نحن بحاجةٍ إلى الحديث عن الأمن الصناعي: انطباعاتٌ من المؤتمر الإيبيري الأمريكي للأمن الصناعي

الحديث إلى الزملاء والزبائن المحتملين أثناء الفعاليات الكبرى للأمن الألكتروني ـ غالبًا ما يعود إليك، خاصةً إذا كان مجال اختصاصك هو حماية البنية التحتية الحيوية. هذا الجزء المُعيَّن من الجهد المبذول في أمن الإنترنت، لا يزال في مراحله الأولى؛ ولهذا السبب، فإن التواصل حول هذا الموضوع هو أكثر أهميةً بكثير. ولحسن الحظ، في سبتمبر/ أيلول حظيتُ بفرصةٍ لمناقشة الأمن الصناعي، مع عددٍ من المحترفين المتخصصين خلال المؤتمر الإيبيري الأمريكي الأول للأمن الصناعي.

وقد عُقد المؤتمر في مدريد، وأظهرت مجموعةٌ من العروض، الطائفةَ الواسعةَ من وجهات النظر، حول مدى الأهمية البالغة لتأمين البنية التحتية. تحدث البعض مباشرةً عن هذا الموضوع، ولكن بعض النقاشات كانت حول بعض المواضيع التي لا تمت إلى موضوعنا بأي صلة. كان الانطباع العام، أن الأشخاص العاملين في مجال الأمن الألكتروني الصناعي أذكياء جدًّا وشجعان، ولكن المشكلة هي أننا في حاجةٍ إلى أشخاصٍ إضافيين، حتى وإن كانوا ذوي تخصصاتٍ مختلفة ـ لهذا المجال؛ كي يتناولوا الأمر ويطوروه ويأخذوا بيديه إلى أبعد مما هو عليه الآن.

وفقًا لغارتنر، فإن عدد “القراصنة المحتملين” سيزداد عشرة أضعاف في العامَين المقبلَين. يُعد الاستثمار في الجهود التعليمية للأمن الألكتروني صلبًا، وهو أمرٌ جيد، ولكن لا يزال يوجد احتمالٌ قائمٌ بانضمام بعض الأشخاص إلى قوات “الجانب المظلم”، وهو ما يعني أن النطاق المحدود في أيامنا هذه، من الهجمات على المنشآت الصناعية ـ يمكن أن يزيد كذلك.

يُعد الاستثمار في الجهود التعليمية للأمن الألكتروني صلبًا، وهو أمرٌ جيد، ولكن لا يزال يوجد احتمالٌ قائمٌ بانضمام بعض الأشخاص إلى قوات “الجانب المظلم”، وهو ما يعني أن النطاق المحدود في أيامنا هذه، من الهجمات على المنشآت الصناعية ـ يمكن أن يزيد كذلك.

هذا هو التحدي الذي نواجهه، ولكن ما هو الحل؟ حسنًا، كما قلت من قبل، يلزم لذلك اتخاذ إجراءاتٍ من قِبَل مورِّدي الأمن الألكتروني. من المهم، تطوير حلولٍ للحماية مُصممةٍ للبنية التحتية الحيوية، و”كاسبرسكي لاب” تقوم بذلك بالفعل، جنبًا إلى جنبٍ مع مالكي النُّظم الصناعية، وحتى الحكومة.

وضع المؤتمر مثالًا جيدًا، من خلال عمله كزبونٍ متبصر. و”سابك” تسير في الاتجاه الصحيح أيضًا؛ حيث تقوم ليس فقط بتأمين الدوائر المتكاملة لديها، ولكن أيضًا تضع المتطلبات الأمنية في عقل المورِّدين، وهو أمرٌ عظيم. هذه المتطلبات “الفردية”، تحتاج إلى تحويلها لمتطلباتٍ نموذجية، وينتهي بها الأمر كمعيارٍ للأمن الصناعي. مثل هذه السيناريوهات، تعود حقًّا بالنفع على الصناعة كلها.

للاقتراب أكثر من الحصول على معيارٍ جديد، وأتمتة (مصطلح يعني تحويل الصناعة اليدوية إلى الآلية أو الأتوماتيكية) صناعية وأمن صناعي ـ تحتاج المؤسسات إلى التوصل لتعريفاتٍ مشتركةٍ للمصطلحات الأمنية، في أسرع وقتٍ ممكن.

المستقبل مشرق، ولكن ليس من دون مشاكل. تركز جميع المعايير الحالية تقريبًا (صناعية مثل NERC CIP، أو دولية مثل ISA99/62443، أو معايير الشركة الداخلية) ـ على وجود إجراءات ومجموعة من عناصر التحكم، تمثل النهج القائم على الامتثال. ولكن بصراحة، الامتثال ليس أمنيًّا. سيكون من الأفضل كثيرًا تبَنّي استراتيجيةٍ تعتمد على التهديدات الحقيقية؛ كالسؤال عما إذا كانت توجد بنية تحتية معينة مع نظام الحماية هذا أو ذاك ـ يمكن أن تتحمل قائمةً مشتركةً من الهجمات المحتملة. في هذا النوع من الاختبار الواقعي، سيحظى الزبائن بفهمٍ حقيقيٍّ لمدى كفاءة حمايتهم، وليس هذا هو الحال مع القوائم المرجعية البسيطة للامتثال.

إن دَفْع هذه الفكرة للزبائن والهيئات الحكومية على حدٍّ سواء، لا يزال يمثل تحديًا. للأسف، فإن الميل إلى “الامتثال” بدلًا من “الحماية” يُحيي سيناريوهات سوداء، ولكنها نموذجيةٌ مثل هذا:

تقوم إدارة تكنولوجيا المعلومات بشراء برنامجٍ لمكافحة الفيروسات للشركة؛ إما لأنه كان مطلوبًا من أجل الامتثال، أو لأن إدارة تكنولوجيا المعلومات رغبت بشدةٍ في تأمين الدوائر المتكاملة؛ ولأن انتشار البرمجيات الخبيثة كان لا بد من التعامل معه في الماضي. ومع ذلك، ليس لدى إدارة تكنولوجيا المعلومات أي سيطرةٍ على الأدوات الفعلية المستخدمة في الشركة؛ حيث يعود الامتياز في هذا المجال إلى المهندسين، ونتيجةً لذلك، قام المهندسون على مضضٍ بتثبيت برنامج مكافحة الفيروسات، ولكن كل الخيارات تم إيقاف تشغيلها. إنه فقط مجرد أيقونةٍ على اللوحة، ولن يتم تحديثه على مدار العامين ونصف العام القادمين.

كما يمكنك أن ترى، على جانب الزبائن، توجد ثلاث مجموعات رئيسية من الأشخاص المشاركين في الأمن الألكتروني الصناعي:

• الرئيس التنفيذي. المشكلة الرئيسية على هذا المستوى، هي فهم كيفية ارتباط الإنفاق على الأمن الألكتروني بالإيرادات.
• تكنولوجيا المعلومات بشكلٍ عام، أو مُدراء أمن تكنولوجيا المعلومات. يشاركون في قرارات الشراء، ولكن في كثيرٍ من الأحيان، لا يكون لهم سلطان على البنية التحتية الحيوية.
• المهندسون. بالنسبة لهذه المجموعة، يكون التشغيل السلِس للبنية التحتية أولويةً قصوى. وبالتالي، فإنهم قد يكونوا خائفين من العواقب المحتملة من جراء نشر حلٍّ أمنيٍّ جديد، أكثر من عواقب هجمات قراصنة الإنترنت.

مفتاح النجاح في الأمن الصناعي، هو معالجة جميع المسائل لكلٍّ من هذه المجموعات الثلاث، لإمدادها بلغةٍ مشتركةٍ فيما يتعلق بــــ “استمرارية الأعمال”، بدلًا من لغة أمن تكنولوجيا المعلومات التي لدينا الآن. تحتاج جميع الأطراف المعنية لفهم احتياجات بعضها البعض، ومتطلبات الأمن (وليس الامتثال!).

آمل أن تكون الفعاليات المستقبلية أكثر تفاعلًا. يُعد التواصل بين الزبائن والمورِّدين والمسؤولين الحكوميين، ذا فائدةٍ دائمًا. من الضروري للناس أن يتحدثوا، ويتجادلوا ويفكروا معًا، وليس فقط أن يستمعوا إلى بعضهم البعض.

وشكرًا جزيلًا لصموئيل ليناريس في مركز الأمن الألكتروني الصناعي؛ من أجل تجميعه لجميع جوانب الحدث الذي قام بحضوره، ومشاركته معنا.