إدارة مخاطر الأطراف الثالثة والبائعين ضمن نظام التشغيل لديك
بريوكث ك ف
24 أكتوبر 2025
إدارة مخاطر الأطراف الثالثة والموردين داخل نظامك البيئي لتكنولوجيا العمليات
انتهى عهد "الفجوة الهوائية". لم يعد النظام البيئي لتكنولوجيا العمليات (OT) والشبكة المعقدة من الأجهزة والبرامج التي تراقب وتتحكم في العمليات الفيزيائية في مصنعك أو منفعتك أو منشأتك عبارة عن قلعة معزولة. في الواقع، مع وصول إنترنت الأشياء الصناعي (IIoT)، تم تخطي جميع أشكال الحواجز التقليدية وأصبحت الفجوة بين الجهات المهددة أو المتسللين من الداخل وبين جواهرك الثمينة من التاريخ.
باتت بيئة تكنولوجيا العمليات الآن متصلة جيدًا بالموردين الخارجيين والمتعاقدين لصيانة الأنظمة ومنتجي المعدات الأصليين (OEMs). بينما تكون بعض هذه الاتصالات ضرورية للتشخيصات عن بعد والصيانة والكفاءة، فإنها تمثل واحدًا من أكثر ناقلات التهديد إهمالاً وأهمية.
إدارة مخاطر الأطراف الثالثة والموردين (والتعرض للمخاطر) ليس مجرد تمرين امتثال لتكنولوجيا المعلومات. بدلاً من ذلك، هو شرط أساسي لضمان مرونة العمليات واستمرار العمل والسلامة الفيزيائية. هناك العديد من مشغلي تكنولوجيا العمليات اليوم الذين منحوا الأطراف الثالثة امتيازات إضافية على شبكتهم. من الضروري لهؤلاء المشغلين أن يفهموا المخاطر الناشئة عن هذه الحالة وأن يتخذوا خطوات لمواجهة هذه المخاطر وتخفيفها.
قبل المضي قدمًا، لا تنس قراءة منشور تقييم الحوادث لدينا حول هجوم سايبري على مصنع أساهي هنا.
لماذا يجب التفكير في مخاطر الموردين لتكنولوجيا العمليات
اعتبار مخاطر الموردين لتكنولوجيا العمليات على نفس النهج مثل مخاطر الموردين لتكنولوجيا المعلومات هو خطأ جوهري. الرهانات مختلفة جوهريًا كما هو السياق.
قد تؤدي علاقات الموردين إلى تقديم مخاطر جديدة من خلال تبني ممارسات يحددونها. قد يؤدي هذا إلى تقليص فعالية التدابير الأمنية القائمة أو تقديم فرص للمتسللين الداخليين للتصرف.
التأثير: قد يتسبب اختراق تكنولوجيا المعلومات في فقدان البيانات. بينما يمكن لاختراق تكنولوجيا العمليات أن يؤدي إلى توقف الإنتاج، أو وقوع أضرار بيئية كارثية، أو حوادث سلامة خطيرة. كما يمكنك جذب انتباه المراقبين على شكل غرامات.
مستوى الوصول: يمتلك المورد الذي يسجل الدخول لتحديث وحدة التحكم بالمنطق القابل للبرمجة (PLC) أو واجهة الإنسان والآلة (HMI) "مفاتيح المملكة" - وصول مباشر إلى عملية التحكم الصناعي نفسها.
الأنظمة القديمة: تعمل العديد من أصول تكنولوجيا العمليات على مرورية حياة تصل إلى 20 عامًا ولم يتم تصميمها أبدًا للاتصال عن بعد. غالبًا ما يتم تشغيلها على أنظمة تشغيل قديمة غير مصححة، مما يجعلها هشة للغاية.
الاتصال "الموثوق": الاتصال البعيد (VPN، RDP) الذي ينشئه مورد "موثوق" هو التمويه المثالي للمهاجم. إذا تعرضت الحاسوب المحمول للمورد للاختراق، يمكن للمهاجم تجاوز دفاعات المحيط الخاصة بك والدخول مباشرة إلى شبكة التحكم الخاصة بك.
إطار عمل لإدارة مخاطر الموردين لتكنولوجيا العمليات (VRM)
يتم بناء برنامج VRM قوي لتكنولوجيا العمليات على النموذج: "ثق، ولكن تحقق". يُشار أدناه إلى إطار عملي لبدء الأمور.
تحديد جميع الموردين والامتيازات وتصنيفهم
لا يمكنك تأمين ما لا تعرفه. الخطوة الأولى هي جرد كامل.
مَن: أدرج كل جهة ثالثة تتفاعل مع بيئة تكنولوجيا العمليات الخاصة بك. يتضمن ذلك الشركات المصنعة للمعدات الأصلية، ومتكاملي النظام، والمتعاقدين على الصيانة، وحتى موردي الخدمات المدارة (مثل على سبيل المثال مؤرخ سحابي).
ما: ما هي الأصول المحددة التي يحتاج كل مورد للوصول إليها ومدى أهمية هذا الوصول؟ (على سبيل المثال، المورد A يصل إلى PLC التحكم بالتوربينات للتشخيص.)
كيف: كيف يتصلون؟ (مثل على سبيل المثال شبكة VPN مشتركة، مودم اتصال هاتفي مخصص، مقاول في الموقع مزود بحاسوب محمول.)
التصنيف: صنف الموردين بناءً على الأهمية والمخاطر. مورد لديه وصول عن بعد على مدار الساعة إلى نظام السلامة المبرمج (SIS) هو حرج. مورد يزود فقط قطع الغيار دون الوصول إلى الشبكة هو منخفض. ركز مواردك على التصنيفات الحرجة وعالية المخاطر.
تعرف على تاريخهم: هل اخترق أي مورد من قبل معايير الأمان أو الحوكمة؟
اجعل لديك نقطة اتصال حوكمة مع جميع الموردين
تأكد من أن لديك نقطة اتصال مجدولة زمنياً مع جميع الموردين لمراجعة الوضع الأمني والحوكمة وحالة قمع المخاطر ولمناقشة أي بنود مفتوحة من الاجتماعات السابقة المشابهة.
دمج أمن تكنولوجيا العمليات في المشتريات والعقود
يجب أن تبدأ الأمان قبل ضم المورد. التأخير حتى يتم توقيع العقد متأخر جدًا.
اطرح بعض الأسئلة الأساسية: تجاوز استبيانات تكنولوجيا المعلومات القياسية. اطرح أسئلة محددة حول أمان تكنولوجيا العمليات:
"كيف تأمن أدوات الوصول البعيد وأجهزة الكمبيوتر المحمول الفنيين؟"
"هل تتبعون دورة حياة تطوير برامج آمنة (مثل IEC 62443-4-1) لمنتجاتكم؟"
"هل يمكنكم توفير وثيقة مكونات البرنامج (SBOM) لواجهة المستخدم/البرمجيات الخاصة بك؟"
كيف تمتثلون لمعايير الأمان والمعايير التي توافقون عليها؟
ما كان تقييمكم القائم على معيار IEC 62443 الذي أجريتموه في مواقعكم؟
وثق كل شيء: عقودك هي أداة الانفاذ الأعظم الخاصة بك. حدد متطلبات الأمان المحددة، بما في ذلك:
الحق في تدقيق ممارسات الأمان الخاصة بالمورد.
متطلبات صارمة للإخطار بالحوادث (أخطرنا في غضون 4 ساعات من الاشتباه في حدوث اختراق).
الامتثال للعديد من الخطوات لتأكيد الهوية (MFA) لجميع الوصول البعيد.
فرض تحكم وصول دقيق "عدم الثقة"
لم يعد مقبولًا منح المورد شبكة VPN دائمة تمنحهم وصولًا كاملًا "مستوٍ" إلى الشبكة. تبني عقلية عدم الثقة، والتي تفترض ألا يوجد مستخدم أو اتصال موثوق به بشكل افتراضي.
لا مزيد من شبكة VPN مشتركة: يجب أن يكون لكل مورد، ولكل فني، تسجيل دخول مميز وقابل للتدقيق.
أقل الأذونات: يجب أن يكون للمورد فقط الوصول إلى الأصول المحددة المسموح له بها، ولا شيء آخر. إذا كانوا هناك لخدمة HMI-1، فلا يجب أن يكون لديهم حتى إمكانية رؤية PLC-5.
الوصول عند الطلب (JIT): يجب ألا يكون الوصول على مدار الساعة. توفير الوصول في نافذة صيانة مسبقة المعتمدة (الثلاثاء من الثانية مساءً إلى الرابعة مساءً) وإلغائه تلقائيًا بعد ذلك.
فرض التحصين بمصادقة متعددة: هذه قاعدة غير قابلة للتفاوض. يجب مطالبة جميع أطراف الوصول البعيد إلى بيئة تكنولوجيا العمليات بتأكيد الهوية بطريقة متعددة خطوات.
مراقبة وتسجيل وتدقيق جميع أنشطة الأطراف الثالثة
"ثق، ولكن تحقق" هو الشعار. يجب أن تكون لديك القدرة على رؤية ما يفعله موردوك بالضبط عند الاتصال بشبكتك.
رؤية الشبكة: نشر حل مراقبة الشبكة المعرف تكنولوجيا العمليات مثل Shieldworkz. هذا يمكنك من تأسيس سلوك "عادي" وتنبيه فورًا عن الشذوذ، مثل وصول المورد إلى أصول غير مصرح بها أو استخدام بروتوكول خطير (مثل تحديث البرنامج الثابت).
تسجيل الجلسة: للوصول عالي المخاطر، استخدم أدوات توفر تسجيل فيديو أو مراقبة "عبر الكتف" لجلسة المورد. هذا ينشئ سجل تدقيق لا يدحض.
مراجعة السجلات: قم بمراجعة سجلات الوصول بانتظام. ابحث عن محاولات تسجيل الدخول الفاشلة، والوصول خارج الأوقات المسموح بها، أو المحاولات لمسح الشبكة.
هل يستخدمون حلاً لفحص الوسائط: تعني الممارسات الأمنية الأساسية الكثير وتشير إلى مستوى نضج الأمن للمورد.
خطة لحدث سببه المورد
قد تفشل دفاعاتك. وفي نهاية المطاف، سوف يتم اختراق مورد. يجب أن تشكل خطة الاستجابة للحوادث (IR) الخاصة بك على حساب هذا السيناريو.
أنشئ دليل استجابة للأحداث للمورد: احصل على دليل استجابة للحوادث بعنوان "اختراق طرف ثالث". ما هي الخطوات الفورية؟ يجب أن تكون الخطوة الأولى هي إلغاء جميع الوصول للمورد المخترق فورًا.
اختبرها: ضمن موردوك الرئيسيين في تدريبات الطاولة السنوية الخاصة بك. ضع السيناريو: "اتصل المورد A قائلاً إن أداة الوصول البعيد الخاصة بهم تم اختراقها بواسطة برامج الفدية. ماذا نفعل الآن؟"
إدارة مخاطر الموردين ليست مجرد قائمة تحقق وعقود؛ إنها تتعلق ببناء نظام بيئي آمن. عامل موردوك كشركاء في دفاعك، وليس كخصوم. يمكنك البدء بطرح سؤال بسيط على فريقك: "من لديه وصول بعيد إلى شبكة التحكم لدينا الآن، وماذا يفعلون؟"
ضع نموذج امتثال/حوكمة مشترك
اسعى للحصول على تبني المورد لمدونة مشتركة من مبادئ وممارسات الأمان مع طرق لقياسها.
أخيرًا، قم بالتواصل بوضوح مع مورديك لتوقعات الأمان الخاصة بك واعمل معهم لتحقيق هدفك المشترك. ضمان سلامة وموثوقية ومرونة عملياتك الحرجة.
تعرف على المزيد حول كيفية الحفاظ على مستويات المخاطر في تكنولوجيا العمليات لديك ضمن الحدود المقبولة خلال 5 أسابيع. نقدم Shieldworkz Launchpad، برنامج الأمن الوحيد لتكنولوجيا العمليات الذي تحتاجه.
احصل على تحديثات أسبوعية
الموارد والأخبار
You may also like
11/11/2025
Extended recovery times are driving up the overall cost of cyberattacks.
Prayukth KV
07/11/2025
5 hard OT Cybersecurity lessons 2025 taught us (And What to Do About Them)
Prayukth KV
06/11/2025
لماذا يعد معيار NERC CIP-015-1 لأمن الشبكة الداخلية ضروريًا للدفاع عن أنظمة التحكم الصناعي
بريوكث ك ف
05/11/2025
كيفية تصميم نتائج حقيقية لأمن تكنولوجيا العمليات باستخدام تقييم المخاطر IEC 62443
بريوكث
04/11/2025
لماذا لم يعد من الممكن تأجيل حوكمة أمن أنظمة التشغيل: نداء من مدير الأمن المعلوماتي لاتخاذ إجراء
بريوكث ك ف
03/11/2025
7 محادثات يطرحها قادة التكنولوجيا التشغيلية في مؤتمر AISS لعام 2025
بريوكث ك ف
