الأسئلة الشائعة حول الأمن السيبراني للتقنية التشغيلية

تحمي الأمن السيبراني للتقنيات التشغيلية (OT security) الأنظمة التي تدير العمليات الصناعية، وأجهزة التحكم المنطقي القابلة للبرمجة (PLCs)، وأنظمة التحكم الإشرافي وتحصيل البيانات (SCADA)، وواجهات المستخدم الرسومية (HMIs)، والمستشعرات، والشبكات التي تربط بينها. ويتمثل هدفها في الحفاظ على سلامة العمليات وموثوقيتها واستمراريتها، مع إعطاء الأولوية للسلامة والتشغيل المستمر على السرية. تواجه التقنيات التشغيلية الحديثة مخاطر ناتجة عن الأجهزة القديمة، وزيادة الاتصال بالشبكات، ووصول الموردين عن بُعد. ويتطلب الأمن الفعّال للتقنيات التشغيلية استخدام قوائم جرد الأصول، وتقسيم الشبكات، والمراقبة المضبوطة بدقة، والوصول الآمن عن بُعد، وإدارة الرقع والتغييرات المتوافقة مع طبيعة التقنيات التشغيلية، وخطط الاستجابة للحوادث، والحوكمة المتوافقة مع معيار IEC 62443. ابدأ بتقييم المخاطر المستند إلى الأصول، وعالج أولاً ضوابط التحكم التي تحد من السلامة وفترات التوقف.

يجب إجراء تقييمات أمن التكنولوجيا التشغيلية (OT) في البيئات الحية باستخدام تقنيات خاملة (passive) تعتمد على نشر مفرعات الشبكة (network taps) أو منافذ المرآة (SPAN ports) لالتقاط وحركة المرور وتحليلها دون حقن أي حزم بيانات في شبكة التكنولوجيا التشغيلية. ويتم اكتشاف الأصول من خلال التحليل الخامل لحركة المرور بدلاً من الفحص النشط، والذي قد يتسبب في تعطل وحدات التحكم المنطقية القابلة للبرمجة (PLCs) ووحدات الطرفية البعيدة (RTUs) أو تصرفها بشكل غير متوقع. كما تُستكمل عملية جمع البيانات التقنية بجولات ميدانية فعلية، ومراجعات للإعدادات، وتحليل للوثائق، ومقابلات مع الموظفين. وتعمل مراجعات البنية الهندسية على تقييم تجزئة الشبكة، والتحكم في الوصول، وإعدادات الوصول عن بُعد. وتركز تقييمات نقاط الضعف على الثغرات الأمنية الشائعة والمعروفة (CVEs) ذات الصلة بأصول التكنولوجيا التشغيلية المحددة. ويتم تنسيق جميع أنشطة التقييم مع فرق العمليات، وعادةً ما يتم تطبيق بروتوكول تجميد التغييرات أو تعيين مراقب سلامة أثناء العمل الميداني.

نادرًا ما تستهدف هجمات برامج الفدية الصناعية أنظمة التكنولوجيا التشغيلية (OT) بشكل مباشر، بل تبدأ عادةً في أنظمة تكنولوجيا المعلومات (IT) وتنتقل إلى التكنولوجيا التشغيلية من خلال التجزئة غير الكافية للشبكة. وتشمل نقاط الدخول الأكثر شيوعاً رسائل البريد الإلكتروني التصيدية التي تخترق الأجهزة الطرفية لتكنولوجيا المعلومات، يليها التحرك الجانبي نحو محطات العمل الهندسية، أو خوادم الأرشيف التاريخي، أو البنية التحتية للوصول عن بُعد. كما يُلاحظ بشكل متكرر استغلال الثغرات الأمنية غير المرقّعة في أجهزة الشبكة الافتراضية الخاصة (VPN)، وخدمات بروتوكول سطح المكتب البعيد (RDP)، والتطبيقات المتصلة بالإنترنت. وبمجرد أن يحصل المهاجمون على موطئ قدم في تكنولوجيا المعلومات، فإنهم يتجهون نحو التكنولوجيا التشغيلية عن طريق استغلال الشبكات المسطحة أو الضعيفة التجزئة، وبيانات الاعتماد المشتركة بين تكنولوجيا المعلومات والتكنولوجيا التشغيلية، وأنظمة واجهة المستخدم الرسومية (HMI) القديمة القائمة على نظام التشغيل ويندوز والتي تفتقر إلى حماية الأجهزة الطرفية. وقد اتبع الهجوم على خط أنابيب كولونيال (Colonial Pipeline) في عام 2021، والذي أدى إلى قطع إمدادات الوقود عن الساحل الشرقي للولايات المتحدة، هذا المسار الانتقالي من تكنولوجيا المعلومات إلى التكنولوجيا التشغيلية.

إن الأطر الأكثر اعتماداً على نطاق واسع لأمن تكنولوجيا التشغيل (OT) هي المعيار IEC 62443 (لأنظمة التحكم والأتمتة الصناعية)، والدليل NIST SP 800-82 (دليل أمن أنظمة التحكم الصناعية ICS)، وإطار عمل الأمن السيبراني NIST. يتميز المعيار IEC 62443 بشموليته الكبيرة، حيث يعالج الأمن على مستويات النظام والمكونات والمؤسسة، ويحدد مستويات الأمان (SL 1-4) التي تساعد المؤسسات على مواءمة الاستثمار في الأمن مع حجم المخاطر. وبالنسبة للمؤسسات في قطاع الطاقة، فإن معايير NERC CIP تعد إطاراً إلزامياً للامتثال. وتستخدم معظم برامج أمن تكنولوجيا التشغيل الناضجة مزيجاً يجمع بين المعيار IEC 62443 للهندسة التقنية وإدارة دورة الحياة، وإطار عمل NIST CSF للحوكمة وقياس أداء البرامج. ويعتمد اختيار إطار العمل المناسب على قطاع الصناعة، والالتزامات التنظيمية، ومدى نضج المؤسسة.

تشتمل أمن أنظمة سكادا (التحكم الإشرافي وتحصيل البيانات) على السياسات، والتقنيات، والعمليات المستخدمة لحماية أنظمة التحكم الإشرافي التي تراقب وتدير العمليات الصناعية الحيوية، والتي تغطي كل شيء بدءاً من توزيع شبكات الطاقة ومعالجة المياه وصولاً إلى خطوط أنابيب النفط وخطوط التصنيع. إن نجاح أي هجوم سيبراني على البنية التحتية لأنظمة سكادا يمكن أن يتسبب في أضرار مادية، وإيقاف الإنتاج، وحوادث تمس بسلامة الأفراد، بل وقد يؤدي إلى خسائر في الأرواح. وعلى عكس أنظمة تكنولوجيا المعلومات (IT) التي تضع السرية على رأس أولوياتها، فإن بيئات سكادا تعطي الأولوية للتوافر والسلامة، مما يجعل مناهج أمن تكنولوجيا المعلومات التقليدية غير كافية. لذا، يتعين على المؤسسات اعتماد استراتيجيات أمنية مخصصة لتكنولوجيا العمليات (OT) تأخذ في الاعتبار الأنظمة القديمة، والقيود التشغيلية في الوقت الفعلي، والعواقب المادية المحتملة لأي خرق أمني.

تواجه بيئات الإشراف والتحكم واكتساب البيانات (SCADA) الحديثة طيفاً واسعاً من التهديدات. فقد أظهرت مجموعات برمجيات الفدية مثل ALPHV وLockBit اهتماماً ببيئات التكنولوجيا التشغيلية (OT)، وغالباً ما تقوم بتشفير محطات العمل الهندسية لإيقاف الإنتاج. كما تستهدف الجهات الفاعلة المدعومة من الدول، بما في ذلك Volt Typhoon وSandworm، أنظمة SCADA بهدف التجسس والتموضع المسبق. وتعد التهديدات الداخلية، واستغلال الوصول عن بُعد (ثغرات الشبكات الافتراضية الخاصة VPN، وبروتوكول سطح المكتب البعيد RDP المكشوف)، واختراق سلاسل التوريد من خلال تحديثات البرامج التابعة لجهات خارجية، وحملات التصيد الاحتيالي التي تستهدف الموظفين الذين يملكون صلاحيات الوصول إلى SCADA، كلها متجهات شائعة للتهديدات. ولا يزال استغلال البروتوكولات القديمة التي تستهدف Modbus وDNP3 وOPC-DA يشكل خطورة بالغة في البيئات التي لم تعمل على تحديث بنية الاتصالات الخاصة بها.

يكمن الاختلاف الجوهري في الأولويات والنتائج المترتبة. ففي مجال تكنولوجيا المعلومات (IT)، يُطبق ثالوث أمن المعلومات (CIA) - السرية والنزاهة والتوافر - بهذا الترتيب وتلك الأولية. أما في بيئات أنظمة التحكم الصناعي وتكنولوجيا التشغيل (SCADA/OT)، فإن التوافر والنزاهة يفوقان السرية أهمية، لأن فترات التوقف عن العمل قد تعني خسارة في الإنتاج، أو مخاطر تتعلق بالسلامة، أو انتهاكات تنظيمية. وغالبًا ما تعمل أنظمة تكنولوجيا التشغيل (OT) ببروتوكولات ملكية خاصة (مثل Modbus و DNP3 و EtherNet/IP)، وتعتمد على أجهزة قديمة لا يمكن تحديثها أو إعادة تشغيلها دون التأثير على سير العمليات، كما أن دورة حياتها تمتد لعقود. بالإضافة إلى ذلك، تمتلك بيئات تكنولوجيا التشغيل (OT) واجهات مادية-سيبرانية مباشرة؛ حيث يمكن لجهاز تحكم منطقي قابل للبرمجة (PLC) مخترق أن يفتح صمامًا، أو يعطل نظام سلامة، أو يدمر آلات، مما يجعل تحمل المخاطر وتصميم الأمن مختلفين تمامًا عن أمن تكنولوجيا المعلومات التقليدي.

تعد مواصفة IEC 62443 سلسلة من المعايير الدولية التي طورتها الجمعية الدولية للأتمتة (ISA) واعتمدتها اللجنة الكهرتقنية الدولية (IEC)، حيث توفر إطاراً شاملاً لتأمين أنظمة التحكم والأتمتة الصناعية (IACS). وتتوزع هذه السلسلة هيكلياً لتغطي أدوار ثلاثة أطراف رئيسية معنية، وهم: مالكو الأصول، ومدمجو الأنظمة، وموردو المنتجات؛ كما تعالج الأمن السيبراني عبر أربعة مستويات: السياسات والإجراءات، ومتطلبات النظام، ومتطلبات المكونات، ودمج الأنظمة. ويحدد المعيار مستويات الأمان (SL 1–4) التي تتوافق مع تصاعد مدى تطور التهديدات، مما يتيح للمؤسسات مواءمة حجم الاستثمار في الأمن السيبراني مع المخاطر الفعلية. وقد باتت مواصفة IEC 62443 المرجع العالمي الأبرز لكونها صُممت خصيصاً لبيئات تقنيات التشغيل (OT)، كما أنها مستقلة عن نوع التكنولوجيا المستخدمة، وتتوافق مع المتطلبات التنظيمية عبر قطاعات متعددة، فضلًا عن توفيرها نهجاً متكاملاً لدورة حياة الأمن السيبراني بدءاً من التصميم وحتى خارج الخدمة.

تحدد مستويات الأمان القياسية IEC 62443 درجة الحماية المطلوبة ضد الجهات الفاعلة بالتهديدات والتي تتسم بتطور تدريجي. يحمي المستوى الأول (SL 1) من التهديدات العرضية أو غير المقصودة. ويتصدى المستوى الثاني (SL 2) للانتهاكات المتعمدة من قِبل جهات فاعلة منخفضة التطور تستخدم أدوات متاحة للعامة. بينما يستهدف المستوى الثالث (SL 3) المهاجمين المتطورين الذين يمتلكون موارد ومعارف خاصة بنظم التحكم الصناعي (ICS). أما المستوى الرابع (SL 4)، والذي نادراً ما يُطلب، فيتصدى للتهديدات على مستوى الدول القومية المدعومة بموارد هائلة. يستخدم مالكو الأصول مستويات الأمان المستهدفة (SL-T) لتحديد الحماية المطلوبة بناءً على تقييم المخاطر، ثم قياس مستويات الأمان المحققة (SL-A) مقابل تلك المستهدفات. يمنع هذا الإطار الإفراط أو التفريط في الاستثمار الأمني من خلال ربط عناصر التحكم مباشرة بسيناريوهات التهديد ذات الصلة بكل منطقة ومسار داخل البيئة الصناعية.

يُعد نموذج "المناطق والقنوات" (Zone-and-Conduit) مفهوماً معمارياً أساسياً في معيار IEC 62443، حيث يوفر منهجية لتقسيم أنظمة التكنولوجيا التشغيلية (OT) للحد من انتشار التهديدات السيبرانية. وتعبر "المنطقة" عن مجموعة من الأصول ذات المتطلبات الأمنية والوظائف التشغيلية المتشابهة؛ على سبيل المثال: منطقة أجهزة التحكم المنطقي القابل للبرمجة (PLC)، ومنطقة واجهة المستخدم الرسومية (HMI)، ومنطقة مؤرخ البيانات (Historian)، ومنطقة أنظمة السلامة. أما "القناة" فهي مسار اتصال محدد بين المناطق، وتخضع لضوابط أمنية معينة. يبدأ تطبيق هذا النموذج بتطوير مخطط طوبولوجيا الشبكة وتحديد جميع الأصول والاعتمادات المتبادلة بينها في عملية الاتصال. بعد ذلك، يتم تجميع الأصول في مناطق بناءً على المتطلبات الأمنية، وتُحدد القنوات مع الضوابط المناسبة — مثل جدران الحماية، وقوائم التحكم في الوصول، وبوابات نقل البيانات أحادية الاتجاه — استناداً إلى مستويات أمان المناطق التي تربط بينها.

إن شهادة IEC 62443 ليست إلزامية بموجب القانون بشكل عام، ولكن يزداد طلبها بشكل متزايد من قِبل العملاء الصناعيين، ومشغلي البنية التحتية الحيوية، والجهات التنظيمية كشرط لممارسة الأعمال التجارية أو الحفاظ على تراخيص التشغيل. وفي الاتحاد الأوروبي، يشير توجيه NIS2 وقانون المرونة السيبرانية المرتقب إلى معيار IEC 62443 كمعيار موصى به لأمن التكنولوجيا التشغيلية (OT) والأنظمة المدمجة. وفي قطاعات مثل النفط والغاز، والصناعات الكيميائية، والصناعات الدوائية، يطلب كبار المشغلين بشكل روتيني شهادة IEC 62443 من مدمجي الأنظمة وموردي المعدات كجزء من مؤهلات الشراء. وحتى في الحالات التي لا تكون فيها الشهادة مطلوبة قانوناً، فإنها توفر ميزة تجارية كبيرة وفوائد ملموسة في إدارة المخاطر.

تعتمد بنية الشبكة الصناعية الآمنة على عدة مكونات أساسية. يعمل تقسيم الشبكة باستخدام نموذج بيردو (Purdue Model) أو منهجية المناطق والقنوات وفقاً لمعيار IEC 62443 على فصل مناطق تكنولوجيا التشغيل (OT) عن تكنولوجيا المعلومات للشركات (IT) وعن شبكة الإنترنت. وتتحكم جدران الحماية الصناعية المصممة خصيصاً لبروتوكولات تكنولوجيا التشغيل (Modbus، DNP3، EtherNet/IP، PROFINET) في حركة مرور البيانات بين المناطق بناءً على الفحص العميق للحزم (DPI) الذي يستوعب دلالات بروتوكول أنظمة التحكم الصناعية (ICS). وتستضيف المنطقة المنزوعة السلاح الصناعية (Industrial DMZ) خدمات تبادل البيانات التي تربط بين تكنولوجيا المعلومات وتكنولوجيا التشغيل دون إنشاء اتصالات مباشرة. كما تفرض بوابات الأمان أحادية الاتجاه تدفق البيانات في اتجاه واحد عند الاقتضاء، في حين توفر حلول مراقبة الشبكات المخصصة لتكنولوجيا التشغيل رؤية سلبية لجميع حركات مرور البيانات، وتكتشف الأنشطة غير الطبيعية، وتحدد محاولات الاتصال غير المصرح بها.

يجب تنفيذ تقسيم شبكة تكنولوجيا المعلومات وتكنولوجيا العمليات (IT/OT) كبنية دفاعية متعددة الطبقات، وليس كمجرد جدار حماية واحد. يتضمن التصميم القياسي نهجاً متعدد الطبقات: حيث تفصل منطقة منزوعة السلاح صناعية (DMZ) شبكة تكنولوجيا العمليات عن شبكة تكنولوجيا المعلومات الخاصة بالشركات، مع وجود جدران حماية منفصلة على كل من الجانب المواجه لتكنولوجيا المعلومات والجانب المواجه لتكنولوجيا العمليات في المنطقة منزوعة السلاح. وداخل شبكة تكنولوجيا العمليات، يعمل التقسيم الإضافي على فصل المناطق الوظيفية مثل أنظمة التحكم، والأجهزة الميدانية، وأنظمة السلامة، ومحطات عمل الهندسة للحد من الحركة الجانبية في حال تعرض إحدى المناطق للاختراق. ويقتصر الاتصال بين المناطق على ما هو ضروري من الناحية التشغيلية فقط، مع توثيق القواعد في مصفوفة التحكم في الوصول إلى الشبكة. كما يجب مراجعة قواعد جدار الحماية ثنائي الاتجاه بانتظام وتشديدها بناءً على بيانات الخط المرجعي للحركة الفعلية للبيانات.

يُعد الفحص العميق لحزم البيانات المتوافق مع بروتوكولات التكنولوجيا التشغيلية (OT-protocol-aware DPI) إحدى قدرات جدران الحماية والمراقبة التي يمكنها تحليل وتدقيق محتويات بروتوكولات الاتصالات الصناعية مثل Modbus و DNP3 و EtherNet/IP و OPC UA و PROFINET في طبقة التطبيقات. تقتصر جدران الحماية التقليدية الخاصة بتكنولوجيا المعلومات على فحص حركة مرور البيانات الصناعية على مستوى بروتوكول الإنترنت/المنفذ (IP/port) فقط، وهو أمر غير كافٍ لأن العديد من هجمات التكنولوجيا التشغيلية تستخدم أوامر بروتوكول صالحة للتلاعب بالأجهزة. على سبيل المثال، يبدو أمر الكتابة (write command) في بروتوكول Modbus الموجه إلى سجل ذاكرة غير مصرح به بمثابة حركة مرور بيانات مشروعة لجدار الحماية التقليدي. بينما يمكن للفحص العميق لحزم البيانات (DPI) المتوافق مع بروتوكولات التكنولوجيا التشغيلية اكتشاف وحظر رموز وظائف محددة، ونطاقات عناوين، وقيم بيانات غير طبيعية أو غير مصرح بها بناءً على خط أساس تم التعرف عليه للعمليات العادية؛ وهو أمر بالغ الأهمية لحماية اتصالات أجهزة التحكم المنطقي القابل للبرمجة (PLC) ومنع هجمات حقن الأوامر.

تنطوي الاتصالات اللاسلكية في البيئات الصناعية على مخاطر أمنية جسيمة إذا لم يتم تصميمها وإدارتها بشكل صحيح. وتتسبب نقاط الوصول اللاسلكية غير المصرح بها، التي يقوم موظفو الصيانة أو المقاولون بتثبيتها بهدف التسهيل، في إنشاء نقاط دخول غير مبرمجة إلى شبكات التكنولوجيا التشغيلية (OT) قد تتجاوز جميع ضوابط الحماية المحيطية. وتواجه الأنظمة اللاسلكية الصناعية مخاطر متعددة تشمل هجمات نقاط الوصول المارقة، وحجب الخدمة عن الاتصالات اللاسلكية التي تتحكم في العمليات الحرجة، وضعف المصادقة، وهجمات "الرجل في المنتصف" ضد البروتوكولات اللاسلكية الصناعية غير المشفرة. ويتعين على المؤسسات إجراء مسوحات ميدانية للشبكات اللاسلكية للكشف عن نقاط الوصول غير المصرح بها، وفرق تطبيق معيار WPA3 مع مصادقة قائمة على الشهادات، وعزل شرائح التكنولوجيا التشغيلية اللاسلكية عن الشبكات السلكية، وإدراج أصول الشبكات اللاسلكية الصناعية في برامج المراقبة المستمرة.

تتطلب إدارة تغييرات الشبكة في بيئات التكنولوجيا التشغيلية (OT) الحية عملية رسمية قائمة على المخاطر تراعي الحساسية التشغيلية للأنظمة الصناعية. يجب مراجعة واعتماد جميع التغييرات — بما في ذلك تعديلات قواعد جدار الحماية، وتكوينات مفاتيح الشبكة (Switches)، وتغييرات الشبكات المحلية الافتراضية (VLAN)، وإضافة الأجهزة الجديدة — من خلال مجلس استشاري للتغيير يضم موظفي أمن التكنولوجيا التشغيلية والعمليات معاً. ينبغي التحقق من صحة التغييرات في بيئة اختبارية قبل نشرها في بيئة الإنتاج، ويتم تنفيذها خلال فترات الصيانة المخطط لها. كما يجب أن يؤكد التحقق ما بعد التغيير استعادة جميع الاتصالات التشغيلية وعدم إدخال أي تدفقات حركة مرور غير مقصودة. ويتعين توثيق جميع التغييرات في قاعدة بيانات إدارة التكوين وتحديث مخططات الشبكة وفقاً لذلك. يشار إلى أن معيار NERC CIP-010 يفرض إدارة رسمية للتغييرات في أنظمة BES الإلكترونية (BES Cyber Systems).

تختلف الاستجابة للحوادث في تكنولوجيا التشغيل (OT) عن الاستجابة لـحوادث تكنولوجيا المعلومات (IT) في عدة جوانب بالغة الأهمية. إن الشاغل الأكبر في بيئات تكنولوجيا التشغيل هو السلامة المادية؛ لذا يجب تقييم أي إجراء استجابة قد يؤثر على استقرار العمليات، أو تشغيل أنظمة السلامة، أو سلامة الأفراد من قِبل مهندسي العمليات قبل التنفيذ. إن إجراءات احتواء الحوادث الروتينية في تكنولوجيا المعلومات — مثل عزل النظام المخترق، أو حظر حركة مرور الشبكة، أو إيقاف تشغيل الجهاز المضيف — يمكن أن تؤدي إلى انقطاع الإنتاج، أو تلف المعدات، أو حدوث ظروف خطرة في تكنولوجيا التشغيل. وغالباً ما تكون الأدلة الجنائية المتاحة في بيئات تكنولوجيا التشغيل أكثر محدودية، حيث أن العديد من أجهزة التحكم المنطقي القابلة للبرمجة (PLCs) ووحدات الطرفية البعيدة (RTUs) لا تحتفظ بسجلات تفصيلية. ولا يقتصر الاسترداد في تكنولوجيا التشغيل على استعادة البرامج والبيانات فحسب، بل يتطلب أيضاً استعادة تكوينات أنظمة التحكم التي تم التحقق منها واختبارها على الأجهزة المادية. يجب على المؤسسات الاحتفاظ بخطط استجابة للحوادث خاصة بتكنولوجيا التشغيل، مع تحديد أدوار واضحة لكل من موظفي الأمن السيبراني وموظفي العمليات.

تتبع خطة الاستجابة الفعالة للحوادث في تكنولوجيا التشغيل (OT) دورة حياة منظمة تشمل: الإعداد، والكشف، والتحليل، والاحتواء، والقضاء على التهديد، والتعافي، ومراجعة ما بعد الحادث. يتضمن الإعداد تطوير أدلة عمل مخصصة لتكنولوجيا التشغيل، وبناء دليل اتصال لموردي ومدمجي أنظمة تكنولوجيا التشغيل، وتحديد بروتوكولات الاتصال مع قيادات العمليات، وتجهيز الإمكانات الجنائية الرقمية مسبقاً. يعتمد الكشف على حلول مراقبة شبكة تكنولوجيا التشغيل، واكتشاف الأنشطة غير الطبيعية، وإبلاغ موظفي العمليات عن أي سلوكيات غير معتادة في العمليات التشغيلية. يتطلب التحليل مستجيبين ذوي معرفة تخصصية بتكنولوجيا التشغيل ممن يفهمون البروتوكولات الصناعية، ومنطق التحكم، وسلوك العمليات. كما يجب اتخاذ قرارات الاحتواء بالتعاون مع فريق العمليات لتجنب التسبب في أضرار تفوق ما خلفه الهجوم نفسه. وأخيراً، يتطلب التعافي التحقق من استقرار العمليات وسلامتها قبل إعادة الأنظمة إلى العمل المعتاد.

يعتمد الكشف عن تهديدات تكنولوجيا التشغيل (OT) في المقام الأول على المراقبة المستندة إلى الشبكة بدلاً من وكلاء الأجهزة الطرفية (endpoint agents)؛ وذلك لأن نشر وكلاء البرمجيات على أجهزة التحكم المنطقي القابلة للبرمجة (PLCs)، ووحدات الطرفية البعيدة (RTUs)، والعديد من أنظمة تكنولوجيا التشغيل المدمجة غير ممكن من الناحية الفنية وينطوي على مخاطر تشغيلية. يلتقط الكشف المستند إلى الشبكة جميع الاتصالات عبر قطاعات شبكة تكنولوجيا التشغيل من خلال مستشعرات مراقبة سلبية يتم نشرها عبر نقاط الوصول إلى الشبكة (TAPs) أو منافذ المرآة (SPAN ports)، ويعمل على تحليل حركة المرور باستخدام محركات فحص متوافقة مع تكنولوجيا التشغيل وقادرة على فهم البروتوكولات الصناعية في طبقة التطبيقات. وتشمل نماذج الكشف: الكشف المستند إلى التوقيعات (مطابقة الأنماط الضارة المعروفة ومؤشرات الاختراق)، والكشف عن الأنماط السلوكية الشاذة (تحديد الانحرافات عن خطوط الأساس المحددة لأنماط الاتصال العادية)، والكشف المستند إلى السياسات (التنبيه عند انتهاك الاتصالات لسياسات الأمان المحددة). وفي الحالات التي يمكن فيها نشر وكلاء الأجهزة الطرفية - مثل محطات عمل الهندسة، وخوادم تجميع البيانات التاريخية (Historian)، وواجهات الآلة والإنسان (HMIs) التي تعمل بنظام التشغيل Windows - فإنها توفر رؤية إضافية متكاملة تدعم الكشف المستند إلى الشبكة وتحقّق التكامل معه.

يُعد البحث عن التهديدات في بيئات التقنيات التشغيلية (OT threat hunting) نشاطاً أمنياً استباقياً يبحث فيه محللون مهرة عن أدلة على أنشطة الجهات الفاعلة بالتهديد والتي نجحت في التهرب من أدوات الكشف التلقائي. وعلى عكس عملية فرز التنبيهات التفاعلية، يبدأ البحث عن التهديدات بفرضية تستند إلى معلومات التهديدات، أو الأساليب والتقنيات والإجراءات (TTPs) المعروفة للمهاجمين، أو الانحرافات المرصودة التي لم تطلق تنبيهات تلقائية، ومن ثم البحث المنهجي عن أدلة لتأكيد هذه الفرضية أو دحضها. وفي بيئات التقنيات التشغيلية، يعتمد البحث عن التهديدات على بيانات حركة مرور الشبكة، وسجلات البرامج الهندسية، وبيانات مؤرخ التقنيات التشغيلية (OT historian)، وسجلات الوصول عن بُعد. وقد تشمل فرضيات البحث في بيئات التقنيات التشغيلية ما يلي: 'هل هناك دليل على وجود نشاط مسح يستهدف عناوين أجهزة التحكم المنطقي القابل للبرمجة (PLC) في شبكة التحكم؟'؛ 'هل هناك أي اتصالات من محطات العمل الهندسية إلى عناوين بروتوكول الإنترنت (IP) الخارجية لم تكن موجودة في الفترات السابقة؟'؛ 'هل هناك عمليات تنزيل لمخططات لغة السلم (ladder logic) إلى أجهزة PLC لا تتطابق مع سجلات التغيير المعتمدة؟'. ويتطلب البحث عن التهديدات في بيئات التقنيات التشغيلية محللين يجمعون بين الخبرة في الأمن السيبراني والمعرفة بالعمليات الصناعية.

تعد تقنية الكشف والاستجابة لتهديدات الشبكة في البيئات التشغيلية (OT NDR) ميزة أمنية تعمل باستمرار على التقاط وتحليل حركة مرور الشبكة داخل البيئات الصناعية لاكتشاف الأنشطة غير الطبيعية، وأنماط الهجمات المعروفة، وانتهاكات السياسات في الوقت الفعلي. وبخلاف تقنية NDR الخاصة بتقنية المعلومات (IT NDR)، فإن تقنية OT NDR تفهم البروتوكولات الصناعية (مثل Modbus، وDNP3، وEtherNet/IP، وOPC-UA) ويمكنها تمييز السلوك التشغيلي الطبيعي عن الأنشطة الخبيثة دون تعطيل العمليات.

تعتمد أنظمة كشف ومنع التسلل التقليدية (IDS/IPS) على الكشف المستند إلى التوقيعات، وغالباً ما تواجه قيوداً في فهم البروتوكولات الخاصة بتقنيات التشغيل (OT). في المقابل، تستخدم حلول الكشف والاستجابة لتهديدات شبكات تقنيات التشغيل (OT NDR) مزيجاً من الفحص العميق للحزم، وتحديد خطوط الأساس السلوكية، والتعلم الآلي لكتشاف التهديدات الجديدة، والأوامر غير الطبيعية، والانحرافات الدقيقة في البروتوكولات، مما يوفر معدلات إنذار كاذب أقل بكثير وتغطية أوسع دون الحاجة إلى نشرها في مسار تدفق البيانات المباشر (inline).

يجب أن تدعم المنصة الشاملة لكشف الاستجابة لتهديدات الشبكة في بيئات التشغيل (OT NDR) البروتوكولات الصناعية الشائعة، بما في ذلك Modbus TCP/RTU، و DNP3، و EtherNet/IP (CIP)، و Profinet، و IEC 61850 (MMS/GOOSE)، و OPC-UA/DA، و BACnet، و HART-IP، و ICCP، بالإضافة إلى بروتوكولات الموردين المملوكة لكل من Siemens، و Rockwell، و GE، و Schneider Electric، و ABB، وغيرها.

إن معايير NERC CIP تعني حماية البنية التحتية الحيوية، وتشير إلى معايير الموثوقية الإلزامية المستخدمة لحماية الأصول السبرانية والعمليات ذات الصلة بنظام الطاقة الكهربائية الضخم. وتعد معايير NERC جزءاً من برنامج معايير الموثوقية الإلزامي والقابل للتطبيق.

الممارسة الجيدة تكمن في التعامل مع الامتثال كمنهجية عمل مستمرة، وليس كمشروع تدقيق يُنفذ لمرة واحدة: ويتطلب ذلك الحفاظ على تحديث مخزون الأصول، وتوثيق كل عملية مطلوبة، وتتبع الأدلة بشكل مستمر، ومراجعة صلاحيات الوصول بانتظام، واختبار إجراءات الاستجابة للحوادث والتعافي منها وفقًا لجدول زمني محدد. وتشير خارطة طريق الاتحادات الإقليمية لموثوقية الكهرباء في أمريكا الشمالية (NERC) الخاصة بمعايير حماية البنية التحتية الحرجة (CIP) لعام 2026 أيضاً إلى أن المعايير مستمرة في التطور، لذا يجب أن تظل البرامج قابلة للتكيف.

إن المعيار CIP-015-1 هو المعيار الخاص بمراقبة أمن الشبكات الداخلية. ويتطلب هذا المعيار وجود عمليات وممارسات موثقة لمراقبة الشبكات داخل المحيط الأمني الإلكتروني، واكتشاف الأنشطة غير الطبيعية، وتقييم هذه الحالات الشاذة، والاحتفاظ ببيانات المراقبة ذات الصلة، وحماية تلك البيانات من الحذف أو التعديل غير المصرح به.

احتفظ بملف امتثال أو نظام سجلات محدث باستمرار يغطي النطاق، والسياسات، والإجراءات، والتدريب، ومراجعات الصلاحيات، وسجلات الحوادث، وسجلات التغيير، والأدلة الفنية. إن الاستعداد لعمليات التدقيق يصبح أسهل بكثير عندما يتم جمع الأدلة بالتزامن مع تشغيل الضوابط الأمنية، بدلاً من إعادة إنشائها لاحقاً.

تتمثل الخطوة الأولى في تحديد ما إذا كانت مؤسستكم تقع ضمن نطاق توجيه الأمن السيبراني الثاني (NIS2)، تليها عملية اكتشاف الأصول، وتقييم المخاطر، وتحليل الفجوات، وتطبيق ضوابط حوكمة ومراقبة الأمن السيبراني.

ينطبق توجيه الأمن السيبراني (NIS2) على المؤسسات المصنفة ككيانات أساسية وكيانات مهمة تعمل في قطاعات مثل الطاقة، والنقل، والرعاية الصحية، والتصنيع، والبنية التحتية الرقمية، والإدارة العامة، والمياه، والاتصالات.

توسع توجيهات NIS2 عدد القطاعات المشمولة، وتزيد من مسؤولية الإدارة التنفيذية، وتعزز متطلبات الإبلاغ عن الحوادث، كما تفرض عقوبات وتوقعات حوكمة أكثر صرامة مقارنة بتوجيهات NIS الأصلية.