كتب : صابر محمد
كشف تقرير حديث صدر من كاسبرسكي بعنوان "حالة الأمن الرقمي الصناعي في حقبة الرقمنة" عن أكبر العقبات التي تمنع أو تؤخر تنفيذ مشاريع الأمن الرقمي الصناعي، والتي تشمل العجز عن إيقاف الإنتاج (34%) والخطوات البيروقراطية مثل الإجراءات المطوّلة للحصول على الموافقات (31%) وكثرة صانعي القرار (23%). وقد تصبح هذه العوائق نقطة حرجة في ظلّ الظروف التي فرضتها جائحة كورونا، نظرًا لأنها يمكن أن تؤثر في تنفيذ مبادرات أمن التقنيات التشغيلية ذات الصلة بالجائحة.
ويتواصل سباق الأمن الرقمي بين المنشآت الصناعية والجهات التخريبية التي تقف وراء كثير من التهديدات التي تضرب بهجمات بارزة سنويًا العديد من نُظم الرقابة الصناعية. لكن العام الجاري أسفر عن تحدياته الخاصة نتيجة الأوضاع الراهنة المرتبطة بجائحة كورونا، بالإضافة إلى مشهد التهديدات الحالي، إذ يتعين على المنشآت الصناعية أن تتكيّف بين عشية وضحاها مع المعايير الجديدة، التي تضمّ التحوّل إلى العمل عن بعد، ورقمنة أدوات العمل، وتلبية متطلبات التعقيم والتنظيف الجديدة، علاوة على مواجهة التهديدات المحدّدة التي تنشط في الأوقات الاستثنائية كالجوائح، وتشمل النمو الهائل في هجمات التصيّد. لذلك وجب على المنشآت التأكد من أن وسائل الأمن والحماية الرقمية التي تملكها محدثة ومواكبة للمتطلبات التي تفرضها هذه التغييرات، وأنه ما من منافذ مفتوحة هنا أو هناك قد تُستغلّ في أنشطة تخريبية ضمن شبكات نظم الرقابة الصناعية.
ومن اللافت أن معظم العوائق المذكورة، والتي يتعين على المنشآت التغلّب عليها عند تنفيذ مشاريع الأمن الرقمي، يشير إلى عقبات بيروقراطية لا فنية؛ فنحو نصف إجمالي المنشآت (46%) تواجه تأخيرات تتعلّق بالإجراءات الروتينية. وتُعدّ الإجراءات المطوّلة للحصول على الموافقات المطلوبة للمشاريع وكثرة صناعي القرار، أكثر العوائق انتشارًا، في حين يبرز بينها كذلك الإجراءات المطوّلة في عمليات اختيار الموردين والمشتريات، فضلاً عن التدخّلات من الإدارات الأخرى.
العوائق التي تقف في وجه تنفيذ المشاريع الأمنية الخاصة بالتقنيات التشغيلية أو نظم الرقابة الصناعية
وتزداد أهمية معالجة هذه العوائق في الفترة الراهنة التي أعقبت الإغلاقات العامة في مختلف القطاعات نتيجة الجائحة؛ إذ كشفت دراسة كاسبرسكي الاستطلاعية عن أن ما يقرب من نصف المنشآت (46%) تتوقع حصول تغييرات في أولوياتها الأمنية المتعلقة بالتقنيات التشغيلية جرّاء الجائحة. ومن المرجّح أن تحتاج المنشآت إلى إحداث تغييرات ارتجالية في استراتيجياتها الأمنية ما يقتضي الإسراع في تنفيذ ممارسات الأمن الرقمي الجديدة. ومع أن هذه التغييرات تتسم بالصعوبة أصلًا، نظرًا للمتطلبات الدقيقة التي تفرضها التقنيات التشغيلية، فإن عوائق التنفيذ قد تفرض صعوبات أكثر وأعقد وتزيد من بطء التغيير المنشود، بل إن على بعض المنشآت أن تكون أكثر وعياً وحذرًا بعد محاولاتها التغلب على هذه الصعوبات بخفض الموازنات المخصصة لأمن التقنيات التشغيلية، وهو العائق الذي واجهته 24% من المنشآت المشاركة في الدراسة.
ويصعب على المنشآت استثمار الأموال والموارد في مشاريع لا تحقق عائدًا واضحًا على الاستثمار، مثل مبادرات الأمن الرقمي، بحسب جورجي شيبولداييف رئيس مركز النمو في كاسبرسكي، الذي اعتبر أن وجود العوائق الإدارية طبيعي بالنظر إلى أن الأمن الرقمي للتقنيات التشغيلية "ما زال مجالًا ناميًا"، وقال: "نستطيع بوصفنا شركة منتجة للحلول الأمنية المتقدمة مساعدة العملاء على إزالة هذه العقبات وتبسيط تنفيذ تدابير الحماية وتسريعها، فمهمتنا تتمثل في جعل العائد على الاستثمار أكثر شفافية وعرض المخاطر بوضوح أمام الشركات حتى يتمكن العملاء من إدراك المنافع وتبريرها بطريقة مقنعة أمام مجالس الإدارة إذا لزم الأمر".
وتقترح كاسبرسكي اتباع الخطوات التالية لمساعدة المنشآت الصناعية على تسريع تنفيذ مشاريع الأمن الرقمي الصناعي:
- إذا لم يكن لدى المنشأة ما يكفي من الخبرة والممارسة في مشاريع أمن نظم الرقابة الصناعية المعقدة، فمن الأفضل التدرّج في تنفيذ الحلول عبر البدء ببناء الإجراءات المؤسسية واعتماد تدابير الأمن الرقمي الأساسية مثل بوابات الأمن وحماية النقاط الطرفية، ثمّ الانتقال إلى مشاريع أكثر تعقيدًا مثل الرقابة الشبكية ومنع التسلل والإدارة الأمنية للمعلومات والحوادث (SIEM). ويمكن أن تساعد المعايير الصناعية، مثل شهادات ISO أو إرشادات IEC، في تنظيم الطرق المتبعة وزيادة سرعة تنفيذ المشاريع.
- استحداث ممارسة يجري بموجبها تنفيذ جميع أنظمة التقنيات التشغيلية الجديدة مع مراعاة دمج الأمن الرقمي بها، ما من شأنه تبسيط المزيد من إجراءات الحماية ومنح فريق الأمن الفرصة لتجربة أدوات حماية جديدة على مكونات البنية التحتية هذه.
- إتاحة مجال التعليم والتدريب الذي يشمل التدريب الأمني المحدّد لنظم الرقابة الصناعية، أمام جميع الفرق، مثل مسؤولي أمن تقنية المعلومات ومهندسي التقنيات التشغيلية، ومع إتاحة التوعية الأمية العامة لجميع الموظفين. ومن شأن هذا أن يساعد مختلف الفرق على فهم المخاطر والمسؤوليات المناطة بكل منها، ورفع المستوى العام للوعي بالأمن الرقمي.
- اختيار حل موثوق به للأمن الرقمي يناسب مكونات التقنيات التشغيلية وشبكاتها، والتعامل مع شركاء موثوق بهم لتنفيذه. يتضمن حل Kaspersky Industrial CyberSecurity حماية مكرّسة للنقاط الطرفية ومراقبة الشبكة، علاوة على الخدمات والمعلومات التي تهمّ خبراء نظم الرقابة الصناعية. وتمكّن الخدمات المعنيين من تقييم الأمن الرقمي والاستجابة للحوادث والحصول على أحدث البيانات حول التهديدات الناشئة وكيفية التعامل معها. هذا وقد تكون نتائج تقييمات الأمن الرقمي مفيدة في تبرير مشاريع الحماية الأمنية أمام مجلس الإدارة.
يمكن الاطلاع على التقرير الكامل "حالة الأمن الرقمي الصناعي في حقبة الرقمنة" على صفحة الويب. ويمكن الحصول على معلومات أوفى حول حلول كاسبرسكي للمنشآت الصناعية