لماذا يعتبر معيار NERC CIP-015-1 لأمن الشبكات الداخلية ضرورة للدفاع عن أنظمة التحكم الصناعي (ICS)

تشهد الساحة التهديدية لنظام الطاقة الكهربائية الشامل في أمريكا الشمالية (BES) تطورًا مع ظهور مزيج جديد من التهديدات والمخاطر. مع زيادة قدرة الخصوم على تجاوز الدفاعات التقليدية للمحيط الخارجي للتحرك داخليًا داخل الشبكات الحيوية، أصبحت التهديدات الآن أكثر قوة وتهديدًا من أي وقت مضى. بالإضافة إلى التعطيل، فإن إمكانية بقاء الجهات الفاعلة التهديدية على الشبكات المرتبطة بالمنظومة تشكل تهديدًا طويل الأجل يحتاج إلى معالجة سريعة. 

استجاب المجلس الأمريكي الشمالي لاعتمادية الكهرباء (NERC) لتلك التحديات بإطلاق معيار جديد محوري: CIP-015-1 - مراقبة أمان الشبكات الداخلية (INSM). لا يمثل المعيار الجديد مجرد عرض للامتثال، بل يمثل تحولًا جذريًا في الأمن الصناعي لأنظمة التحكم من خلال توفير رؤية عميقة ومستمرة عبر منطقة الثقة.

لا تنسَ مراجعة منشور المدونة السابق حول "كيفية تحقيق أمن حقيقي للخدمات التشغيلية مع تقييم المخاطر IEC 62443" هنا.

ما وراء المحيط: فهم الغرض من معيار CIP-015-1

تاريخياً، ركزت معايير NERC CIP بشكل كبير على تأمين المحيط الأمني الإلكتروني (ESP). كان ذلك في الأساس استنباطًا لإجراءات الأمان المادي المعتمد على التحكم في الوصول. كان الفهم السائد أن جميع التهديدات تنشأ من الخارج وإذا كانت الأسوار قوية، فلن يتمكن شيء من الدخول.   

بينما كان هذا متناسبًا بشكل عام مع الطيف التهديدي السائد في ذلك الوقت، فإنه ترك نقطة عمياء: ما الذي يحدث بمجرد أن يقتحم المهاجم الدفاع الأولي ويتمكن من التسلل إلى الداخل؟ يمكن للمهاجم الذي تمكن من الوصول إلى داخل الشبكة أن يتحرك بشكل جانبي (يعرف باسم حركة "شرق-غرب") لإصابة الأصول التكنولوجية التشغيلية الحيوية (OT). يمكن أيضًا للمهاجم الدخول بمساعدة حليف داخل الشبكة. 

الهدف الأساسي من CIP-015-1 هو زيادة احتمالية اكتشاف النشاط الشبكي غير المعتاد أو غير المصرح به داخل ESP بشكل كبير، مما يسهل الاستجابة السريعة والدقيقة والتعافي من الهجوم.

لماذا تعتبر المراقبة الداخلية أساسية:

• اكتشاف الحركة الجانبية: غالبًا ما يستخدم المهاجمون بيانات الاعتماد الصالحة (المسروقة) جنبًا إلى جنب مع البروتوكولات العادية للتحرك داخل الشبكة، متجاوزين الدفاعات المحيطة القائمة على التوقيع. صُممت INSM لاكتشاف هذه السلوكيات غير المألوفة في وقت مبكر من دورة حياة الهجوم.

• الاكتشاف المبكر للهجمات: كلما تم اكتشاف الاختراق الداخلي بشكل أسرع، قل الضرر الذي يمكن أن يلحقه الخصم بالوظائف الحيوية. تمكّن INSM من الاكتشاف المبكر ضمن دورة حياة الهجوم.

• الحصول على بيانات للتحليلات الجنائية: جمع وتنظيم والاحتفاظ ببيانات الشبكة الداخلية ضروري لفهم نطاق وطريقة ومدة الهجوم، مما يحسن بشكل كبير استجابة الحوادث والتحليلات الجنائية. كما أن هذا ضروري أيضًا من وجهة نظر تقارير الامتثال.

المتطلبات القابلة للتطبيق: ماذا يمكن للكيانات أن تفعل؟

يُلزم CIP-015-1 بعملية موثوقة وموثقة لمراقبة أمان الشبكات الداخلية لأنظمة BES السيبرانية ذات التأثير العالي (مع أو بدون اتصال خارجي قابل للتوجيه) وأنظمة BES السيبرانية ذات التأثير المتوسط واتصال خارجي قابل للتوجيه.

يمكن تقسيم المتطلبات إلى ثلاث مجالات رئيسية:

مراقبة أمن الشبكات (المتطلب 1)

هذا هو محور المعيار ويتطلب نهجًا استباقيًا قائمًا على المخاطر للمراقبة.

• R1.1: تنفيذ تغذية بيانات الشبكة: يجب على الكيانات استخدام مبرر قائم على المخاطر لاختيار وتنفيذ تغذية بيانات الشبكة التي تراقب النشاط الشبكي بفاعلية، بما في ذلك الاتصالات والأجهزة والاتصالات. وهذا يعني وضع أجهزة الاستشعار بشكل استراتيجي للحصول على الرؤية الصحيحة في حركة ومنافذ الاتصال للتكنولوجيا التشغيلية الرئيسية.

• R1.2: اكتشاف النشاط غير العادي: تنفيذ طريقة أو أكثر لاكتشاف النشاط الشبكي غير العادي باستخدام تغذيات البيانات المجمعة. يتطلب هذا وضع خط أساس للسلوك "الطبيعي" للشبكة - فهم ما ينبغي أن تبدو عليه بيئتك التشغيلية لتحديد الانحرافات بفاعلية.

• R1.3: تقييم النشاط غير العادي: تحديد طرق لتقييم النشاط الشبكي غير العادي المكتشف لتحديد الاستجابة الضرورية أو الإجراءات الإضافية، وضمان التصعيد المناسب عند تحديد تهديد حقيقي.

الاحتفاظ بالبيانات (المتطلب 2)

• R2: الاحتفاظ ببيانات INSM: يجب عليك تحديد وتنفيذ عمليات الاحتفاظ ببيانات INSM المرتبطة بالنشاط الشبكي غير العادي لمدة كافية لإكمال عملية التقييم (R1.3). يضمن ذلك ألا تفقد الأدلة الحيوية قبل اختتام التحقيق.

حماية البيانات (المتطلب 3)

• R3: حماية بيانات INSM: يجب أن تكون هناك عمليات لحماية بيانات INSM (المجمعة والمحتفظ بها) من الحذف أو التعديل غير المصرح به. تعتبر البيانات بحد ذاتها مصدرًا حيويًا للأمن والامتثال ويجب حمايتها من التلاعب.

خطوات رئيسية موصى بها للامتثال وتعزيز الدفاع

يشكل تحقيق CIP-015-1 فرصة لتحسين وضع الأمان في مؤسستك بشكل كبير. إليك خطوات تنفيذية للانتقال من الامتثال إلى الاستقرار:

النظر إلى الأمام نحو CIP-015-2

من المهم ملاحظة أن NERC قد وجهت بالفعل من قبل FERC لتطوير تعديلات لاحقة (قد تكون CIP-015-2) لتوسيع نطاق INSM. من المتوقع أن يمتد المعيار التالي في هذه السلسلة ليشمل أنظمة تابعة خارج ESP، وتحديدًا أنظمة التحكم في الوصول الإلكتروني أو الأنظمة المراقبة (EACMS) وأنظمة التحكم في الوصول المادي (PACS).

يجب أن تأخذ المرافق العامة في الاعتبار هذا التوسع المستقبلي في تخطيطها الآن، حيث أن الهدف هو منهج مراقبة داخلية شاملة تغطي جميع نقاط الدخول والوصول إلى بيئة CIP المربوطة بشبكة.

من خلال التنفيذ المبكر وإدارة برنامج INSM قوي تحت NERC CIP-015-1، فإن خدمات الطاقة الكهربائية لا تفي فقط بمتطلبات تنظيمية، ولكنها تبني طبقة دفاع حيوية لا غنى عنها للحفاظ على استقرار وموثوقية نظام الطاقة الشامل.

لتعلم المزيد عن NERC CIP-015-1، تحدث إلى خبير CIP في NERC.