بعد أن كانت أفلام التجسس مثيرة، أصبحت التهديدات السيبرانية تستهدف العالم الحقيقي، والموارد الحيوية مثل الهجوم على أنظمة المياه المستخدمة من قبل المدن في ولاية تكساس، هجوم مرتبط بمجموعة قراصنة روسية الدودة الرملية – المعروفة أيضًا باسم APT44.
وهذه ليست المرة الأولى التي يضرب فيها Sandworm، فإن مآثره مرتبطة بـCyberArmyofrussia_Reborn، وهي مجموعة تقول شركة Mandiant للأمن السيبراني التابعة لجوجل إنها حصلت على الفضل هذا العام “للتلاعب بواجهات الآلة البشرية التي تتحكم في أصول التكنولوجيا التشغيلية في مرافق المياه البولندية والأمريكية”.
كما ادعى CyberArmyofrussia_Reborn الفضل في تعطيل منشأة فرنسية للطاقة الكهرومائية.
سواء عن طريق الوكلاء أو تحت أسماء بديلة، تستمر هذه التهديدات المتقدمة المستمرة (APT) في توسيع نطاق وصولها بحثًا عن أكثر من مجرد الأموال النقدية عبر مخططات برامج الفدية – فهي جزء من الحرب الباردة السيبرانية الجيوسياسية.
ومع وجود مثل هذه التهديدات الدولية، فإن حتى البنية التحتية المحلية يمكن أن تكون معرضة للخطر. كيفن مورلي، مدير العلاقات الفيدرالية في جمعية أعمال المياه الأمريكيةويقول إنه على الرغم من أن الهجمات قد تستهدف الموارد على المستوى المحلي، إلا أن التهديد يشكل مصدر قلق وطني. “الشهادة التي رأيناها من مدير إيسترلي و المخرج راي، من CISA [Cybersecurity and Infrastructure Security Agency] ومكتب التحقيقات الفيدرالي على التوالي – أدلى راي بشهادته هنا في الأسبوعين الماضيين فقط، وتحدث عن زيادة مستويات النشاط من الكيانات الأجنبية التابعة للخصم والتي تستهدف أنظمة البنية التحتية الحيوية المتعددة؛ ولا يقتصر الأمر على أنظمة المياه فقط التي يتم استهدافها.
يقول مورلي، من هذه الشهادة، من الواضح أن الجهات الفاعلة السيئة القادرة تمارس إمكاناتها بشكل متكرر أكثر الآن. يقول: “إن أكبر ما يحدث أو يحدث باستمرار في Net-net هو برامج الفدية، وذلك فقط لأنه من السهل جدًا نشرها.”
طوفان من الأسباب لتعزيز الأمن السيبراني
كريس هيوز، كبير مستشاري الأمن في شركة أمنية مفتوحة المصدر، مختبرات إندوريقول إن الهجمات الإلكترونية على البنية التحتية الأمريكية مثل مرافق الاتصالات ومعالجة المياه قد تكون مدمجة لاستغلال تلك الأنظمة مع مرور الوقت. وحتى مع زيادة الوعي، لا يوجد حل سهل.
ويقول: “جزء من التحدي هنا هو أن البنية التحتية الحيوية مملوكة للقطاع الخاص ويديرها إلى حد كبير”. هيوز هو أيضًا زميل في مجال الابتكار السيبراني في CISA، حيث يركز على أمن سلسلة التوريد. “من الصعب بعض الشيء بالنسبة للحكومة أن تسيطر بشكل كامل على الأمن السيبراني لهذه البنية التحتية لأنها لا تمتلكها فعليًا ولا تديرها في كثير من الحالات.”
هناك جانب آخر يجعل الأمن السيبراني لأنظمة المياه تحديًا، وهو عمر وطول عمر بيئات التكنولوجيا التشغيلية. يقول هيوز: “إننا نتحدث عن أنظمة لها دورات حياة تمتد لعقود، وليس سنوات، من حيث التكنولوجيا”. كما هو الحال غالبًا، فإن الحاجة إلى الاستقرار المستمر في نظام البنية التحتية القديم تجعل من الصعب تغييره وتحديثه. ويقول: “لقد كانت هذه التكنولوجيا موجودة منذ فترة طويلة”. “في كثير من الحالات، يكون الأمر هشًا للغاية. لديها نقاط ضعف معروفة. ولم تتم ترقيته أو تغييره بسبب الاضطرابات التي قد يسببها في الخدمات التي يقدمونها.
التحدي المستمر للتكاليف
على الرغم من أهمية البنية التحتية الحيوية، فإن مسألة ترقية الأمن السيبراني لتلبية القواعد الجديدة يمكن أن تؤدي إلى موازنة التكاليف – وهو الأمر الذي قد يكون صعبًا بالنسبة للمدن التي تعاني من ضائقة الميزانية بغض النظر عن الضغوط التنظيمية. يقول هيوز: “لا يمكننا أن ندفع مزود الكهرباء أو المياه المحلي إلى التوقف عن العمل لأن الناس يعتمدون عليه في حياتهم اليومية”.
ومع ذلك، قد يكون هناك بعض الاحتجاج لدفع الشركات إلى اتخاذ الإجراءات اللازمة، سواء كان ذلك من خلال الشراكة بين القطاعين العام والخاص أو التمويل والموارد الإضافية. ويقول: “يجب أن يحدث ذلك لأن هذا يمثل تهديدًا مجتمعيًا حقيقيًا”.
يمكن للقيود المالية للأمن السيبراني، والتي غالبا ما تكون تكلفة مستمرة في القطاع الخاص، أن تكون قاسية بالنسبة للبلديات التي تحتاج إلى حماية شبكة المياه وغيرها من البنية التحتية الحيوية. يقول مات وارنر، المدير التنفيذي للتكنولوجيا والمؤسس المشارك لشركة “إن ما نميل إلى رؤيته هو أن هذه المنظمات تعاني من نقص الاستثمار على نطاق واسع، خاصة عندما يتعلق الأمر بالبلديات”. بلوميرا.
ويقول إنه عندما تقع مثل هذه الهجمات، فإنها تميل إلى الاستفادة من الوصول عن بعد الذي يتم استغلاله إذا لم يكن لدى المنظمة مجموعة المهارات أو الوقت اللازم لبناء الوصول عن بعد بشكل صحيح وآمن إلى هذه الأنواع من الأنظمة. يقول وارنر: “أو أنهم لم يحصلوا أبدًا على الميزانية اللازمة لحل المشكلة داخليًا في المنظمة”. “لقد رأينا ذلك لسنوات.”
قد تكون هناك أسباب مشروعة لإدارة مستويات المياه عن بعد، ولكن الجهات الفاعلة السيئة تغتنم الفرصة لضربها. ويقول: “ليس من الصعب العثور على هذه الأنواع من الأشياء ثم الاستفادة من أوراق الاعتماد التي تم العثور عليها للوصول إليها، أو أنها ليست محمية ككل، بشكل عام”.
على عكس الهجمات التي تحفزها الحملات الجيوسياسية، فإن هجمات برامج الفدية التي تستغل البنية التحتية قد تستخدم الجانب الصناعي فقط للوصول إلى جانب تكنولوجيا المعلومات لنشر برامج الفدية. ويقول: “في العادة لا توجد تكنولوجيا قديمة لاسترداد الأموال”. “عادةً، لا يتم تصميم برامج الفدية لطلب فدية من تكنولوجيا صناعة المياه التي يبلغ عمرها 40 عامًا، ولكنها مصممة للاستفادة من المجالات الأخرى.”
لا تزال أنظمة المياه والبنية التحتية الحيوية الأخرى تشكل أهدافًا رئيسية. يستشهد وارنر بهجوم إلكتروني على نظام المياه في فلوريدا قبل بضع سنوات مما أثر على مستويات المياه وأدى إلى إصدار تحذير من غليان الماء. ويقول إن هذا الإجراء أطلق إنذارات وأدى إلى اتخاذ إجراء، ولكن حتى الآن، لم يتم بعد استخدام شبكات المياه كسلاح من قبل المتسللين بشكل مباشر ضد السكان. يقول وارنر: “لقد كنا محظوظين حقًا لأنه لم يدخل أحد في أنظمة مثل هذه وقرر التلاعب بها حقًا”.
ما وراء هجمات برامج الفدية
على المستوى الأساسي، لا تزال هجمات برامج الفدية غير معقدة، كما يقول مورلي، عن طريق إغراق صناديق البريد الإلكتروني برسائل خادعة تتضمن روابط ضارة على أمل أن يبتلع شخص ما الطُعم في نهاية المطاف. يقول: “تحتاج فقط إلى عدد قليل من الأشخاص للنقر عليه وستحصل على يوم الدفع”.
متطلبات الإبلاغ الجديدة يقول مورلي إن الهدف من اقتراح CISA، بموجب قانون الإبلاغ عن الحوادث السيبرانية للبنية التحتية الحيوية، هو توفير نهج أكثر تنظيماً لجمع المعلومات الاستخبارية من أجل فهم جماعي أفضل وصورة التهديد. ويقول إن المتطلبات تلزم كيانات البنية التحتية الحيوية، مثل أنظمة مياه الشرب والصرف الصحي، “بالإبلاغ عن الحوادث السيبرانية الكبيرة في غضون 72 ساعة ودفع برامج الفدية في غضون 24 ساعة”.
يقول مورلي إن تصرفات APT44 أكثر ضررًا بطبيعتها من تهديد برامج الفدية المعتادة. “إنها ليست ذات دوافع مالية.” وفي حين أن المجموعة لم تقم بعد بتعطيل الهدف بشكل كامل، إلا أنها تقول إنها تستعرض قدرتها المحتملة على تعطيل أنظمة البنية التحتية الحيوية. ويقول: “سواء كان ذلك الموانئ، أو شبكة الكهرباء، أو أنظمة المياه، أو الرعاية الصحية”. “الكثير من ذلك له دوافع سياسية.”
واستهدفت جهات تهديد أخرى، إلى جانب Sandworm/APT44، أنظمة المياه. على سبيل المثال، وضعت CISA كلمة في ديسمبر الماضي حول هجوم شنته CyberAv3ngers، وهي مجموعة تابعة للجيش الإيراني، استهدفت وحدات التحكم المنطقية القابلة للبرمجة من سلسلة Unitronics Vision (PLCs)، والتي تستخدم في صناعة أنظمة المياه والصرف الصحي بما في ذلك في الولايات المتحدة. يقول مورلي: “لقد أصبح ذلك في الأساس وظيفة تشويه”، مستشهداً بالرسائل التي تركها المتسللون في الأنظمة، والتي تندد بإسرائيل، حيث يوجد مقر شركة يونترونيكس، وتزعم أن أي معدات يتم تصنيعها هناك سيتم استهدافها.
يقول مورلي: “الوضع في تكساس مختلف بعض الشيء، حيث تقدموا بالفعل وتلاعبوا بالعمليات وتسببوا في فيضان الخزان”. ويقول إن ذلك لم يعطل في الواقع استمرارية الخدمة، لكن المتسللين تمكنوا من تجاوز خزان المياه الذي استهدفوه.
قد يستغرق الأمر أكثر من مجرد قرية
يقول مورلي إن جمعيته كانت متسقة في رسائلها إلى الأعضاء والشركاء الفيدراليين حول أهمية الأمن السيبراني. ويقول: “في محادثاتي مع قادة المرافق، قال إن الأمن السيبراني كان مهمًا قبل 10 إلى 15 عامًا، لكنه لم يكن ضمن قائمة العشرة الأوائل”. “الآن أصبح الأمر في قمة اهتماماتي. هذا هو الشيء الذي يتحدث عنه مجلس الإدارة بشكل متكرر مع رئيس قسم المعلومات لديه.”
في حين أنه من المرجح أن يكون لأنظمة المياه الكبيرة رئيس قسم تكنولوجيا المعلومات، فإن العمليات الصغيرة جدًا التي تكون ذات طبيعة بلدية في المقام الأول قد لا يكون لديها مثل هؤلاء الموظفين. يقول مورلي إن التحدي العام المتمثل في حماية أنظمة المياه يشمل أيضًا النطاق المحتمل للمستخدمين النهائيين الذين قد يتأثرون، والذي يمكن أن يشمل أنظمة المدارس والمساكن. قد لا يكون تعيين مدير تكنولوجيا المعلومات وشراء المزيد من موارد الأمن السيبراني، على الرغم من التأثير المحتمل لاختراق نظام المياه، ممكنًا على ميزانية البلدية.
إن التهديد المحتمل المتمثل في استهداف الجهات الفاعلة السيئة لأنظمة المياه بشكل مكثف يعني أن المرونة السيبرانية أصبحت في مقدمة الأولويات. يقول مورلي: “أعتقد أنه قد حدث تحول طفيف في المناقشة”. “لقد رأيت الحديث عن كون هذه مسؤولية مشتركة في نهاية المطاف.” ويقول إنه قد يكون بمقدور مشغلي شبكات المياه وضع ضوابط معينة، ولكن يتعين على مقدمي التكنولوجيا أيضًا تقديم ميزات الأمان ودمجها في خدماتهم أو منتجاتهم.
يقول مورلي، إنه مثل الموارد التي توفرها شركات صناعة السيارات والميكانيكيون لخدمة السيارة، يمكن لمزودي التكنولوجيا تعزيز ميزات الأمان. “التشبيه الذي أستخدمه دائمًا – أنا أملك سيارة، لا يجعلني ميكانيكيًا، ولا يجعلني قادرًا على تغيير الفرامل، لكنني أعلم أنه يجب علي القيام بذلك بشكل صحيح.”
