شهر الأمن السيبراني: بعد 20 عاما – ما الذي تغير منذ أول هجوم إلكتروني في التكنولوجيا التشغيلية OT؟
هذه المقالة هي جزء من سلسلة ATS المكونة من أربعة أجزاء والتي تسلط الضوء على أهمية شهر الأمن السيبراني – في الأجزاء السابقة ، استكشفنا أفضل الممارسات في مجال الأمن السيبراني اليوم وسلطنا الضوء على بعض حالات الجرائم السيبرانية الأكثر شهرة من العام الماضي.
هنا ، سنلقي نظرة على عالم لوائح الأمن السيبراني – من أول حالة تم نشرها على نطاق واسع لهجوم إلكتروني في عام 1988 إلى أول هجوم إلكتروني OT حدث قبل 20 عاما في أستراليا. لقد تغيرت التدابير والسياسات على مدار العقود القليلة الماضية ، في محاولة لمواكبة المشهد المتطور باستمرار للتهديدات السيبرانية لأنظمة OT.
أمثلة على الهجمات الإلكترونية المبكرة
تمثل دودة موريس واحدة من أقدم الأمثلة على هجوم إلكتروني كبير على نظام تكنولوجيا المعلومات حدث في عام 1988. بعد تطوير البرمجيات الخبيثة والتكنولوجيا التشغيلية الصناعية ، استغرق الأمر عدة سنوات أخرى حتى تصبح الهجمات السيبرانية على بيئات OT حقيقة واقعة.
ومن الأمثلة المبكرة على الهجوم المدمر على نظام OT اختراق نظام المياه Maroochy منذ أكثر من 20 عاما ، في أستراليا. وفي آذار/مارس 2000، وفي أعقاب سلسلة من الأعطال، سواء في المعدات المادية أو في نظام الشبكة، اكتشف مهندس أن إشارة تردد الراديو (RF) المستخدمة للتحكم في محطات ضخ مياه الصرف الصحي يجري العبث بها.
في حين بدا أن التسلل ، في البداية ، قد أثر فقط على مضخات الصرف الصحي (التي توقفت عن العمل) ، فإن أجهزة الإنذار لم تبلغ أبدا عن التجاوز إلى الكمبيوتر المركزي. وعلاوة على ذلك، كان هناك انهيار كامل للاتصالات بين مختلف محطات الضخ والحاسوب المركزي.
وعندما ألقي القبض على الجاني فيتيك بودن وألقي القبض عليه، اكتشف أنه استخدم حاسوبا محمولا ومعدات للمراقبة الإشرافية والحصول على البيانات للعبث بعمل حوالي 150 محطة محلية لضخ مياه الصرف الصحي والتأثير عليها. وعلى مدى عدة أشهر، أطلقت ملايين الجالونات من مياه الصرف الصحي في المجاري المائية والحدائق المحلية، مما شكل خطرا هائلا على الصحة العامة وخلق أزمة بيئية محلية.
“ماتت الحياة البحرية ، وتحولت مياه الخور إلى اللون الأسود وكانت الرائحة الكريهة لا تطاق بالنسبة للسكان” ، حسبما نقل عن ممثل عن وكالة حماية البيئة الأسترالية في ذلك الوقت.
شهدت أعقاب الهجوم إعادة تقييم أنظمة SCADA وتم اكتشاف نقاط الضعف. بالإضافة إلى ذلك ، أصبح من الواضح أن أحد أسباب عدم ملاحظة الهجوم وإيقافه في وقت أقرب ، هو أن نظام المياه Maroochy لم يكن لديه سياسات أو إجراءات للأمن السيبراني. ولا حتى الأساسيات، مثل التحكم في وصول المستخدم أو تحديد المستخدمين والمصادقة عليهم.
أثار هذا الحادث شعلة من الاعتراف الأوسع بأهمية وجود لوائح للأمن السيبراني الصناعي. تم تقديم مشاريع قوانين وتشريعات جديدة لتأخذ في الاعتبار نقاط الضعف الإدارية وسلسلة التوريد والمادية الحرجة. وعلى الرغم من ذلك، شهدنا في العقدين التاليين ارتفاعا كبيرا في عدد وأنواع البرامج الضارة التي تستهدف التكنولوجيا التشغيلية الصناعية.
بدأ الاعتراف على نطاق أوسع بأهمية لوائح الأمن السيبراني الصناعي في الارتفاع في أعقاب حادث ماروتشي. تم تقديم مشاريع قوانين جديدة لتأخذ في الاعتبار نقاط الضعف المادية والإدارية وسلسلة التوريد الحرجة.
الاستجابة التشريعية
وفي عام 2001، تم تحديث الإطار التشريعي الأسترالي بقانون جديد تماما للجرائم السيبرانية لعام 2001. ويسعى قانون الجرائم السيبرانية إلى تنظيم الجرائم الحاسوبية – بجميع أشكالها وأحجامها – ولكن أيضا إلى استخدام بعض الأحكام المفيدة في التشريعات السابقة التي قدمت المساعدة في الحد من الجريمة السيبرانية.
وبالإضافة إلى ذلك، أطلقت وزارة الاتصالات وتكنولوجيا المعلومات والفنون الأسترالية جهدا لإقناع موظفي الإدارة العليا بالمخاطر المحتملة على أنظمة SCADA، والتي شملت عددا من الضوابط المنطقية والمادية والإدارية لإدارة المخاطر.
بالإضافة إلى ذلك ، تمتلك أستراليا فريق الاستجابة لطوارئ الحاسب الآلي الخاص بها – المسمى بجدارة AusCERT – ولدى الحكومة الأسترالية مركز الأمن السيبراني الأسترالي الخاص بها ، والذي يعد جزءا من مديرية الإشارات الأسترالية الأكبر ، والتي يديرها وزير الدفاع نفسه.
ومع ذلك ، فقد مر أكثر من 20 عاما منذ ذلك الحين – وشهدنا ارتفاعا كبيرا في عدد وتنوع البرامج الضارة التي تستهدف OT الصناعية ، مع عدم وجود إطار عالمي واحد مصمم لمكافحة هذه المشكلة. الوضع الحالي لتنظيم الأمن السيبراني هو بدلا من ذلك فريد من نوعه لكل بلد ، مع العديد من المشرعين الذين يسعون جاهدين لتشكيل دفاعاتهم الخاصة. هذا واضح بشكل خاص في حالة الوضع الحالي لسياسة الحماية السيبرانية في الولايات المتحدة.
تنظيم الأمن السيبراني في الولايات المتحدة
في حين سعت بعض المنظمات إلى إنشاء نظام موحد لتدابير الأمن السيبراني ، مثل الاتحاد الأوروبي ، فإن الولايات المتحدة ليس لديها قانون فيدرالي موحد ينظم الأمن السيبراني وجميع القضايا ذات الصلة. بدلا من ذلك ، لدى الولايات الفردية مشاريع قوانين الأمن السيبراني الخاصة بها ، إلى جانب قوانين إخطار خرق البيانات.
هذا المشهد التشريعي الضخم، وغير المتناغم في بعض الأحيان، الذي يغطي جميع الولايات ال 50 يمكن أن يمثل تحديا قويا للشركات والمنظمات التي تسعى إلى القيام بأعمال تجارية في جميع أنحاء البلاد.
بالإضافة إلى هذه الشبكة المربكة بالفعل من السياسات الفردية، تستمر أعداد التشريعات الجديدة المقترحة في الارتفاع. ومن أجل مواكبة الأوقات المتغيرة، قدم مجلس الشيوخ الأمريكي أو نظر في أكثر من 280 مشروع قانون أو قرارا للأمن السيبراني في عام 2020 وحده، وناقش زيادة العقوبات المفروضة على مجرمي الإنترنت، والتنظيم من خلال التأمين، وإنشاء فرق عمل للأمن السيبراني، وتنفيذ التدريب الأمني.
وتشمل بعض مشاريع القوانين الجديدة هذه سياسات فيدرالية مهمة مثل قانون تحسين الأمن السيبراني لإنترنت الأشياء (IoT) وقانون تحسين الأمن السيبراني على مستوى الولاية وعلى المستوى المحلي.
قانون تحسين الأمن السيبراني لإنترنت الأشياء
أصبح هذا القانون قانونا في ديسمبر الماضي ، وأملى على المعهد الوطني للمعايير والتكنولوجيا (NIST) ومكتب الإدارة والميزانية (OMB) تطوير وإصدار مبادئ توجيهية وسياسات ومبادئ موحدة للوكالات الحكومية الأمريكية من حيث الاستخدام والإدارة المناسبين لتقنيات إنترنت الأشياء.
لم نر بعد ما تستلزمه هذه المجموعات من المعايير ، وكيف سيتم التعامل مع التنفيذ على مستوى البلاد ، ولكن القانون هو علامة واعدة على الأهمية المتزايدة لأمن شبكة إنترنت الأشياء.
قانون تحسين الأمن السيبراني على مستوى الولاية وعلى المستوى المحلي
ومن المبادرات الأخرى التي ركزت على الحماية السيبرانية للكيانات الحكومية قانون تحسين الأمن السيبراني على مستوى الولايات والمحليات، الذي منح تمويلا بقيمة 400 مليون دولار لوزارة الأمن الداخلي. كما كلف هذا القانون وزارة الأمن الداخلي ووكالة أمن البنية التحتية (CISA) بإنشاء استراتيجية دفاعية متعمقة من أجل تعزيز الدفاع عن جميع الكيانات الحكومية – سواء كانت محلية أو ولائية أو إقليمية أو قبلية.
في الختام
أدى العدد المتزايد من لوائح الأمن السيبراني في السنوات الأخيرة إلى تفتيت السياسات في جميع أنحاء الولايات المتحدة الأمريكية ، وخلق شبكة معقدة من متطلبات الامتثال ، مما أجبر كل مؤسسة على البحث عن المعايير الفردية التي تنطبق فقط على قطاع الصناعة الخاص بها والامتثال لها.
كما أن عددا متزايدا من اللوائح يضع قدرا كبيرا من المسؤولية على عاتق المنظمات لتكون مسؤولة عن تصرفات بائعيها. هذا هو السبب في أن المزيد والمزيد من الشركات تتحول إلى حلول الأمن السيبراني التي تضمن تقديم تقارير منتظمة وضمان الامتثال.
من الواضح أن خليط التشريعات المتعلقة بأمن المعلومات والأمن السيبراني وخصوصية البيانات قد شكل تحديا للتعامل معه في السنوات الماضية.
ومع ذلك، من المتوقع أن يتغير كل هذا قريبا. في مايو من هذا العام، بعد هجوم إلكتروني مؤثر بشكل خاص على كولونيال بايبلاين الذي أدى إلى حالة الطوارئ الإقليمية في 17 ولاية أمريكية، أصدر الرئيس جو بايدن أمرا تنفيذيا لزيادة حماية الشبكات الحكومية.
وتضمن هذا الأمر، وفقا للبيان الصحفي الصادر عن البيت الأبيض، مطالب بما يلي:
- إزالة الحواجز التي تحول دون تبادل المعلومات المتعلقة بالتهديدات بين الحكومة والقطاع الخاص
- تحديث وتنفيذ معايير أقوى للأمن السيبراني في الحكومة الاتحادية
- تحسين أمان سلسلة توريد البرامج
- إنشاء مجلس مراجعة سلامة الأمن السيبراني
- إنشاء دليل قواعد تشغيل قياسي للاستجابة للحوادث السيبرانية
- تحسين الكشف عن حوادث الأمن السيبراني على شبكات الحكومة الاتحادية
- تحسين قدرات التحقيق والمعالجة.
والواقع أن هذا الدفع نحو نظام دفاعي أكثر توحيدا في حكومة الولايات المتحدة، كما يتوقع الكثيرون، سوف يكون له تأثير ضئيل. وبما أن المصنعين والبائعين سيسعون جاهدين لتلبية المعايير الفيدرالية، فإن ذلك سيحفز الشركات الأخرى غير التي تتخذ من الولايات المتحدة مقرا لها على أن تفعل الشيء نفسه من أجل المنافسة في السوق العالمية – بناء نهج دفاعي أكثر توحيدا في جميع أنحاء العالم.
هل تبحث عن مورد مفيد لحماية عملك من مشكلات وهجمات الأمن السيبراني؟ لقد قمنا بتغطيتك.
قم بتنزيل أساسيات الأمن السيبراني الحصرية من ATS: قائمة التحقق من نقاط الضعف.
