تتطور التهديدات السيبرانية التي تستهدف أنظمة التحكم الصناعي بسرعة. لم يعد المهاجمون يركزون فقط على اختراق محيط الأمن الإلكتروني (ESP) لبيئات البنية التحتية الحيوية. بدلاً من ذلك، يستغلون بشكل متزايد الأنظمة المجاورة - خدمات المصادقة، ومنصات الوصول عن بعد، وقارئات البطاقات، والبنية التحتية الافتراضية - للاندفاع داخل شبكات التكنولوجيا التشغيلية (OT).

قبل أن نمضي قدمًا، لا تنس الاطلاع على منشورنا السابق حول فك شفرة الهدوء الاستراتيجي لمجموعات القرصنة الإيرانية، هنا.

إدراكًا لهذا التحول، قدمت مؤسسة موثوقية الكهرباء في أمريكا الشمالية (NERC) معيارًا مقترحًا للأمن السيبراني يسمى NERC CIP-015-2 والذي يوسع بشكل كبير متطلبات مراقبة أمان الشبكة الداخلية (INSM). الهدف بسيط ولكنه قوي: زيادة الرؤية على الأنظمة الحيوية التي تقع خارج ESP التقليدي ولكنها لا تزال تؤثر على الأصول السيبرانية لنظام الكهرباء الضخم (BES).

بالنسبة لمديري المصانع والمهندسين في تكنولوجيا المعلومات ورؤساء أمن المعلومات، يعتبر هذا التغيير مهمًا. العديد من أنظمة الدعم - مثل أنظمة التحكم أو المراقبة في الوصول الإلكتروني (EACMS) و أنظمة التحكم في الوصول الفيزيائي (PACS) - كانت تعمل تاريخياً خارج نطاق المراقبة الرئيسية. ومع ذلك، غالبًا ما تحتوي هذه الأنظمة على "مفاتيح المملكة"، مما يمكّن المهاجمين من انتحال شخصية المستخدمين الشرعيين أو تجاوز الضمانات الفيزيائية.

في هذه المقالة، نقوم بتفكيك NERC CIP-015-2 بطريقة بسيطة. سنشرح ماذا تغير، ولماذا هو مهم، وما هي متطلبات المراقبة الجديدة، وكيف يمكن للمنظمات أن تستعد الآن لحماية البنية التحتية الحيوية.

لماذا matters NERC CIP-015-2 بالنسبة للأمن السيبراني الصناعي

لسنوات، ركزت معظم برامج الامتثال بشكل كبير على الدفاع عن المحيط. إذا تم حماية محيط الأمن الإلكتروني، كان الافتراض هو أن الأنظمة الداخلية كانت آمنة نسبيًا.

تثبت الهجمات الحديثة العكس.

الجهات المهددة تستغل الآن أنظمة موثوقة داخل أو بجانب بيئات OT. بمجرد الدخول، يتحركون جانبيًا وغالبًا ما يظلون غير مكتشفين.

قد أظهرت الحملات البارزة هذا التحول:

• مجموعات مدعومة من الدولة تستهدف البنية التحتية للطاقة

• التكاليف التوريدية التي تؤثر على برامج الإدارة

• سرقة الاعتماد من خلال خدمات الوصول عن بعد

• محاولات الاختراق الفيزيائية استغلالًا لنقاط الضعف في نظام القارئ للشارات

تستغل هذه التكتيكات الثغرات في رؤية المراقبة الداخلية.

هذه الفجوة هي ما يسعى CIP-015-2 إلى سدها.

بدلاً من التركيز فقط على التهديدات الخارجية، يوسع المعيار الجديد المراقبة لتشمل الأنظمة التي تدير الوصول إلى البنية التحتية الحيوية.

فهم الأساس: مراقبة أمان الشبكة الداخلية (INSM)

قبل استكشاف التغييرات في CIP-015-2، من المهم فهم مراقبة أمان الشبكة الداخلية (INSM).

تشير INSM إلى المراقبة المستمرة لحركة مرور الشبكة داخل بيئة محمية لكشف السلوك الشاذ أو النشاط الخبيث أو الاتصالات غير المصرح بها بين الأنظمة.

على عكس المراقبة المحيطية التقليدية، تركز INSM على حركة المرور الأفقية - نقل البيانات بين الأنظمة الداخلية.

لماذا تهم حركة المرور الأفقية

نادراً ما يهاجم المهاجمون الذين يخرقون الشبكة الأنظمة الحيوية فورًا. بدلاً من ذلك، يتحركون جانبيًا لجمع الاستخبارات وتصعيد الامتيازات.

بدون مراقبة داخلية، غالبًا ما تظل هذه التحركات غير ملحوظة.

الأهداف الرئيسية لـ INSM

تمكّن المراقبة الداخلية الفعالة المنظمات من:

• الكشف عن الحركة الجانبية داخل شبكات OT

• تحديد الحسابات الرياضية المعرضة أو الامتيازات القوية

• مراقبة الاتصالات بين الأنظمة الحيوية

• تحديد أنماط حركة المرور غير العادية

• التحقيق في الحوادث بسرعة

أدخل CIP-015-1 INSM داخل محيط الأمن الإلكتروني.

يوسع CIP-015-2 النطاق بشكل كبير.

ما تغير في NERC CIP-015-2

أكبر تغيير في CIP-015-2 هو توسيع متطلبات المراقبة إلى ما وراء ESP لتشمل البنية التحتية الداعمة الحيوية.

في السابق، رصدت العديد من المنظمات فقط حركة المرور داخل المحيط.

لكن المهاجمين غالبًا ما يستهدفون الأنظمة خارج ESP التي تتحكم في الوصول إليه.

يتناول CIP-015-2 هذا الخطر عن طريق توسيع متطلبات المراقبة لثلاثة مجالات رئيسية:

1. أنظمة التحكم أو المراقبة في الوصول الإلكتروني (EACMS)

2. أنظمة التحكم في الوصول الفيزيائي (PACS)

3. البنية التحتية السيبرانية المشتركة (SCI)

غالبًا ما تقع هذه الأنظمة خارج المحيط التقليدي لكنها لا تزال تتفاعل مع أنظمة BES Cyber.

التوسع الجوهري: من ESP إلى EACMS و PACS

أنظمة التحكم أو المراقبة في الوصول الإلكتروني (EACMS)

نظم EACMS تدير الوصول المنطقي إلى الشبكات الحيوية للبنية التحتية.

أمثلة تشمل:

• خوادم المصادقة

• مضيفات القفز وبوابات الوصول عن بعد

• أدوات مراقبة المعلومات الأمنية والأحداث

• أنظمة إدارة الوصول عن بعد

• خدمات الدليل

غالبًا ما تقع هذه المنصات خارج ESP لكن تتحكم في من يمكنه الوصول إلى بيئة OT.

إذا تمت اختراقها، فإنها تسمح للمهاجمين بـ:

• المصادقة كمستخدمين شرعيين

• إقامة جلسات موثوقة

• تجاوز ضوابط المحيط

هذا يجعلها هدفًا رئيسيًا.

لماذا تهم مراقبة EACMS

بدون مراقبة هذه الأنظمة، يمكن للمهاجمين التلاعب بآليات المصادقة أو مسارات الوصول عن بعد بدون رؤية جيدة.

يضمن CIP-015-2 أن هذه البيئات تحصل على نفس مستوى مراقبة الشبكة مثل الأنظمة الأساسية للـ OT.

أنظمة التحكم في الوصول الفيزيائي (PACS)

بينما يركز الأمن السيبراني عادةً على التهديدات الرقمية، فإن الوصول الفيزيائي هو أمر حيوي بنفس القدر.

أنظمة PACS تدير دخول المرافق حيث توجد الأنظمة الحيوية.

تشمل تقنيات PACS الشائعة:

• قارئات البطاقات

• أجهزة التحكم في الأبواب

• كاميرات المراقبة وسجلات الدخول

• أنظمة إدارة الدخول للمباني

إذا تمكن المهاجمون من التحكم في أنظمة PACS، فيمكنهم:

• تعطيل القيود المادية على الوصول

• التلاعب بسجلات الدخول

• تسهيل الدخول الغير مصرح به إلى المرافق

يمكن أن يكون للتسوية الفيزيائية لمراكز التحكم أو المحطات الفرعية عواقب تشغيلية كبيرة.

يتعرف CIP-015-2 على أن أنظمة الوصول المادي تعد جزءًا من الأمن السيبراني.

البنية التحتية السيبرانية المشتركة (SCI)

يعتمد بيئة OT الحديثة بشكل متزايد على البنية التحتية الرقمية المشتركة.

تشمل الأمثلة:

• منصات الافتراضية

• بيئات التخزين المشتركة

• أنظمة التشغيل الافتراضية

• البنية التحتية للشبكة الافتراضية

تدعم هذه الأنظمة تقنيات تشغيل متعددة في آن واحد.

ويمكن أن تؤثر التسوية هنا على متعددة BES Cyber Systems في آن واحد.

لذا يتضمن CIP-015-2 متطلبات مراقبة لحركة المرور المرتبطة بهذه البنية التحتية.

الفجوة الأمنية التي يعالجها CIP-015-2

تم دفع التوسع في CIP-015-2 بفجوة رؤية حرجة.

فالعديد من المرافق تفتقر حاليًا إلى فهم الاتصالات بين أنظمة الدعم والبنية التحتية الحرجة.

هذه النقاط العمياء تخلق الشروط المثالية للهجمات.

الفجوات الرئيسية التي يتناولها المعيار

1. نقاط التحول للمعتدين

غالبًا ما يقوم المهاجمون بخرق بنية الهوية أولاً.

بمجرد سرقة بيانات الاعتماد، يمكنهم الوصول إلى شبكات OT بشكل شرعي.

2. نقص في رؤية المرور الأفقية

بدون مراقبة المسارات الشبكية الداخلية، تظل الحركة الجانبية غير مرئية.

3. ضعف أنظمة الدعم

غالبًا ما تكون خوادم المصادقة أو مضيفات الافتراضية أو بوابات الوصول عن بعد محمية بشكل أقل مقارنة بأنظمة التحكم.

هذه الضعف يجعلها نقاط دخول مثالية.

الدوافع التنظيمية وراء التغيير

تم التأثير بشكل كبير في التمدد في CIP-015-2 من قبل المنظمين الفيدراليين والمعلومات الاستخباراتية المتطورة عن التهديدات.

وجه لجنة تنظيم الطاقة الفيدرالية (FERC) NERC لتعزيز قدرات المراقبة الداخلية بعد الأدلة التي تشير إلى أن المعتدين المتقدمين كانوا يستهدفون البنية التحتية الداعمة.

واحدة من الدوافع التي تم الاستشهاد بها في المناقشات التنظيمية كانت ظهور حملات قومية شديدة التعقيد تستهدف أنظمة الطاقة.

أظهرت هذه الحملات أن المهاجمين كانوا:

• استهداف أنظمة الإدارة عن بعد

• اختراق بنية الهوية

• استغلال أنظمة التحكم في الوصول

نتيجة لذلك، استنتج المنظمون أن المراقبة فقط داخل ESP لم يكن كافيًا.

المتطلبات الفنية الرئيسية للمراقبة في CIP-015-2

يُقدِّم المعيار المقترح متطلبات مراقبة موسعة تغطي قطاعات شبكية جديدة ومسارات اتصالات.

يجب على المنظمات مراقبة:

1. قطاعات الشبكة المتصلة بـEACMS خارج ESP

يجب مراقبة حركة المرور التي تدخل أو تخرج من أنظمة المصادقة.

2. مسارات حركة المرور بين EACMS و PACS الموجودة خارج ESP

يجب أن تكون الاتصالات بين الأنظمة المنطقية والفيزيائية مرئية.

3. القطاعات الداخلية داخل هذه الأنظمة الداعمة الخارجية

يجب تحليل حركة المرور حتى بين أنظمة الدعم الداخلية.

التحديات العملية التي تواجهها المرافق

في حين أن الهدف من CIP-015-2 واضح، فإن التنفيذ لن يكون بسيطًا.

تواجه العديد من المرافق عدة تحديات.

1. الرؤية عبر البنية التحتية الموزعة

غالبًا ما تمتد الشبكات الصناعية عبر مرافق متعددة:

• محطات فرعية

• مراكز التحكم

• محطات التوليد

• مواقع المراقبة البعيدة

يتطلب مراقبة جميع هذه المواقع بنى جديدة.

2. بيئات OT القديمة

تعمل العديد من البيئات الصناعية بأنظمة لم تُصمم مع مراقبة الأمن السيبراني في الاعتبار.

قد تفتقر البروتوكولات القديمة إلى قدرات التسجيل أو التشفير.

لذلك يجب على المنظمات نشر أدوات مراقبة متخصصة.

3. شبكات IT-OT الهجينة المعقدة

غالبًا ما يقع EACMS و PACS في بيئات هجينة حيث تتقاطع شبكات IT وOT.

قد تُولِّد أدوات الأمان التقليدية لتكنولوجيا المعلومات إيجابيات كاذبة مفرطة عند تطبيقها على حركة مرور OT.

4. توثيق الامتثال

تلبية متطلبات المراقبة هي جزء واحد فقط من التحدي.

يجب على المنظمات أيضًا:

• توثيق تغطية المراقبة

• الحفاظ على أدلة التدقيق

• إظهار قدرات الاستجابة للحوادث

النهج التدريجي للاستعداد لـ CIP-015-2

يجب على المرافق البدء في الاستعداد الآن، حتى قبل أن يصبح المعيار إلزاميًا.

الخطوة 1: ارسم خريطتك للبنية التحتية للتحكم في الوصول

تحديد جميع الأنظمة التي تدير الوصول المنطقي أو الفيزيائي.

يشمل ذلك:

• خدمات الدليل النشطة

• البوابات للوصول عن بعد

• أنظمة البطاقات

• أجهزة التحكم في الأبواب

• منصات إدارة الهوية

فهم مكان تواجد هذه الأنظمة في الشبكة ضروري.

الخطوة 2: تحديد مسارات الاتصالات الشبكية

التالي، ارسم خريطة لتدفقات الاتصالات بين:

• EACMS وأنظمة BES

• PACS والشبكات المرفقية

• مكونات البنية التحتية المشتركة

ستقع مسارات الاتصالات هذه ضمن نطاق المراقبة الموسعة.

الخطوة 3: نشر قدرات المراقبة الداخلية

يجب على المنظمات تنفيذ أدوات يمكنها مراقبة حركة مرور الشبكة لـ OT دون تعطيل العمليات.

تقدم هذه الأدوات عادةً:

• مراقبة الشبكة بشكل سلبي

• تحليل البروتوكول

• اكتشاف الأصول

• كشف الشذوذ

الخطوة 4: وضع عمليات الكشف والاستجابة

المراقبة مفيدة فقط إذا تم التحقيق في التنبيهات بسرعة.

يجب على المرافق تحديد:

• تدفقات كشف الحوادث

• إجراءات التصعيد

• دليل الاستجابة

الخطوة 5: توثيق جاهزية الامتثال

أخيرًا، يجب على المنظمات توثيق:

• بنية المراقبة

• قوائم الجرد للأصول

• ضوابط الأمان

يصبح هذا التوثيق أمرًا بالغ الأهمية أثناء عمليات تدقيق الامتثال.

الجدول الزمني وحالة الصناعة

قام فريق صياغة NERC بنشر تعديلات CIP-015-2 في أواخر عام 2025 كجزء من مشروع 2025-02.

أظهر أصحاب المصلحة في الصناعة بالفعل دعمًا قويًا.

تشمل المراحل الزمنية الرئيسية:

• يناير 2026: اجتاز الاقتراع الصناعي بنسبة 84.33%

• 2026-2027: تنقية المعيار والمراجعة التنظيمية

• 2028-2029: التنفيذ المتوقع على مراحل

من المحتمل أن تواجه محطات التحكم المهمة والمرافق الكبيرة مواعيد نهائية للتوافق المبكر.

ستتفادى المنظمات التي تبدأ التحضير الآن تحديات التنفيذ في اللحظة الأخيرة.

حماية الأصول السيبرانية للنظام الكهرباء الضخم في مشهد التهديدات الحديثة

بشكل أساسي، يهدف معيار CIP-015-2 ليس فقط إلى الامتثال.

بل هو عن حماية موثوقية نظام الكهرباء الضخم.

تعتمد شبكات الطاقة على آلاف الأنظمة المترابطة.

يمكن أن يتخلل التسوية في بنية التحكم في الوصول عبر الشبكة.

يدرك المهاجمون الحديثون هذا جيدًا.

إنهم يستهدفون الحلقة الأضعف - وليس دائمًا الأنظمة الأساسية للتحكم.

من خلال توسيع رؤية المراقبة، تكتسب المرافق قدرة على:

• كشف المهاجمين في وقت مبكر

• منع الحركة الجانبية

• حماية استمرارية التشغيل

كيف تساعد Shieldworkz المرافق على الاستعداد لـ CIP-015-2

يتطلب الاستعداد لـ CIP-015-2 خبرة عميقة في OT وICS والأمن السيبراني الصناعي.

هنا تلعب Shieldworkz دورًا حاسمًا.

تتخصص Shieldworkz في حماية البنية التحتية الصناعية عبر قطاعات مثل:

• الطاقة والمرافق

• النفط والغاز

• التصنيع

• التعدين

خبرة مراقبة متخصصة لـ OT

تساعد Shieldworkz المنظمات على نشر رصد شبكة داخلية مصمم لبيئات OT، مما يضمن الامتثال دون تعطل العمليات.

رؤية الأصول عبر شبكات معقدة

تساعد حلول Shieldworkz المرافق في تحديد ومراقبة:

• الأصول السيبرانية للبنية التحتية الحرجة للكهرباء (BES)

• أنظمة EACMS

• بنية PACS

• منصات OT/IT المشتركة

هذه الرؤية ضرورية لفهم النطاق الكامل للمراقبة.

الكشف عن الحوادث والاستخبارات التهديدية

توفر Shieldworkz:                                                                      

• كشف التهديدات عبر OT

• تحليلات الشبكات الصناعية

• دعم الاستجابة للحوادث

تُمَكِّن هذه القدرات المرافق من كشف التهديدات والاستجابة لها بسرعة أكبر.

بنية متوافقة مع الامتثال

تساعد Shieldworkz المؤسسات في بناء بنى مراقبة تتوافق مع المعايير المتطورة مثل:

• NERC CIP-015

• NERC CIP-013

• NERC CIP-010

يضمن هذا أن تظل المنظمات متوافقة مع تعزيز الأمن التشغيلي.

مستقبل الأمن الشبكي الداخلي في OT

يعكس CIP-015-2 تحولاً أوسع في الأمن السيبراني الصناعي.

تتحرك الصناعة بعيدًا عن الأمن القائم على المحيط نحو المراقبة المستمرة الداخلية.

من المحتمل أن تستمر المعايير التنظيمية المستقبلية في توسيع متطلبات الرؤية.

المنظمات التي تستثمر في وقت مبكر في قدرات المراقبة ستحصل على فوائد كبيرة:

• تحسين اكتشاف التهديدات

• تعزيز المرونة

• جاهزية أسرع للامتثال

الخاتمة

يمثل معيار NERC CIP-015-2 المقترح تطوراً كبيرًا في كيفية حماية البنية التحتية الحيوية لشبكات التشغيل الخاصة بها.

من خلال توسيع مراقبة أمان الشبكة الداخلية (INSM) خارج محيط الأمان الإلكتروني ليشمل EACMS, PACS، والبنية التحتية السيبرانية المشتركة، يعالج المنظمون فجوة رئيسية في الرؤية التي يستغلها المهاجمون بشكل متزايد.

بالنسبة للمرافق والمشغلين الصناعيين، الرسالة واضحة:

يجب أن يمتد الأمن لما هو أبعد من المحيط.

المنظمات التي تبدأ في رسم خرائط لأنظمة التحكم في الوصول، ونشر أدوات المراقبة الداخلية، وبناء قدرات الاستجابة للحوادث اليوم ستكون أكثر استعدادًا بكثير لتهديدات الغد ومتطلبات الامتثال غداً.

تساعد Shieldworkz المرافق والمشغلين الصناعيين في تأمين بيئاتهم التشغيلية بينما يستعدون للمعايير المتطورة مثل NERC CIP-015-2.

إذا كان كيانك يحتاج إلى المساعدة في:

• مراقبة أمن الشبكة الداخلية

• كشف التهديدات عبر OT

• جاهزية الامتثال لمعايير NERC

• حماية الأصول السيبرانية للنظام الكهرباء الضخم

زوروا shieldworkz.com أو اتصلوا بفريق الأمن السيبراني لدى Shieldworkz لتتعرفوا كيف يمكننا مساعدتكم في بناء بنية أمن صناعي قوية.

احجز استشارة مجانية حول الموقف الأمني، إدارة استخبارات التهديدات، مراقبة البنية التحتية، أمن OT والمتطلبات القياسية لـ IEC 62443، هنا.

موارد إضافية
قائمة مراجعة الامتثال NERC CIP-015-1 ومتعقب مؤشرات الأداء الرئيسية

حزمة أدلة NERC CIP: كيفية توثيق إدارة تصحيح وتغيير SCADA للتدقيقات

خارطة طريق NERC CIP لعام 2026: خطوات عملية لتوليد الطاقة لحماية وحدات التحكم المنطقية القابلة للبرمجة ووحدات التحكم عن بعد