قائمة المهام الخاصة بتقييم المخاطر استناداً إلى IEC 62443 لعام 2026

يبدو أن العام 2026 سيكون عاماً محورياً لأمن تقنيات التشغيل (OT) السيبراني. سوف ندخل هذا العام بعد أن اكتسبنا المزيد من الحكمة من العديد من الأحداث السيبرانية التي وقعت في عام 2025. 

مع الأطر التشريعية الحالية مثل NIS2 وقانون المرونة السيبرانية (CRA) الذي يضع بعض الاحتياجات الإضافية (من حيث التدخلات والانتباه)، ومع تقديم برنامج تأمين مواقع التشغيل الجديد ISA Secure Automation and Control System Security Assurance (ACSSA)، أصبحت الاعتماد على عائلة معايير IEC 62443 أمراً أساسياً. بدلاً من الخيارات، أصبحت هذه المعايير الآن متطلبات أساسية لإظهار الاجتهاد والمرونة. على المستوى الاستراتيجي، يظهر ذلك حتى مستوى نضوج الأمن السيبراني والمزيد.

كما نقول دائماً، يجب أن تتطور استراتيجيتك لتقييم المخاطر إلى ما يتجاوز الامتثال الأساسي. لذلك نحن سعداء بمشاركة قائمة مهام قابلة للتنفيذ لبرنامج تقييم المخاطر الخاص بك استناداً إلى IEC 62443 في العام الجديد 2026.

قبل أن ننتقل إلى الأمام، لا تنسى الاطلاع على منشور المدونة السابق حول أفضل حلول IDS/IPS لأنظمة OT/ICS هنا.

التعمق في المناطق والقنوات (IEC 62443-3-2)

يقع تقسيم الشبكات الفعلية والافتراضية في صميم استراتيجية الدفاع في العمق الفعال لنظام التحكم والأتمتة الصناعي (IACS). يجب أن يكون مثل هذا التقسيم قادراً على ردع ناقلات التهديد من التحرك بحرية وكذلك تقديم وسيلة لاستعادة الوضع بسرعة في حال وقوع حادث سيبراني.

يجب أن يتحرك تقييم المخاطر لاستناداً إلى OT لعام 2026 إلى ما يتجاوز الرسومات البسيطة للشبكات لتقييم أمان مناطقك وقنواتك بشكل كامل. يتعلق الأمر بتطوير مستوى أعلى من الحساسية الأمنية والوعي.

· إتمام تقسيم IACS: نفذ نموذج المناطق والقنوات لنظامك بالكامل قيد النظر. تأكد من أن المناطق تجمع الأصول بناءً على الأهمية المشتركة (عواقب التنازل) ومستوى الأمن المستهدف (SL-T).

· تقييم مخاطر القنوات: تعامل مع القنوات أو مسارات الاتصال بين المناطق كمكونات أمان مستقلة. قم بإجراء تقييم مخاطر مفصل على كل قناة لضمان تمكين تدفقات المرور على أساس الضرورة فقط وأن يتم فرض الضوابط الأمنية المطلوبة مثل قواعد الجدار الناري، المصادقة، التشفير بشكل مناسب لتحقيق SL-T المطلوب للمناطق المتصلة.

· التحقق من تحقيق SL-T: لكل منطقة، تحقق رسمياً من أن التدابير المضادة المنفذة، بما في ذلك تلك الموجودة في القنوات المتصلة، كافية لتلبية مستوى الأمن المستهدف (SL-T) مقابل مستوى الأمن المحقق (SL-A). وُثّق أي فجوات وعيّن خطة التصحيح.

الإدارة الاستراتيجية للأنظمة القديمة

الوجود الدائم للمعدات القديمة هو بسهولة أكبر مضاعف للمخاطر في بيئة OT. في عام 2026، تحتاج استراتيجية إدارة المخاطر الخاصة بك إلى دمج إدارة النظام القديم مباشرة في برنامج تقييم المخاطر.

· التعداد العميق لجرد الأصول: قم بتحديد كل أصل قديم (مثل الأنظمة التي انتهت صلاحيتها، تعمل بنظام تشغيل غير مدعوم، أو تفتقر إلى ميزات الأمان الحديثة) وحدد موقعها داخل نموذج المناطق والقنوات الخاص بك.

· تحليل الضوابط التعويضية: بالنسبة للأنظمة القديمة التي لا يمكن ترقيتها أو تحديثها لتلبية SL-T الخاص بمنطقتها، وُثّق وطبق التدابير المضادة التعويضية المطلوبة. يجب أن يؤكد تقييم المخاطر الخاص بك بشكل رسمي أن هذه الضوابط مثل الجدران النارية المستندة إلى المضيف، قوائم التطبيقات البيضاء، أو البوابات أحادية الاتجاه (الصمامات البيانات) توفر تخفيضاً ملموساً للمخاطر استناداً إلى الأدلة.

· استراتيجية الترقيع الافتراضي: من المعتاد أن يكون من الصعب ترقيع الأصول OT لأسباب معروفة جيداً. تحتاج إلى تطوير استخدام الترقيع الافتراضي كتحكم موثق ومختبر للأنظمة حيث تكون تحديثات البائع غير متاحة أو تكون مخاطر النشر عالية جداً. قم بإضافة إجراء لمراقبته وصيانته المستمرين.

متطلبات برنامج نظام إدارة الأمن السيبراني (CSMS) (IEC 62443-2-1)

نظام إدارة الأمن السيبراني هو العمود الفقري التشغيلي للحفاظ على الأمن. عملية تقييم المخاطر نفسها مكون رئيسي ضمن CSMS.

· دمج الحوكمة بين IT/OT: قم بتوجيه نظام إدارة الأمن السيبراني OT (IEC 62443-2-1) مع نظام ادارة أمن المعلومات المؤسسي IT (ISMS، مثل ISO 27001). يجب أن تُعالج الهيكلية الإدارية بشكل شامل سيناريوهات نتائج الفقد التي تمتد عبر كلا المجالين.

· تقييم نموذج النضج: استخدم نموذج نضج CSMS (غالباً ML0 إلى ML4) ليتم تقييم وضع أمان مؤسستك بشكل موضوعي عبر عناصر CSMS الرئيسية (مثل إدارة المخاطر، الاستجابة للحوادث، إدارة الترقيع). يوفر ذلك للإدارة خارطة طريق واضحة قابلة للقياس للتحسين تتجاوز الضوابط التقنية فقط.

· التدريب المستند إلى الأدوار: تحقق من أن الوعي بالأمان والتدريب التقني يتم تقديمهما مستندين إلى الأدوار وتتناول بشكل خاص المخاطر الفريدة لبيئة OT التي تم تحديدها في تقييمك الأخير. يحتاج المشغلون والمهندسون وموظفو تكنولوجيا المعلومات إلى مسؤوليات أمنية واضحة وموثقة.

التركيز على الضوابط الأساسية (IEC 62443-3-3)

يجب أن يرتبط تقييم المخاطر التفصيلي مباشرة مع سبعة متطلبات أساسية (FRs) ومتطلباتها الأنظمة الخاصة (SRs) في IEC 62443-3-3.

المراقبة المستمرة والمراجعة

تقييم المخاطر استناداً إلى IEC 62443 ليس حدثاً لمرة واحدة؛ إنه مرحلة في دورة التحسين المستمر.

إعادة التقييم المستند إلى المحفزات: صاغ المحفزات لإجراء إعادة تقييم فورية للمخاطر، مثل:

o أي تغيير كبير في النظام (معدات جديدة، تعديل الشبكة).

o اكتشاف ثغرة حرجة (يوم الصفر) تؤثر على مكون IACS.

حدوث حادث أمني (حتى الأخطاء القريبة).

ضمان المورد وسلسلة التوريد (IEC 62443-2-4/4-1): في ضوء التطورات التشريعية مثل CRA، يجب أن يأخذ تقييم المخاطر في الاعتبار وضع الأمان الخاص بالموردين ومقدمي الخدمة. طالب بدليل التزامهم بمعايير IEC 62443-4-1 (دورة حياة تطوير المنتج الآمن) و62443-2-4 (متطلبات برنامج الأمن لمقدمي الخدمات).

في عام 2026، سنضطر إلى بذل المزيد من الجهد والاهتمام لضمان تقييم أكثر سياقية لمخاطر الأمن OT وربط ذلك مع نتائج الأمان الملموسة والتدخلات في الاستجابة للحوادث.

من خلال إكمال قائمة المهام هذه بشكل صارم، لن تقلل فقط من تعرض منظمتك للمخاطر السيبرانية الفيزيائية ولكن ستمتلك أيضاً الأدلة القابلة للتدقيق اللازمة لإثبات (بما لا يدع مجالاً للشك) نضجك الأمني وفقاً لأعلى المعايير الدولية أو الإقليمية.

تعرف على المزيد حول تقييم المخاطر لدينا استناداً إلى IEC 62443

هل بدأت رحلتك الأمنية OT أو لديك سؤال؟ تواصل معنا.