المملكة المتحدة المركز الوطني للأمن السيبراني تعاونت (NCSC) مع شركائها في Five Eyes ووكالات أخرى من الاتحاد الأوروبي (EU) لنشر دليل جديد مصمم لمساعدة هيئات البنية التحتية الوطنية الحيوية (CNI) وغيرها التي تعتمد على التكنولوجيا التشغيلية (OT) يطالب بتحسين الأمان في المنتجات عند اتخاذ قرارات الشراء.
مع مشغلي CNI تحت تهديد شبه مستمر من الجهات الخبيثة – العديد منهم يعملون بناء على طلب وكالات الاستخبارات المعادية – قال NCSC إنه يهدف إلى تقديم إرشادات واضحة بشأن اختيار المنتجات والشركات المصنعة التي تلتزم بمبادئ التصميم الآمن، مما يمنح أنظمتها أساسًا مرنًا ويقلل من المخاطر التي تشكلها الهجمات السيبرانية.
تاريخيًا، لم يتم تطوير مثل هذه المكونات مع التركيز على الأمن كأولوية – أو في كثير من الحالات على الإطلاق – مما يمنح الجهات الفاعلة في مجال التهديد نافذة مفتوحة للوصول إلى عقاراتها التقنية، وهي نافذة أصبحت أوسع بكثير مع اتصال المزيد والمزيد من مكونات التكنولوجيا التشغيلية بأنظمة تكنولوجيا المعلومات الأوسع. .
علاوة على ذلك، غالبًا ما يتم استهداف هذه المكونات بشكل كبير لأنه يمكن تكرار الحل الوسط الناجح بسهولة عبر العديد من الضحايا.
وقال جوناثان إليسون، مدير المرونة الوطنية وتكنولوجيا المستقبل في المركز الوطني للأمن الإلكتروني: “مع تزايد استهداف المهاجمين السيبرانيين للتكنولوجيا التشغيلية في جميع أنحاء العالم، لم يكن الأمر أكثر أهمية بالنسبة لمشغلي البنية التحتية الحيوية لضمان دمج الأمن في الأنظمة التي يستخدمونها”.
“يقدم هذا الدليل الجديد للمؤسسات نصائح عملية حول كيفية تحديد أولويات منتجات التكنولوجيا التشغيلية الآمنة حسب التصميم عند اتخاذ قرارات الشراء، مما يساعد على التخفيف من التهديدات السيبرانية الحقيقية التي يواجهونها.
“أنصح بشدة مشغلي أنظمة التكنولوجيا التشغيلية في المملكة المتحدة باتباع هذا التوجيه للمساعدة في وضع أساس قوي لمرونتهم السيبرانية وإرسال إشارة إلى الشركات المصنعة بأن الأمن هو أكثر من مجرد ميزة إضافية للمنتجات ولكنه مطلب مطلوب.”
الهداية وهي متاحة للتحميل رسميا من الموقع الإلكتروني للنظير الأمريكي لـ NCSC، CISA، يضع 12 اعتبارًا أمنيًا يجب على مستخدمي التكنولوجيا التشغيلية دمجها في عملية الشراء الخاصة بهم، للمساعدة في الدفاع عن أنفسهم، وإجبار الشركات المصنعة على القيام بعمل أفضل.
الاعتبارات التي يجب على المشترين مراعاتها – والإجابة على هذه الأسئلة يجب أن تكون دائمًا “نعم” – هي كما يلي:
- هل يدعم المنتج التحكم في تعديلات إعدادات التكوين والمنطق الهندسي وتتبعها؟
- هل يدعم المنتج الأساسي تسجيل جميع الإجراءات، بما في ذلك التغييرات في التكوين وأحداث الأمان والسلامة، باستخدام التنسيقات القياسية المفتوحة؟
- هل يستخدم المنتج معايير مفتوحة لدعم الوظائف والخدمات الآمنة، وترحيل إعدادات التكوين والمنطق الهندسي؟
- هل يمنح المنتج المالكين والمشغلين الاستقلالية الكاملة عليه، بما في ذلك القدرة على إجراء الصيانة وإجراء تغييرات أخرى، وتقليل الاعتماد على المورد؟
- هل يحمي المنتج سلامة وسرية البيانات والخدمات والوظائف، بما في ذلك إعدادات التكوين والمنطق الهندسي، أثناء الراحة وأثناء النقل؟
- هل يصل المنتج بشكل آمن “خارج الصندوق”، مما يقلل من أسطح الهجوم ويزيل العبء عن المالكين من خلال تضمين جميع ميزات الأمان في جميع الإصدارات، وإزالة كلمات المرور الافتراضية والسماح بكلمات المرور المعقدة، مع تعطيل البروتوكولات القديمة افتراضيًا، وليس كشف الواجهات الخارجية ومنح المستخدمين القدرة على إعادة ضبطها على حالتها الأصلية؟
- هل يدعم المنتج الاتصالات الموثوقة الآمنة التي تفشل “بصوت عالٍ” ولكنها تسمح باستمرار العمليات الهامة، والتي لا تتطلب مهارات إلكترونية كبيرة لتحقيقها؟
- هل يأتي المنتج مزودًا بعناصر تحكم آمنة تحميه من جهات التهديد التي ترسل أوامر ضارة، وتحمي توفر الوظائف الأساسية، وتقلل من تأثير أي حادث على الأنظمة الأوسع؟
- هل يحمي الإصدار الأساسي للمنتج بشكل مناسب من الوصول غير المصرح به من خلال تدابير مثل المصادقة متعددة العوامل أو التحكم في الوصول المستند إلى الدور؟
- هل يحتوي المنتج على نموذج تهديد كامل ومفصل يوضح كيفية اختراقه، والتدابير اللازمة للحد من مثل هذه السيناريوهات؟
- هل لدى الشركة المصنعة للمنتج برنامج للكشف عن الثغرات وإدارتها، بما في ذلك الاختبار والدعم والإدارة والتصحيح المجاني؟
- هل يحتوي المنتج على عملية تصحيح وترقية موثقة جيدًا ومباشرة تمكن المستخدمين من الانتقال إلى نظام تشغيل مدعوم مجانًا إذا لم يعد من الممكن دعم النظام الأصلي؟
أحزمة الأمان السيبرانية
مدير CISA جين إيسترلي الكتابة اليوم، مقارنة الوضع الحالي بالفترة التي سبقت الضغط العام الذي أجبر شركات صناعة السيارات على البدء في بناء ميزات السلامة – مثل أحزمة الأمان، والفواصل المانعة للانغلاق وما إلى ذلك – بشكل قياسي. في الولايات المتحدة، كان الغضب بشأن الوفيات الناجمة عن حوادث الطرق بسبب نشر نص تاريخي قبل 60 عامًا، غير آمنة بأي سرعةبقلم المدافع عن حقوق المستهلك والسياسي رالف نادر.
«ليس لدينا مشكلة تتعلق بالأمن السيبراني؛ قال إيسترلي: “لدينا مشكلة في جودة البرمجيات”. “نحن الآن عند نقطة تحول – حيث يستغل الخصوم الأجانب البرامج المعيبة على نطاق واسع – حيث يؤدي هذا الاعتراف إلى طلب متضافر لتحسين الأمن.
“تمامًا كما لم تنجح إصلاحات سلامة السيارات إلا عندما طالب الجمهور بسيارات أكثر أمانًا كمعيار أساسي، فإن صناعة البرمجيات لن تعطي الأولوية للتصميم الآمن إلا عندما… نطالب به باعتباره خط الأساس لنظام بيئي رقمي فعال وآمن.
“تدعم مبادرة التصميم الآمن هذا الطلب من خلال تزويد العملاء بأسئلة رئيسية لطرحها على البائعين حول برامجهم – تمامًا كما علمت حملات السلامة العامة الأمة كيفية تقييم ميزات السلامة في سياراتهم. ومن خلال تمكين المستخدمين، نهدف إلى إحداث تحول جذري في أمن البرمجيات.
