مقالات مرکز
1396/9/1 چهارشنبهتوصيه هايي براي سيستم هاي کنترل صنعتي:
بهبود امنيت در زيرساخت هاي حياتي
شبکه هاي زيرساخت هاي حياتي و سيستم هاي کنترل صنعتي (ICS) بايد در اولويت هاي اول راهبردهاي امنيتي قرار گيرند. بسياري بر اين باورند که تأمين امنيت اين شبکه ها، چالشي است که صنعت افتا طي دهه آينده با آن مواجه خواهد بود. در حال حاضر، فرصت محدودي باقي است تا خود را براي مواجهه با حملات سايبري آماده کنيم.
تاکنون مقالات بسياري درباره تهديدات امنيتي روزافزون عليه سيستم هاي کنترل صنعتي و شبکه هاي زيرساخت هاي حياتي به نگارش درآمده است. در بسياري از اين مقالات به چشم انداز متغير اين تهديدات، نواقص ذاتي و مخاطرات امنيتِ سيستمي در اين شبکه ها اشاره شده است که محافظت از چنين شبکه هايي را دشوار مي سازد. برخي معتقدند که ما يک فرصت ده ساله را براي پيشرفت در حوزه امنيت از دست داده ايم و براي مقابله با مخاطرات، تنها منتظر بروز آنها نشسته بوديم. اما رويدادهاي سال 2017 نشان داد که بسياري از سناريوهاي کابوسواري که تا کنون تنها به صورت نظري وجود داشتند، در حال محقق شدن هستند.
خوشبختانه هم اکنون يک احساس خطر عمومي نسبت به اين تهديدات ايجاد شده و اين درک به وجود آمده است که اين شبکه ها بايد در اولويت نخست راهبردهاي امنيتي قرار گيرند و سازمان ها نيز بايد براي اقدام در اين جهت متقاعد شوند. بسياري بر اين باورند که تأمين امنيت اين شبکه ها، چالشي است که صنعت ما براي دهه آينده با آن مواجه خواهد بود؛ ما مدت زيادي است که از نقاط ضعف امنيتي آگاه هستيم و ميدانيم که ديگر با حرف زدن نمي توان با اين چال شها مقابله کرد. هيئت مشاوره زيرساخت هاي ملي  (NIAC) که متشکل از رهبراني از تمام صنايع حساس است، در گزارش اخير خود به دولت ترامپ اعلام کرده است: «چالش ها به خوبي شناخته شده هستند و در پژوهش هاي متعدد مورد بررسي قرار گرفته اند. هم اکنون فرصت محدود و گذرايي باقي است تا خود را براي مواجهه با حملات سايبري فاجعه باري آماده کنيم و اقدامات جدي و اثربخشي اتخاذ نماييم. ما از دولت مي خواهيم که از اين فرصت براي انجام اقدامات جدي و قاطع استفاده کند». در اين نوشتار، برخي از اقداماتي که مي توان براي بهبود وضعيت امنيت در محيط شبکه سيستم هاي کنترل صنعتي به کار گرفت، ارائه شده اند. البته، ارائه جزئيات فني به فرصتي ديگر موکول شده است و از ديدگاهي کلان به اقداماتي پرداخته شده است که بايد انجام شوند:

1. مخاطرات را شناسايي کنيد و آنها را آشکارا در سازمان اعلام نماييد: شايد تا يک سال پيش، يافتن نمونه مخاطراتي که بتوانند توجه مديران سازمان شما را به خود جلب کنند، کار دشواري بود. اما امروزه احتمالاً نمونه هاي فراواني وجود دارند و بايد بتوانيد به خوبي، ضرورت اتخاذ اقدام جدي را اثبات کنيد. به طور مثال، نتايج کاوش هاي پيوسته از تجهيزات انرژي و سيستم هاي هسته اي در سراسر جهان طبق آنچه در هشدار ماه جولايِ ICS-CERT و گزارشِ ماه سپتامبر مؤسسه سيمانتک مستند شده است، نمونه خوبي است. از کنترل خارج شدن حملات باج افزارهاي  WannaCry و Petya/NotPetya به سيستم هاي کنترل صنعتي احتمالاً توجه بسياري را به خود جلب خواهد کرد. تا به امروز، بيش از900 ميليون دلار زيان مالي در پي حملات Petya/NotPetya گزارش شده است. اين بدافزار باعث توقف توليد در شماري از بزرگترين برندهاي جهان شده است و نمونه خوبي از تأثير رويدادهاي امنيتي است که مي تواند درون سازمان شما روي دهد.

2. پروژهاي جديد را همين حالا و در سال جاري راه اندازي کنيد تا امنيت شبکه سيستم کنترل صنعتي شما را پيش از ورود به سال 2018 بهبود بخشد: اگر اين ديدگاه را باور داريد که تهديدات در حال گسترش هستند و در آينده نزديک، تعداد بيشتري از حملات را شاهد خواهيم بود، آن گاه همين حالا بايد دست به اقدام بزنيد. همان طور که گزارش NIAC اعلام کرده است، فرصت گذرا و محدودي پيش روي ما قرار دارد. البته همه ما مي دانيم که سرعت تغييرات ممکن است تا چه ميزان آهسته باشد. اگر قرار باشد «برنامه امنيت سيستم هاي کنترل صنعتي» را در دو يا سه فصل آينده در دستور کار سازمان قرار دهيد، اين برنامه به هيچ وجه قادر نخواهد بود به شما براي رويارويي با حملات سال 2019 و فراتر از آن کمک چنداني کند. از سال 2017 کمتر از 90 روز باقي مانده است؛ بايد به سرعت درخواست اوليه بودجه امنيتي را به سازمان ارائه دهيد و پروژهاي را تعريف کنيد که بر راه حل هاي قابل استقرارِ کوتاه مدت، اثربخش و عملي متمرکز باشد تا پيش از پايان سال جاري، بودجه مورد نياز آن در سال 2018 را تأمين کنيد و چرخ ها را به گردش درآوريد. از اين طريق مي توانيد نتيجه تلاش هاي خود را در اواسط يا اواخر سال 2018 ببينيد.

3. با تأمين کنندگان، همتايان و تحليل گران صنعتي براي تعيين نقاط تمرکز خود گفتگو کنيد: در چند ماه گذشته، تعدادي از بزرگترين توليدکنندگان تجهيزات سيستم هاي کنترل صنعتي، از آغاز همکاري خود با شرکت هاي افتا خبر دادند. اين شرکت ها، شبکه ها را راه اندازي مي کنند و مسئول کمک به شما براي حفاظت از اين شبکه ها هستند. بهتر است با آنها گفتگو کنيد و ديدگاه هاي آنان را در مورد اين که روي چه حوزه هايي بايد تمرکز نماييد، دريافت کنيد. بايد با سازمان هاي همتاي خود نيز گفتگو کنيد. با آن که سرعت پذيرش کنترل هاي امنيتي جديد در حال حاضر کند است، اما بسياري از سازمان ها در دو سال گذشته گام هايي را در مسير آينده امن تر برداشته اند. از مراکز بزرگ تجزيه وتحليل و شرکت هاي کنترل صنعتي هم راهنمايي بگيريد تا دريابيد که پول و زمان خود را دقيقاً در چه حوزهاي سرمايه گذاري کنيد.

4. از مهمترين مسائل شروع کنيد: شناسايي دارايي ها، يکي از مشکلات اصلي در محيط شبکه هاي کنترل صنعتي است. ممکن است بگوييد که ما چندي پيش همه چيز را روي يک فايل اکسل مستند کردهايم و دقيقاً ميدانيم چه چيزي در شبکه ما قرار دارد. ترديدي نيست که چنين کاري يکي از اقدامات رايج در اين حوزه است. اما بارها پيش آمده است که در زمان بررسي يک سازمان، فهرست بلند بالايي از دارايي هايشان به آنان نشان داده مي شود که خودشان از آن ها کوچکترين اطلاعي نداشته اند. مسلماً شما نمي توانيد امنيت چيزهايي را تأمين کنيد که نسبت به آنها آگاهي نداريد. از اين رو، شناسايي دارايي ها را در اولويت قرار دهيد. همچنين، به دنبال راه حل هاي پايشي خاصي باشيد که به طور خاص براي کار در سيستم هاي کنترل صنعتي ساخته شده اند. شرکت هاي بسياري در اين حوزه فعال هستند و مي توانند به شما کمک کنند. بايد کار خود را از مبنايي استوار آغاز کنيد، روند امور را به درستي بشناسيد و بدانيد که در اين محيط، چه چيزي طبيعي محسوب مي شود. به اين ترتيب، مي توانيد با سرعت تهديدات را شناسايي کنيد، به آنها واکنش مناسب نشان دهيد و نسبت به رفع آنها اقدام نماييد.
اميد است که اين نکات، انگيزه اي براي تفکر و نقشه راهي براي شروع فعاليت در اين زمينه در اختيار شما بگذارد. اگر اين موارد را مناسب خود نمي بينيد، فهرستي از مراحل مختص به خود را تهيه کنيد و لطفاً آنها را عملي نماييد! زمان براي بحث در اين زمينه به پايان رسيده است و هرچه زمان را براي بحث درباره واقعي بودن يا نبودن تهديدات سپري کنيم، احتمال بروز نتايج ناگوار در آينده نزديک بيشتر خواهد شد.
 

 
امتیاز دهی
 
 

نسخه قابل چاپ
  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان شهید بهشتی، خیابان شهید صابونچی، کوچه دهم ،پلاک 36 ،مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.