بتزامن مع الاستعداد لمعرض “جايسك”، التقينا أندرو جينتر، نائب رئيس الأمن الصناعي في “ووترفول سكيوريتي سوليوشنز” لمعرفة المزيد حول الحلول التي تقدمها الشركة، مشاركتها في “جايسك”، بالإضافة الى أمور أخرى.
عرفنا سريعاً على “ووترفول سكيوريتي سوليوشنز”، ما أنواع الحلول التي تقدمها لتأمين الشبكات الصناعية؟
تأسست ” ووترفول” في عام 2007، في الوقت الذي بدأ فيه العالم يلاحظ الهجمات الإلكترونية المتطورة التابعة للدول، والتي كانت تسمى في ذلك الوقت بالتهديدات المتواصلة والمتطورة. كانت الحكومات في جميع أنحاء العالم قلقة من هذا النوع من الهجمات التي تستهدف شبكات التكنولوجيا التشغيلية وتعطل البنى التحتية الحيوية. اوجدت ” ووترفول” بوابة الأمان أحادية الاتجاه لحماية شبكات التكنولوجيا التشغيلية من هذه الفئة من الهجمات. على عكس منتجات الأمان الأخرى، فإن بوابات الأمان أحادية الاتجاه ليست مجرد برامج، إنها حماية مادية قائمة على الأجهزة وغير قابلة للاختراق.
اليوم، تستخدم معظم مجموعات برامج الفدية تقنيات الهجوم نفسها التي كانت الدول اول من استخدمها في عام 2007. وهذا يعني أن بوابات ” ووترفول” يتم تركيبها على نطاق واسع للغاية، في كل من البنى التحتية الحيوية ومنشآت التصنيع الهامة الأخرى.
هل تعتبر برامج الفدية اليوم أكبر تهديد لشبكات التكنولوجيا التشغيلية؟
نعم وكلا! نعم، لأنه إذا نظرنا إلى البيانات على مدار العامين الماضيين، فإن جميع الهجمات الإلكترونية تقريبًا التي أدت إلى انقطاع الإنتاج أو عواقب مادية أخرى كانت عبارة عن فدية، “كولونيال بايبلاين” على سبيل المثال.
وكلا، لأن المشكلة الأكبر هي هجمات الدول. في بحثي، تتخلف أدوات وتقنيات برامج الفدية عن تكتيكات الدول بنحو خمس سنوات، مثلاً فيروسات الفدية المصنفة على السحابة. بالعودة إلى عام 2017، اتُهمت روسيا بالمسؤولية عن هجوم “نوتبتيا” حيث زرع المهاجمون برامج ضارة في تحديث أمني لحزمة إعداد ضرائب أوكرانية. قامت مئات الشركات بتنزيل التحديث التلقائي من الموقع الخاص بالحزمة الضريبية، وأصيبت بالشلل. في عام 2020، اتُهم الروس مرة أخرى بزرع برامج ضارة في تحديث أمان “سولار ويندز اوريون” الذي كان تحديثًا تم توزيعه على عملاء “سولار ويندز” وتم تثبيته في 17000 أو 18000 موقع تقريبًا. بالإشارة إلى هجوم “كاسيا” العام الماضي، قامت مجموعة بنشر برامج الفدية الضارة كتحديث أمني من خلال خدمة سحابة “كاسيا” مخترقة. نتج عن هذا الأمر إصابة أكثر من 1000 موقع ببرنامج الفدية في وقت واحد.
أمن المؤسسات وأمن الأفراد
مرّت فترة خمس سنوات تقريبًا بين قيام بعض الدول بنشر البرامج الضارة كتحديثات أمنية من خلال خدمات الإنترنت، وبين قيام مجموعات برامج الفدية بالشيء نفسه. يتخيل الكثير منا أننا لسنا مهمين بما يكفي لنكون هدفًا لهجوم ترعاه دولة. لكن اذا لاحظنا ان مجموعات برامج الفدية تستهدف كل شخص لديه مال، هل لدينا مال؟ اذاً، فإن ما تفعله الدول ضد بعضها اليوم، سنتوقع أن يفعله مجرمو برامج الفدية بنا جميعًا بعد خمس سنوات من الآن.
إنها أخبار جيدة وسيئة في آن. الخبر السيئ هو أن الأمور ستزداد سوءًا في المستقبل المنظور، أما الجيد، فهو أن لدينا بعض الوقت لنشر وسائل حماية قوية مثل بوابات الأمان أحادية الاتجاه من ” ووترفول”.
هلا أخبرتنا المزيد.. هل تختلف شبكات التكنولوجيا التشغيلية فعلاً عن شبكات تكنولوجيا المعلومات؟ وكيف تتناسب منتجاتكم مع شبكات التكنولوجيا التشغيلية؟
هناك الكثير من الاختلافات السطحية بين شبكات تكنولوجيا المعلومات وشبكات التكنولوجيا التشغيلية. على سبيل المثال، يعني نظام التحكم في التغيير الهندسي أن التحديثات الأمنية يتم تثبيتها بشكل أبطأ بكثير على معظم شبكات التكنولوجيا التشغيلية. كما أن شهادات الأمان باهظة الثمن للأجهزة المتخصصة جدًا والمنخفضة التكلفة تعني ان بعض البرامج القديمة جدًا ما زالت تعمل.
لكن الاختلاف الحقيقي هو العواقب. إن أسوأ عواقب انتهاك شبكات تكنولوجيا المعلومات للشركات هي تعطلها لبضعة أيام ريثما يصار الى مسح الأجهزة المتأثرة واستعادة النسخ الاحتياطية، وربما دعوى قضائية جماعية لتسريب بيانات التعريف الشخصية. اما أسوأ النتائج المترتبة على اختراق شبكة التكنولوجيا التشغيلية المهمة للتحكم هي انفجارات، قتلى وجرحى من العمال، وربما كارثة بيئية. تختلف العواقب كثيراً، اذ لا يمكن استعادة الأرواح البشرية والمعدات الكبيرة التالفة “من النسخ الاحتياطية”.
ما ظهر في العقد الماضي كأفضل ممارسات تكنولوجيا المعلومات / التكنولوجيا التشغيلية هو اتصالات أحادية الاتجاه يتم فرضها بواسطة الأجهزة بين شبكات التحكم الحساسة وشبكات السلامة الحساسة. توصي المعايير بذلك، وفي بعض الولايات القضائية وبعض الصناعات، يفرض القانون ذلك. في العديد من البلدان، من غير القانوني توصيل شبكات التحكم الحساسة أو شبكات الأمان الحساسة بشبكات الأعمال الحيوية من خلال طبقات جدران الحماية فقط. تعتبر البوابات أحادية الاتجاه وغير القابلة للاختراق هي الطريقة الآمنة لسد تلك الفجوات الحساسة.
أخبرنا عن تواجد الشركة في منطقة الشرق الأوسط وأفريقيا. ما هي استراتيجيتها في هذا الجزء من العالم؟
تتوسع “ووترفول” بسرعة في جميع أنحاء العالم. في العام الماضي، افتتحنا مكاتب لنا في دولة الإمارات العربية المتحدة وسنغافورة، كما نفتتح المزيد من المكاتب هذا العام. يوجد في الشرق الأوسط بشكل خاص الكثير من البنى التحتية للنفط والغاز المؤتمتة للغاية والدقيقة للغاية، وتشهد ” ووترفول” نشر الحماية الأحادية الإتجاه في الكثير من تلك البنى التحتية ضد الهجمات التي تنفذها مجموعات برامج الفدية ومجموعات أخرى اليوم على غرار تلك التي نفذتها الدول سابقاً.
مع اقتراب موعد اطلاق “جايسك 2022″، كيف تخططون للمشاركة في أكبر معرض للأمن السيبراني في المنطقة؟
نحن من ضمن المتحدثين في “جايسك”، كما سنقدّم عروضًا مصغرة من منصتنا أيضًا. نعمل على تعريف المشاركين في “جايسك” بتقنيتنا ومفاهيم أمان التكنولوجيا التشغيلية التي بدأ العديد من ممارسي أمن تكنولوجيا المعلومات في التعامل معها. ونستغل فرصة وجود مدرائنا التنفيذيين في المنطقة لعقد ندوات وأنواع أخرى من الاجتماعات مع صانعي القرار المحليين المهمين.
هلا اطلعتنا على بعض حالات الاستخدام التي أحدثت فيها “ووترفول سكيوريتي سوليوشنز” فرقًا لعملائها؟
يمكنني أن أعطي بعض الأمثلة التي تشرح كم أن هذا سؤال صعب. لنتخيل صمام تنفيس الضغط على غلاية. في حالة ارتفاع ضغط الغلاية بشكل كبير، يتم فتح الصمام وتحرير الضغط لمنع الانفجار. كم عدد الهجمات الإلكترونية التي منعها هذا الصمام؟ يصعب معرفة ذلك، اذ لا توجد وحدة معالجة مركزية في الصمام، وبالتالي لا يمكن تنفيذ هجوم سيبراني على الصمام.
بوابات الأمن أحادية الاتجاه من “ووترفول” تعمل بنفس الطريقة، اذ ان الأجهزة ذات الاتجاه الواحد تبقى أجهزة ويمكنها فقط إرسال معلومات من شبكات التكنولوجيا التشغيلية إلى شبكات تكنولوجيا المعلومات لتمكين أتمتة الأعمال، لكن هي غير قادرة فعليًا على إرسال أي شيء إلى شبكات التكنولوجيا التشغيلية المحمية. لا توجد وحدة معالجة مركزية في الجهاز، على غرار الصمام، لذلك يستحيل مهاجمته. أعني، باستخدام جدار الحماية، يمكن إحصاء الحزم التي تم إسقاطها والتوصل إلى خلاصة انني أسقطت حزمة “غازيليون” مثلاً، لذلك، لا بد أنني هزمت هجمات “غازيليون.” في حالة البوابة أحادية الاتجاه لا يوجد شيء لإحصائه.
لكنني وعدتك بمثال، لذلك ساعطيك واحداً. كانت جميع حالات انقطاع خدمة التكنولوجيا التشغيلية تقريبًا في العامين الماضيين نتيجة لتحرر برامج الفدية عن شبكات تكنولوجيا المعلومات وإما تسربها إلى شبكات التكنولوجيا التشغيلية أو التأثير على شبكات التكنولوجيا التشغيلية مثلما حدث مع “كولونيال بايبلاينز”، “جاي بي اس” لتغليف اللحوم، و”سييرا وايرلس”. كما تعرضت شبكات تكنولوجيا المعلومات الخاصة بعملاء ” ووترفول” لهجوم برنامج الفدية، وتضرر منتج طاقة رئيسي في الولايات المتحدة وأحد أكبر أنظمة المترو في العالم مؤخرًا.
ولكن تلك المؤسسات كانت قد نشرت بوابات الأمان أحادية الاتجاه الخاصة بشركة ” ووترفول” باعتبارها الوصلة الوحيدة بين شبكات تكنولوجيا المعلومات وشبكات التكنولوجيا التشغيلية الخاصة بها. تم تعطيل شبكات تكنولوجيا المعلومات لمدة أسبوع تقريبًا حتى يمكن محو كل شيء واستعادته من النسخ الاحتياطية. لكن خلال كل ذلك الوقت، لم يتسرب شيء إلى شبكات التكنولوجيا التشغيلية، اذ يستحيل أن تتسرب أي إشارة للهجوم إلى شبكات التكنولوجيا التشغيلية. ظلت الأنوار مضاءة، وواصل المترو العمل بأمان، على الرغم من تعطل شبكات تكنولوجيا المعلومات.
هذا ما اردت إيضاحه. هجمات برامج الفدية تعبر عبر جدران الحماية كل يوم، حيث ان كل هجوم فدية يدخل إلى شبكة تكنولوجيا المعلومات ينتقل الى جدار حماية الإنترنت. من غير المقبول انتقال برامج الفدية أو الهجمات الإلكترونية الأخرى من شبكات تكنولوجيا المعلومات إلى شبكات التكنولوجيا التشغيلية التي تتحكم في العمليات المادية الآمنة والموثوقة. تنشر الشركات الحديثة طبقة واحدة على الأقل من بوابات الأمان أحادية الاتجاه الغير قابلة للاختراق من ” ووترفول” عند هذه الحدود الهامة بين شبكات التشغيل او التحكم وشبكات تكنولوجيا المعلومات او الأعمال، لأنه كما ذكرنا، لا يمكن استعادة الأرواح البشرية والمعدات التالفة والإنتاج المفقود من النسخ الاحتياطية.
