تأمين الشبكة: استكشاف عميق في أمان العمليات التشغيلية لمحطات التحويل الكهربائية
بريوكث ك ف
29 أكتوبر 2025
تأمين الشبكة: تحليل معمق لأمن التكنولوجيا التشغيلية لمحطات الكهرباء الفرعية
كجزء من شهر التوعية بالأمن السيبراني، نقوم بتحليل معمق لاستراتيجية وإجراءات الأمن في التكنولوجيا التشغيلية للعديد من قطاعات البنية التحتية الحرجة. اليوم سنفحص تدابير الأمن السيبراني التي نوصي بها لمحطات الكهرباء الفرعية.
تعتبر محطات الكهرباء الفرعية بلا شك العقد الحرجة لشبكة الكهرباء لدينا. حيث تدير، وتحول، وتوزع الكهرباء إلى منازلنا، ومستشفياتنا، وصناعاتنا. لكن هذا الدور الحرج يحولها أيضًا إلى هدف ذي قيمة عالية للهجمات السيبرانية وتبقى دائمًا على رادار الجهات المدعومة من الدولة والناشطين السيبرانيين. ومع تطور المحطات الفرعية من منشآت معزولة وفجوة هائلة إلى مراكز رقمية متصلة بشكل كبير، توسعت سطح هجوم التكنولوجيا التشغيلية (OT) بشكل كبير.
لا يمكن بأي حال من الأحوال مساواة تأمين بيئات كهذه بتأمين إعدادات تكنولوجيا المعلومات التقليدية. نحن نتعامل مع عالم معقد وحساس حيث يمكن أن يؤدي الحادث السيبراني إلى انقطاع التيار الكهربائي في العالم الحقيقي. اجمع هذا مع الزيادة السريعة في عدد الجهات المدعومة من الدولة، والصراعات، والبرمجيات الخبيثة القائمة على الذكاء الاصطناعي والتكتيكات المستهدفة، يصبح حجم المشكلة واضحًا. يتناول منشور اليوم التحديات الفريدة لأمن المحطات الفرعية ويوفر استراتيجيات متعددة الطبقات لبناء دفاع مرن.
لا تنسى الاطلاع على منشورنا السابق حول تأمين منشآت صيانة المطارات هنا.
الملف الفريد للأصول التي تستضيفها المحطات الفرعية
التحدي الأساسي في أمن المحطات الفرعية هو ملفها المعقد للأصول الذي يمثل مزيجًا عمليًا من الأصول القديمة والجديدة، والعمليات المختلفة وتقنيات المراقبة. قد يكون لكل محطة فرعية ملف شخصي خاص بها لمخاطر الأمن السيبراني بناءً على ما سبق بالإضافة إلى ارتباطها بعوامل أخرى مثل الموقع الجغرافي ومستوى وعي الموظفين.
غالباً ما تكون المحطة الفرعية مزيج من:
الأجهزة القديمة: وحدات المحطة الطرفية البعيدة ووحدات التحكم المنطقية القابلة للبرمجة التي بُنيت لعقود مع التركيز على الموثوقية، وليس الأمان. العديد من هذه الأجهزة ذات قوة معالجة محدودة ولا يمكنها دعم التشفير أو التحقق الحديث.
تكنولوجيا حديثة: أجهزة الكترونية ذكية جديدة وأجهزة استشعار وأنظمة SCADA (نظام مراقبة وتحكم بالبيانات) المتصلة بشكل كبير.
بروتوكولات مملوكة: يعتمد الاتصال غالبًا على بروتوكولات صناعية مثل DNP3، وModbus، وIEC 61850، والتي غالبًا ما تكون غير مشفرة وتفتقر إلى أساسيات الحماية.
"التقارب بين تكنولوجيا المعلومات والتشغيل": أصبح الخط الفاصل بين شبكة تكنولوجيا المعلومات (العمل) والشبكة التشغيلية (التحكم) غير واضح. يؤمن الوصول عن بُعد للصيانة ومشاركة البيانات من أجل التحليلات مسارات جديدة للمهاجمين "للتنقل" من تكنولوجيا المعلومات إلى بيئة التحكم الحرجة.
عمليات متنوعة: لإدارة الطاقة التي تمر من خلالها.
منظور التهديدات
التهديدات للمحطات الفرعية حقيقية وقد تم إثباتها بالفعل. قد يتذكر الكثير منكم الهجوم السيبراني في عام 2015 على شبكة الكهرباء في أوكرانيا، حيث قام القراصنة بتشغيل القواطع عن بُعد لإغلاق المحطات الفرعية. اعتبر حينها بمثابة اتصال بالاستيقاظ للصناعة بأكملها. لقد مررنا بالعديد من اتصالات الاستيقاظ منذ ذلك الحين. في الواقع، منذ ذلك الحين كان هناك هجمات معقدة على الشبكات والمحطات الفرعية في الهند، الولايات المتحدة، إسبانيا، اليابان والمملكة المتحدة. تقريباً جميع هذه الهجمات قد شملت ممثلين مدعومين من الدولة.
عادةً ما تقع التهديدات السيبرانية للمحطات الفرعية ضمن الفئات التالية:
الجهات الممثلة للدول: تسعى للقيام بأعمال التجسس أو تحديد الموقع المسبق لتعطيل البنية التحتية الحرجة لمنافس في المستقبل. قد يظلوا أيضًا كامنين داخل شبكة الهدف ويفتحون هجومًا عندما يحدث حدث جيوسياسي.
مجرمو الإنترنت: تدرك مجموعات الفدية والأشرار الرقميون المرونة التي يكتسبونها من خلال شل البنية التحتية الحرجة، كما رأينا في هجوم خط الأنابيب الاستعماري.
تهديدات داخلية: سواء كانت ضارة (موظف محبط) أو عرضية (مهندس ينقر على رابط تصيد أو يتصل بقرص USB مصاب)، فإن المطلعين الذين لديهم وصول شرعي يشكلون خطرًا كبيرًا.
ناشطو الإنترنت: محفزون بدوافع سياسية أو اجتماعية، يبحث هؤلاء عن إحداث اضطراب للتعبير عن آرائهم.
تشمل النواقل الهجومية الشائعة استغلال VPN غير المصححة للوصول عن بُعد، وحملات التصيد المستهدفة للمهندسين، وهجمات سلسلة التوريد عبر أجهزة معدة مسبقًا، واختراقات الأمان المادي.
دفاع متعدد الطبقات: حلول رئيسية لأمن المحطات الفرعية
كما هو الحال مع المقولة الشهيرة، لا يوجد "رصاصة فضية" واحدة. يجب بدلًا من ذلك أن يعتمد الدفاع القوي للمحطة الفرعية على استراتيجية متكاملة ومتعددة الطبقات للدفاع.
رؤية الأصول والشبكة هي المفتاح: كشف شبكة المدافع والاستجابة (NDR)
في بيئات التكنولوجيا التشغيلية، لا يمكنك تشغيل ماسحات "نشطة" للبحث عن مواطن الضعف كما تفعل في تكنولوجيا المعلومات، حيث قد يربك أو يعطل أو يحطم الأجهزة التحكم الحساس. فكيف تعرف ما تفعله أصولك؟
هذا هو المكان الذي تصبح فيه شبكة الكشف والاستجابة (NDR) لحل التكنولوجيا التشغيلية ضرورية.
المراقبة السلبية: تتصل أدوات NDR مثل Shieldworkz بالشبكة و"تستمع" إلى حركة المرور دون إرسال أي حزم. يوفر هذا رؤية بنسبة 100% بدون أي خطر عملي. نظرًا لأن الأداة مصممة للتكنولوجيا التشغيلية، فإنها تعمل ضمن القيود التي تفرضها البنية التحتية الخاصة بالتكنولوجيا التشغيلية.
خطوط الأساس السلوكية: يستخدم النظام التعلم الآلي لبناء خط أساس لما هو "طبيعي" لمحطتك الفرعية. يتعلم الأجهزة التي تتحدث مع بعضها البعض، وما البروتوكولات التي يستخدمونها، وما الأوامر التي يتم إرسالها عادةً. يمكن لحلول NDR مثل Shieldworkz أن تتقدم خطوة أبعد وتتصور خط أساس من خطوط الأساس لتقليل الإيجابيات الكاذبة بشكل أكبر.
الكشف عن الشذوذ: عند حدوث شذوذ مثل اتصال حاسوب محمول غير مصرح به، أو استلام PLC لأمر "إيقاف التشغيل" من مصدر غير معروف، أو استخراج البيانات، تصدر منصة NDR تنبيهًا فوريًا.
يمكن أن يساعد أيضًا حل NDR في الالتزام بالأنظمة
اعرف فجوات الأمان لديك
إن مشهد التهديدات السيبرانية وشبكتك الخاصة يتغيران ويتطوران باستمرار. التقييم العرضي للمخاطر ليس كافياً أبدًا. يجب أن تجري المرافق تقييمات منتظمة للمخاطر الخاصة بالتكنولوجيا التشغيلية في المحطة الفرعية وخارجها لـ:
الحفاظ على قائمة جرد دقيقة لجميع الأصول المتصلة (الأجهزة، البرمجيات، والبرامج الثابتة).
تحديد الثغرات الأمنية المعروفة في تلك الأصول.
تحليل التأثير العملي المحتمل للاختراق.
ترتيب جهود التخفيف من حيث الأولوية، مع التركيز على الثغرات الأمنية الأكثر حرجاً أولاً.
قياس مستويات الأمان ومعالجة أي فجوات
إبلاغ جميع الأطراف المعنية عن المستويات السائدة للأمان
تدريب متخصص في أمن التكنولوجيا التشغيلية
الموظفون لديك جزء لا يتجزأ من دفاعك، لكن فقط إذا كانوا يتلقون التدريب بشكل صحيح. نحن نتحدث عن توعية قابلة للعمل وتؤدي إلى اتخاذ قرارات مستنيرة. التدريب التقليدي ضد التصيد في تكنولوجيا المعلومات غير كاف. يجب أن يغطي التدريب الخاص بالتكنولوجيا التشغيلية:
الأمان المادي: التعرف على محاولات الهندسة الاجتماعية للحصول على الوصول المادي، والدخول غير المشروع، وتأمين محطات العمل غير المراقبة.
النظافة الرقمية: السياسات الصارمة بشأن استخدام الوسائط القابلة للإزالة (وخاصة الأقراص المحمولة)، والتي تعتبر سببًا شائعًا للعدوى.
التصيد الخاص بالتكنولوجيا التشغيلية: التدريب على التعرف على البريد الإلكتروني الخبيث المتنكر على هيئة تحديثات للموردين، جداول الصيانة، أو الرسوم البيانية الهندسية.
الاستجابة للحوادث والتقرير عنها: عملية واضحة وغير محملة لإبلاغ أي نشاط مشبوه والرد بشكل مناسب على الفور.
خطة استجابة قوية للحوادث (IR)
ليس الأمر مسألة إذا وقع الحادث، بل متى. خطة الاستجابة للحوادث الخاصة بالتكنولوجيا التشغيلية أمر حيوي. الهدف الأساسي في استجابة الحوادث الخاصة بالتكنولوجيا التشغيلية هو مختلف عن تكنولوجيا المعلومات: الأولوية هي السلامة واستمرارية التشغيل (الإبقاء على تشغيل الطاقة)، وليس فقط سرية البيانات.
تتضمن خطة قوية:
فريق استجابة حوادث الأمن السيبراني (CSIRT) محدد: فريق استجابة طوارئ الأمن السيبراني بأدوار واضحة، بما في ذلك مهندسي التكنولوجيا التشغيلية، والمشغلين، وأمن تكنولوجيا المعلومات.
كتب لعب الاحتواء: خطوات محددة مسبقًا لعزل أقسام الشبكات المتأثرة بسرعة لمنع انتشار الهجوم.
إجراءات الاسترداد: خطط مختبرة لاستعادة العمليات بأمان بسرعة من حالة جيدة معروفة.
التحليل الجنائي: القدرة على حفظ الأدلة وترك مسار لفهم الجذر المسبب للهجوم دون التأثير على استعادة الخدمة.
تدابير دفاعية سيبرانية متكاملة
هذه هي "الاستراتيجية المتكاملة" التي تربط كل شيء معًا.
تقسيم الشبكة: استخدام نموذج "المناطق والقنوات" (من IEC 62443) لفصل شبكة التحكم عن شبكة الأعمال وإنشاء مناطق صغيرة داخل شبكة التحكم.
التحكم في الوصول: فرض مبدأ "الامتياز الأقل" بحيث لا يمتلك المستخدمون والأجهزة سوى الحد الأدنى من الوصول اللازم لإنجاز وظائفهم. يتضمن ذلك استخدام المصادقة متعددة العوامل (MFA) لجميع الوصول عن بُعد.
تقوية النظام: تعطيل المنافذ والخدمات غير المستخدمة على الأجهزة الإلكترونية الذكية، والخوادم، ومحطات العمل.
الوصول الآمن عن بُعد: يجب أن يتم جميع الوصول عن بُعد عبر مضيف قفز أو منطقة منزوعة السلاح (DMZ) آمنة ومراقبة.
المخطط: قائمة مراجعة IEC 62443 للمحطات الفرعية
المعيار IEC 62443 هو المعيار الذهبي العالمي لأمان أنظمة التشغيل الأوتوماتيكي والتحكم في الصناعة (IACS). بدلاً من قائمة تحقق عامة، يوفر إطار عمل لتقييم المخاطر وتطبيق الضوابط. ها هي قائمة مبسطة استنادًا إلى مفاهيمه الأساسية:
تحديد المناطق والقنوات:
هل قمت برسم خريطة لشبكة المحطة الفرعية بأكملها؟
هل قمت بتجميع الأصول في "مناطق" منطقية بناءً على وظائفها وأهميتها (مثل "منطقة الحماية"، "منطقة SCADA"، "منطقة الوصول عن بُعد")؟
هل قمت بتحديد جميع مسارات الاتصال ("القنوات") بين هذه المناطق؟
تحديد مستويات الأمان المستهدفة (SLs):
بالنسبة لكل منطقة، هل حددت مستوى الأمان المستهدف (SL-T) من 1 (الأدنى) إلى 4 (الأعلى) بناءً على المخاطر؟
SL 1: يحمي ضد الاستخدام العرضي الخاطئ.
SL 2: يحمي ضد الهجوم المتعمد بأدوات بسيطة.
SL 3: يحمي ضد الهجمات المعقدة من قبل متدخلين مهرة (مثل مجرمي الإنترنت).
SL 4: يحمي ضد الهجمات على مستوى الدولة.
تنفيذ المتطلبات الأساسية (FRs):
بالنسبة لكل منطقة، هل تقوم بتطبيق المتطلبات الأساسية السبعة لتلبية مستوى الأمان المستهدف الخاص بك؟
FR1 (التحكم في الوصول): من يمكنه الوصول إلى ماذا؟ (مثل المصادقة للمستخدم، MFA).
FR2 (استخدام التحكم): ماذا يُسمح لهم بفعل؟ (مثل الأذونات).
FR3 (تكامل النظام): هل الأجهزة والبرمجيات موثوقة؟ (مثل إدارة التصحيحات، حماية ضد البرمجيات الخبيثة).
FR4 (سرية البيانات): هل البيانات الحساسة مشفرة؟
FR5 (تدفق البيانات المقيد): هل تقوم بالتحكم في حركة المرور بين المناطق؟ (مثل الجدران النارية التي تراعي التكنولوجيا التشغيلية).
FR6 (الاستجابة في الوقت المناسب): هل يمكنك اكتشاف والاستجابة لحدث؟ (مثل NDR، خطة IR).
FR7 (توفر الموارد): هل يمكن لنظامك تحمل هجوم حجب الخدمة؟
تأمين سلسلة التوريد:
هل تقوم بتوثيق موردينك وسلاسل التوريد الخاصة بهم؟
هل تطلب أن تكون الأجهزة الجديدة (IEDs، PLCs) مصدقة بتوافق مع IEC 62443-4-2 (متطلبات المكونات) وتقوم بقبول اختبارات الأمان؟
تأمين محطات الكهرباء الفرعية لدينا هو جانب لا يمكن الاستغناء عنه من الأمن القومي من الجوانب البشرية والاقتصادية. يتطلب عملية مستمرة للتقييم، دفاعات تقنية متعددة الطبقات، وحواجز بشرية وافتراضية مدربة جيداً. من خلال اعتماد استراتيجية حديثة متجذرة في معايير مثل IEC 62443، يمكننا بناء شبكة ليست فقط موثوقة ولكن مرنة حقًا.
تحدث مع خبير من Shieldworkz حول احتياجات الأمن لمحطتك الفرعية
جرب التجربة العملية لنظام Shieldworkz OT Security NDR من خلال العرض التوضيحي.
احصل على تحديثات أسبوعية
الموارد والأخبار
You may also like
11/11/2025
Extended recovery times are driving up the overall cost of cyberattacks.
Prayukth KV
07/11/2025
5 hard OT Cybersecurity lessons 2025 taught us (And What to Do About Them)
Prayukth KV
06/11/2025
لماذا يعد معيار NERC CIP-015-1 لأمن الشبكة الداخلية ضروريًا للدفاع عن أنظمة التحكم الصناعي
بريوكث ك ف
05/11/2025
كيفية تصميم نتائج حقيقية لأمن تكنولوجيا العمليات باستخدام تقييم المخاطر IEC 62443
بريوكث
04/11/2025
لماذا لم يعد من الممكن تأجيل حوكمة أمن أنظمة التشغيل: نداء من مدير الأمن المعلوماتي لاتخاذ إجراء
بريوكث ك ف
03/11/2025
7 محادثات يطرحها قادة التكنولوجيا التشغيلية في مؤتمر AISS لعام 2025
بريوكث ك ف
