اخیراً مؤسسه SANS یک مطالعه تحقیقاتی را درباره امنیت اینترنت اشیای صنعتی[1] (IIoT) منتشر کرده است. در این مطالعه، نظرات بیش از 200 کارشناس امنیت از سازمانهای تولیدی و صنایعی همچون گاز، آب، برق و نفت گردآوری شده است. یکی از یافتههای کلیدی این نظرسنجی، این بود که مشخص کرد بیشتر شرکتکنندگان، نگرانی زیادتری نسبت به امنیت دستگاههای نقاط انتهایی دارند تا امنیت شبکه صنعتی. نکته بعدی هم این بود که تنها کمتر از 5 درصد از افرادی که سمتی در زمینه فناوری عملیات دارند، اعلام کردند که نسبت به توانایی سازمان خود برای امنسازی چنین زیرساختهای جدیدی اطمینان دارند. متأسفانه هر دو گروه فعال در حوزه فناوری اطلاعات و فناوری عملیات اعلام کردهاند که قابلیتهای لازم برای نظارت بر IIoT را ندارند.
بر اساس اعلام نویسندههای این گزارش: «هر چه شخصی به سیستمهای IIoT نزدیکتر باشد، درک بهتری از چالشهای موجود خواهد داشت. افرادی که اطلاعات بیشتری درباره پیادهسازی IIoT دارند، یعنی تیم فناوری عملیات، کمترین اطمینان را به قابلیت سازمان شان در امنسازی این دستگاهها دارند؛ در حالی که به نظر میرسد تیم مدیریت و رهبری سازمان از جمله مدیران بخش، بیشترین اطمینان را دارند».
در این مقاله، به بررسی یافتههای کلیدی این مطالعه می پردازیم.
نگرانی های امنیتی شبکه های صنعتی
یکی از دلایل اصلی نگرانیهای موجود در خصوص امنیت نقاط انتهایی شبکههای صنعتی، به ویژه در بین کارشناسان فناوری عملیات، کنار گذاشته شدن سازوکارهای به اصطلاح «ایرگپ[2]» در چنین زیرساختهایی است. حدود 32 درصد از سازمانهای شرکتکننده در این نظرسنجی اعلام کردهاند که بعضی از دستگاههای IIoT آنها مستقیماً به اینترنت متصل هستند و به همین دلیل، لایههای امنیتی سنتی سیستمهای کنترل صنعتی (ICS) را دور میزنند.
امروزه خطر حملات بیرونی و نفوذ به شبکههای فناوری عملیات (OT)، پدیدهای نیست که دیگر مربوط به فیلمهای علمی – تخیلی باشد بلکه تبدیل به موضوعی کاملاً عملی و واقعی شده است. از نمونه های مشهور حمله به سیستم های کنترلی شبکه های صنعتی می توان به «استاکس نت» اشاره کرد که با هدف تحت تأثیر قرار دادن و ایجاد وقفه در فعالیت های صلح آمیز انرژی هسته ای کشورمان طراحی شده بود.
وزارت امنیت داخلی ایالات متحده آمریکا نیز به تازگی اعلام کرده است که هکرهای روسی، به اتاقهای کنترل صنعت برق آمریکا نفوذ کرده و منجر به قطع برق در بعضی از نواحی شدهاند.
امنیت صنعتی؛ از حرف تا عمل
بنابراین با توجه به این که امروزه تهدیدهای صنعتی تبدیل به واقعیتی انکارناپذیر شدهاند، کارکنان بخش فناوری اطلاعات نسبت به کاستیهایی که در زمینه امنسازی تجهیزات ICS وجود دارد نیز بیش از قبل آگاه شدهاند. از بین افراد شرکتکننده در این نظرسنجی، کمتر از 30 درصد از آنها تواناییهای ویژهای برای نظارت بر فناوری عملیات دارند در حالی که 72 درصد از آنها با وجود داشتن روش هایی برای کنترل، پیکربندی و جمعآوری دادههای دستگاهها مبتنی بر بستههای IP، هنوز توانایی های لازم را در این خصوص ندارند.
باید توجه داشت بدون داشتن دید کافی نسبت به تغییرات صورت گرفته در پیکربندی، نرمافزار و بهروزرسانی دستگاهها قاعدتاً تشخیص به موقع حملات هم غیرممکن میشود. لازم به ذکر است که در شبکه های صنعتی علاوه بر نظارت بر ترافیک شبکه باید بر جامعیت کنترل گرها نیز نظارت کرد تا بتوان دفاع اثربخشی را در برابر حملات اجتناب ناپذیر صنعتی داشت.
یکی از مسایلی که منجر به پیچیدهتر شدن موضوع میشود این است که بسیاری از سازمانهای صنعتی به صورت پیشگیرانه با آسیبپذیریهای موجود در تجهیزات IIoT مقابله نمیکنند. تنها 40 درصد از پاسخدهندگان یا به عبارتی 2 نفر از هر 5 نفر اعلام کردهاند که تجهیزات را به موقع به روزرسانی میکنند. این در حالی است که 60 درصد یا به عبارتی 3 نفر از هر 5 نفر اعلام کردهاند که از بهروزرسانی سطح دستگاه برای محافظت از سیستمها و دستگاههای IIoT استفاده نمیکنند.
البته این نتایج، نگرانکننده هستند اما در عین حال با آن چه در زمینه فعالیت و مشارکت مشتریان مشاهده میکنیم، همخوانی دارند؛ یعنی نظارت و امنسازی محیطهای فناوری عملیات بدون در اختیار داشتن ابزارهای ویژه برای انجام چنین کاری بسیار سخت است. این واقعیت که کارکنان حوزه فناوری عملیات نسبت به کارکنان شاغل در بخش فناوری اطلاعات نگرانی بیشتری درباره امنیت IIoT دارند، نکته قابل توجهی است و نشان میدهد که این گروه، مخاطرات و پیامدهای حوادث حوزه امنیت صنعتی را به خوبی درک کرده و از لزوم مقابله فوری با آسیبپذیریهای موجود در سیستمهایشان آگاه هستند.
امنیت صنعتی از نگاه تولیدکنندگان محصولات صنعتی
واقعیت این است که تولیدکنندگان تجهیزات صنعتی، سازوکارهای نظارت تخصصی و فناوریهای کنترلی مورد نیاز برای جلوگیری از ایجاد تغییرات غیرمجاز در فرایندها و محافظت از شبکههای ICS در برابر حملات بیرونی را ارایه نمیدهند و در مواقع خاص نیز این راهکارها تنها مخصوص آن تولیدکننده یا مدل مورد استفاده است. همانطور که پیش از این هم اشاره کردیم، ابزارهای مبتنی بر IP قابلیت های لازم را برای شناسایی مخاطرات در سطح دستگاهها فراهم نمیکنند و نیاز به استفاده از راهکارهای قوی تر در این خصوص به شدت احساس می شود.
خوشبختانه هم اکنون محصولات جدیدی عرضه شدهاند که میتوانند با ارایه یک رویکرد فعال برای نظارت بر جامعیت و درستی وضعیت دستگاهها و ناهنجاریهای موجود در شبکه؛ امنیت، کنترل و دید بلادرنگی را نسبت به فعالیتهای صورت گرفته در شبکههای صنعتی فراهم کنند. این فناوریها با نظارت بر تمامی تغییرات صورت گرفته در دستگاهها یا شبکههای کنترل صنعتی می توانند یک دید فراگیر و کاملی را به منظور شناسایی زودهنگام مخاطرات و فعالیتهای غیرمجاز ایجاد کنند.
منبع: securityweek