لم يعد المحيط كافياً. إذا كانت الحملات السيبرانية الأخيرة للدولة قد علمتنا شيئًا، فهو أن الخصوم المتقدمين لا يخترقون البوابة الأمامية لنظم التحكم الصناعي - إنهم يسجلون الدخول باستخدام الاعتمادات المعتمدة للبائعين ويتنقلون عبر الأنظمة الداخلية غير المراقبة.

قبل أن نمضي قدمًا، لا تنسى الاطلاع على منشور مدونتنا السابق "منافذ ICS/SCADA المكشوفة: التهديد الصامت الذي يختبئ في بنية تحتية صناعية تواجه الجمهور" هنا. 

لدى مديري المصنع، مهندسي OT، والمدراء الرسميين للمعلومات في الشبكة الكهربائية الأمريكية الشمالية، فإن المشهد التنظيمي يتغير بسرعة لمعالجة هذه الحقيقة بشكل دقيق. العامل المحفز الرئيسي؟ NERC CIP-003-9. مع موعد إنفاذ محدد في 1 أبريل 2026، يغير هذا المعيار بشكل أساسي كيفية إدارة وتأمين الوصول الإلكتروني عن بعد للبائعين إلى الأصول السيبرانية للنظام الكهربائي بالجملة ذات التأثير المنخفض.

لكن CIP-003-9 لا يعمل في فراغ. انه جزء من موجة تنظيمية ضخمة تهدف بشكل خاص إلى سد الفجوات في الرؤية التي يستغلها القراصنة بمجرد تجاوزهم الجدران النارية التقليدية. ويتبعه عن كثب معيار NERC CIP-015-2 المقترح الذي يوسع بشكل كبير مراقبة الأمان الشبكي الداخلي (INSM) إلى ما وراء محيط الأمان الإلكتروني التقليدي (ESP).

في هذا الدليل الشامل، سنقوم بتفصيل ما يعنيه موعد أبريل 2026 لعملياتك، وسبب توسع نطاق مراقبة CIP-015 ليشمل الأنظمة الداعمة الحيوية، وكيف يمكنك تطبيق تكتيكات الوقاية خطوة بخطوة اليوم.

في Shieldworkz، نعلم أن الامتثال لا يعني الأمان. لنستكشف كيف يمكنك تحقيق كليهما.

حقيقة أبريل 2026: فهم NERC CIP-003-9

لسنوات، ركز قطاع الطاقة على استثماراته الأثقل في الأمن السيبراني على المنشآت ذات التأثير المرتفع والمتوسط. كانت البيئات ذات التأثير المنخفض - مثل الصفائف الشمسية البعيدة، المزارع الهوائية الموزعة، والمحطات الفرعية الأصغر - محمية غالباً بواسطة عزلة شبكة بسيطة أو شبكات افتراضية خاصة (VPN) بسيطة.

تنتهي تلك الحقبة في 1 أبريل 2026.

يستهدف NERC CIP-003-9 بشكل خاص هذه الأنظمة ذات التأثير المنخفض، معترفاً بوجود ثغرة حرجة: سلسلة التوريد والموردين الخارجيين. يتطلب المعيار وضع ضوابط أمان قوية للوصول الإلكتروني عن بعد للبائعين. يتطلب من المرافق تقديم تحديد صريح، تحقق، ومراقبة للمقاولين الخارجيين ومتكاملي الأنظمة الذين يحافظون على اتصالات بعيدة بالشبكة.

المشكلة مع شبكات VPN القديمة

مع اقتراب الموعد النهائي، تميل العديد من المؤسسات ببساطة إلى توسيع شبكات VPN القديمة. هذه هي خطأ استراتيجي حاسم.

تمنح VPN التقليدية وصولاً واسعًا على مستوى الشبكة. بمجرد أن يصل المستخدم إلى شبكة VPN، يكون بشكل أساسي داخل الخندق. إذا تم اختراق لابتوب المورد الخارجي - وهي تقنية شائعة في هجمات سلسلة التوريد الحديثة - فإن VPN تعمل كقناة مباشرة للمهاجم للانتقال بسهولة عبر بيئة OT الخاصة بك، ومسح وحدات التحكم المنطقية القابلة للبرمجة القديمة (PLCs) وتنفيذ الأوامر الضارة. علاوة على ذلك، تفتقر شبكات VPN للتفويض على مستوى التطبيق المطلوب لإثبات للمدققون NERC أن المورد فقط وصل إلى مضخة المياه أو العاكس المحددة التي تم التعاقد على صيانتها.

لتلبية نوايا NERC CIP-003-9، يجب على المرافق التوجه نحو مبادئ الثقة الصفرية والمصادقة متعددة العوامل (MFA). يجب التحقق من هوية المستخدم قبل أن يسمح لأي حركة مرور شبكية بالوصول إلى الأصل المحمي.

ما بعد المحيط: تطور NERC CIP-015

بينما تثبت CIP-003-9 الوصول عن بعد إلى الأنظمة ذات التأثير المنخفض، يعالج المنظمون بنفس الوقت النقاط العمياء داخل المنشآت ذات التأثير العالي والمتوسط.

في يونيو 2025، وافقت لجنة تنظيم الطاقة الفيدرالية (FERC) على NERC CIP-015-1، إلزامًا مراقبة الأمان الشبكي الداخلي داخل ESP. ومع ذلك، أدركت FERC أن هذا الإصدار الأول ترك "ثغرة موثوقية" بارزة. لم يعد القراصنة يستهدفون أنظمة BES الإلكترونية مباشرة؛ كانوا يقومون بتعطيل البنية التحتية التي تدعمها وتتحكم في الوصول إليها.

هذا أدى إلى الأمر الرسمي رقم 907 من FERC، الذي وجه NERC صراحة لتوسيع نطاق مراقبة CIP-015. كانت النتيجة هي معيار NERC CIP-015-2 المقترح.

التوسع الأساسي: من ESP إلى EACMS وPACS

بينما تركز الإصدار 1 على مراقبة الحركة "الشرق-غرب" الصارمة داخل ESP، تمتد متطلبات INSM إلى الأنظمة التي غالباً ما تكون خارج المحيط ولكنها تمتلك "مفاتيح المملكة".

للحفاظ على الامتثال وحماية البنية التحتية الخاصة بك، يجب على فرق الأمان الخاصة بك فهم ومراقبة ثلاث فئات مهمة من أنظمة الدعم:

• أنظمة التحكم في الوصول الإلكتروني أو أنظمة المراقبة (EACMS): هذه هي الأنظمة التي تدير الوصول المنطقي. تشمل الأمثلة خوادم المصادقة (مثل Active Directory، RADIUS، أو TACACS+)، بوابات الوصول عن بعد، مضيفات القفز، وأدوات مراقبة الشبكة. إذا قام المهاجم بتعطيل الـ EACMS الخاص بك، فإنه يسيطر على من يُسمح له بالدخول إلى الشبكة.

• أنظمة التحكم في الوصول المادي (PACS): يشمل ذلك البنية التحتية التي تدير الدخول الفعلي إلى مرافقك. يشمل قارئات البطاقات، الماسحات الحيوية، وحدات التحكم في الأبواب، وأنظمة إدارة الزوار. يستهدف القراصنة بشكل متزايد PACS لتسهيل التطفل الفعلي أو لمقارنة المواقع الفعلية مع النشاط الشبكي المنطقي.

• البنية التحتية السيبرانية المشتركة (SCI): مصطلح جديد في قاموس NERC، يشير SCI إلى تقنيات الافتراضية وبيئات التخزين المشتركة (مثل أجهزة التحكم الافتراضية، SANs، أو قواعد البيانات المشتركة) التي تدعم عدة تقنيات تشغيلية في نفس الوقت. قد يؤثر اختراق هنا على العديد من أنظمة BES الإلكترونية دفعة واحدة.

  السبب: سد الفجوات الأمنية وإحباط الأعداء

  لماذا تدفع الهيئات التنظيمية مثل NERC وFERC بقوة لـ INSM لـ EACMS وPACS؟ الجواب يكمن في تطور تكتيكات التهديدات المستمرة المتقدمة (APTs).

  نقاط تحويل الأعداء

  نادراً ما يقوم القراصنة بتنفيذ هجوم مباشر بالقوة الغاشمة ضد PCL أو نظام الأمان المحوسب المباشر (SIS). بدلاً من ذلك، يقومون بالتنقل. يبحثون عن طريق الأقل مقاومة.

  مثال رئيسي هو الحملة المعقدة Volt Typhoon، حيث استهدف المهاجمون البنية التحتية السقوية عن طريق البداية بالاستيلاء على أجهزة الطرف الخارجية وأنظمة الهوية. بمجرد الدخول، كانوا يقومون باستخدام تقنيات "العيش من الأرض" (LotL) باستخدام أدوات إدارية أصلية ومشروعة الموجودة بالفعل على الشبكة للتحرك بشكل جانبي دون تنبيه توقيعات البرامج الضارة.

  • الخطوة 1: يكتسب العدو الوصول إلى EACMS أو PACS خارج ESP عبر الاصطياد الالكتروني أو سرقة الاعتمادات أو اختراق سلسلة التوريد لبرامج الإدارة.

  • الخطوة 2: بمجرد الدخول إلى EACMS أو PACS، يقومون بالمراقبة. يقومون برسم الخريطة الطبوغرافية، وتحديد الاتصالات الموثوقة لـ ESP، وإنشاء قنوات القيادة والتحكم.

  • الخطوة 3: يستخدم العدو نظام الدعم المخترق كنقطة انطلاق. لأن الحركة تنشأ من مصدر موثوق ومعتمد (خادم المصادقة الخاص بك)، فإنه يجتاز جدران الحماية المحيطة والمراقبة الحالية لـ CIP-015-1 التي تركز بشكل صارم داخل ESP.

    
    

  NERC CIP-003-9 و CIP-015-2: المتطلبات الفنية الرئيسية للامتثال

  للاستعداد لموعد أبريل 2026 وتوسع نطاق مراقبة CIP-015 القادم، يجب على فرق الامتثال والأمان الخاصة بك تنفيذ ضوابط فنية محددة. فهم ما تتوقعه NERC هو الخطوة الأولى نحو الأمان الفعلي.

  المعايير القادمة تفرض المراقبة لـ:

  • الوصول الإلكتروني البعيد للبائع: يجب على المرافق في NERC CIP-003-9 أن تمتلك طرقًا لتحديد وتعطيل وصول البائع، الكشف عن الاتصالات الضارة المتعلقة بذلك الوصول، وتطبيق المصادقة متعددة العوامل (MFA) أو بنية أمان الثقة الصفرية المكافئة. يضمن هذا أن أي اعتماد بائع مخترق لا يترجم إلى نظام سيطرة مخترق.

  • قطاعات الشبكة المتصلة بـ EACMS و PACS خارج ESP: يجب عليك التقاط وتحليل مسارات الحركة بين أنظمة الوصول الإلكتروني والفيزيائي وبين الأصول السيبرانية الأساسية لـ BES. هذا لم يعد اختياريًا. تركز NERC تحديدًا على حركة الشرق-غرب لرصد الوصول لـ EACMS و PACS.

  • قطاعات داخلية داخل أنظمة الدعم الخارجي: يجب عليك الحفاظ على رؤية على اتصالاتك الداخلية لمكونات البنية التحتية المشتركة، مثل أجهزة التحكم الافتراضية وبيئات التخزين المشتركة، للكشف عن التغييرات في التكوين أو محاولات الوصول غير المصرح بها.

  الجدول الزمني والحالة

  هنا هو الوضع الحالي لمتطلبات الأمان الشبكي الداخلي:

  • الحالة المسودة: قامت لجنة صياغة NERC (مشروع 2025-02) بنشر التعديلات المقترحة لـ CIP-015-2 في أواخر 2025.

  • الموافقة الصناعية: صوت مبدئي صناعي في يناير 2026 اجتاز بموافقة ساحقة بنسبة 84.33%، مما يدل على توافق واسع بأن هذه الإجراءات ضرورية.

  • تواريخ التنفيذ: تم تمرير الاقتراع النهائي في 5 مارس 2026. بينما تم تحديد موعد نيسان 2026 لـ CIP-003-9 بشكل حازم، من المتوقع أن يتبع التنفيذ لـ CIP-015-2 للأنظمة ذات التأثير العالي ومراكز التحكم التدرج الزمني الذي تم إنشاؤه بواسطة CIP-015-1، مع احتمال واسع لتنفيذ شامل بحلول أواخر 2029.

خارطتك: تكتيكات الوقاية خطوة بخطوة

الامتثال هو مؤشر متأخر للأمان. لحماية أصول BES السيبرانية الخاصة بك حقًا والوفاء بالمتطلبات الصارمة لـ NERC CIP-003-9 و CIP-015-2، تحتاج إلى استراتيجيات استباقية متعمقة للدفاع.

إليك خطة خطوة بخطوة التي نوصي بها في Shieldworkz لمديري المصنع والمهندسين OT الذين يستعدون للمواعيد النهائية الوشيكة.

الخطوة 1: تنفيذ اكتشاف شامل للأصول والجرد

لا يمكنك حماية ما لا تراه، وبالتأكيد لا يمكنك رصد ما لا تعرف أنه موجود. ابدأ برسم خارطة لكل البنية التحتية للتحكم في الوصول الخاصة بك. حدد جميع الأنظمة التي تدير الوصول المنطقي أو الفعلي، بما في ذلك:

• منصات إدارة الهوية والدليل النشط.

• بوابات الوصول عن بعد، المضيفات الوسيطة، ومراكز تجمع VPN.

• نظم الشارات، وحدات التحكم في الأبواب، وسجلات إدارة الزوار.

• مضيفات الافتراضية المشتركة (أجهزة التحكم الافتراضية).

فهم المكان الذي تقع فيه هذه الأنظمة على الشبكة - وتصنيف تأثيرها - هو الأساس للامتثال.

الخطوة 2: تنفيذ الثقة الصفرية للوصول إلى المورد (التركيز على CIP-003-9)

استبدل شبكات VPN القديمة ببوابة وعي الهوية مبنية على مبادئ الثقة الصفرية. بدلاً من توصيل جهاز بشبكة واسعة، قم بتوصيل هوية إنسانية مصدقة بتطبيق واحد مرخص.

• تطبيق المصادقة متعددة العوامل: فرض المصادقة متعددة العوامل لكل جلسة عن بعد. تحقق من هوية المستخدم عبر شيء يعرفه (كلمة مرور) وشيء يمتلكه (رمز مادي أو قياس حيوي) قبل أن تصل أي حركة مرور إلى الأصل.

• إلغاء تمكين المنافذ الواردة: قم بتكوين بنية الخصيصية الخاصة بك لاستخدام الاتصالات الصادرة فقط لتغطية بنيتك التحتية من الماسحات الضوئية للإنترنت العام مثل شودان.

• تفويض على مستوى التطبيق: تأكد من أن البائعين يمكنهم فقط الوصول إلى المعدات المحددة التي تم التعاقد معهم لصيانتها، وتسجيل كل تفاعل من أجل مراجع التدقيق الامتثال للـ NERC.

الخطوة 3: رسم خرائط مسارات الاتصال ونشر المجسات الاستراتيجية (التركيز على CIP-015)

بعد ذلك، ارسم تدفقات الاتصالات بين EACMS و PACS و SCI وأنظمة BES السيبرانية التي تدعمها. هذا هو النطاق الجديد لمتابعة CIP-015.

• حدد نقاط الاختناق الحرجة حيث تتدفق حركة المرور الشرق-غرب بين المحيط وأنظمة الدعم.

• نشر مجسات تفتيش الحزم العميق (DPI) القادرة على فهم البروتوكولات الصناعية (مثل DNP3 و Modbus و IEC 61850) في هذه المواقع الاستراتيجية. يجب أن تكون قادرًا على فك تشفير الأوامر الدقيقة المرسلة عبر السلك، وليس فقط رؤوس الـ IP.

الخطوة 4: إنشاء خط أساس مبني على الذكاء الاصطناعي وكشف الشذوذ

أدوات مكافحة الفيروسات القائمة على التوقيع عديمة الفائدة بشكل فعال ضد التكتيكات "العيش من الأرض". يجب أن تعتمد على خط الأساس السلوكي.

• استخدام محرك معتمد على الذكاء الاصطناعي لمراقبة حركة المرور الشبكية الخاصة بك أثناء فترة التعلم. يجب على النظام فهم ما يعادل "الطبيعي" لمصنعك المحدد - على سبيل المثال، معرفة أن محطة العمل الهندسية المحددة تصدر فقط أوامر تحميل المنطق إلى PLC خلال نافذة صيانة مجدولة أيام الثلاثاء.

• تكوين محرك لتفعيل التنبيهات التلقائية بمجرد أن ينحرف حساب موثوق أو نظام عن هذا الخط الأساس (مثل خادم Active Directory يحاول فجأة النظر إلى محطة فرعية بعيدة).

الخطوة 5: دمج التحليل الجنائي وأتمتة تسجيل السجلات

تتطلب إثبات الامتثال أثناء تدقيق NERC CIP توثيقًا دقيقًا. تأكد من أن حلول المراقبة الخاصة بك تولد سجلًا مركزيًا ثابتًا لجميع الجلسات البعيدة، وحدود التحقق من المصادقة، وحالات الشذوذ المكتشفة.

تحتاج فرق SOC الخاصة بك إلى الوصول السريع إلى مقتطفات الحزم التاريخية والتنبيهات المشبعة بالسياق للتحقيق السريع في الحوادث والرد عليها قبل أن يتمكن المهاجم من الانتقال من EACMS إلى قلب ESP.

الخلاصة

ليس موعد أبريل 2026 لـ NERC CIP-003-9 اقتراحًا؛ إنه إلزام. ويثبت معيار CIP-015-2 القادم الذي يوسع INSM لـ EACMS وPACS أن الهيئات التنظيمية تقوم بتغيير جذري في كيفية رؤية المحيط الصناعي. انتهت أيام الاعتماد على شبكة معزولة وVPN قديم.

يفهم القراصنة أن أنظمة التحكم في الوصول الخاص بك واتصالات الموردين هي أسرع طريق لاختراق بنيتك التحتية الحيوية. لقد حان الوقت لتأمين تلك الممرات.

من خلال الانتقال إلى بنية الثقة الصفرية للوصول عن بُعد للبائعين، وتخطيط الاعتماد الشبكي الموسع الخاص بك، ونشر الكشف المتواصل عن الشذوذ في حزم البيانات العميقة، يمكنك ضمان أن مرفقك ليس فقط متوافقًا، بل محميًا حقاً ضد الجيل القادم من تهديدات الدول القومية.

هل أنت مستعد لتأمين بنيتك التحتية قبل الموعد النهائي؟

في Shieldworkz، نحن متخصصون في مساعدة مرافئ الطاقة على نشر المصادقة متعددة العوامل بأسلوب سلس، أتمتة الامتثال، ودمج كشف الأنماط الشاذة في OT المتواصل. لا تدع الـ VPN الخاص بك يصبح ديونًا في الامتثال.

اتصل بفريق الهندسة لدى Shieldworkz اليوم لجدولة تقييم بنية الثقة الصفرية وتوجيه متقدماً في CIP-003-9 لـ NERC.

تحميل موارد إضافية 

ضوابط أمان تقنية التشغيل المحوسب المتوافقة مع NIST SP 800-171 
نمذجة التهديدات المستندة إلى STRIDE وتقييم DREAD لأنظمة التحكم الموزعة في مصافي النفط
قائمة التحقق من التقييم الأساسي للأمن السيبراني لتقنية التشغيل (OT)
إرشادات للوضع الدفاعي للمؤسسات الشرق أوسطية