أساليب جديدة للفجوة الهوائية في بيئات تكنولوجيا المعلومات والتكنولوجيا التشغيلية ضمن البنى التحتية الحرجة

بقلم براين سكيلتون

مدير مبيعات حلول حماية البيانات للحكومات العالمية والبنية التحتية الحيوية لدى “فورس بوينت”

تواجه البنى التحتية الحساسة الكثير من التحديات في وقتنا الحالي، ومع ارتفاع معدل هجمات برامج الفدية الرئيسية التي تصدرت عناوين الأخبار و الهجمات الإلكترونية الخبيثة التي تحدث تغييرات عدة في التكنولوجيا التشغيلية (OT)، تحتاج هذه الصناعة إلى إيجاد حلول آمنة من الفشل للحفاظ على الإنتاجية العالية لهذه البنى بشكل آمن و فعال.

مثل جميع الصناعات الأخرى، استفادت البنية التحتية الحيوية من عمليات التحول الرقمي و التوجه نحو الثورة الصناعية الرابعة. غالباً ما تُبنى أنظمة تكنولوجيا المعلومات و التكنولوجيا التشغيلية للبنية التحتية الحيوية على أنظمة قديمة أو أخرى صممت حسب الطلب. ومع ذلك، لا يمكن لأي نظام أن يستمر إلى الأبد، وغالباً ما تعني هذه التحديثات إعادة معالجة “الفجوة الهوائية” و التي تشير اصطلاحاً إلى عملية الفصل بين تكنولوجيا التشغيل و أنظمة تكنولوجيا المعلومات المتصلة بشبكة الانترنت.

إن تواجدنا في هذا العالم الجديد من الأنظمة المتصلة والمرتبطة ارتباطاً وثيقاً، تستفيد مؤسسات البنية التحتية الحيوية من العديد من أجهزة إنترنت الأشياء وجميع الوظائف الإضافية التي توفرها هذه التقنيات، ناهيك عن أهمية مشاركة البيانات القيمة ثنائية الاتجاه بين أنظمة تكنولوجيا المعلومات وأنظمة التشغيل. وتتلخص الفوائد الكامنة وراء هذا النوع من الاتصال: إلى زيادة الإنتاجية، وعمليات أكثر مرونة و سلاسة، و زيادة الابتكار والتطوير مع تقليل نسب التكلفة.

مع هذه الفوائد تأتي العديد من المخاطر، والتي تشمل زيادة التهديدات الداخلية و الخارجية للأنظمة المتصلة بالشبكة. ولكن في واقع الأمر إن الهجمات الخارجية هي التي تزداد مع وجود تاريخ طويل لمثل هذه الهجمات ضد البنية التحتية الحيوية تمتد إلى هجمات “ستوكس نت” (Stuxnet) التي حدثت في عام 2010.

زادت تعقيدات الهجمات وأصبحت أكثر شراسة، كما أصبحت طلبات برامج الفدية الآن خيالية فمن المتوقع أن تتجاوز تكلفة برامج الفدية كمحصلة لعمليات الرضوخ و الدفع بالإضافة إلى الخسائر المرافقة لعملية التعطل إلى ما يصل لـ 265 مليار دولار بحلول عام 2031.

وهنا يجب القول بأن البنى التحتية الحيوية منظمة بشكل كبير، فعندما يتم ادخال تقنيات جديدة تؤدي إلى مشاركة العديد من البيانات في النظم التشغيلية يجب علينا مراقبتها وإدارتها بالشكل الأمثل. ولكن قبل كل شيء، يجب الحفاظ على السلامة المادية و توافر الأصول والمرافق التي توفرها للمجتمع الذي تخدمه (المياه والغاز والتحكم في حركة المرور وما إلى ذلك).

أهمية أمن المعلومات في البنى التحتية مبدأ “المطار”

كيف يمكننا تحديث وتحسين بيئاتنا مع الحفاظ أيضاً على البيانات والأنظمة الهامة آمنة ومتاحة؟ تعد جدران الحماية ومرسل البيانات من التقنيات التقليدية المستخدمة بشكل فعلي في العديد من الأنظمة، ولكنها محدودة الوظائف و عانت أيضاً من حيث الفعالية ضد الهجمات الخبيثة. ورغم ذلك، يمكن معالجة الفجوة التكنولوجية بين جدار الحماية و مرسل البيانات.

دعونا نمثل هذه التقنيات على أنها نقاط تفتيش في المطارات. حيث يعمل جدار الحماية بمثابة مكتب تسجيل الوصول، والذي يقوم بإجراء فحوصات أساسية والتحقق من هوية المستخدمين. ومع ذلك، فهي عمليات فحص أساسية ولا يزال بإمكانك تجاوز هذه النقطة بأشياء لا يفترض أن تحملها. ففي المطار على سبيل المثال، قد تكون هذه التجاوزات عبارة عن زجاجة ماء موجودة في حقيبة يدك، ولكن في العالم الرقمي قد تكون عبارة عن بعض الشيفرات الخبيثة المخفية داخل مستند سليم.

على الجانب الأخر من عملية أمن المطار توجد بوابات الخروج وهي المماثلة في البنية التحتية الحيوية لمرسل البيانات. فعند مغدرة المسافرين للمطار، تكون العملية ذات اتجاه واحد فقط، ولكن لا توجد عمليات تفتيش أمني في الطريق. صحيح لا يمكنك العودة إلى داخل المطار من هذه البوابات، و لكن لا يوجد سجل بمغادرتك، ولا أحد يتحقق من أنك لم تأخذ أي شيء لا يجب أن يكون معك في حقائبك. رقمياً، يمكن للمستخدم الخروج من الشبكة بمستندات غير مصرح بها، مما قد يكون ضاراً للغاية.

إن القطعة المفقودة في مبدأ “المطار” هذا هي تقنية “حارس البيانات” (Data Guard)، وهو عملية أمنية عميقة، يمكن تشبيها بالعمليات الأمنية المتبعة داخل صالات المطار كأجهزة مسح الأجسام و موظفي الأمن و آلات الأشعة السينية وجميع عمليات التحقق الأخرى. فهذه العملية توفر فحصاً أعمق من مجرد التحقق من هوية المسافر. في المطار، يتم إجراء فحص دقيق ومفصل لشخصك وممتلكاتك، والتحقق من أي نشاط ضار (مثل فحص المسافر بجهاز المسح اليدوي للتأكد من عدم وجود أشياء أخرى بحوزته).

تكمن مهمة “حارس البيانات” بنقل المعلومات من نظام “نظيف” إلى نظام “متصل” بأمان وبسرية تامة، مما يقلل المخاطر قدر الإمكان. كما يمكننا من خلاله أيضاً نقل المستندات ضمن مستويات مختلفة من مجال الأمان و تغير حالة الملف من سري للغاية إلى محمي، مع إمكانية فحصها والتأكد من خلوها من البرمجيات الخبيثة غير النشطة أثناء عملية النقل لضمان عدم وصول هذه البرمجيات إلى داخل النظام أو سحب بيانات بشكل مخفي إلى خارجه.

عند تطبيق “حارس البيانات”، يتم إعداده على أساس مخصص بقواعد و بروتوكولات محددة لكل بيئة معينة. يمكن تطبيق المكونات الإضافية، بما في ذلك أجهزة مكافحة الفيروسات وخدمات CDR (حماية المحتوى و نزع الفيروسات و إعادة بناء الملفات) لتصفية جميع البيانات وضمان عدم دخول أو خروج أي شيء، وهو أمر غير مسموح به.

تختلف جميع هياكل البنية التحتية الحيوية، وهي مبنية على إعدادات التكنولوجيا التشغيلية المختلفة وبمستويات متفاوتة من متطلبات الأمان. من خلال اتباع نهج يركز على الشراكة لتنفيذ “حارس البيانات” و الحلول الأخرى عبر مجالات مختلفة، يمكن لموردي الأمان ضمان اتباع نهج برمجي يوفر وضعاً معززاً للأمن السيبراني بالإضافة إلى عائد استثمار محسّن – مما يؤدي إلى جلب جميع مزايا الثورة الصناعية الرابعة و التحول الرقمي.