ومع خضوع أكبر المجمعات الصناعية في العالم لجهود الرقمنة، ومع اندماج إنترنت الأشياء الصناعي (IIoT) في عمليات الإشراف والإدارة والتشغيل والإنتاج، يرتفع أيضا عدد التهديدات المحتملة لهذه الطريقة الجديدة في العمل. لقد كتبنا عن بعض الأسباب لزيادة أمنك السيبراني في مقالتنا السابقة.
أصبح تقييم مخاطر الهجمات السيبرانية على نظام التحكم الصناعي الخاص بك والتنبؤ به أكثر صعوبة ، حيث تتطور تصميمات البرامج الضارة التي تستهدفه كل يوم ، لتصبح أكثر تطورا وأكثر خبثا. وبالنظر إلى تعقيد العمليات في معظم البنى التحتية الحيوية اليوم، فإن تحديات الأمن السيبراني متعددة، وتتطلب مراقبة مفصلة ويقظة لسلامة الأجهزة المستخدمة وأمن البرمجيات التي تساعد عملية الإنتاج.
منذ عقد مضى، كان عدد هجمات الأمن السيبراني على المنشآت الصناعية ومواقع البنية التحتية الحيوية المماثلة يرتفع باطراد، مع أنواع مختلفة من البرامج الضارة التي تستهدف بشكل رئيسي شبكات نظام التحكم الصناعي (ICS) في جميع أنحاء العالم. وكان أول حادث كبير موثق من هذا القبيل في عام 2010، عندما استهدفت ستوكسنت وحدات التحكم المنطقية القابلة للبرمجة (PLCs) لموقع تخصيب اليورانيوم ومقره في إيران، والتلاعب باحتمال حدوث حالة طوارئ ذات أبعاد نووية.
وعلى غرار هذه المحاولة سيئة السمعة للاستيلاء على أنظمة التحكم الإشرافي والحصول على البيانات (SCADA) للبرنامج النووي الإيراني، كان هجوم شمعون على شركة هيدروكربونية في الشرق الأوسط في عام 2012. بالإضافة إلى ذلك ، بدءا من عام 2015 ، تم تسجيل حالات متعددة من هجمات Industroyer ، مع هدف واحد محدد – أنظمة توليد الكهرباء الموجودة في أوكرانيا ، بهدف قطع التيار الكهربائي عن مناطق حضرية بأكملها ، أو التحميل الزائد على شبكة المحطة أو التأثير على خزانات الطاقة الكهربائية في جميع أنحاء العالم. ومن خلال فهم مستوى المخاطر التي تشكلها هذه الأسلحة السيبرانية على الشركات الكبيرة وجميع موظفيها والسكان على نطاق أوسع بشكل عام، فإن حاجة الصناعة الكبرى إلى إتقان مراقبة وحماية أنظمتها الأمنية التي تتم مراقبتها عن كثب بالفعل تتزايد.
إضافة جديدة نسبيا إلى الشبكة الحالية من البرامج الضارة التي تستهدف البنية التحتية الأساسية لبعض أكبر عمال المناجم والموردين للموارد الطبيعية في العالم هي تريتون (المعروف أيضا باسم TRISIS أو Hatman). انتشرت أخبار Triton لأول مرة في عام 2017 ، عندما تم اكتشاف البرامج الضارة في أنظمة مصنع للبتروكيماويات في الشرق الأوسط.
مع الغرض من إعادة برمجة وإساءة استخدام ضوابط نظام Triconex Safety Instrumented System (SIS) في المصنع ، كان لهذا الهجوم بالذات القدرة على التسبب في تأثير بيئي كبير على العالم البحري ، وحتى خسارة محتملة في الأرواح البشرية بسبب احتمال الانفجار.
عادت تريتون، التي سميت بالتناوب أكثر البرامج الضارة دموية وخطورة في العالم، إلى الظهور مرة أخرى في عام 2019، مستهدفة إطارات شبكات التكنولوجيا الصناعية الأخرى.
كيف تعمل تريتون؟
وكما تفعل جميع الفيروسات المماثلة، تهدف تريتون إلى تعريض أنظمة السلامة الخاصة بأجهزة التكنولوجيا الصناعية للخطر، مما يؤثر بشكل مباشر على الأمن التشغيلي للماكينة من خلال التسلل إلى البرنامج الذي يتحكم فيها. كشفت دراسة حديثة أجراها الشريك الرئيسي لشركة الحلول التقنية المتطورة، Cisco Systems ومختبر أمان إنترنت الأشياء الخاص بها ، عن تفاصيل إجراء هجوم البرامج الضارة.
بعد الوصول إلى شبكة تكنولوجيا المعلومات الداخلية لمصنع بترو رابغ ، ذهب تريتون إلى أبعد من ذلك للتسلل إلى شبكة التكنولوجيا التشغيلية (OT) ، مما يعرض محطة هندسية داخل نظام السلامة للخطر. من هذه المحطة ، تم إطلاق قطارة (trilog.exe) ، والتي تم إجراؤها عن طريق الهندسة العكسية لبروتوكول السلامة الحالي – TriStation. تستخدم أنظمة أدوات السلامة ، مثل Triconex ، لمراقبة قيم العملية والمعلمات من أجل تقييم جميع المخاطر المحتملة ضمن خطة التشغيل الصناعية. بمجرد أن يكون هناك أكثر من خطأ هامشي في العملية التشغيلية ، فإن الغرض من SIS هو تنشيط أنظمة الإنذار واستعادة السيطرة على إجراءات الإنتاج ، مما يؤدي أساسا إلى إنشاء السلامة بأي وسيلة ضرورية ، مما يعني ، في كثير من الأحيان ، التوقف المؤقت عن التصنيع ، مما يؤدي إلى خسارة كبيرة في الوقت ورأس المال. ومع ذلك ، بدون أنظمة السلامة هذه وبروتوكولات الطوارئ الخاصة بها ، فإن احتمال حدوث مخاطر بيئية أو مالية أو مخاطر سلامة الموظفين أمر كبير.
كان الهدف من قطارة Triton ، التي تسللت إلى SIS ، هو تسليم ملفات الباب الخلفي الضارة إلى وحدة التحكم المنطقية القابلة للبرمجة (PLC) في المصنع. كان من شأن القيام بذلك أن يمنح المهاجمين السيطرة الكاملة على النظام ، الذي كانوا يعتزمون التلاعب به لأجهزتهم الخاصة. لحسن الحظ ، بسبب خطأ في المناولة ، أغلق نظام تشغيل السلامة في المصنع وتوقف الإنتاج ، مما حال دون إطلاق الغاز والانفجار مع عواقب وخيمة محتملة. ما جعل هذا الهجوم مزعجا بشكل خاص هو حقيقة أنه مر دون أن يلاحظه أحد من قبل مهندسي غرفة التحكم ، فقط ليتم اكتشافه من قبل فريق من محققي شنايدر إلكتريك – بعد عدة أشهر.
خطط الحماية
طور أولئك الذين يعملون على الخطوط الأمامية لمكافحة البرامج الضارة مثل Triton عدة أنظمة لكشف هذه الهجمات ومواجهتها بكفاءة. وكما تظهر الطبيعة المعقدة بشكل متزايد للبرمجيات الخبيثة التي تستهدف المواقع الصناعية، يجب تمديد نطاق الأمن السيبراني ليشمل جميع مستويات التشغيل.
ويتم ذلك من خلال تطبيق بروتوكولات السلامة المختلفة على جميع مجالات الرصد والإدارة والتشغيل والإنتاج، بما في ذلك:
- الإشراف على نظام التحكم الصناعي (ICS)
- تطبيق الأمن السيبراني على البنية التحتية للتكنولوجيا التشغيلية (OT)
- تجزئة الشبكة
الإشراف على نظام التحكم الصناعي (ICS)
تتضمن المراقبة الدقيقة لانظمة التحكم الصناعية (ICS) في الموقع الصناعي عدة عمليات. تبدأ بجرد الأصول، ثم تشمل مراقبة شبكات التحكم والبيانات في الوقت الفعلي بعناية، مع الاستعانة بفرق استخبارات التهديدات ذات الخبرة للمساعدة في إنشاء بنى تحتية آمنة وإجراء عمليات تدقيق روتينية لبروتوكولات السلامة. عند تنفيذ هذه الإجراءات على نطاق واسع وشامل، يضمن هذا الجانب من الأمن السيبراني حماية مستمرة وموثوقة للعمليات الصناعية.
تطبيق الأمن السيبراني على البنية التحتية للتكنولوجيا التشغيلية
بعد إجراء جرد لجميع أصول أجهزة الشركة، يشمل تأمين البنية التحتية أيضًا مراقبة أنماط الاتصال اليومية. كما تساعد مراقبة طوبولوجيا الشبكة على تتبع تدفق وهيكل عملية الإنتاج بشكل أفضل.
تجزئة الشبكة
جانب آخر مهم من الحماية ضد التهديدات السيبرانية هو تقسيم الشبكة. يوصي الخبراء بسياسات تجزئة تتماشى مع مناطق وقنوات IEC62443. حتى إذا تعرضت منطقة واحدة للهجوم، فإن التقسيم يساعد في حماية كامل البنية التحتية الصناعية.
وعند النظر في أمن الموقع الصناعي بأكمله، سواء من حيث تهديدات تكنولوجيا المعلومات أو أنواع مختلفة من مخاطر السلامة، يجب أن تكون تقنيات الكشف عن التهديدات شاملة. وتشمل هذه التقنيات تحليل البروتوكول، والكشف عن التسلل، والتحليل السلوكي، والمعلومات الاستخباراتية عن تهديدات تكنولوجيا التشغيل لتحديد نقاط الضعف في الأصول. كما تساعد هذه العمليات في جمع وتصنيف البيانات، وخاصة تقارير الحوادث، والتي تعتبر مهمة عند إجراء فحوصات السلامة بشكل روتيني والإبلاغ عنها لتلبية لوائح السلامة الموحدة في مجال الصناعة.
الدروس المستفادة
في حين أن دمج شبكات تكنولوجيا المعلومات والسحابة والتحكم الصناعي (ICS) في الثورة الصناعية الرابعة (الصناعة 4.0) كان يدفع الصناعة بجرأة إلى الأمام في العقود الأخيرة ، فإن اتجاه رقمنة سلاسل القيمة الرأسية والأفقية قد فرض أيضا تحديات غير مسبوقة للأمن السيبراني الصناعي.
تتضمن حماية الشبكات الداخلية زيادة مراقبة جميع العمليات الآلية ، وخاصة تلك التي تنطوي على أنظمة فيزيائية سيبرانية (CPS) و IIoT ، إلى جانب نقل البيانات والحوسبة السحابية.
من خلال الإشراف الكافي والخاضع لرقابة مشددة على الإجراءات الصناعية ، سواء تكنولوجيا المعلومات أو التكنولوجيا التشغيلية ، لا تحمي الصناعة نفسها فحسب ، بل تحمي مستهلكيها والجمهور الأوسع.
