Rockwell Automation تعزِّز الأمن السيبراني في قطاع الطاقة
مقابلة "عربية .Inc" مع نمان تالدَر، المسؤول الإقليمي للأمن السيبراني لتكنولوجيا التشغيل (OT) في منطقة الشرق الأوسط وتركيا وأفريقيا لدى شركة روكويل أوتوميشن، للحديث عن كيفية تعزيز الأمن السيبراني في قطاع النفط والغاز.
هذا المقال متوفر أيضاً باللغة الإنجليزيّة هنا
تَشهد التّهديدات السّيبرانيّة تزايداً ملحوظاً، ما جَعَل الأمن السّيبراني لتكنولوجيا التّشغيل (OT) أداةً أساسيّة لحماية البيئات الصناعيّة وضمان استمراريّة عملها. يُسهم هذا النّوع من الأمن في حمايّة الأصول، الأنظمة، والعمليات التّشغيليّة من الهجمات السّيبرانيّة، إلى جانب مساعدة المؤسّسات على الامتثال للمتطلّبات التّنظيميّة.
تحدّثت "عربية .Inc" مع نَمان تالدَر، المسؤول الإقليميّ للأمن السّيبرانيّ لتكنولوجيا التّشغيل في شركة "روكويل أوتوميشن" (Rockwell Automation)، الذي يُشرف على الاستشارات وتطوير الأعمال في أسواق الشّرق الأوسط وتركيا وأفريقيا، حول التّهديدات السّيبرانيّة في قطاع النّفط والغاز وكيفيّة تعزيز الأمن السّيبراني في هذا القطاع. وفيما يلي تلخيصٌ لما جاء في حوارنا.
نَمان تالدَر، المسؤول الإقليميّ للأمن السّيبرانيّ لتكنولوجيا التّشغيل في Rockwell Automation
"عربية .Inc": ما الذي يجعل قطاع الطاقة هدفاً للهجمات، ولماذا هو عُرضة للخطر؟
نَمان تالدَر: "تُؤثِّر الهجمات على قطاع الطّاقة على مجتمعاتٍ بأكملها، بل وحتى على دول. يُمكن أن تتسبّب الهجمات السّيبرانيّة على محطات الطّاقة أو خطوط الأنابيب في انقطاعاتٍ واسعةٍ للكهرباء، مما يُعطِّل النّقل، التّدفئة، التّهوية، ويُؤثِّر على تشغيل البُنى التّحتيّة الحيويّة مثل المستشفيات والمدارس".
وأضاف: "تنشأ نقاط الضّعف في قطاع الطّاقة بسبب الاعتماد على أنظمة التّحكم الصّناعيّ القديمة، خصوصاً تلك التّي لم تُحدَّث منذ سنواتٍ ولم تُدمَج بالكامل مع الأنظمة الأخرى. تُساهم عدة عوامل في هذه الثّغرات، منها المواقع اللّامركزيّة، والشّبكات العالميّة للإمداد التّي تُوسِّع نطاق الهجوم، والهجمات الماليّة من جهات مثل الدّول القوميّة أو المجرمين السّيبرانيين الذين يسعون للحصول على الفدية، بالإضافة إلى الفجوات بين البنيّة التّحتيّة التّشغيليّة (OT) وشبكات تكنولوجيا المعلومات (IT)، ممّا يزيد من مخاطر الهجمات".
"عربية .Inc": ما هي توصياتك لشركات النّفط والغاز التّي ترغب في تعزيز الأمن السّيبراني؟
نَمان تالدَر: "تختلف الاحتياجات الأمنيّة لكل بيئة صناعيّة، وتحتاج كل مؤسّسةٍ إلى ضوابط محدّدة للأمن السّيبراني. لبناء أساسٍ قويّ، يجب البدء بالأساسيّات مثل:
- تقسيم الشّبكات
- إدارة التّحديثات
- التّحكم في الوصول
- الكشف عن التّطفل
- التّخطيط للاستجابة للحوادث
- تعزيز الأصول الحيويّة
- تدريب الموظّفين
- التّصميم الآمن".
"عربية .Inc": كيف ترى مستقبل الأمن السّيبراني في قطاع النّفط والغاز؟
نَمان تالدَر: "أصبح التّحول الرّقميّ ضرورةً في صناعة الطّاقة، ما يجعل التّدابير المتقدّمة للأمن السّيبرانيّ أكثر أهميّةً. يرتبط مستقبل العمليّات الآمنة في هذا القطاع بدمج التّقنيات الحديثة مع نهجٍ استباقيٍّ مرن. ستلعب التّطبيقات المُعتمدة على الذّكاء الاصطناعيّ وتعلُّم الآلة دوراً حاسماً في الكشف عن التّهديدات والاستجابة لها، ممّا يُمكِّن من المراقبة في الوقت الفعلي والاستجابة السّريعة للأحداث الأمنيّة في مجال أتمتة العمليّات".
وأوضح: "يتطلّب اندماج بيئات تكنولوجيا المعلومات والتّشغيل استراتيجيّةً أمنيّةً موحّدةً لمواجهة التّهديدات التّقليديّة لتكنولوجيا المعلومات، مع تعزيز المرونة ضد نقاط الضّعف الخاصّة بتكنولوجيا التّشغيل. هذا وتُشير التّحديات الجيوسياسيّة المتزايدة إلى ضرورة اعتماد تقسيم الشّبكات، تحسين رؤيّة الأصول، وتحديث الأطر الأمنيّة بشكلٍ مستمر. يُعدّ اعتماد "نموذج أمان انعدام الثقة" والامتثال الصارم للّوائح التّنظيميّة عوامل أساسيّة لضمان استدامة ومرونة العمليّات في نماذج الأعمال الحديثة".
"عربية .Inc": ما دور اللّوائح والأطر في تعزيز الوضع الأمني؟
نَمان تالدَر: "أصبحت الجهات التّنظيميّة أكثر وعياً بالتّهديدات السّيبرانيّة وتأثيراتها. وعلى الرّغم من تعقيد المشهد التّنظيمي في صناعة الطاقة، يجب أن يكون النّهج الأمني واضحاً ومباشراً. لم يعد أمام شركات الطّاقة خياراً سوى تعزيز جهودها في الأمن السّيبراني وزيادة مرونتها. فبناء وضعٍ أمنيٍّ قويّ، يبدأ بوضع استراتيجيّة أمانٍ متكاملة".
وأشار إلى أنّ "الأطر السّيبرانيّة تُوفّر إرشاداتٍ منظّمة تتضمّن أفضل الممارسات التّي يمكن للمؤسّسات اتّباعها لتقليل مخاطر التّهديدات السّيبرانيّة وخفض مستوى التّهديد. وهذه الأطر تُعدّ بمثابة منهجٍ لإدارة المخاطر السّيبرانيّة، ممّا يضمن أن تكون التّدابير الأمنيّة شاملةً، وتُطبَّق في الوقت المناسب، وبطريقةٍ منسّقة".
وأكَّد على أن "تطوير الإطار المناسب لأيّ مؤسّسة يُمثِّل تحديّات خاصة، حيث لا يوجد معيارٌ واحدٌ يُناسب جميع القطاعات والصّناعات. فكلّ قطاع، سواء كان في الطاقة، السّلع الاستهلاكيّة، أو النقل، يحتاج إلى حلول مُصمَّمة لمواجهة تحدّياته وتهديداته الخاصّة. يُعدّ اتّباع الأطر الموثوقة ممارسةً جيّدة، ولكنّ تخصيصها لتتكامل مع بيئة العمل الخاصّة بالعميل هو مفتاحُ النّجاح. يتطلّب ذلك تخطيطاً مفصّلاً وتنفيذاً مرحلّياً للأطر، بما يتماشى مع متطلّبات المؤسسة ويُقلِّل من أوقات التّوقف قدر الإمكان".
"عربية .Inc": لماذا تنجح هجمات الفديّة؟
نَمان تالدَر: "تُؤدِّي هجمات الفديّة إلى منع الوصول إلى الأنظمة الأساسيّة، ممّا يدفع المؤسّسات إلى العمل في ظروفٍ تشغيليّةٍ متدهورة. واليوم، زاد تعقيد مجموعات الفدية وتغيّرت استراتيجيّاتها، ممّا يزيد من المخاطر على البنية التّحتيّة الحيويّة. لذا، تُسرِّع المؤسسات من وتيرة الرّقمنة لتلبية متطلّبات أصحاب المصلحة بالبساطة والكفاءة والقيمة ضمن حدود الميزانيّة. يشمل هذا التّحول دمج تكنولوجيا المعلومات مع التّشغيل، والاستفادة من تقنيّات السّحابة وإنترنت الأشياء الصناعيّة (IIoT). كما أدّى انتشار العمل عن بُعد خلال الجائحة إلى زيادة التّعرض للتهديدات السّيبرانيّة".
"عربية .Inc": كيف يمكن لروكويل أوتوميشن دعم عملاء النفط والغاز في رحلتهم للتحول الرّقمي؟
نَمان تالدَر: "تُقدِّم روكويل أوتوميشن مجموعةً متنوّعةً من الحلول والخدمات لتعزيز الأمن السّيبراني في البيئات الصّناعيّة، من بينها:
- تقييم المخاطر والاستشارات: تقديم خدمات لتقييم المخاطر، تحديد الثّغرات في أنظمة التّحكم الصّناعيّ، وتطوير استراتيجياتٍ لتقليل المخاطر.
- أمن الشّبكات: توفير حلولٍ لأمن الشّبكات، تشمل الجدران الناريّة وأنظمة كشف التّطفل، لحمايّة الشّبكات الصناعيّة من التّهديدات السّيبرانيّة.
- تصميم الأنظمة الآمنة: تقديم حلول أتمتةٍ مُصمَّمة بدمج أفضل الممارسات الأمنيّة في مرحلة التّصميم.
- التّدريب على الأمن السّيبراني: تقديم موارد تدريبيّة وتعليميّة لتحسين مستوى الوعي والمهارات المتعلّقة بالأمن السّيبراني لدى الموظّفين.
- دعم الاستجابة للحوادث: المساعدة في تطوير خطط الاستجابة للحوادث، مع خيار تلقّي الدّعم خلال وبعد أيّ حادثٍ سيبراني.
- الامتثال التّنظيمي: مساعدة المؤسّسات في الامتثال للمعايير واللّوائح المتعلّقة بالأمن السّيبراني، مثل NIST وIEC 62443 وغيرها.
- إدارة التّحديثات: تقديم دعمٍ مستمرٍ لإدارة التّحديثات والتّحديثات لضمان حمايّة الأنظمة من الثّغرات المعروفة.
- تنفيذ وإدارة المشاريع: تقديم الدّعم في تنفيذ الضّوابط وفقاً للمعايير مثل IEC62443، NIST، DESC، وNCA - OTCC".
ويَختتم نَمان تالدَر بقوله: "من خلال دمج هذه الممارسات والحلول، تُساعِد روكويل أوتوميشن الشّركات في حماية عمليّاتها من التّهديدات السّيبرانيّة".