الأمن السيبراني لتكنولوجيا العمليات (OT) · تقييم المخاطر · الامتثال المدعوم بالذكاء الاصطناعي

إن الطريقة التي تُدار بها تقييمات الأمن السيبراني الصناعي اليوم صُممت قبل وجود أتمتة تقييم المخاطر المستندة إلى الأدوات. ويظهر هذه الفجوة بوضوح في كل مشروع. وإليك ما يجب أن يتغير.

اسأل أي ممارس لأمن تكنولوجيا العمليات (OT) عن الجزء الأكثر صعوبة في عملهم، وفي أغلب الأحيان، لن تكون الإجابة "العثور على الثغرات الأمنية"، بل سيقولون "التقييم"؛ وذلك بسبب أسابيع ملاحقة الوثائق، وتفسير الاستشاريين لبند واحد في الإطار بثلاث طرق مختلفة، والتقرير المكون من 200 صفحة الذي يصل بعد ستة أسابيع من زيارة الموقع ويكون قد عفا عليه الزمن جزئياً بالفعل وقت وصوله إلى صندوق البريد الوارد.

هذه ليست مشكلة مهارات، بل هي مشكلة عملية تكمن جذورها في حقيقة أن الأسلوب السائد لإجراء تقييمات مخاطر تكنولوجيا العمليات صُمم في عالم يخلو من النماذج اللغوية الكبيرة، والذكاء الاصطناعي القادر على فهم المستندات، والمنصات القادرة على القيام بالمهام التحليلية الشاقة في الخلفية بينما يركز فريقك على القرارات التي لا يستطيع أحد سواهم اتخاذها.

هذا العالم لم يعد موجوداً، ومع ذلك، لا تزال معظم التقييمات تُجرى وكأنه لا يزال قائماً.

التكلفة الحقيقية لكيفية سير التقييمات اليوم

تشترك تقييمات مخاطر تكنولوجيا العمليات التقليدية، سواء أُجريت داخلياً أو بواسطة شركة استشارية، في مجموعة متوقعة من العيوب الهيكلية. هذه ليست حالات استثنائية أو علامات على مشروع ضعيف، بل هي عيوب متأصلة في المنهجية نفسها.

تستغرق أسابيع وليس أياماً

يستغرق التقييم المعياري للفجوات المتوافق مع معيار IEC 62443 لموقع صناعي متوسط الحجم عادةً ما بين أسبوعين إلى أربعة أسابيع من انطلاق المشروع وحتى التقرير النهائي. ولا يستحوذ التحليل التخصصي على هذا الجدول الزمني، بل تستحوذ عليه عقبات العملية مثل: جدولة المقابلات، وجمع الوثائق، وانتظار ردود أصحاب الأصول، وربط الأدلة يدوياً بمتطلبات الإطار، والتواصل المستمر لاستيضاح النطاق. أما التحليل الفعلي الذي لا يمكن لغير الخبير القيام به فلا يمثل سوى جزء بسيط من هذا الوقت.

الحقيقة المزعجة: في معظم التقييمات التقليدية، يُستهلك ما يقرب من 70-80% من الوقت المستغرق في جمع المستندات وربط الأدلة وتنسيق التقارير، وليس في التقييم التخصصي الذي تدفع من أجله بالفعل.

الأدلة مبعثرة بشكل دائم

تتراكم الوثائق في البيئات الصناعية كما تتراكم الرواسب في الأنهار. وتوجد مخططات الشبكة في نظام SharePoint الخاص بأحد الفرق، بينما يُحتفظ بسجلات الأصول في جداول بيانات بواسطة مهندس موقع قد يكون من الصعب الوصول إليه هذا الشهر. كما توجد ملفات الإعدادات على الكمبيوتر المحمول الخاص باستشاري من مشروع عام 2019، وتوجد السياسات في نظام إدارة أمن المعلومات (ISMS) الذي يديره فريق آخر في بلد آخر.

يبدأ كل تقييم بنفس عملية التنقيب الأثرية. ويبني كل فريق تقييم خريطة مختلفة قليلاً لنفس التضاريس، لأنه لم يسبق لأحد أن جمع الصورة الكاملة في مكان واحد حتى الآن.

النتائج لا يمكن مقارنتها بشكل مفيد

ربما يكون هذا هو الفشل الأقل مناقشة ولكنه الأكثر ضرراً في التقييمات التقليدية. فعندما يفسر مقيمون مختلفون، أو حتى نفس المقيم في أوقات مختلفة، متطلبات الإطار بدرجات متفاوتة من الصرامة، تصبح الدرجات الناتجة غير قابلة للمقارنة. قد تعيد تقييم موقع ما بعد ستة أشهر من معالجة فجوة كبيرة وتحصل على درجة أقل من ذي قبل، ليس لأن الأمن قد تراجع، بل لأن المقيم الثاني طبق تفسيراً أكثر صرامة لـ "الإجراءات الموثقة".

إذا كان من الممكن تحسين وضعك الأمني بمقدار 15 نقطة بمجرد تغيير جهة التقييم بدلاً من تغيير الضوابط الأمنية لديك، فإن منهجية القياس الخاصة بك معطلة تماماً.

فجوة الخبرة هيكلية وليست عرضية

هناك ندرة حقيقية في مقيمي أمن تكنولوجيا العمليات المؤهلين. فالجمع بين المعرفة بالعمليات الصناعية، وخبرة أمن أنظمة التحكم الصناعي (ICS)، وإتقان الأطر الذي يتطلبه التقييم القوي يستغرق سنوات لتطويره. ويخلق هذا عقبة يصعب معالجتها مع التوسع: المزيد من المواقع لتقييمها، والمزيد من دورات الامتثال لتشغيلها، ولكن دون نمو متناسب في القدرات البشرية المؤهلة. النموذج الحالي لا يتوسع ولم يكن كذلك أبداً.

الامتثال في لحظة زمنية معينة يمنح شعوراً زائفاً بالأمان

أكثر المشاكل خطورة في التقييمات التقليدية هي طبيعتها المؤقتة. فالتقييم المكتمل هو لقطة للحظة مرت بالفعل. وتتغير بيئات تكنولوجيا العمليات باستمرار، مثل تحديثات البرامج الثابتة، والاتصالات الجديدة مع الموردين، وانحراف الإعدادات، وتغييرات بنية الشبكة بعد أعمال الصيانة. إن النتيجة التي تم وضع علامة "تمت معالجتها" عليها في مارس قد تكون قد تراجعت بصمت بحلول يوليو. وبدون آلية تقييم مستمرة أو سهلة التكرار، فلن تطمئن لمعرفة الحقيقة.

إليك OThello Assess: كيف يبدو تقييم المخاطر المدعوم بالذكاء الاصطناعي فعلياً

OThello Assess من Shieldworkz هي منصة لتقييم المخاطر مدعومة بالذكاء الاصطناعي صُممت خصيصاً لبيئات تكنولوجيا العمليات الصناعية (OT). ووعدها الأساسي دقيق وقابل للقياس: ضغط دورة تقييم كاملة متوافقة مع معيار IEC 62443 إلى أقل من 24 ساعة، مع حوالي 85 دقيقة فقط من إجمالي الوقت البشري في العملية، دون التضحية بالتقييم التخصصي الذي يجعل التقييم موثوقاً.

وتحقق المنصة ذلك من خلال OneIQ، محرك الذاء الاصطناعي للمنصة، والذي يتولى عبء العمل التحليلي واستخراج الأدلة الذي يستحوذ على الجداول الزمنية للتقييم التقليدي، تاركاً لفريقك تقديم ما لا يمكن لغيرهم توفيره: معرفة بيئتهم، وقرارات تحمل المخاطر، والسياق التشغيلي الذي لا يمكن لأي ذكاء اصطناعي محاكاته.

أقل من 24 ساعة: دورة تقييم كاملة، بدءاً من تحميل المستندات وحتى الحصول على تقرير جاهز للتدقيق

حوالي 85 دقيقة: من إجمالي الوقت البشري المطلوب طوال العملية بأكملها

أكثر من 7 معايير مغطاة: IEC 62443، وNIS2، وNERC CIP، وOTCC، وCENELEC TS 50701

كيف يعمل ذلك في الممارسة العملية: خمس خطوات، ثلاث منها عليك

1.     إعداد المشروع وتحميل المستندات

قم بتسمية نظامك الخاضع للتقييم، واختر معيار الامتثال الخاص بك، وحمّل وثائقك. يبدأ OneIQ في الاستخراج على الفور؛ قوائم الأصول، وبنية الشبكة، والضوابط الحالية، وبيانات الإعدادات، وكل ذلك من المستندات المتوفرة لديك بالفعل.

حوالي 5 دقائق من المدخلات البشرية

2.     مراجعة تقييم المخاطر الأولي

يعمل OneIQ على بناء مسودة تقييم كاملة من مستنداتك: سجل الأصول، والتهديدات والثغرات الأمنية المحددة، وتحليل العواقب، وتحديد الأصول الأكثر أهمية (Crown Jewels)، وصورة أولية للفجوات مقارنة بالمعيار الذي اخترته. تقوم بالمراجعة والتأكيد والتصحيح عند الحاجة.

حوالي 25 دقيقة من المدخلات البشرية

3.     إعداد إطار عمل المخاطر وتأكيد المناطق

حدد مصفوفة المخاطر الخاصة بك. وقم بتأكيد المناطق والقنوات التي صاغها OneIQ من وثائقك. وأجب عن 10 إلى 20 سؤالاً خاصاً بكل منطقة. وعيّن مستويات الأمان المستهدفة لكل منطقة. هذا هو المكان الذي يشكل فيه تقديرك التشغيلي منهجية التقييم.

حوالي 25 دقيقة من المدخلات البشرية

4.     تقييم الضوابط وإبراز الفجوات المهمة

يولد OneIQ متطلبات خاصة بكل منطقة. وتقوم أنت بتقييم ضوابطك الحالية مقارنة بها. وتوضح المنصة مستوى الأمان المحقق مقابل المستهدف، مع ترتيب الفجوات حسب شدتها وربطها بالإجراءات التصحيحية المطلوبة. هذا هو العمل الجوهري، ويستغرق 30 دقيقة وليس ثلاثة أسابيع.

حوالي 30 دقيقة من المدخلات البشرية · الخطوة ذات القيمة الأعلى

5.     استلام تقريرك الجاهز للتدقيق

ملخص تنفيذي، ونطاق النظام، وخريطة حرارية لمستوى الأمان عبر جميع المناطق، وقائمة الفجوات حسب الشدة، والضوابط الموصى بها، وخطة معالجة، مع الاستشهاد بكل نتيجة عُثر عليها من المستندات المصدرية. جاهز لتدقيقك التالي قبل أن تبدأ دورة تقييمك السابقة.

يتم إنشاؤه تلقائياً · في أقل من 24 ساعة من التحميل

من الجدير بالذكر التأكيد على الرؤية الهيكلية الرئيسية هنا: لا تحاول OThello استبدال التقييم البشري المتخصص، بل تُزيل العمل غير التخصصي الذي كان يعوق دائماً إجراء التقييم المتخصص بفعالية. لا يزال فريقك يتخذ كل قرار مهم يتعلق بالمخاطر، بينما يقوم OneIQ ببساطة بإلغاء أسابيع العمل التمهيدي التي سبقت تلك القرارات في النموذج القديم.

OThello Assess مقابل النهج التقليدي: مقارنة مباشرة

يظهر التباين بين منهجية التقييم المدعومة بالذكاء الاصطناعي والمنهجية التقليدية بشكل أكثر وضوحاً عند استعراضهما جنباً إلى جنب.

التقييم التقليدي

• من أسبوعين إلى 4 أسابيع من انطلاق المشروع إلى التقرير النهائي

• البحث اليدوي عن الأدلة عبر الأنظمة المنعزلة

• اختلاف في النتائج عبر المواقع والجداول الزمنية

• كثيف الاستهلاك للموارد والوقت

• تختلف المنهجية باختلاف المقيم والمشروع

• النتائج غير قابلة للمقارنة عبر الدورات أو المواقع

• لقطة لحظية في وقت معين؛ لا يوجد كشف للانحراف

• يُستهلك وقت الخبراء في العمل الإداري

• يصل التقرير بعد أسابيع من تغير ظروف الموقع

OThello Assess

• أقل من 24 ساعة من تحميل المستندات إلى التقرير

• الامتثال لمعايير IEC 62443، وNIST CSF، وNIS2، وOTCC ومتطلبات الامتثال الإقليمية

• يقوم الذكاء الاصطناعي باستيعاب وربط جميع الوثائق تلقائياً

• التعمق في تفاصيل نتائج التقييم

• تطبيق نفس منهجية OneIQ في كل مرة

• مقارنة الدرجات بشكل حقيقي عبر الدورات والمواقع

• إعادة التقييم بعد المعالجة، وتتبع الانحراف باستمرار

• يتوسع عبر كامل نطاق تكنولوجيا العمليات دون تكلفة خطية متزايدة

• يُخصص جهد الخبراء للتقييم واتخاذ القرارات

• تقرير جاهز للتدقيق مع الاستشهاد بمصدر كل نتيجة يتم التوصل إليها

تُعد فجوة الأداء في الجدول الزمني وحده أمراً مذهلاً. ولكن الاختلاف الأكثر أهمية من الناحية الاستراتيجية هو قابلية المقارنة. فعندما تُطبق نفس المنهجية باتساق وثبات (نفس تفسير الإطار، ونفس منطق استخراج الأدلة، ونفس نموذج تسجيل الدرجات)، فإنك تحصل على شيء لم تكن التقييمات التقليدية قادرة على تقديمه أبداً: مؤشر ذو مغزى حقيقي حول ما إذا كان وضعك الأمني يتحسن أم يتراجع أم يحافظ على استقراره.

تغطية معايير متعددة دون أعباء إضافية لمشاريع متعددة

بالنسبة للمؤسسات التي تعمل عبر نطاقات تنظيمية متعددة (وهو أمر شائع بشكل متزايد للشركات الصناعية التي تمتلك عمليات أوروبية، والتزامات البنية التحتية الحيوية في الولايات المتحدة، ومتطلبات الامتثال في منطقة الخليج)، تتضاعف التقييمات التقليدية بما يتناسب مع المعايير المعنية. تقييم واحد لكل معيار، وجدول زمني واحد لكل تقييم، وفريق استشاري واحد لكل مشروع.

يغطي OThello Assess خمسة معايير في دورة تقييم واحدة:

IEC 62443 وتوجيه NIS2 وNERC CIP وOTCC (المملكة العربية السعودية) وCENELEC TS 50701

تغطية امتثال لمعايير متعددة من مجموعة أدلة واحدة، وعملية تحميل واحدة، ودورة تقييم واحدة. بالنسبة للمؤسسات التي تدير برامج امتثال متوازية (خاصة تلك التي توائم توجيه NIS2 مع برنامج IEC 62443 الحالي)، يمثل هذا كسباً كبيراً في كفاءة العمليات يتضاعف مع كل دورة إعادة تقييم.

أهمية التقييم المستمر مقارنة بالامتثال الدوري

من أكثر قدرات OThello Assess التي لا تحظى بالتقدير الكافي هو ما يحدث بعد التقييم الأول. تُنتج التقييمات التقليدية تقريراً يذهب إلى جدول بيانات لتتبع النتائج ويتمت مراجعته في الدورة السنوية التالية. إن الفجوة بين التقييم وإعادة التقييم هي نقطة عمياء تميل خلالها الإعدادات إلى الانحراف، وتظهر أصول جديدة، ويُزعم اكتمال المعالجات دون تحقق مستقل.

تغير OThello هذه المعادلة تماماً. ونظراً لأن دورة التقييم تستغرق أقل من 24 ساعة وتتطلب 85 دقيقة فقط من المدخلات البشرية، تصبح إعادة التقييم بعد المعالجة أمراً عملياً وليس مجرد طموح. ويصبح سير العمل مستمراً بشكل حقيقي:

التقييم المرجعي

حدد مستوى الأمان الأولي الخاص بك عبر جميع المناطق. واعرف أين تقف، وأين تكمن الفجوات، وما الذي يجب أن يتغير أولاً.

المعالجة

عالج الفجوات ذات الأولوية. وحدّث الوثائق، وطبق الضوابط، وأغلق ملف النتائج. اعتمد على خطة المعالجة الناتجة عن الذكاء الاصطناعي من تقريرك المرجعي.

إعادة التقييم

شغّل OThello Assess مرة أخرى. بنفس المنهجية ونفس الإطار. إن الفرق بين نتيجتك المرجعية والنتيجة الحالية هو أمر حقيقي، وموثق، وموثوق، وليس ناتجاً عن تفسير مقيم آخر.

تتبع الانحراف

تتتبع OThello ما تحسن، وما تراجع، وما ظل ثابتاً عبر الدورات. تتغير البيئات، مثل تحديثات البرامج الثابتة، والاتصالات الجديدة مع الموردين، وتغييرات الإعدادات بعد أعمال الصيانة. إن الرؤية المستمرة تعني عدم وجود المزيد من النقاط العمياء بين المشاريع السنوية.

يؤدي هذا إلى تحويل امتثال أمن تكنولوجيا العمليات من التزام دوري إلى قدرة تشغيلية مستمرة، وهو أمر متوقع بشكل متزايد من قبل الهيئات التنظيمية بموجب توجيه NIS2 وأطر العمل مثل IEC 62443 من المشغلين الصناعيين.

لماذا تحتاج الشركات إلى إجراء هذا التحول الآن

إن مبررات اعتماد التقييم المدعوم بالذكاء الاصطناعي لا تتعلق بالكفاءة فحسب، بل تعكس أيضاً التغييرات الهيكلية في بيئة التهديدات والمشهد التنظيمي التي تجعل النموذج التقليدي غير كافٍ لما نحن عليه في عام 2026 وما بعده.

تغيرت وتيرة التهديدات

تتحرك الجهات الفاعلة في التهديدات التي تستهدف تكنولوجيا العمليات بشكل أسرع من دورات التقييم السنوية. ويمكن أن تتجاوز فترات بقاء الخصوم في البيئات الصناعية 12 شهراً. إن إجراء التقييم مرة واحدة في السنة ليس مراقبة، بل هو كشف أثري.

الجهات التنظيمية ترفع من سقف التوقعات

تتوقع متطلبات توجيه NIS2 وNERC CIP والمتطلبات الناشئة الخاصة بقطاعات معينة بشكل متزايد وجود أدلة على التحسين المستمر، وليس مجرد لقطات امتثال دورية. والوثائق التي تولدها OThello، مع الاستشهاد بمصدر كل نتيجة، هي ما يريد المدققون رؤيته.

البرامج متعددة المواقع لا تتوسع بشكل جيد

يُعد إجراء التقييمات التقليدية عبر 10 أو 20 أو 50 موقعاً صناعياً تحدياً لوجستياً يفشل في معظم البرامج. وتجعل منهجية OThello المتسقة قياس أمن تكنولوجيا العمليات على مستوى المؤسسة بأكملها ممكناً من الناحية التشغيلية.

القدرة التخصصية البشرية محدودة

لا يوجد عدد كافٍ من مقيمي أمن تكنولوجيا العمليات المؤهلين لتلبية الطلب. والمنصات المدعومة بالذكاء الاصطناعي مثل OThello لا تحل محل الخبراء، بل تضاعف قدرتهم من خلال القضاء على العمل الذي لا يتطلب خبرة تخصصية.

هناك أيضاً مبرر استراتيجي أوسع نطاقاً. فالمؤسسات التي تنتقل إلى نموذج تقييم مستمر وقائم على البيانات تكتسب شيئاً غير ملموس ولكنه قيم: القدرة على إثبات فعالية برنامج الأمن للقيادة بالأدلة وليس بالروايات الشفهية. وعندما يتمكن مدير أمن المعلومات (CISO) من أن يوضح لمجلس الإدارة أن الوضع الأمني عبر جميع المواقع الصناعية قد تحسن بمقدار قابل للقياس على مدار ستة أشهر (بمنهجية متسقة، وأدلة مستشهد بها، ومسار معالجة واضح)، يتحول أمن تكنولوجيا العمليات من مركز تكلفة إلى قدرة استراتيجية واضحة.

ملاحظة حول ما تقدمه وما لا تقدمه OThello Assess

من الجدير بالذكر أن نكون دقيقين بشأن قيمة العرض. OThello Assess ليس بديلاً عن التقييم البشري في أمن تكنولوجيا العمليات. والمنصة واضحة بشأن هذا الأمر: ثلاث من خطوات التقييم الخمس تقع على عاتق فريقك. فلسفة التصميم هي التعزيز والدعم، وليست الأتمتة الكاملة. يساهم فريقك بالسياق التشغيلي، وقرارات الرغبة في تحمل المخاطر، والمعرفة البيئية التي لا يمكن لأي منصة محاكاتها. وتساهم OneIQ بالقدرة التحليلية، واتساق الإطار، واستخراج الأدلة التي لا يمكن لأي فريق بشري الاستمرار في تقديمها عبر برامج التقييم الكبيرة دون استثمار غير مستدام للموارد.

والنتيجة هي تقييم يجمع بين سرعة واتساق الذكاء الاصطناعي ومشروعية ودقة المدخلات البشرية المتخصصة، مما ينتج عنه مخرج أكثر كفاءة وموثوقية من أي من النهجين بمفرده.

الخلاصة: تقييمات مخاطر تكنولوجيا العمليات التقليدية بطيئة، ومكلفة، وغير متسقة، ومؤقتة بطبيعتها. وتتطلب بيئة التهديدات الصناعية والتوقعات التنظيمية لعام 2026 شيئاً أسرع وأكثر اتساقاً واستمرارية بشكل حقيقي. وتوفر OThello Assess من Shieldworkz إجابة موثوقة ومصممة بشكل جيد لتلبية هذا الطلب، وهي إجابة تحترم أهمية التقييم البشري المتخصص مع القضاء على أعباء العملية التي لطالما حالت دون تطبيق هذا التقييم على نطاق واسع.

هل أنت مستعد لإجراء أول تقييم متوافق مع معيار IEC 62443؟ تقدم OThello تقييماً أولاً مجانياً للمستخدمين الجدد.

جرب تقييمك الأول