الامتثال لـ NIS2 لشركات النفط والغاز: دليل عملي لأمن ICS وحلول الأمن السايرسي OT

يشكل قطاع النفط والغاز العمود الفقري للاقتصادات الحديثة، ويقوم بتزويد النقل والصناعة والمنازل بالطاقة. في الوقت ذاته، يعد أحد أكثر القطاعات استهدافًا للهجمات السايرسيبة بسبب دوره الهام في أمن الطاقة الوطني واعتماده على نظم التحكم الصناعي المعقدة (ICS). من أنظمة التحكم في الأنابيب إلى منصات الحفر البحرية وعمليات التكرير، تدير شركات النفط والغاز بنى تحتية موزعة بشكل كبير ومترابطة ومعرضة للخطر.

تعتبر توجيهية NIS2، التي دخلت حيز التنفيذ في يناير 2023 ويجب تحويلها للقانون الوطني في جميع أنحاء الاتحاد الأوروبي بحلول أكتوبر 2024، تغييرًا جذريًا في طريقة تعامل مشغلي البنى التحتية الحيوية، بما في ذلك شركات النفط والغاز، مع الأمن السايرسي. بخلاف سابقتها، فإن NIS2 أوسع وأكثر صرامة وإلزامًا، وتفرض حوكمة قوية وحلول أمن السايرسي OT وإدارة مستمرة للمخاطر لضمان الامتثال.

سيستعرض مدونة اليوم:

· أساسيات NIS2 من منظور النفط والغاز

· خارطة طريق الامتثال لـ NIS2 لشركات النفط والغاز

· كيفية دعم التقييمات القائمة على IEC 62443 للامتثال

· أفضل الممارسات لبناء المرونة من خلال الأمن السايرسي لـ ICS وحلول الأمن السايرسي OT

لا تنسى قراءة تدوينة الأمس حول دليل عملي لجرد واكتشاف الأصول في قطاع الأدوية

لماذا تعد NIS2 هامة لشركات النفط والغاز؟

الطاقة بنية تحتية حيوية

تعتبر NIS2 الطاقة، بما في ذلك النفط والغاز والكهرباء والتدفئة المركزية، من القطاعات الأساسية. يعني هذا أن شركات النفط والغاز، في كل من المنفعة والمصب، تقع تحت أشد التزامات الامتثال للتوجيهية.

نطاق موسع ومسؤولية زائدة

بخلاف NIS1، الذي كان ينطبق بشكل رئيسي على المشغلين الكبار، تمتد NIS2 لتشمل الشركات المتوسطة الحجم (250+ موظفًا أو 50 مليون يورو+ عائد سنوي). بالنسبة لشركات النفط والغاز، يعني هذا أن حتى المشغلون الإقليميون أو مقدمو الخدمات، مثل المقاولين المختصين بصيانة الأنابيب، يندرجون تحت التزامات الامتثال.

متطلبات حوكمة أقوى

تحت NIS2، تكون مجالس الإدارة مسؤولة مباشرة عن إدارة مخاطر الأمن السايرسي. يجب على التنفيذيين في شركات النفط والغاز الآن إظهار ليس فقط الوعي بل المشاركة الفعالة في حوكمة الأمن السايرسي OT وIT.

إدارة مخاطر إلزامية وإجراءات تقرير

يجب على شركات النفط والغاز تنفيذ:

· بروتوكولات استجابة للحوادث مع التزامات تقرير في غضون 24 ساعة للحوادث السايرسيبة الكبيرة

· تقييمات مخاطر سلسلة التوريد (مثل المقاولين الذين يديرون نظم SCADA أو أتمتة الحفر البحرية)

· تدابير المرونة، مثل التكرار والتقسيم والمراقبة

· ضوابط تعويضية: حيثما كان الأمر ممكنًا لضمان معالجة الثغرات الأمنية في الفترة القصيرة عندما تكون التصحيحات غير متاحة

لخلاصة الأمر، الامتثال لـ NIS2 ليس مجرد ملء خانات، بل يتطلب دمج الأمن السايرسي لـ ICS وحلول الأمن السايرسي OT في النسيج التشغيلي للمؤسسة.

ما هي جوانب امتثال NIS2 التي يجب أن تعالجها شركات النفط؟

لتبسيط الأمور، دعني أوضح لك التوجيهية في خمسة أساسيات تهم أكثر لشركات النفط والغاز:

تدابير إدارة مخاطر الأمن السايرسي لأمن OT

يجب على شركات النفط والغاز تبني التدابير الفنية والتشغيلية والتنظيمية. تتضمن هذه:

· سياسات التحكم في الوصول إلى بيئات OT

· تقسيم الشبكة بين IT وOT

· قدرات اكتشاف الحوادث والاستجابة لها

· التقييمات الدورية للثغرات في ICS

· ضمان تبني ضوابط الأمان

متطلبات تقرير الحوادث

· التحذير المبكر (24 ساعة): إخطار مبدئي عن حادث

· تقرير مفصل (72 ساعة): شدة الحادث، التأثير، وإجراءات التخفيف

· التقرير النهائي (شهر): السبب الجذري والتدابير طويلة الأجل

تتطلب هذه المتطلبات تطوير قدرات قوية في التجسس والمراقبة عبر أنظمة OT وIT.

أمن سلسلة التوريد

تعتمد عمليات النفط والغاز على آلاف الموردين، من مصنعي الصمامات إلى بائعي برامج ICS. تتطلب NIS2 أن يقوم المشغلون بتقييم وإدارة المخاطر الخاصة بالطرف الثالث، مما يعني أن عمليات تدقيق الموردين وبنود الأمن السايرسي التعاقدية تصبح أساسية.

استمرارية العمل وإدارة الأزمات

تتطلب NIS2 من الشركات إظهار تخطيط المرونة للحوادث السايرسيبة. في قطاع النفط والغاز، يعني هذا:

· خطط النسخ الاحتياطي واستعادة SCADA وبيئات DCS

· التخطيط للطوارئ لإغلاق الأنابيب أو المصافي

· تدريب الموظفين على إدارة تدريبات الأزمات السايرسيبة

مسؤولية القيادة في الأمن السايرسي

يجب على التنفيذيين الموافقة والإشراف على ممارسات إدارة مخاطر الأمن السايرسي، مع احتمالية تحمل مسؤوليات قانونية بسبب الإهمال. بالنسبة لمجالس إدارة النفط والغاز، يرتفع الأمن السايرسي من "مشكلة تقنية" إلى أولوية في قاعة الاجتماعات.

خارطة طريق امتثال NIS2 لشركات النفط والغاز

يتطلب الانتقال إلى الامتثال لـ NIS2 تخطيطًا منظماً. إليك خارطة طريق خطوة بخطوة لمشغلي النفط والغاز:

الخطوة 1: تقييم الفجوة

· إجراء تقييم استعداد NIS2 الأساسي عبر بيئات IT وOT

· رسم المتطلبات مقابل ضوابط الأمان السايرسي الحالية في ICS

· تحديد الفجوات في الحوكمة، إدارة المخاطر، المراقبة، والإبلاغ

الخطوة 2: إطار الحوكمة والمسؤولية

· إنشاء لجنة حوكمة للأمن السايرسي تشمل قادة IT وOT والامتثال

· تعيين المسؤولية على مستوى المجلس للامتثال لـ NIS2

· تحديث السياسات لتتماشى مع IEC 62443 وISO 27001 وNERC CIP حيثما ينطبق الأمر

الخطوة 3: إدارة المخاطر والرؤية للأصول

· نشر حلول جرد الأصول OT مثل Shieldworkz للحصول على رؤية لمكونات ICS

· تنفيذ عمليات إدارة المخاطر استنادًا إلى IEC 62443-3-2 (تقييمات المخاطر الأمنية)

· تحديد أولويات المخاطر بناءً على الأهمية التشغيلية (الأنابيب، الضاغطات، منصات الحفر البحرية)

الخطوة 4: الضوابط التقنية وحلول الأمن السايرسي OT

· التقسيم بين IT وOT

· تنفيذ كشف التطفل وكشف الشذوذ لـ ICS (مثل حلول NDR مثل Shieldworkz)

· تقوية النقاط النهائية مثل HMIs وPLCs و البوابات الوصول البعيدة

الخطوة 5: استجابة الحوادث والإبلاغ عنها

· تطوير كتب الاستجابة للحوادث المصممة خصيصًا لبيئات OT

· تنفيذ حلول المراقبة للكشف عن التهديدات في الوقت الفعلي

· اختبار تدفقات الإبلاغ لضمان الامتثال مع جداول 24 ساعة/72 ساعة

الخطوة 6: إدارة سلسلة التوريد والبائعين

· تصنيف البائعين حسب الأهمية (برنامج ICS مقابل موردي IT للمكاتب)

· إجراء تدقيقات الأمن السايرسي للموردين في OT

· تضمين بنود تعاقدية تفرض الامتثال لـ IEC 62443

الخطوة 7: الوعي والتدريب

· إجراء تدريب على مستوى المجلس حول التزامات NIS2

· تشغيل تدريب على الأمن السايرسي OT للمشغلين والمهندسين

· تنفيذ تمارين فريق الاستجابة وعمليات المحاكاة

الخطوة 8: المراقبة والتطوير المستمر

· تقييمات الثغرات لـ OT بشكل منتظم

· اختبارات الاختراق للترابط بين IT وOT

· دورات التحسين المستمر المتوافقة مع IEC 62443-2-1 (إدارة برامج الأمان)

دور التقييمات الأمنية القائمة على IEC 62443 في الامتثال لـ NIS2

لماذا تهم IEC 62443

يعد IEC 62443 المعيار العالمي لأمان نظام الأتمتة والتحكم الصناعي (IACS). يوفر نهجًا منظمًا لتقييم المخاطر، الضوابط الأمنية، وإدارة دورة الحياة. بالنسبة لشركات النفط والغاز، تدعم التقييمات القائمة على IEC 62443 الامتثال لـ NIS2 مباشرة.

الطرق الرئيسية التي تساعد بها التقييمات:

1. تحديد المخاطر بشكل منظم: يتطلب IEC 62443-3-2 إجراء تقييم شامل للمخاطر لأصول OT. يتماشى هذا مباشرةً مع متطلب NIS2 لإدارة المخاطر الشاملة.

2. توثيق دفاع في العمق: يركز IEC 62443 على الدفاع في العمق (التقسيم، التحكم في الوصول، المراقبة). يختبر التقييم الأمني لـ OT ما إذا كانت هذه الطبقات قد تم تنفيذها بفعالية.

3. تقييم النضج: يساعد IEC 62443-2-4 على قياس نضج الأمان للموردين، مما يدعم بشكل مباشر التزامات سلسلة التوريد لـ NIS2.

4. الامتثال المستمر: على عكس التدقيقات لمرة واحدة، يمكن دمج تقييمات IEC 62443 في برامج الأمن السايرسي المستمرة لـ OT، مما يضمن أن شركات النفط والغاز تحافظ على الامتثال المستمر لـ NIS2.

5. الاستعداد للحوادث: غالباً ما تحاكي التقييمات القائمة على IEC 62443 الحوادث السايرسيبة، مما يساعد الشركات النفط والغازية على التحقق من جاهزيتها للإبلاغ ضمن مواعيد NIS2 البالغة 24 ساعة و72 ساعة.

أفضل الممارسات للأمن السايرسي لـ ICS في النفط والغاز

بعد خارطة الطريق الامتثال، يمكن لمشغلي النفط والغاز تعزيز استعدادهم لـ NIS2 من خلال الممارسات التالية:

نهج أمني موحد بين IT وOT

تنفيذ مركز عمليات أمني متكامل (SOC) يراقب بيئي IT وOT. يمكن هذا من اكتشاف مبكر للهجمات التي تستهدف أنظمة المكاتب وأنظمة التحكم الصناعي.

الثقة الصفرية لـ OT

تبني مبادئ الثقة الصفرية: لا تثق أبداً، تحقق دائماً. على سبيل المثال:

· مصادقة متعددة العوامل للوصول عن بعد

· الوصول بامتيازات أقل للمهندسين والمقاولين

· التقسيم الجزئي لشبكة OT

استخبارات التهديد السايرسي لـ ICS

الاشتراك في تغذيات استخبارات التهديدات الخاصة بـ ICS من Shieldworkz للبقاء في المقدمة على البرمجيات الخبيثة المستهدفة (مثل TRITON، Industroyer2). تخصيص قواعد الكشف الخاصة بك بشكل مناسب.

التوأمة الرقمية لمحاكاة المخاطر

الاستفادة من النماذج الرقمية لأنظمة التحكم في خطوط الأنابيب أو المصافي لمحاكاة الهجمات السايرسيبة واختبار تدابير المرونة في بيئة آمنة.

تمارين الفريق الأحمر وقوالب التدريب الدورية

محاكاة هجمات الفدية، التهديدات الداخلية، أو التقديمات الخاصة بالسلسلة لتأكيد المرونة والاستجابة.

إجراء تدريبات توعية بحوادث الخطورة الفعلية بانتظام

تأكد أن طرق الاستجابة للحوادث لديك في حالة جيدة. 

التحديات في تحقيق الامتثال لـ NIS2

في حين أن خارطة الطريق والمعايير توفر وضوحًا، تواجه مشغلي النفط والغاز تحديات فريدة:

· أنظمة ICS القديمة: العديد من خطوط الأنابيب والمصافي تعمل بأنظمة تحكم قديمة تعود لعقود مع ميزات أمان قليلة.

· البيئات البعيدة والقاسية: غالباً ما تفتقر منصات الحفر البحرية ومحطات الضخ البعيدة إلى الحماية الجسدية والشبكية.

· سلاسل توريد معقدة: آلاف الموردين بمستويات نضج أمني مختلفة يعقدون الامتثال.

· الفجوة الثقافية بين IT وOT: يضع المهندسون الأولوية على التوافر والسلامة بينما يركز IT على السرية والنزاهة. توحيد هذه الأولويات أمر حيوي.

يتطلب معالجة هذه التحديات حلول أمنية OT مخصصة مدعومة بدعم تنفيذي واستثمار مستمر.

تحويل الامتثال لـ NIS2 إلى مرونة

بالنسبة لشركات النفط والغاز، الامتثال لـ NIS2 ليس اختياريًا، بل هو ضروري. تتطلب التوجيهية بحوكمتها الأكثر صرامة، ومتطلبات الإبلاغ، ومتطلبات سلسلة التوريد، من مشغلي النفط والغاز إعادة التفكير في كيفية إدارة الأمن السايرسي عبر كل من IT وOT.

باتباع خارطة الطريق الامتثال المنظمة، والاستفادة من التقييمات الأمنية OT القائمة على IEC 62443، ودمج أفضل الممارسات لأمن ICS السايرسي، يمكن لشركات النفط والغاز تجاوز مجرد تأكيد الامتثال التنظيمي. يمكنهم بناء المرونة، حماية مصادر الطاقة الوطنية، وكسب الثقة من الجهات التنظيمية، الشركاء، والجمهور.

قد يكون طريق الامتثال تحديًا، لكن بالنسبة لمشغلي النفط والغاز، فإنه يمثل أيضًا فرصة: لتحديث حلول الأمن السايرسي OT، تقوية إدارة المخاطر، ووضع الأمن السايرسي كعامل تمكين استراتيجي للمرونة التشغيلية.

احصل على الامتثال لـ NIS2 في 5 أسابيع فقط. اكتشف كيف.

تحدث إلى خبير NIS2 الآن لتخطيط خارطة الطريق الخاصة بك. 

تحميل دليل استراتيجي لـ NIS2