العام الذي بدأ فيه مدير المصنع بالحديث عن برمجيات فدية

الصفحة الرئيسية

مدونات

العام الذي بدأ فيه مدير المصنع بالحديث عن برمجيات فدية

اتجاهات أمن تكنولوجيا العمليات (OT Security)

برايوكت كيه في

8 مايو 2026

ما هي الاتجاهات التي تدفع بأمن التكنولوجيا التشغيلية (OT) في كل مكان في عام 2026.

في منشور المدونة اليوم، أتحدث عن كيف غيّرت الأشهر الأربعة الأولى من عام 2026 أمن التكنولوجيا التشغيلية (OT) إلى الأبد.

حتى قبل بضعة أشهر، كان هناك نوع محدد من المحادثات التي كانت تدور في المنشآت الصناعية في كل مكان. حيث كان المرء يدخل لإجراء تقييم للموقع ومعه كمبيوتر محمول ولوحة كتابة، ويسأل فريق الهندسة عن مخزون أنظمة التحكم لديهم، ويراقب كيف ينسحب الحضور في الغرفة بأدب من النقاش. لقد أجرى المهندسون محادثات مع مسؤولي أمن تكنولوجيا المعلومات من قبل. لقد تحملوا مناقشات جدران الحماية، وعروض برامج فحص الثغرات الأمنية، ومراجعات مخططات الشبكة التي لا تشبه على الإطلاق بيئة الإنتاج الفعلية التي يديرونها. وكانوا على استعداد للتعاون إلى حد كبير لأن الامتثال المؤسسي يتطلب ذلك وبمجرد الانتهاء، يعودون إلى العمل الذي يحافظ على تشغيل الأنوار، وتدفق المنتجات، وتشغيل العمليات بأمان. لقد نسي مهندسو التكنولوجيا التشغيلية (OT) هذه المحادثات برمتها.

لقد تغيرت تلك المحادثة الآن بشكل جذري.

قبل أن نمضي قدمًا، لا تنسوا تنزيل أحدث نسخة من تقريرنا حول مشهد تهديدات أمن التكنولوجيا التشغيلية (OT) من هنا.

قبل بضعة أشهر، كنت في منشأة نقل وتخزين الغاز الطبيعي كجزء من تقييم روتيني للبنية التحتية. وقبل أن أتمكن من بدء العملية، قام مدير المصنع -وهو شخص قضى ثلاثة وعشرين عامًا في هذا المنصب ويعرف كل صمام وضاغط في ذلك الموقع من صوته- بفتح مقال إخباري على هاتفه حول هجوم سيبراني صناعي في قطاع آخر. وضع الهاتف على الطاولة وسأل بهدوء: "كم من الوقت يستغرق استرداد وحدة تحكم منطقي قابل للبرمجة (PLC) إذا قام شخص ما بمسح البرامج الثابتة (Firmware)؟"

لم يسأل "هل نحن ممتثلون لتفويضات الامتثال الخاصة بنا". ولم يسأل "هل يحتوي نظام الاسكادا (SCADA) لدينا على برنامج مكافحة الفيروسات". أو حتى "إلى متى ستظل هنا". لقد أراد معرفة وقت التعافي، لأنه أدرك أن هذه مشكلة إنتاج أولاً ومشكله أمن سيبراني ثانياً.

وتشير مثل هذه الأسئلة إلى مدى التغير الكبير الذي طرأ على المشهد.

لقد ترك عصر الامتثال ثغرات أمنية غائبة نواصل دفع ثمنها حتى الآن

لفهم أين نحن الآن، يتعين عليك أن تفهم كيف وصلنا إلى هنا. فعلى مدى ما يقرب من عقدين من الزمن، كان أمن التكنولوجيا التشغيلية (OT) مدفوعًا إلى حد كبير بالامتثال التنظيمي. مثل معايير NERC CIP في قطاع الكهرباء. ومعايير CFATS في قطاع المواد الكيميائية. ومختلف معايير API و ISO في قطاع النفط والغاز. لقد قامت هذه الأطر بعمل هام؛ حيث أجبرت المؤسسات على بناء قوائم جرد للأجهزة، وتحديد ضوابط الوصول، والتفكير في الحدود الأمنية الإلكترونية. وبدونها، لكان خط الأساس الأمني أدنى بكثير مما هو عليه اليوم.

ولكن أطر الامتثال تنطوي على قيود هيكلية جوهرية وأصيلة، فهي تحدد الحد الأدنى للقبول وليس الحد الأقصى للمستهدف. وفي أمن التكنولوجيا التشغيلية (OT)، كان يُخلط في كثير من الأحيان بين الحد الأدنى والحد الأقصى.

كانت المؤسسة التي تستوفي كل متطلبات تدقيق NERC CIP تُعتبر آمنة وفقاً لتعريف الإطار نفسه. ولكن معيار NERC CIP CIP-007 يسأل عما إذا كنت تعرف المنافذ والخدمات الممكّنة على مكونات نظام غساء السيبراني (BES Cyber System) الخاص بك. ولا يسأل عما إذا كان بإمكان جهة تهديد لديها بيانات اعتماد وصول عن بعد صالحة ومعرفة بطوبولوجيا شبكتك (ربما تم جمعها باستخدام تقنيات GPT) الانتقال من شبكة المؤسسة الخاصة بك إلى نظام التحكم في التوربينات دون لمس أي جزء من الحدود المراقبة. وهذه الفجوة، بين الامتثال والمخاطر الفعلية، هي بالضبط المكان الذي ازدهرت فيه جهات التهديد دون اكتشافها لسنوات.

أصبح الهجوم على خط أنابيب كولونيال (Colonial Pipeline) في مايو 2021 نقطة التحول التي كان يخشاها القطاع الصناعي. لم تؤثر برامج الفديّة بشكل مباشر على التكنولوجيا التشغيلية لشركة كولونيال، بل كان الهجوم مقتصرًا في المقام الأول على شبكة تكنولوجيا المعلومات (IT). ولكن مشغلي كولونيال لم يتمكنوا من التأكيد بثقة على ما تأثر أو لم يتأثر في جانب التكنولوجيا التشغيلية (OT)، وفي مواجهة حالة عدم اليقين تلك، اتخذوا القرار الوحيد القابل للدفاع عنه المتاح لهم: لقد أوقفوا تشغيل 5500 ميل من خطوط الأنابيب. وتوقف ما يقرب من نصف إمدادات الوقود في الساحل الشرقي، ليس لأن التكنولوجيا التشغيلية قد تم اختراقها بشكل مؤكد، بل لأنه لم يكن بإمكان أحد التأكد من عدم اختراقها ولم يكن أحد يعرف الأنظمة التي تأثرت.

كانت حالة عدم اليقين تلك، أو على وجه التحديد هذا الافتقار الأساسي للرؤية المؤكدة، هي الثغرة الحقيقية. وقد كلفت أكثر بكثير من أي مبالغ لطلب الفدية.

حادث أمن التكنولوجيا التشغيلية (OT) هو أمر مختلف تمامًا

هذا هو الشيء الذي يكافح متخصصو أمن تكنولوجيا المعلومات (IT) أحيانًا لاستيعابه داخلياً حتى يشهدوا حادثة تكنولوجيا تشغيلية (OT) حقيقية. إن حدث أمن التكنولوجيا التشغيلية ليس مجرد خرق للبيانات ملحق به صالة إنتاج.

عندما يتعرض مستشفى لهجوم برامج الفدية، فإن العواقب المباشرة هي تعطل العمليات، والمخاطر المحتملة على سلامة المرضى، وفقدان البيانات. وكلها أمور خطيرة وتتطلب استجابة عاجلة. ومع ذلك، يمكن للمستشفى في كثير من الأحيان الالتفاف على المشكلة من خلال تنفيذ عمليات ورقية، وتوجيه المرضى إلى منشآت أخرى، واستعادة الأنظمة الحيوية من النسخ الاحتياطية النظيفة. ولكن هذه ليست خطوات سهلة، لا سيما في منتصف الأزمة عندما تكون نصف الفرق مقيدة بالفعل.

من ناحية أخرى، عندما يتلقى نظام الكلورة في منشأة لمعالجة المياه أمرًا غير مصرح به لتغيير معدلات التغذية الكيميائية، فلا يوجد بديل للالتفاف حول المشكلة. ولا يوجد تراجع تدريجي آمن. فالكيمياء هي المنتج، والفيزياء هي العملية.

عندما تم نشر برمجية تريتون (Triton) الخبيثة ضد أنظمة السلامة والأجهزة الوقائية في منشأة للبتروكيماويات في الشرق الأوسط في عام 2017، لم يكن المهاجمون يسعون وراء البيانات. ولم يكونوا يسعون وراء المال. بل كانوا يحاولون تعطيل خط الدفاع التلقائي الأخير للسلامة — وهو النظام المصمم خصيصًا لإيصال عملية خطرة إلى حالة آمنة عندما تفشل جميع عناصر التحكم الأخرى بقصد واضح للسماح للعملية بالاستمرار نحو نتيجة مادية كارثية. ولا يوجد مثيل لنموذج التهديد هذا في دليل قواعد أمن تكنولوجيا المعلومات.

ثم هناك هجوم نوتبيتيا (NotPetya). استهدف الهجوم الذي وقع في يونيو 2017، والذي نُسب على نطاق واسع إلى الاستخبارات العسكرية الروسية، البنية التحتية المالية الأوكرانية اسمياً. لكنه انتشر بشكل عشوائي عبر شبكات الشركات العالمية. حيث فقدت شركة ميرسك (Maersk)، وهي شركة شحن ولوجستيات، شبكتها العالمية بالكامل بما في ذلك الأنظمة التي تدير عمليات الموانئ في جميع أنحاء العالم. وقُدرت الأضرار التي لحقت بشركة ميرسك وحدها بنحو 300 مليون دولار. واكتشفت شركات ميرك (Merck) ومونديليز (Mondelez) وعشرات من الشركات المصنعة أن بيئاتها التشغيلية والبيئات الخاصة بمؤسساتها كانت أقل عزلة بكثير مما أظهرته مخططاتهم للبنية التحتية. لم يقم أحد بنمذجة نصف قطر الانفجار التدميري.

التطور الصامت: من وضوح الأصول إلى التفكير في مسار الهجوم

هنا نجد المجال قد نضج بالفعل بطريقة تستحق التقدير، وحيث يجري العمل الأكثر أهمية في الوقت الحالي.

لسنوات عديدة، كان الهدف المعلن لأمن شبكات التكنولوجيا التشغيلية (OT) هو رؤية الأصول ووضوحها. معرفة الأجهزة الموجودة على شبكتك. فهم البروتوكولات التي تتحدث بها. اكتشاف الانحرافات والأنشطة الشاذة بناءً على خط أساس سلوكي. كانت هذه هي القيمة الأساسية لكل عملية نشر لمراقبة التكنولوجيا التشغيلية غير النشطة، وكل منصة كشف واستجابة لشبكات الصناعية (NDR)، وكل مبادرة لاكتشاف الأصول. ويظل هذا العمل أساسياً وغير قابل للتفاوض، فلا يمكنك حماية ما لا تراه.

ولكن رؤية الأصول بمفردها هي مجرد معرفة سلبية. فهي تخبرك بما هو موجود، لكنها لا تخبرك بما سيفعله العدو بما هو موجود أو كيف سيستهدفه.

يطرح التفكير القائم على مسار الهجوم سؤالاً مختلفًا من الناحية الهيكلية: بالنظر إلى كل أصل تم اكتشافه، وكل اتصال شبكة تم رسمه، وكل ثغرة أمنية تم تحديدها، ما هو المسار الأكثر جدوى من نقطة الوصول الأولية إلى الهدف الأكثر خطورة وأهمية؟ ليس "هل لدي PLC على شبكتي؟" بل "إذا تمكن المهاجم من الوصول الأولي إلى خادم تدوين البيانات لخطوط الإنتاج (Historian)، فما هو تسلسل خطوات الحركة الجانبية، ومن خلال أي بروتوكول، وعبر أي علاقة ثقة، ومستغلاً أي نقطة ضعف في نظام المصادقة، والتي تؤدي من خادم تدوين البيانات هذا إلى وحدة التحكم في نظام الأجهزة والوقاية؟"

هذه ليست نمذجة نظريّة للتهديدات. إنها تصميم عملي للأمن التشغيلي، والجهات المعادية التي تستهدف البيئات الصناعية تمارس هذا الأمر بانضباط منذ سنوات.

تُظهر مجموعات التهديد المتخصصة في بيئات أنظمة التحكم الصناعية والتي يتم تتبعها وتصنيفها من قبل منظمات مثل Shieldworkz والوكالات الحكومية بما في ذلك وكالة الأمن السيبراني وأمن البنية التحتية (CISA) — في تكتيكاتها معرفة مسبقة وتفصيلية بهيكليات أهدافها. حيث احتوت برمجية Industroyer2 الخبيثة التي نُشرت ضد محطات توليد الكهرباء ذات الجهد العالي في أوكرانيا في أبريل 2022 على استهداف مبرمج ومشفر لاتصالات IEC 104 وهي بروتوكول أتمتة صناعي محدد مستخدم في أنظمة الطاقة. هذه القدرة لا تنبثق غامضة من مجموعة أدوات اختراق عامة، بل تعكس وجود جهات معادية درست البيئة المستهدفة، وفهمت بروتوكولاتها التشغيلية، وبنت هجومها حول مسار الهجوم الذي رسمته مسبقاً.

ووصفت تحذيرات CISA والمنشورات الحكومية المشتركة المتعلقة بـ Volt Typhoon طوال عام 2023 وحتى عام 2024 أمرًا مثيراً للقلق بنفس القدر ولكنه مختلف في طبيعته: جهة فاعلة ترعاها الدولة الصينية تقوم بعمليات استباقية ومدروسة طويلة الأجل داخل شبكات البنية التحتية الحيوية في الولايات المتحدة، واختارت على وجه التحديد تقنيات استخدام الأدوات المتاحة محلياً على الأنظمة (living-off-the-land) لتجنب توليد نوع من النشاط الشاذ الذي قد ترصده المراقبة التقليدية. لم يكن الهدف التخريب الفوري، بل كان التأسيس الهادئ لوصول مستمر ومتواصل — مسارات هجوم تظل كاحتياطي، ليتم تفعيلها في لحظة الخيار الاستراتيجي.

إذا كانت برامجك الأمنية موجهة أساساً حول تواقيع البرمجيات الخبيثة وانتهاكات السياسات، فلن تتمكن من اكتشاف هذه الفئة من التهديدات. أما إذا كان برنامجك يتضمن رؤية شاملة لأصول التكنولوجيا التشغيلية (OT)، وتحليلاً سلوكياً على مستوى البروتوكول، وفهماً دقيقاً ومرسوماً للأصول التي تمثل نقاط عبور حيوية وواعدة نحو تكنولوجيا التشغيل الأكثر أهمية وحيوية لديك، فستتوفر لديك قدرة حقيقية على اكتشاف ذلك والاستجابة له.

ما يتعين على مجالس الإدارة فهمه

لقد تغيرت المحادثات في غرف مجالس الإدارة، لكنها لم تتغير دائماً في الاتجاه الصحيح. حيث ظهر نمط جديد: يحضر التنفيذيون إيجازاً للأمن السيبراني، ويستوعبون الرسالة التي تفيد بأن هجمات التكنولوجيا التشغيلية هي هجمات حقيقية وذات عواقب وخيمة، ويغادرون بتفويض غامض بـ "القيام بشيء ما". ويتم تخصيص الميزانيات، وشراء منصات المراقبة، والاستعانة بالمستشارين. وبعد ثمانية عشر شهراً، تمتلك المؤسسة مخزون أصول مهيأ بشكل جيد، ولوحة معلومات ممتلئة بالبيانات، ولا يوجد لديهم أدنى فهم تشغيلي لكيفية التصرف في الساعة الثانية صباحاً من يوم السبت عندما تُطلق لوحة المعلومات تلك تنبيهاً حرجاً خطيراً.

والسؤال الصحيح لمجلس الإدارة ليس "هل لدينا برنامج لأمن التكنولوجيا التشغيلية؟" بل السؤال الصحيح هو: "إذا أصبح نظام التحكم في الضاغط الأساسي في أكبر منشآتنا غير متاح صباح الغد، فما هو وقت الوصول إلى الحالة الآمنة لدينا، وما هو تأثيرنا الإنتاجي لكل ساعة توقف، وكم من الوقت سنستغرق قبل العودة إلى العمليات الكاملة بثقة أكيدة في سلامة النظام ونزاهته؟"

إذا لم تتمكن القيادة الأمنية لديك من الإجابة على هذا السؤال على وجه التحديد، فيجب على مجلس الإدارة ألا يشعر بالارتياح. وإذا لم يسبق لفريق هندسة العمليات لديك مراجعة هذا السيناريو وبحثه في تمرين منظم ومحدد، فإن قدرتك على الاستجابة للحوادث بها فجوة لن يسدها أي شراء للتكنولوجيا.

ولقد فهم قطاع التأمين هذه الحسبة قبل أن يفهمها جزء كبير من مجتمع الأمن السيبراني. وبدأ مكتتبو التأمين السيبراني الذين يراجعون بيئات التكنولوجيا التشغيلية يتساءلون، بخصوصية تقنية متزايدة: ما هي بنية تجزئة وتقسيم الشبكات بين شبكة مؤسستك وشبكة التحكم من المستوى 2 (Level 2)؟ هل يمكن للمشغل بدء جلسة واجهة برمجية بين الإنسان والآلة (HMI) عن بعد من جهاز شخصي؟ ما هي عملية الاستعادة لتهيئة PLC بعد حدث تلف للبرامج الثابتة (Firmware)، وكم من الوقت يستغرق ذلك؟ هذه ليست أسئلة عامة حول الأمن السيبراني. هذه أسئلة حول أهداف وقت الاسترداد والتعافي للتحكم في العمليات المادية، وتحدد الإجابات بشكل مباشر نموذج المخاطر الاكتوارية، وبالتالي قيمة قسط التأمين المترتب عليها.

والمؤسسات التي تجيب على تلك الأسئلة بثقة ودقة هي التي قامت بالعمل الشاق والروتيني — وليس مجرد نشر التكنولوجيا، بل نمذجة العواقب وهندسة عمليات التعافي والاسترداد.

البعد الجيوسياسي الذي لا يمكن للممارسين تجاهله بعد الآن

أريد أن أتطرق إلى أمر يقاوم المجتمع التقني أحياناً الاعتراف به مباشرة: أمن التكنولوجيا التشغيلية (OT) هو الآن مبعث قلق صريح ومباشر للأمن القومي، والعمل كما لو كان هذا السياق لا ينتمي إلى نموذج التهديد الخاص بك هو خطأ مهني فادح.

الهجمات التي استهدفت البنية التحتية لتوزيع الطاقة في أوكرانيا في ديسمبر 2015 وديسمبر 2016 — والتي نُفذت باستخدام BlackEnergy ثم منصة Industroyer الأكثر تعقيداً بشكل ملحوظ — لم تكن حملات إجرامية. بل كانت عمليات عسكرية ضد البنية التحتية الحيوية المدنية، ومصممة للتسبب في عواقب مادية وبدنية على السكان المدنيين أثناء نزاع مسلح نشط. كما كانت الهجمات التي تلت ذلك في عام 2023 على مرافق المياه في الولايات المتحدة المنسوبة إلى جهات تابعة للحرس الثوري الإيراني — والتي استهدفت مرافق تشغل طرازات محددة من أجهزة Unitronics PLC وتركت رسائل مرئية على شاشات المشغلين — بمثابة عروض توضيحية مدروسة ومحسوبة بدقة. وكانت الرسالة واضحة: يمكن الوصول إلى هذه البنية التحتية، ونحن نعرف معداتكم، ونختار أن نريكم ذلك بدلاً من إيذائكم. وهذا ضبط النفس غير مضمون الاستمرار في ظل ظروف جيوسياسية مختلفة.

لقد استجابت الحكومات بضرورة ملحة غير عادية. حيث فرضت توجيهات أمن خطوط الأنابيب الصادرة عن إدارة أمن النقل (TSA) في أعقاب الهجوم على خط أنابيب كولونيال إمكانيات تجزئة الشبكات والمراقبة والاستجابة للحوادث لمشغلي خطوط الأنابيب بطريقة كان من المستحيل تصورها سياسياً قبل عقد من الزمن. ووسّع توجيه NIS2 الصادر عن الاتحاد الأوروبي التزامات الأمن السيبراني الإلزامية لتشمل مشغلي الخدمات الأساسية عبر قطاعات الطاقة والمياه والتصنيع والنقل بطرق تؤثر مباشرة على برامج أمن التكنولوجيا التشغيلية (OT). وأصبحت إرشادات أمن التكنولوجيا التشغيلية للقطاعات المختلفة الصادرة عن CISA أكثر تحديداً من الناحية التقنية بطريقة ملموسة مع كل نسخة جديدة.

هذه ليست أعباء بيروقراطية إضافية، بل هو اعتراف رسمي من الحكومات بأن القدرة التصنيعية، والبنية التحتية لتوصيل الطاقة، وإمدادات المياه هي أصول وطنية استراتيجية تُعتبر مرونتها وصمودها مسألة دفاعية وطنية بقدر ما هي مسألة استمرارية للأعمال.

بالنسبة للممارس والمهني في الميدان، فإن المعنى العملي لذلك هو: لم يعد من الممكن تحديد نموذج التهديد الخاص بك فقط من قِبل مجموعات برامج الفدية الإجرامية التي تسعى وراء عائد مالي. بل قد تكون ضمن حسابات الاستهداف لجهات ترعاها الدول ذات آفاق تشغيلية زمنية طويلة، وأهداف وصول دائم مستمر، واهتمام بالاحتفاظ بخيارات لإحداث اضطراب وتخريب مادي ملموس على نطاق وتوقيت من اختيارهم الاستراتيجي. ويجب بناء هيكليتك ومراقبتك ونمذجة مسارك للهجوم من أجل هذا الواقع — حتى ولو قضيت حياتك المهنية بأكملها وأنت تأمل ألا تحتاج إليه أبداً.

أين يجري العمل الحقيقي

لقد تحسنت التكنولوجيا بشكل كبير. وأصبح بإمكان منصات الكشف والاستجابة لشبكات التكنولوجيا التشغيلية الرائدة الآن القيام بأشياء كانت ستعتبر مذهلة قبل عقد من الزمن: فك تشفير البيانات السلبي ومحلي البروتوكول للاتصالات الصناعية عبر Modbus و DNP3 و EtherNet/IP و PROFINET و IEC 61850 و Siemens S7 وغيرها؛ واكتشاف الانحرافات والأنشطة السلوكية الشاذة التي تمت معايرتها وتكييفها مع دورات العمليات الصناعية وليس أنماط حركة مرور تكنولوجيا المعلومات (IT)؛ وربط ومطابقة الثغرات الأمنية بإصدارات برامج ثابتة محددة باستخدام تحذيرات ICS-CERT والنشرات الأمنية للشركات المصنعة؛ والتكامل والربط مع منصات مراكز العمليات الأمنية (SOC) التي تحمل سياق أهمية الأصول ودرجتها حتى يفهم المحلل الذي يتلقى التنبيه نوع الجهاز المعني والعواقب التي قد تترتب على حدوث واقعة على هذا الجهاز.

ليست المنصات هي المشكلة.

الفجوة تكمن في التطبيق العملي والتشغيل. فمستشعر مراقبة التكنولوجيا التشغيلية (OT) الذي ينشئ تنبيهاً لحركة مرور DNP3 شاذة في وحدة طرفية بعيدة (RTU) في الساعة الثانية صباحاً خلال عطلة نهاية الأسبوع لا يساعدك إذا لم يكن محلل مركز العمليات الأمنية (SOC) لديك يعرف ما هو DNP3، وإذا كان إجراء الاستجابة للحوادث يوصي بـ "التصعيد إلى أمن تكنولوجيا المعلومات"، وإذا لم يقم أحد برسم علاقة تلك الوحدة الطرفية بالعملية المادية التي تتحكم فيها، أو توثيق العواقب المترتبة على إصدار أمر غير مصرح به لها من الناحية التشغيلية.

والمؤسسات التي تحقق تقدماً حقيقياً ومستداماً هي تلك التي تقوم بالعمل الروتيني غير الجذاب. مثل عمليات الجولات الميدانية المادية المستمرة للتحقق من أن مخططات طوبولوجيا الشبكة تعكس ما هو موصل فعلياً بال كبلات في الميدان، لأنها لا تتطابق تقريباً على الإطلاق، خاصة بعد سنوات من التعديلات الإضافية المتراكمة. والتمارين والسيناريوهات المشتركة بين مهندسي أنظمة التحكم ومحللي الأمن لمراجعة وبحث نفس سيناريو الهجوم بناءً على قواعد معرفتهم المختلفة، واكتشاف مدى قلة ما يفهمه كل منهم عن عالم الآخر وذلك في بيئة منخفضة المخاطر والتبعات. ورسم مخطط لتحديد الأهمية والأولويات يمتد من مخططات الأنابيب والأجهزة (P&ID) ووثائق التصميم الهندسي وصولاً إلى المعلومات المتاحة لمحلل مركز العمليات الأمنية (SOC) حال حدوث تنبيه. وتوثيق إجراءات التعافي واختبارها — وليس توثيقها فحسب، بل اختبارها ماديًا وبدنيًا، لأنه ما من بديل لاكتشاف أن إجراء استعادة النسخ الاحتياطي لوحدة التحكم المنطقي القابل للبرمجة (PLC) يستغرق أربع ساعات بدلاً من خمس وأربعين دقيقة قبل أن تكون في خضم حادث نشط حقيقي.

هذا هو المكان الذي يكمن فيه الأمن الفعلي. ليس في المنصة، بل في الأشخاص الذين يفهمون العملية الصناعية والعدو على حد سواء جيداً وبما يكفي للتصرف بناءً على المعلومات التي تبرزها المنصة وتوفرها.

التحول النفسي والذهني

أعود إلى مدير المصنع الذي يحمل هاتفه. ثلاثة وعشرون عاماً في المنصب، مسؤول عن منشأة تعالج ملايين الأقدام المكعبة من الغاز الطبيعي يومياً، ويعرف معداته كما يعرف الجراح تشريح الجسد. ويسأل عن أوقات استرداد وتعافي PLC.

هذه المحادثة لم تحدث بسبب تثبيت مستشعر كشف واستجابة في الربع الأخير من العام. بل حدثت لأن سلسلة من الأحداث، بما في ذلك توقف خطوط الأنابيب التي تظهر في الأخبار الوطنية، وحوادث إمدادات المياه التي تتصدر الصفحات الأولى، وتوقف منشآت التصنيع التام نتيجة لإصابات بدأت في قسم المحاسبة، والتوجيهات الحكومية التي تصل مدعومة بآليات إنفاذ صارمة، وتجديدات التأمين التي تتطلب إجابات على أسئلة غير مريحة؛ تراكم كل ذلك بثقل كافٍ ليتلاشى التجريد النفسي لـ "المخاطر السيبرانية" في النهاية ويتحول إلى واقع تشغيلي ملموس يتمثل في: "عمليتي، ومعداتي، وموظفيّ، ومسؤوليتي".

وهذا التحول هو أكثر قيمة من الناحية الاستراتيجية من أي نشر للتكنولوجيا. يمكنك تثبيت منصة مراقبة التكنولوجيا التشغيلية (OT) الأكثر كفاءة والجاهزة في منشأة لا تفهم العمليات فيها سبب أهميتها، وسوف تنتج تنبيهات لا يتصرف أحد حيالها، ولوحات معلومات لا يقرأها أحد، وتقارير تظل في مجلد SharePoint حتى يحين موعد تدقيق الامتثال السنوي. ويمكنك امتلاك منشأة استوعب فيها الفريق الهندسي نموذج التهديد بصورة حقيقية وداخلية، وسيقومون بالتعويض عن عيوب ومحدودية التكنولوجيا، وتحديد الأنشطة الشاذة من خلال حدسهم بالعملية، واتخاذ قرارات أفضل تحت الضغط مما يمكن لأي أداة حثهم عليه.

إن دور ممارس ومسؤول الأمن في هذه البيئة ليس تقنياً بحتاً. بل هو عمل ترجمة وتجسير جوهري بين مجتمع معلومات التهديدات ومجتمع هندسة العمليات، وبين متطلبات الامتثال والمخاطر الفعلية الكامنة، وبين التنبيه الذي تصدره المنصة والقرار البشري الذي تحتاج إلى دعمه.

إن مدير المصنع الذي يسأل عن أوقات استرداد وتعافي PLC ليس تحدياً إدارياً يتعين التعامل معه وإدارته، بل هو قدرة وإمكانية أمنية يجب تطويرها والبناء عليها.

في عام 2026 وما بعده، احرصوا على رعاية وتوفير المزيد منهم.

هل أنت مستعد لتقييمات أمن التكنولوجيا التشغيلية (OT) القائمة على الأدوات؟ تحدث معنا الآن.