في ظل الظروف الحالية لعام 2026، لم تعد التكنولوجيا التشغيلية (OT) تشكل طبقة مخفية من البنية التحتية تعمل بمعزل عن غيرها وغير مستهدفة. مع النقل الكامل لتوجيه NIS2 إلى القانون الفرنسي والتفويضات المستمرة لقانون البرمجة العسكرية (LPM)، أصبح تأمين أنظمة التحكم الصناعية (ICS) ضرورة قانونية صارمة بدلاً من ممارسة أفضل. بالإضافة إلى ذلك، مع الهجمات المستهدفة على البنية التحتية OT، يصبح من الضروري للمشروعات توسعة جهودها في تأمين التكنولوجيا التشغيلية للتأكد من أن تدابير الدفاع متوافقة مع مشهد التهديد السائد.

بالنسبة للمشروعات الفرنسية، خاصة تلك التي تعتبر كيانات ضرورية (EE) أو هامة (IE)، وضعت الوكالة الوطنية لأمن نظم المعلومات في فرنسا (ANSSI) معيارًا ذهبيًا لتقييم المخاطر.

تتناول مدونة اليوم كيف يمكن التعامل مع هذه العملية الصارمة لضمان المرونة والامتثال بطريقة مستدامة تحقق جميع الأهداف القصيرة والطويلة الأجل.

قبل أن نتابع، لا تنس الاطلاع على مدونتنا السابقة بعنوان "تقرير حول تسريب بيانات ESA بحجم 200 جيجابايت". تقدم هذا التقرير تحليل الأسباب الجذرية للانتهاك الأخير في وكالة الفضاء الأوروبية. 

التوصيات الرئيسية والمتطلبات الامتثالية

تستند نهج ANSSI لأمن التكنولوجيا التشغيلية على مبدأ "الدفاع العميق". اعتباراً من عام 2026، تتضمن الركائز الرئيسية:

• مدير المخاطر EBIOS (EBIOS RM): هذه هي المنهجية الأساسية لتقييم المخاطر. تعمل على الانتقال من قوائم الأسئلة الثابتة إلى نماذج التهديد القائمة على السيناريوهات الديناميكية.

• الـ 42 إجراءً: يعتبر دليل ANSSI "إتقان أمان ICS" الإنجيل الفني. يحتوي هذا المستند على 42 إجراءً أمنيًا محددًا تتراوح من الحوكمة التنظيمية إلى حماية الأجهزة المادية.

• التكامل بين NIS2 وLPM: بينما يوسع NIS2 النطاق إلى مزيد من القطاعات (مثل الغذاء وإدارة النفايات)، لا يزال LPM يفرض متطلبات أشد صرامة على "المشغلين ذوي الأهمية الحيوية" (OIVs)، بما في ذلك الاستخدام الإلزامي للمنتجات الأمنية المؤهلة.

كيفية الامتثال من خلال تقييم شامل للمخاطر

الامتثال ليس تساؤلاً يتم مرة واحدة فقط. بدلاً من ذلك، هو عملية متكررة مدفوعة بمنهجية EBIOS RM ومستنيرة بدليل ANSSI "إتقان أمان ICS". يجب أن يتبع تقييم فعال خمس ورش عمل متميزة بالترتيب التالي:

• النطاق والحوكمة: حدد المحيط الصناعي (مثل خط إنتاج معين أو شبكة كهرباء) وحدد "الأحداث المخيفة" (انقطاع شامل أو تسرب كيميائي).

• مصادر الخطر: حدد من قد يستهدفك. هل هو تجسس برعاية دولة، عصابة برمجيات فدية، مورد، أم شخص داخلي غير راضٍ؟

• السيناريوهات الاستراتيجية ومسارات الهجوم: تعيين مسارات الهجوم من خلال نظامك البيئي. كيف ينتقل المهاجم من بريدك الإلكتروني في تكنولوجيا المعلومات إلى وحدتك القابلة للبرمجة (PLC)؟

• السيناريوهات التشغيلية: احصل على التفاصيل الفنية. حدد نقاط الضعف المحددة في بروتوكولات OT الخاصة بك (Modbus, OPC-UA) التي تسمح بحدوث السيناريوهات الاستراتيجية.

• علاج المخاطر: قرر أي المخاطر يمكن تخفيفها، أو نقلها، أو قبولها، مما يؤدي إلى خطة علاج المخاطر (RTP).

اختيار مقدم خدمات للمساعدة في التقييم

في فرنسا، ليست كل شركات الأمن السيبراني متساوية. لضمان الاعتراف بتقييمك من قبل ANSSI، يجب أن تعطي الأولوية لمقدمي خدمات التأهيل (PASSI) المدققين.

• "فيزا الأمان": ابحث عن فيزا الأمان من ANSSI. قد قام مقدم الخدمة المدقق الذي يحمل تأهيل PASSI بتقييم مدققيه ومنهجيته وإجراءاته لحماية البيانات من قبل الدولة.

• التخصص: تأكد أن مقدم الخدمة لديه تأهيل PASSI-LPM الخاص إذا كنت أحد مشغلي الأهمية الحيوية.

• خبرة OT: اطلب الخبرة في "ورشة العمل". يمكن أن يؤدي المدقق الذي يفهم مركز البيانات ولكن لا يفهم القيود الأمنية للفرن إلى توقف عملياتي أثناء المسح.

الالتزامات المبلغة على الشركات

الشفافية هي حجر الزاوية في البيئة التنظيمية لعام 2026. تمتلك الكيانات جداول زمنية صارمة لإبلاغ CERT-FR (الذراع التشغيلي لـ ANSSI):

• الحوادث الكبيرة: يجب الإبلاغ عنها خلال 24 ساعة (التحذير الأولي) و72 ساعة (التقرير المفصل).

• إخطار الثغرات الأمنية: بموجب LPM 2024-2030، يجب على موفري البرمجيات والأجهزة إخطار ANSSI بالثغرات الأمنية الكبيرة في منتجاتهم "دون تأخير".

• مسؤولية مجلس الإدارة: بموجب NIS2، تكون الهيئات الإدارية مسؤولية شخصية عن فشل الكيان في الامتثال لالتزامات إدارة المخاطر.

يجب أن يقوم التقييم بتقييم قدرة المؤسسة على الوفاء بهذه الالتزامات المبلغة.

العيوب التي يجب مراقبتها

• الخرافة "الفجوة الهوائية": الافتراض بأن OT لديك آمن لأنه ليس "متصلاً بالإنترنت". قد أزالت محركات الـ USB، وأجهزة الكمبيوتر المحمولة للتدبير من قبل الموردين، وأجهزة استشعار IIoT الفجوة الهوائية فعليًا.

• استخدام أدوات تكنولوجيا المعلومات في OT: قد تؤدي استخدامات الفاحصات الأمنية لتكنولوجيا المعلومات العنيفة إلى انهيار الوحدات القابلة للبرمجة القديمة. تأكد أن التقييم الخاص بك يستخدم المراقبة السلبية أو الفحص النشط الآمن للتكنولوجيا التشغيلية.

• الوثائق فقط: نهج الامتثال المستند إلى الوثائق سيخفق. تطلب ANSSI بشكل متزايد "الأدلة الحية" — سجلات فعلية وتكوينات نظام — بدلاً من السياسات الموقعة فقط.

قائمة التحقق القابلة للتنفيذ لتقييم مخاطر التكنولوجيا التشغيلية الموائمة لـ ANSSI ومصفوفة المسؤوليات

تنفيذ التوصيات وخارطة الطريق

بمجرد اكتمال التقييم، سيظل من المرجح أن لديك قائمة طويلة من الثغرات. لا تحاول إصلاح كل شيء دفعة واحدة. سيجهد ذلك موارد منظمتك ووقتها.

خارطة الطريق للامتثال على مدار 12 شهرًا:

• الأشهر 1-3: ركز على الحفاظ على النظافة. قم بتطبيق المصادقة المتعددة الأوجه للوصول عن بعد وقيّد استخدام وحدات USB.

• الأشهر 4-6: تقسيم الشبكة. اعزل شبكة LAN الصناعية عن شبكة LAN المكتبية باستخدام جدران نارية صناعية.

• الأشهر 7-9: المراقبة. نشر نظام كشف التسلل الصناعي (IIDS) للحصول على رؤية فورية.

• الأشهر 10-12: الاستجابة للحوادث. إجراء "تدريب عملي" لمحاكاة هجوم سيبراني مادي على بيئة OT الخاصة بك.

أخيرًا، توصي Shieldworkz بأن تعطي الأولوية للتوصيات التي تتعامل مع "السيناريوهات الاستراتيجية" المحددة في ورشة العمل 3 الخاصة بـ EBIOS RM الخاصة بك. تمثل هذه السيناريوهات أكثر المسارات احتمالية التي يمكن أن يتخذها المهاجم للتسبب في ضرر مادي أو إيقاف التشغيل.

بحاجة إلى مساعدة في متطلبات الامتثال الخاصة بـ ANSSI الخاصة بك؟ تحدث إلى خبرائنا.

لمزيد من المعلومات حول خدمات الامتثال لـ NIS2 الخاصة بنا.

تعرف قليلاً عن خدمات استجابة الحوادث من Shieldworkz

تحدث إلى خبير أمان خلال العطلات (نعم لدينا محترف أمني مخصص يعرف المزيد حول تحسين إجراءات الأمان الخاصة بك خلال الأوقات العجاف).

جرب منصتنا الأمنية OT هنا.