در سالهای اخیر، وزارت امنیت میهن آمریکا طرحی را به منظور ارتقای امنیت زیرساخت های حیاتی و به ویژه شرکتهای حوزه نفت تهیه کرده است. این طرح که با نام «طرح امنیت سایبری خطوط لوله (PCI[1])» شناخته می شود، برای پیاده سازی و نظارت بر اجرای آن به آژانس امنیت زیرساخت و امنیت سایبری (CISA[2]) آمریکا محول شده است.
لازم به ذکر است حدود 2.7 میلیون مایل خط لوله در سطح جهان وجود دارد که عملیات انتقال نفت، گاز مایع و سایر مایعات نفتی را انجام میدهد. اگر به این اعداد و ارقام و همچنین روشهای ناامنی که برای برقراری ارتباط در این صنعت استفاده میشود فکر کنید، عمق فاجعهای که ممکن است با ایجاد اختلال در این سیستمها ایجاد شود را بهتر درک خواهید کرد.
بر اساس بررسیهای PCI، «نفوذ به چنین سیستمهایی میتواند منجر به ایجاد انفجار، اختلال در تجهیزات، خاموشی یا خرابکاریهای پیش بینی نشده، سرقت اطلاعات مالکیت معنوی و پیامدها و فجایع مختلف دیگری برای زیرساختهای حیاتی شود».
عموماً افراد وقتی نام امنیت خطوط لوله و هر موضوعی که به زیرساختهای حیاتی مرتبط باشد را میشنوند، بلافاصله به سیستمهای کنترل صنعتی فکر میکنند. هر چند در دستورالعملهای PCI به این سیستمها نیز اشاره شده است اما برای پرداختن به این موضوع مهم از یک رویکرد کلی و جامعتر استفاده شده است. علاوه بر این، موضوعاتی مثل ارزیابی وضعیت امنیتی کلی یک سیستم و همکاری با شرکا و سهامداران هم مورد توجه قرار گرفتهاند.
CISA یک اینفوگرافیک بسیار مفید طراحی کرده و در آن به توضیح فعالیتهایی پرداخته است که مالکان و اپراتورهای خطوط لوله میتوانند برای ایحاد آمادگی و مقابله با تهدیدات سایبری ویرانگر از آن استفاده کنند. در این اینفوگرافیک، مثالهایی از رویدادهای واقعی که در آنها از نقاط ضعف موجود بهره برداری شده، ارایه شده است.
بسیاری از توصیههای مطرح شده در این راهنما از جمله حفاظت از شبکهها، نظارت، مدیریت پیکربندی و کنترل دسترسی PCI با راهبردهای امنیتی کلی که همیشه مطرح میشوند، همخوانی دارند. بنابراین ممکن است این پرسش ایجاد شود که چرا صنعت نفت و گاز از سایر توصیههای ارایه شده استفاده نمیکند؟ باید توجه داشت که وقتی یک توصیه ویژه یک صنعت خاص تدوین و منتشر میشود، معمولاً توجه بیشتری به آن صورت گرفته و اعتبار آن افزایش مییابد.
البته سایر صنایع هم میتوانند از اطلاعات بیان شده توسط PCI استفاده کنند. از آنجا که همکاری و مشارکت برای موفقیت امنیت سایبری ضروری است، آگاهی و اطلاع رسانی در همه صنایع هم برای حفاظت از شبکههای حیاتی اهمیت زیادی دارد. با توجه به اینکه در حال حاضر یک راهنمای جامع در اختیار کاربران و فعالان این صنعت قرار گرفته است، امیدواریم که شاهد وقوع حملات سایبری مخرب در این صنعت حساس نباشیم.
[1] Pipeline Cybersecurity Initiative
[2] Cybersecurity & Infrastructure Security Agency
منبع: tripwire