صناعة

لماذا تقوم الصناعات في البنية التحتية الحرجة بتقييمات ضعف الأمن السيبراني

لماذا تقوم الصناعات في البنية التحتية الحرجة بتقييمات ضعف الأمن السيبراني


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

لقد سمعنا لسنوات تحذيرات يوم القيامة بوجود تهديد إلكتروني وشيك وفي كل مرة سيكون "أكبر وأسوأ". من مسلسلات تلفزيونية مثل Mr. Robot (2015) لعرض أفلام مثل Live Free أو Die Hard (2007) قيل لنا أنه بسبب الاتصال المفرط في المجتمع الذي يتيحه الإنترنت وميلنا المتزايد للاعتماد على هذه التكنولوجيا ، فهي أيضًا أعظم ما لدينا ضعف.

نقطة رئيسية في الاستغلال.

حسنًا ، هذا صحيح تمامًا إلى حد ما ، إنها نقطة أساسية يمكن استغلالنا فيها. الآن ، عادةً عندما يذكر شخص ما اختراقًا قد تعتقد لنفسك ، "نعم مثل عندما سُرقت صور هذا الشخص" وستكون على صواب ، ولكن المستوى التالي هو عندما يمكن أن يؤدي الاختراق إلى ضرر جسدي أيضًا.

لا يقتصر الأمر على كوننا بشرًا متصلين ، ولكن أيضًا الأنظمة والبنية التحتية التي نستخدمها كل يوم للعمل كمجتمع ، والأدوات التي بنيناها تحولت ضدنا وما هو أكثر من ذلك ، أن هذه الهجمات تحدث عن بُعد عبر الإنترنت.

لكن هذا مجرد فيلم افتراضي ، أليس كذلك؟

خطأ. حدث هذا النوع من الأشياء بالفعل في عام 2010 بهجمات مثل Stuxnet الشهير ، وهو أول سلاح رقمي من نوعه ، وأكثر من ذلك بكثير منذ ذلك الحين. غيّر هذا الحدث بشكل أساسي ما يعنيه نشر هجوم إلكتروني بهذه الضربة على البنية التحتية للدول ، وكان استهداف أنظمة SCADA هو الخطوة الرئيسية الأولى نحو هجوم رقمي يتسبب في ضرر مادي.

يعني عصر الرقمنة أن المزيد والمزيد من أنظمة التحكم هذه تتزايد في نطاقها والتقنيات المستخدمة تعني ظهور مصطلح التكنولوجيا التشغيلية بدلاً من تقنية المعلومات ، لتحديد الأجهزة والبرامج والأنظمة المستخدمة في هذا النوع من البيئة.

حسنًا ، لقد أثبتنا أن هناك بعض الهجمات الإلكترونية المتطورة جدًا ، والتي يبدو الآن أنها تستهدف البنية التحتية الحيوية ، ألا يمكننا أن نفترض أننا ببساطة بحاجة إلى أعلى معايير الأمان لمنع هذه الاختراقات الكبيرة؟

الجواب هو نعم ولا. يمكنك بناء جدار منخفض أو مرتفع ، واعتمادًا على الارتفاع الذي تريده لبناء الحائط الخاص بك ، سيزداد السعر ، بينما ستنخفض الوظيفة والأداء وفقًا لذلك. لذلك ليس من الممكن دائمًا أن يكون لكل مالك بنية تحتية حيوي وضع جزء كبير من موارده المالية على الأمن السيبراني "العادل".

إن قياس الجدار الذي يمثل الأمن السيبراني ليس بالمهمة السهلة ، ولكن أداة قياس واحدة لدينا هي مقارنته بمعيار. نعم ، تلك المعايير الجميلة التي ينتهي بها المطاف لجميع المهندسين على دراية بها.

ستقول بعض المعايير ، للحصول على النظام ، يجب أن تحصل على تقييم الضعف السيبراني (CVA) على النحو المحدد في NERC-CIP-101-2. ما هو النظام الذي تعتقد أنه أكثر أمانًا: نظام لم يتم اختراقه من قبل ، أو نظام تم اختراقه عدة مرات ، ولكنه حسن مستوى الأمان في كل مرة؟

نحن نعلم الآن أنه يتم تنفيذ CVA ، لكن لماذا ، لماذا الآن؟

فيما يلي 3 محركات رئيسية:

1. زيادة الهجمات الإلكترونية

على مر السنين ، رأينا تقارير عن التهديدات والقرصنة الرئيسية مثل WannaCry أو هجمات 2017 NotPetya ضد أوكرانيا ولكن مع ترك العالم كضمان. هناك العديد من الاختراقات الأخرى التي ربما تكون قد سمعت عنها ، مثل تسريبات كبيرة للبيانات ، وبرامج الفدية ، وما إلى ذلك ، ولكن هذه الهجمات الإلكترونية ، على وجه الخصوص ، تسببت في ضرر مادي أو بيئي أيضًا.

ربما كانت NotPetya ، على وجه الخصوص ، واحدة من أولى الحوادث التي قد يعتبرها الأشخاص في الصناعة فعلًا من أعمال الحرب الإلكترونية. تم استهداف أمة على وجه التحديد بأمة يوم الصفر المعروفة وأمة أعلنت حتى Microsoft أنها لديها تصحيح لها. لكن الهجوم جاء في وقت مبكر جدا. من السابق لأوانه تحديث غالبية أجهزة الكمبيوتر قبل الهجوم. فقط تخيل الحالة التي لا يمكنك فيها العودة إلى المنزل لأنه ليس لديك نقود. أنظمة الدفع معطلة ، تبحث عن ماكينة صراف آلي ، بها شاشة برامج فدية تقرأ

"نظامك مشفر. ادفع لنا 2 BTC لإلغاء التشفير."

هذا مشهد غريب للغاية ، وعلى الرغم من أن هذا لم يصيب منزلك أو المكان الذي تعيش فيه أو تعمل ، إلا أن حقيقة الأمر هي أن عدد الهجمات يتزايد.

2. التشريع

أفضل الممارسات الهندسية في حين كانت هناك دائمًا أفضل الممارسات الهندسية والمعايير ، فقد أصبح الأمر أكثر فأكثر أن الحكومات تطلب من الشركات تلبية معايير الأمن السيبراني. ليس فقط في الولايات المتحدة ، وهو ما تتوقعه ، ولكن حتى في أستراليا مع هيئات مثل مركز الأمن السيبراني الأسترالي. على الرغم من أن بعض الهيئات ليست سوى إرشادات أو أفضل الممارسات وليست تشريعية ، لا يمكنك إنكار اتجاه ووعي الدول التي تتناول الأمن السيبراني للصناعة والبنية التحتية الحيوية.

قد تعتقد حتى أن أستراليا ليست هدفًا عاليًا بشكل خاص - وستكون على صواب.

كانت هذه وجهة نظري جزئيًا من الإشارة إلى تحركات أستراليا ، وهي أنه حتى مع وجود "هدف" منخفض نسبيًا ، فهذه منطقة مهمة جدًا يجب أن تكون على دراية بها ، على الأقل وفقًا للحكومة. انظر فقط إلى عدد الهجمات المحتملة التي تحدث في جميع أنحاء العالم حيث تقوم أستراليا في الغالب بعملها الخاص.

إذا لم تكن قد شاهدت هذه الأنواع من مواقع الهجمات الإلكترونية الحية قبل أن تعطيك بعض المؤشرات عن مقدار حركة المرور على الإنترنت التي تمثل تهديدًا إلكترونيًا في فئات البرامج الضارة أو التصيد الاحتيالي أو عمليات الاستغلال.

3. الرقمنة / الصناعة 4.0

كان هذا الاتجاه يتراكم بشكل خاص خلال السنوات الخمس إلى العشر الماضية حيث يمكنك رؤية الكلمات الصناعية IOT. لم نصل إلى هناك بعد ولكننا على وشك الحدوث ، وإذا كنت تعرف أي شيء عن تاريخ الصناعة ، فأنت تعلم أن الثورة الصناعية الأولى في القرن الثامن عشر الميلادي كانت بمثابة الانتقال إلى البخار ، وبين 1700 إلى 1800 جاءت الثورة التالية في شكل من أشكال التكنولوجيا الفائقة ، ولا سيما الكهرباء. كانت الصناعة 3.0 هي استخدام أجهزة الكمبيوتر وقدرات الأتمتة المحسّنة ، والآن في الصناعة 4.0 نحن الآن على قدم وساق في "الرقمنة" وزيادة الاتصال وزيادة البيانات لاتخاذ قرارات مستنيرة وبالطبع مزيد من اليقظة بشأن الأمن السيبراني.

هناك أيضًا حقيقة أن الطلب على وظائف الأمن السيبراني يتزايد منذ 6 سنوات وفقًا لشركة IBM وليس هناك سبب لرؤية هذا الاتجاه يتحرك بعيدًا حيث أصبح العالم أكثر ارتباطًا وكمية متزايدة من جوانب حياتنا يعتمد على البنية التحتية الحيوية.

لا يمكن التحويل الرقمي أو الاتصال دون رفع معايير الأمن السيبراني أولاً. ضع في اعتبارك الخدمات المصرفية عبر الإنترنت ، فالجميع يفعل ذلك الآن ، ولكن بدون الأمان الذي يوفره تشفير https والقدرات السيبرانية المتزايدة لكل من البنوك والتكنولوجيا ، فمن الأفضل أن تعتقد أنه لا يوجد أحد يقوم بالخدمات المصرفية عبر الإنترنت.

تحقق من مخطط المعلومات الرسومي المثير للاهتمام حيث ستلاحظ أن مفهوم الخدمات المصرفية عبر الإنترنت كان موجودًا في عام 1994 وبحلول عام 2005 بدأت المؤسسات المالية تطلب من البنوك أداءالتقييمات القائمة على المخاطرمن بين تدابير أمنية أخرى.

و هاهو.

كما ترى ، هذه هي الطريقة التي تسير بها الصناعة ، ولا تفهموني بشكل خاطئ ، فقد كانت هناك أفكار وبعض التنفيذ لأمن الشبكات في الصناعة ، إنه ليس بهذا التعقيد. استند معظمها إلى حل "فجوة الهواء" سيئ السمعة وبينما يبدو أن هذا يحل جميع المشكلات ، إلا أنه لم يحدث ، وقد تغيرت كل من الأوقات والاحتياجات والمشاكل والتكنولوجيا. الصناعة تتخلف بشكل عام عن التكنولوجيا الحالية من 5 إلى 10 سنوات نظرًا لوجود قيمة عالية توضع على "الحلول المثبتة" في الصناعة.

كانت تقييمات نقاط الضعف موجودة منذ 15 عامًا على الأقل ، والآن أصبحت ضرورية للصناعة ، ولكن هذا ليس مجرد تمرين نسخ ولصق حيث يتم استخدام نفس التقنيات. الأمر مختلف تمامًا نظرًا للاختلافات بين نظام تكنولوجيا المعلومات ونظام التشغيل الإضافي ، والمتطلبات مختلفة تمامًا وفي جوهرها في بيئة التشغيل الإضافي ، يجب أن يستمر العرض ، ولا يمكنك التأثير على العمليات أثناء القيام بأي من أنشطة CVA.

بصفتي متخصصًا في الأمن السيبراني في OT ، فقد أتيحت لي الفرصة للذهاب إلى العديد من مواقع البنية التحتية الحيوية ويمكن أن أخبرك أن النهج مختلف تمامًا عن نهج تكنولوجيا المعلومات القياسي. إن إدراك الصناعة لأهمية CVA يعني أنها بدأت تصل إلى مرحلة النضج حيث يمكن أن تتم هذه الأنشطة بأمان حتى في بيئة OT.

البنية التحتية الحرجة لا داعي للخوف.

استنتاج

لقد تغيرت احتياجات العمل والتكنولوجيا والمجتمع على مر السنين ويتم تحقيق الدافع لتحقيق كفاءات أفضل على الصعيدين المالي والبيئي من خلال البيانات. وهذا يعني وجود صناعة أكثر ارتباطًا وتعتمد كليًا على حلول فجوة الهواء التقليدية لأن حل الأمن السيبراني لن يقطعها بعد الآن.

ازدادت الهجمات وتركز الدول الآن على تحسين جهود الأمن السيبراني تجاه الصناعة والبنية التحتية الحيوية. لا ترجع الزيادة في تقييمات نقاط الضعف في الأمن السيبراني في الصناعة إلى الحرب الإلكترونية الوشيكة ، على الرغم من أنها مفيدة ، ولكن بناء أي حل يتطلب تحديد المشكلة نفسها وتحديدها بشكل صحيح. هذا هو بالضبط ما يمكن أن يساعد CVA شركة في الصناعة على تحقيقه ، وحماية عملياتهم التي تحافظ على سلامة العمل وسلامة البشر.

بدأت الصناعة في اللحاق بالركب.


شاهد الفيديو: المحاضرة الأولى: دورة الأمن السيبراني (يوليو 2022).


تعليقات:

  1. Avernus

    أنا نهائي ، أنا آسف ، لكنه على الإطلاق لا يقترب مني. ربما لا تزال هناك متغيرات؟

  2. Milo

    بشرى سارة

  3. Scully

    مثل علبة الفطائر ، سوف تبلى حتى الموت

  4. Eyab

    مبروك ، يا لها من الكلمات ... ، فكرة رائعة



اكتب رسالة