحة في تكنولوجيا العمليات حيث يمكن للطابعة في مبنى الإدارة أن تستخدم الأمر "ping" على وحدة PLC في وحدة التكسير. هذا لا يعدو كونه كارثة تنتظر الحدوث.
الإجراء الحوكمي: فرض عدم تدفق أي حركة مرور بين المناطق ما لم تمر عبر قناة محددة (جدار ناري/بوابة) مع تفتيش الحزم العميق.
العمليات: "مفارقة التحديثات"
هنا يلتقي المسار مع الواقع. يحدد المعيار IEC 62443-2-4 المتطلبات لمزودي الخدمات، لكنك تتحمل المخاطر.
إدارة البائعين: يريد بائع التوربينات الخاص بك الوصول عن بُعد لمراقبة بيانات الاهتزاز. حسنًا. لكن يجب أن تفرض حوكمتك متطلبات النظام الأمني IEC 62443-3-3. لا تمنحهم نفق VPN دائم. امنحهم رابطًا عابرًا "حسب الطلب" يتم مراقبته وتسجيله.
التحدي المتعلق بالإرث: من المحتمل أن يكون لديك وحدات تحكم تعمل بنظام ويندوز XP أو 98 أو أنظمة تشغيل خاصة لم تُحدَّث منذ حفل التخرج لديك. لا يمكنك التفكير في استبدالها.
الإصلاح: استخدم مفهوم مستوى الأمان (SL). إذا كان الأصل SL-3 (عال الأهمية) ولكن لا يمكن تحديثه، يجب عليك لفه بـ "غطاء رقمي" أو ببساطة إقفال منافذ الخزانة جسديًا، فصلها عن الشبكة إذا أمكن، أو وضعه خلف بوابة أحادية الاتجاه (صمام البيانات) أو فرض القيود على حركة المرور كما ذكرت سابقًا.
العنصر البشري: الأدوار والمسؤوليات
الحوكمة بدون مساءلة أشبه بالرقص بدون شريك أو حتى شيء مثل جسم بينجمي بذيل مضاد.
إليكم قائمة بما يجب فعله للجميع
مسؤول الأمن المعلوماتي الرئيسي (CISO)
الدور: المخطط.
التحول: يجب أن يتوقف المسؤول عن الأمن المعلوماتي عن رؤية المصنع كـ "شبكة مكتب كبيرة".
المسؤولية: يطور نظام إدارة الأمن الإلكتروني (CSMS). يبلغ عن المخاطر السيبرانية إلى مجلس الإدارة بلغة فقدان الإنتاج والحوادث الأمنية، وليس فقط "اختراق البيانات".
المهمة الرئيسية: توحيد أدوات أمن تكنولوجيا المعلومات مع قيود تكنولوجيا العمليات (مثلاً، ضمان أنه لا يتسبب فحص الفيروسات في تعطيل واجهة التشغيل الرئيسية).
رئيس المصنع / مدير الأصول
الدور: المالك.
التحول: يجب أن يقر أن "الأمان السيبراني" أصبح الآن جزءًا من "سلامة العمليات".
المسؤولية: يمتلك المخاطر. إذا تعطل المصنع بسبب برامج الفدية، فإنه يندرج تحت الأعباء والمكاسب. يصرح بالميزانية للتقسيم ووقت التوقف للترقيات الأمنية.
المهمة الرئيسية: ضمان إدراج التدريبات السيبرانية في تدريبات الاستجابة للطوارئ القياسية.
مهندس الأتمتة/الأجهزة
الدور: المدافع.
التحول: لا مزيد من "الأمن بالغموض."
المسؤولية: تنفيذ المناطق، إعداد الجدران النارية، وإدارة "مفاتيح المملكة" (كلمات المرور للضوابط المنطقية).
المهمة الرئيسية: المحافظة على سجل الأصول. لا يمكنك حماية ما لا تعلم أنه موجود.
قائمة تحقق لتنفيذ "IEC 62443 بدون محسنات"
جاهز للبدء؟ لا تحاول غلي الموقد (بدلاً من الحساء). ابدأ بهذه الخطوات السبع البسيطة:
اكتشاف الأصول: قم بإجراء فحص سلبي (آمن لتكنولوجيا العمليات) للعثور على كل عنوان IP. ستتفاجأ بعدد أجهزة Raspberry Pi "المتمردة" وأجهزة الكمبيوتر المحمول الخاصة بالبائعين على شبكتك.
تقييم المخاطر المستند إلى IEC 62443: حدد "الجواهر الثمينة" لديك. (مثل نظام توقف الطوارئ لعمود التقطير).
تعريف المناطق: ارسم الخطوط. فصل السلامة (SIS) عن التحكم (BPCS) عن الإشراف (HMI/SCADA) عن المؤسسة (IT).
إغلاق القنوات: رفض كل المرور افتراضيًا. قُم بإدراج قوائم سماح فقط للبروتوكولات المحددة (مثل Modbus TCP، OPC UA) الضرورية للعمليات.
مراجعة الوصول البعيد: تدقيق كل الاتصال الخارجي. إذا لم يسجل أحد البائعين الدخول لمدة 30 يومًا، فقم فقط بتعطيل الحساب.
التحقق من النسخ الاحتياطية: تأكد من أن النسخ الاحتياطية "الأصلية" لبرمجيات PLC وتكوينات SCADA غير متصلة و تم اختبارها. الأنظمة الخبيثة تطمح لتشفير النسخ الاحتياطية المتصلة أولاً.
سياسة "صمغ USB": إذا لم يكن المنفذ مطلوبًا، قم بإغلاقه ماديًا أو تعطيله منطقيًا. الأقراص الفلاشية هي الوسيلة الأساسية للنظم المفصولة عن الشبكة. انظر ما إذا كان يمكنك استخدام حل فحص الوسائط
انتبه لتحذيرات التهديدات والانتهاكات التي تؤثر على الشركات الأخرى
أمن تكنولوجيا العمليات في 2026
دمج المعيار IEC 62443 ليس بشأن جعل بنيتنا التحتية لتكنولوجيا العمليات "غير قابلة للاختراق" في 2026. بل يتعلق بجعلها قادرة على تحمل الصدمات وقادرة على مواجهة الأحداث. يتعلق الأمر أيضًا بضمان أنه عندما تضرب العاصفة الرقمية، تظل أنظمة السلامة لديك قيد العمل، ويستمر تدفق الخام، وتواصل المحطات الفرعية تشغيل الأضواء، وتستمر المطارات في معالجة الركاب ويعود الناس إلى منازلهم بأمان. نحن مدينون بذلك للأشخاص الذين يبقون أعمالنا قيد التشغيل.
تعرف على المزيد حول عرضنا المتعلق بمعيار IEC 62443.
اكتشف المزيد حول حل أمان تكنولوجيا العمليات الخاص بشركة Shieldworkz
احصل على تحديثات أسبوعية
الموارد والأخبار
قد تود أيضًا
How Iranian threat actors are operating without connectivity
Prayukth K V
As global conflicts escalate, APT playbooks are quietly changing
Prayukth K V
Iranian threat actors return; actually they never left
Prayukth K V
شرح NERC CIP-015-2: توسيع INSM لتشمل EACMS و PACS
فريق شيلدوركز
تأمين البنية التحتية الحيوية من مجموعات تهديدات APT خلال الأحداث الجيوسياسية
برايوكت كيه في
فك رموز الهدوء الاستراتيجي للمجموعات الإلكترونية الإيرانية
فريق شيلدوركز
