جارتنر: 10 ضوابط أمنية تعزز من الوضع الأمني داخل المؤسسة

وتطورت تلك الهجمات لأبعد من محاولات تخريب العمليات التشغيلية وإيقاف المصانع، وبدأت تطال سلامة البيئات الصناعية بقصد إلحاق الأضرار الجسدية، فيما سلطت أحداث متزامنة أخرى – مثل الهجمات باستخدام برمجية الفدية كولونيال بايبلاين – الضوء على الحاجة إلى وجود شبكات معزولة تفصل بنى تكنولوجيا المعلومات بشكل ملائم عن بيئات التشغيل.

وقال وام فوستر، كبير مديري الأبحاث في جارتنر: 'ضمن البيئات التشغيلية، يجب أن تكون سلامة الناس وبيئة العمل في مقدمة أولويات مديري الأمن والمخاطر بدلا من المخاوف حيال سرقة البيانات'.

ووفقا لشركة جارتنر، فإن الحوادث الأمنية في بيئات التكنولوجيا التشغيلية والأنظمة الإلكترونية الفيزيائية الأخرى لها ثلاث دوافع رئيسية ترمي إلى إلحاق الضرر الفعلي وتعطيل الأنشطة التجارية (تخفيض الإنتاجية) وتشويه السمعة (مصداقية الشركة المصنعة وموثوقيتها).

وتتوقع جارتنر أن تصل الخسائر المالية الناجمة عن هجمات الأنظمة الإلكترونية الفيزيائية التى قد تخلف إصابات قاتلة إلى أكثر من 50 مليار دولار بحلول العام 2023. ودون الأخذ بالحسبان الخسائر في الأرواح البشرية، ستكون التكاليف باهظة جدا على المؤسسات من ناحية التعويضات والتقاضي والغرامات التنظيمية وأضرار السمعة. وتتوقع جارتنر أيضا أن يكون معظم الرؤساء التنفيذيين مسؤولين شخصيا عن وقوع مثل تلك الحوادث.

10 ضوابط أمنية لحماية بيئات التكنولوجيا التشغيلية

تنصح جارتنر أن تعتمد المؤسسات إطار عمل يتكون من 10 ضوابط أمنية تعزز من الوضع الأمني في أنحاء منشآتها، وتحول دون وصول التداعيات الضارة للحوادث الأمنية في العالم الرقمي إلى العالم الحقيقي.

1. تحديد المسؤوليات والأدوار

يجب تعيين مدير لأمن التكنولوجيا التشغيلية في كل منشأة حيث يتولى تحديد وتوثيق الأدوار والمسؤوليات المتعلقة بالأمن لكافة العاملين وكبار المدراء والأطراف الأخرى.

2. التوعية والتدريب الملائمين

يجب امتلاك الموظفين في بيئات التكنولوجيا التشغيلية المهارات المطلوبة لأداء أدوارهم، وذلك بتدريب الموظفين في كل منشأة على تحديد المخاطر الأمنية والنواحي الأكثر عرضة للهجمات والإجراءات الواجب اتخاذها حال وقوع حدث أمني.

3. آليات الاستجابة الأمنية واختبارها

يجب التأكد من تطبيق كل منشأة لإجراءات تعالج الحوادث الأمنية التي تصيب التكنولوجيا التشغيلية، تتضمن أربع مراحل رئيسة هي: الإعداد؛ والكشف والتحليل؛ واحتواء الهجمات واستئصالها والتعافي منها؛ وتطبيق الإجراءات اللاحقة.

4. التخزين الاحتياطي والاستعادة

يجب التأكد من تطبيق إجراءات ملائمة للنسخ الاحتياطي والاستعادة والتعافي من الكوارث، مع تجنب تخزين وسائط النسخ الاحتياطي في الموقع ذاته الذي تقع فيه الأنظمة للحد من تداعيات الحوادث الفيزيائية مثل نشوب الحرائق. ويجب حماية وسائل النسخ الاحتياطي من سوء الاستخدام أو الاطلاع على فحواها من دون تصريح. ولأجل التعامل مع تداعيات الحوادث شديدة الخطورة، يجب إتاحة إمكانية استعادة النسخ الاحتياطية على أنظمة جديدة بالكامل أو أجهزة افتراضية.

5.  مراقبة أجهزة التخزين المحمولة

ينبغي تنفيذ سياسات تضمن خضوع كافة الوسائط والأجهزة المحمولة لتخزين البيانات للمسح الأمني بصرف النظر عن الأفراد أو الجهات المالكة لها، على ألا يسمح بوصل وسائط التخزين تلك مع بيئات التكنولوجيا التشغيلية إلا بعد التأكد من خلوها من البرمجيات أو الأكواد الضارة.

6. قائمة محدثة بالموجودات

يجب على مديري الأمن الحفاظ على قائمة محدثة باستمرار عن الموجودات لكافة أجهزة التكنولوجيا التشغيلية وبرمجياتها.

7. عزل مناسب بين الشبكات

يجب عزل شبكات التكنولوجيا التشغيلية فيزيائيا ومنطقيا عن أي شبكة أخرى داخلية أم خارجية، مع التأكد من مرور حركة البيانات فيها ضمن بوابة آمنة تعمل بمثابة منطقة أمنية عازلة، يكون الدخول إليها خاضع لآليات استيثاق الدخول متعدد العوامل.

8. الحفاظ على سجلات الأحداث

يجب تطبيق السياسات والإجراءات الملائمة لأتمتة عمل السجلات ضمن شبكات التكنولوجيا التشغيلية ومراجعتها بحثا عن الأحداث الأمنية المحتملة والفعلية، مع التأكد من الاحتفاظ بتلك السجلات لفترات زمنية محددة وحمايتها من العبث أو التعديل.

9. نشر إعدادات آمنة وموحدة

يجب تطوير إعدادات آمنة وموحدة ونشرها في كافة الأنظمة المعرضة مثل النقاط النهائية والخوادم والأجهزة الشبكية والأجهزة الميدانية، على أن يتم تثبيت برامج لتأمين النقاط النهائية – مثل برامج مكافحة البرمجيات الضارة – وتفعيلها في جميع مكونات بيئة التكنولوجيا التشغيلية.

10. إجراءات رسمية لاعتماد التصحيحات البرمجية

يجب تطبيق إجراءات لاعتماد التصحيحات البرمجية من طرف الشركات الصانعة للمعدات قبل المبادرة إلى استخدامها. وبمجرد الانتهاء من عملية الاعتماد، يمكن تطبيق التصحيحات البرمجية فقط على الأنظمة الملائمة ووفق فترات زمنية محددة مسبقًا.