ICS
كنت أقولها كثيرًا – لسنوات: مكافحة الفيروسات منتهية.
قد تبدو مثل هذه العبارة غريبة في بداية الأمر – لا سيما إن صدرت من شخص كان محفزًا منذ الأيام الأولى لكل ما يتعلق بالفيروسات ومضادات الفيروسات في أواخر الثمانينيات وأوائل التسعينيات. ومع ذلك، إذا تعمقت قليلاً في موضوع مكافحة الفيروسات (المنتهي) واستشرت بعض المصادر الموثوقة في المجال (السابق)، فسرعان ما تصبح العبارة منطقية تمامًا: فأولاً، تحولت “مكافحة الفيروسات” إلى حلول واقية “ضد كل شيء”؛ وثانيًا، انتهت الفيروسات – باعتبارها نوعًا معينًا من البرامج الخبيثة. تقريبًا. وهذا يبدو غير ضار، ويكاد لا يذكر أنني كتبت في هذا الموضوع أن هذا يُسبب مشكلات للأمن السيبراني حتى يومنا هذا – في نهاية العام 2022! وهذا تقريبًا أساس هذه المدونة هنا اليوم…
إذن. الفيروسات. آخر ما تبقّى منهم في القائمة الحمراء القليلة – أين هم في هذه الأيام، وما الذي يخططون له؟…
اتضح أنهم يميلون إلى البقاء في أحد المجالات الفرعية الأكثر تحفظًا للأتمتة الصناعية: وهو التكنولوجيا التشغيلية (وهذا هو اختصار OT – ولا ينبغي الخلط بينها وبين تكنولوجيا المعلومات IT). التكنولوجيا التشغيلية OT هي “الأجهزة والبرمجيات التي تكتشف أو تسبب تغييرًا من خلال المراقبة المباشرة و/أو التحكم المباشر في المعدات الصناعية والأصول والعمليات والأحداث” (- ويكيبيديا).بصفة أساسية، تتعلق التكنولوجيا التشغيلية OT ببيئة أنظمة التحكم الصناعية (ICS) – يشار إليها أحيانًا باسم “تكنولوجيا المعلومات في المناطق غير المفروشة”.OT = أنظمة التحكم المتخصصة في المصانع ومحطات الطاقة وأنظمة النقل وقطاع المرافق والاستخراج والمعالجة والصناعات الثقيلة الأخرى. نعم – البنية التحتية؛ وغالبًا البنية التحتية الحيوية. ونعم مرة أخرى – في هذه البنية التحتية الصناعية/الحيوية، حيث تم العثور على فيروسات الكمبيوتر “المنتهية” اليوم على قيد الحياة وتواصل المقاومة: حوالي 3 % من الحوادث السيبرانية التي تنطوي على أجهزة كمبيوتر التكنولوجيا التشغيلية في هذه الأيام ناتجة عن هذا النوع من البرامج الضارة.
كيف ذلك؟
في الواقع، الإجابة مذكورة أعلاه: التكنولوجيا التشغيلية – بالأحرى، تطبيقها في الصناعة – أمر شديد التحفُظ. إذا كان هناك مجال يؤمن تمامًا بالمبدأ القديم “إذا لم تكن مكسورة، فلا تصلحها!”، وهذا هو مجال التكنولوجيا التشغيلية. الشيء الرئيسي في التكنولوجيا التشغيلية هو الاستقرار، وليس أحدث الأشياء التكميلية. والإصدارات الجديدة والترقيات وحتى مجرد التحديثات (على سبيل المثال، البرامج) يُنظر إليها جميعًا بعين الشك، إن لم يكن باحتقار – إن لم يكن الخوف! في الواقع، تتميز التكنولوجيا التشغيلية في أنظمة التحكم الصناعية عادةً بأجهزة الكمبيوتر القديمة التي تعمل بنظام التشغيل Windows 2000 (!) بالإضافة إلى مجموعة متنوعة من البرامج العتيقة الأخرى المليئة بالثغرات الأمنية (هناك أيضًا ثغرات جسيمة في السياسات الأمنية، وعبء كامل من الكوابيس الرهيبة الأخرى لرجل أمن تكنولوجيا المعلومات). ولكن بالعودة إلى صور “المناطق غير المفروشة” بسرعة: تجد أن مجموعة تكنولوجيا المعلومات في المناطق المفروشة (على سبيل المثال، في المكتب – وليس في طابق ورشة التصنيع أو المرافق الإضافية/التقنية) قد تم تلقيحها منذ فترة طويلة ضد جميع الفيروسات لأنها تخضع للتحديث والترقية والإصلاح في الوقت المناسب، مع حمايتها بالكامل بحلول الأمن السيبراني الحديثة. وفي الوقت نفسه، في المناطق غير المفروشة (التكنولوجيا التشغيلية)، كل شيء على النقيض تمامًا؛ ومن ثم، تعيش الفيروسات وتزدهر.
تفضّل بإلقاء نظرة على أكثر 10 برامج ضارة انتشارًا من نوع “المدرسة القديمة” والتي يمكن العثور عليها في أجهزة كمبيوتر أنظمة التحكم الصناعية ICS في عام 2022:
إذًا ماذا يخبرنا هذا الرسم البياني؟…
في الواقع، دعني أخبرك أولاً أن النسب المئوية الموضحة أعلاه تتعلق بمرحلة “السُبات” لهذه الفيروسات القديمة. ولكن من وقتٍ لآخر، قد تفلت مثل هذه الفيروسات من حدود نظام مصاب واحد وتنتشر عبر الشبكة بأكملها – مما يؤدي إلى وباء محلي خطير. وبدلاً من المعالجة المكتملة، عادةً ما يتم اللجوء إلى النسخ الاحتياطية القديمة الجيدة، والتي قد لا تكون “نظيفة” على الدوام. علاوة على ذلك، قد لا تُصيب العدوى أجهزة كمبيوتر أنظمة التحكم الصناعية ICS فحسب، بل أيضًا وحدات التحكم المنطقية القابلة للبرمجة (PLC). على سبيل المثال، قبل ظهور Blaster (فيروس إثبات المفهوم القادر على إصابة البرامج الثابتة لوحدات التحكم المنطقية القابلة للبرمجة) بوقتٍ طويل، كان مُحمل Sality موجودًا بالفعل؛ حسنًا، تقريبًا: ليس في البرامج الثابتة، ولكن في شكل برنامج نصي في ملفات HTML لواجهة الويب.
لذا، بالطبع، يمكن لفيروس Sality إحداث فوضى حقيقية في عمليات الإنتاج المؤتمتة – لكن هذا ليس كل شيء. حيث يمكنه إفساد الذاكرة من خلال برنامج تشغيل خبيث، وأيضًا إصابة ملفات التطبيقات والذاكرة – مما قد يؤدي إلى خلل كامل في نظام التحكم الصناعي في غضون أيام. وفي حالة وجود انتشار نشط، قد تسقط الشبكة بأكملها – حيث يستخدم Sality اتصالات النظير بالنظير لتحديث قائمة مراكز التحكم النشطة منذ عام 2008. وسيكون من الصعب على الشركات المصنعة لأنظمة التحكم الصناعية ICS كتابة التعليمات البرمجية الخاصة به مع مراعاة بيئة العمل العدوانية المقصودة.
ثانيًا، هذا 0.14 % في الشهر – لا يبدو الرقم كبيرًا، ولكنه يُمثل الآلاف من حالات البنية التحتية الحيوية في جميع أنحاء العالم. هذا كابوس، عندما تُفكر في كيفية استبعاد مثل هذا الخطر بشكل كامل وبسيط وبأهم الأساليب.
وثالثًا، نظرًا لأن الأمن السيبراني للمصانع يُشبه الغربال، فلا عجب أننا كثيرًا ما نسمع أخبارًا عن الهجمات الناجحة على تلك المصانع بواسطة أنواع أخرى من البرامج الضارة – ولا سيما برامج الفدية (مثل: Snake vs Honda).
من الواضح سبب تحفّظ مجتمع التكنولوجيا التشغيلية: الشيء الرئيسي بالنسبة له أن تستمر العمليات الصناعية التي يشرفون عليها دون انقطاع، بينما إدخال التكنولوجيا / التحديثات / الترقيات الجديدة قد يؤدي إلى انقطاعات العمل. ولكن ماذا عن الانقطاعات التي تُسببها هجمات فيروسات المدرسة القديمة المسموح لها من خلال التخلُف عن ركب الزمن؟ في الواقع، هذه هي المعضلة التي يواجهها مجتمع التكنولوجيا التشغيلية – وعادةً ما يقبلون التخلُف عن ركب الزمن، وبالتالي نحصل على الأرقام الموضحة في الرسم البياني.
لكن أتعلم؟ يمكن أن تصبح هذه المعضلة دربًا من الماضي باستخدام “الدواء” الذي نقدمه…
من الناحية المثالية، يجب أن تكون هناك قدرة على ابتكار وتحديث وترقية مجموعة التكنولوجيا التشغيلية دون أي خطر على استمرارية العمليات الصناعية. وفي العام الماضي، حصلنا على براءة اختراع لنظام يضمن ذلك تمامًا…
باختصار، الأمر يسير على النحو التالي: قبل إدخال شيء جديد في العمليات التي يجب أن تواصل التشغيل، يمكنك اختبارها على نموذج بالحجم الطبيعي للشيء الحقيقي – مثل منصة خاصة تحاكي الوظائف الصناعية الحيوية.
تتكون المنصة من تكوين شبكة التكنولوجيا التشغيلية المحددة، والتي تقوم بتشغيل نفس أنواع الأجهزة المستخدمة في العملية الصناعية (أجهزة الكمبيوتر، وحدات التحكم المنطقية القابلة للبرمجة، والمستشعرات، وأجهزة الاتصال، ومجموعة متنوعة من إنترنت الأشياء) وجعلها تتفاعل مع بعضها البعض لمحاكاة التصنيع أو العملية الصناعية الأخرى. ويوجد في محطة الإدخال الخاصة بالمنصة عينة من البرنامج الذي تم اختباره، والتي تبدأ في مراقبته بواسطة بيئة الاختبار المعزولة، حيث تسجل جميع إجراءاته، وتلاحظ استجابات عقد الشبكة، والتغيرات الطارئة في أدائه، وإمكانية الوصول إلى الاتصالات والعديد من الخصائص الصغيرة الأخرى. تُتيح البيانات التي تم جمعها بناء نموذج يصف مخاطر البرمجيات الجديدة، مما يسمح بدوره باتخاذ قرارات مستنيرة بشأن ما إذا كان سيتم إدخال هذه البرمجيات الجديدة أم لا، وأيضًا ما يجب القيام به للتكنولوجيا التشغيلية لإغلاق الثغرات المكتشفة.
لكن انتظر – يصبح الأمر أكثر إثارة للاهتمام…
حيث يمكنك اختبار أي شيء حرفيًا في محطة الإدخال – وليس فقط البرمجيات والتحديثات الجديدة التي سيتم نشرها. على سبيل المثال، يمكنك اختبار المرونة ضد البرامج الضارة التي تتجاوز وسائل الحماية الخارجية وتخترق شبكة صناعية محمية.
تتمتع هذه التكنولوجيا بالكثير من الإمكانات في مجال التأمين. وسوف تتمكّن شركات التأمين من الحكم على المخاطر السيبرانية بشكل أفضل لإجراء حسابات أكثر دقة لأقساط التأمين، بينما لن يدفع المؤمن عليه أكثر من اللازم دون سبب وجيه. كما ستتمكّن الشركات المصنعة للمعدات الصناعية من استخدام الاختبار القائم على المنصة لاعتماد البرمجيات والأجهزة الخاصة بمطوري الجهات الأخرى. وتطوير هذا المفهوم بشكل أكبر، مثل هذا النظام، سيكون مناسبًا أيضًا لمراكز الاعتماد الخاصة بالصناعة. وهناك إمكانات البحث في المؤسسات التعليمية!…
ولكن في الوقت الحالي، لنعد إلى منصة المصنع الخاصة بنا…
يجب أن نذكر أنه لا يمكن لأي محاكاة أن تنتج مجموعة كاملة من العمليات في شبكات التكنولوجيا التشغيلية بدقة 100%. ومع ذلك، واستنادًا إلى النموذج الذي أنشأناه بناءً على خبرتنا الواسعة، فإننا نعرف بالفعل أين يمكن توقع “المفاجآت” بعد إدخال برمجيات جديدة. علاوة على ذلك، يمكننا التحكم في الموقف بشكل موثوق من خلال طرق أخرى – على سبيل المثال باستخدام نظام الإنذار المبكر الخاص لدينا، MLAD (الذي كتبت عنه بالتفصيل هنا)، والذي يمكنه تحديد المشكلات في أجزاء معينة من العملية الصناعية على أساس ارتباطات مباشرة أو حتى غير مباشرة. وبالتالي، يمكن تجنب خسائر الملايين، إن لم يكن مليارات الدولارات، الناجمة عن الحوادث.
إذن ما الذي يمنع مجتمع التكنولوجيا التشغيلية من التسابق لاعتماد هذا النموذج القياسي الخاص بنا؟
حسنًا، ربما، حتى الآن – نظرًا لأنه مجتمع شديد التحفُّظ – فلا يبحث بنشاط عن حل مثل حلنا لأنه قد لا يراه حلاً ضروريًا (!). سنبذل قصارى جهدنا للترويج لتقنيتنا لإنقاذ الملايين من الصناعة، بالطبع، ولكن في هذه الأثناء سأضيف هذا: نموذجنا القياسي، على الرغم من تعقيده، إلا أنه سوف يُغطي تكاليفه بنفسه بسرعة كبيرة إذا تم اعتماده من قبل مؤسسة صناعية/بنية تحتية كبيرة. وهو ليس نموذج اشتراك أو أي شيء آخر: بل يتم شراؤه مرة واحدة، ثم يستمر في توفير اليوم (تقليل المخاطر التنظيمية ومخاطر تشويه السمعة والمخاطر التشغيلية) لسنوات دون استثمارات إضافية. وهناك شيء آخر، سوف يحافظ على ادخار: أعصاب مجتمع التكنولوجيا التشغيلية… أو سلامة العقل.
النصائح