ریسک امنیت سایبری درصنایع معدنی

منبع: http://www.crushingnquarrying.com/2019/03/15/cyber-security-risks-in-mining-industry/

تهیه کننده: دکتر کیارش مهرانی

اگرچه بسیاری از شرکت‌های  تولیدی کالاهای مصرفی به دلیل حملات سایبری داده‌ها در کانون توجه قرار گرفته‌اند، امازنگ هشدار در بخش معدن نیز به کندی به صدا درآمده است. برای سال‌ها، شرکتهای معدنی عمدتاً احساس امنیت کاذبی داشتند و معتقد بودند که می‌توانند تحت رادار مجرمان سایبری که اهداف سودآوری را تعقیب میکنند، فعالیت کنند. وقتی می‌توانند به سازمان مصرف‌کننده‌ای که داده‌های مالی را جابجا می‌کند حمله کنند، چرا بازیگران مخرب باید عملیات استخراج را هک کنند؟ امروزه، این استدلال به اندازه یک وصله در نرم افزار چند دهه ای معیوب شده است.

صنایع معدنی در حال حرکت به مرحله بعدی تکامل خود می باشند که گاهی از آن به عنوان « هوشمند سازی معدن‌ » یاد می‌شود. در گزارش اخیر Deloitte، تحت عنوان استخراج هوشمند: ارائه ارزش واقعی، این امر مستلزم ادغام سریع روباتیک، اتوماسیون و اینترنت اشیا (IoT) در محیط عملیاتی، علاوه بر تغییرات سازمانی گسترده تر است. در عین حال، علاقه مجرمان سایبری به عملیات صنعتی در دهه گذشته افزایش یافته است، در حالی که انگیزه اقدامات آنها پراکنده تر شده است. هک مخرب، حملات باج افزار، کلاهبرداری الکترونیکی، نشت داده ها و جاسوسی شرکتی در سراسر جهان رایج شده است. این فعالیت‌های غیرقانونی اغلب توسط اهداف مالی، سیاسی یا رقابتی هدایت یا صرفاً به دلیل تمایل به ایجاد اختلال می‌شوند.

این حملات امنیت سایبری را به موضوع بحث داغ در اتاق های هیئت مدیره در سراسر جهان تبدیل کرده است و اکنون تعداد فزاینده ای از سازمان ها در حال توسعه برنامه های تحول برای مقابله با این تهدیدات عملیاتی جدید هستند. با این حال، ایمنی، هوشیاری و انعطاف پذیری فرآیندهای عملیاتی یک چالش بزرگ است. به عنوان مثال، استقرار قابلیت‌های سایبری موجود سازمان در محیط عملیات مستلزم هماهنگی فرهنگهای درگیر  است که چالش برانگیز است. علاوه بر این، محیط عملیاتی نیازمند در دسترس بودن مداوم، همراه با راه حل های فنی مناسب است که همیشه ایمن سازی آنها آسان نیست.

حل این چالش ها مستلزم درک خوب رشته های مهندسی و فناوری اطلاعات (IT) و همچنین شیوه های امنیت سایبری پیشرو و خاص  هر بخش است. این مقاله درک ما را از تجربه میدانی خود از جمله دروس آموخته‌شده در کمک به شرکت‌های معدنی برای فراتر رفتن از ایمنی در ایمن کردن سیستم‌های کنترل صنعتی [۱](ICS) به اشتراک می‌گذارد

زیرساخت های حیاتی برای حفظ عملیات ایمن و قابل اعتماد به سیستم های کنترل صنعتی (ICS) متکی است. مهندسان با در نظر گرفتن ایمنی و قابلیت اطمینان ICS را با موفقیت طراحی و اجرا کرده اند، اما نه همیشه امنیت. چرا؟ در ابتدا نیاز چندانی به آن نبود. سیستم های عملیاتی ایزوله و مناسب برای هدف، بروز بودند. از آنجایی که این سیستم‌های عملیاتی با سیستم‌های سازمانی یا حتی با یکدیگر ادغام نشده‌اند، خطر یک شکست آبشاری در مقیاس بزرگ به دلیل یک حمله – سایبری یا غیره – بسیار دور از انتظار بود.

۲۰ سال بعد وبا دیجیتالی شدن و اینترنت اشیا، اساسی ترین فرضیات مربوط به امنیت عملیاتی وارونه شده است. امروزه، انواع تأسیسات صنعتی، از جمله سایت‌های معادن، کارخانه‌های فرآوری مواد معدنی و مراکز عملیات از راه دور در برابر حملات سایبری آسیب‌پذیر هستند. این آسیب‌پذیری‌ها شامل زیرساخت‌های الکتریکی حیاتی، سیستم‌های کنترل توزیع‌شده متصل، کنترل‌کننده‌های منطقی قابل برنامه‌ریزی [۲](PLC)، شرکای زنجیره تامین و موارد دیگر می‌شوند. حتی یک معدن شفت با اتصال اینترنتی کمی در زیر زمین در برابر حملات سایبری به سیستم الکتریکی بالای زمین آسیب پذیر است که می تواند سیستم تهویه معدن را در معرض خطر قرار دهد. حتی نگران‌کننده‌تر، کاهش این نوع تهدید سایبری ممکن است کاملاً خارج از کنترل شرکت باشد، اگر معدن به جای اینکه به منابع انرژی توزیع‌شده خود، مانند پنل‌های خورشیدی یا مجموعه‌های ژنراتور دیزلی، به شبکه برق گسترده‌تر متکی باشد.

اکنون در چندین بردار، سیستم‌های عملیاتی می‌توانند توسط هکرهای خارجی یا داخلی در معرض خطر قرار گیرند، و باعث نقص ایمنی یا تولید و افزایش ریسک تجاری می‌شوند. اگرچه ICS معمولاً به گونه‌ای طراحی می‌شود که ضد شکست باشد، پیچیدگی روزافزون مجرمان سایبری خطر حوادث فاجعه‌بار را به همراه بزرگی تأثیرات از نظر هزینه، ایمنی، شهرت و ضررهای تجاری یا مالی افزایش می‌دهد.

همانطور که شرکت های معدنی شروع به دست و پنجه نرم کردن با پیامدهای یک محیط عملیاتی به هم پیوسته می باشند، سیستم های پشتیبان شرکت آنها به طور همزمان مورد انتقاد قرار می گیرند. دولت‌های ملی، گروه‌های فعال محلی و حتی رقبا علاقه زیادی به سرقت مالکیت معنوی و اطلاعات اختصاصی مانند داده‌های اکتشافات، ارزش‌گذاری شرکت‌ها و سایر اطلاعات مربوط به ادغام و تملک می باشند. اغلب هدف به دست آوردن برتری در مذاکرات یا تأثیرگذاری بر روی تجارت است.

درک چالش

یکی از عوامل اصلی که ایمن سازی ICS را بسیار دشوار می کند این است که آنها برای اتصال طراحی نشده اند، اما امروزه به شبکه متصل هستند. دیجیتالی شدن فرآیندهای عملیاتی در صنعت معدن به فرصت های جدیدی برای بهبود بهره وری و کاهش هزینه ها منجر شده است. با این حال، همگرایی سیستم‌های عملیاتی و تجاری، شرکت را به روی مجموعه جدیدی از خطرات سایبری باز کرده است.

سناریوهای زیر را در نظر بگیرید که امکان آن حتی چند سال پیش وجود نداشت:

• عدم احراز هویت در ارتباطات بی سیم به مجرمان سایبری اجازه می دهد تا یک سیستم حمل و نقل خودگران را ربوده، حرکت مواد را متوقف کند، به تجهیزات گران قیمت آسیب برساند و جان افراد را در معرض خطر قرار دهد.
• اقدامات امنیتی ضعیف توسط یک پیمانکار شخص ثالث به ویروس اجازه می دهد تا به محیط تولید مهاجرت کند، سیستم های کنترل، نظارت و جمع آوری داده های حیاتی (SCADA) را خاموش کند و شرایط کاری ناامنی را ایجاد کند.
• آموزش ناکافی کارکنان در مورد نحوه تشخیص ایمیلهای تقلبی یا به اصطلاح نیزه فیشینگ(spear phishing)[۳] و تلاش‌های مهندسی اجتماعی، رقیب را قادر می‌سازد تا پروتکل‌های امنیتی سازمان را دور بزند و داده‌های حساس قیمت‌گذاری را بدزدد.
• نقاط ضعف در زنجیره تامین به تجهیزات ICS اجازه رهگیری و نصب بدافزار قبل از تحویل در یک سایت معدن را می دهد. آزمایش نادرست اجزاء قبل از استقرار سپس به ویروس اجازه می دهد تا بدون شناسایی تکثیر شود و در نتیجه سیستم از کار بیفتد و منجر به اختلال یا خاموش شدن عملیات شود.

در واقع تصور می شود که ویروس بدنام استاکس نت از این طریق وارد زیرساخت های هسته ای ایران شده است.

همانطور که این مثال‌ها نشان می‌دهند، تهدیدهای سایبری می‌توانند از جهات مختلفی از جمله بازیگران داخلی با هدف خرابکاری در تولید، رقبا که به دنبال آسیب رساندن به برند هستند و احزاب خارجی، مانند گروه‌های فعال، که می‌خواهند فعالیت‌ها را تعطیل کنند، سرچشمه می‌گیرد.

با این حال، همه آسیب‌پذیری‌ها از خود فناوری‌ها ناشی نمی‌شوند. انواع مختلف معادن و مکان‌ها، همراه با ساختار غیرمتمرکز بسیاری از شرکت‌ها نیز چالش‌هایی را ایجاد می‌کنند. به عنوان مثال، برای یک سازمان معدنی غیرمعمول نیست که ۱۰ نسخه مختلف از یک سیستم کنترل صنعتی را در ۱۰ معدن مختلف اجرا کند، که هر کدام دارای درجات مختلف اتصال به اینترنت هستند. در این نوع محیط، این غیر معمول نیست که مدیر ارشد امنیت اطلاعات شرکت (CISO) کنترل کمی بر رویه‌های امنیتی خاص سایت داشته باشد.

جنبه های رفتاری نیز وارد بازی می شوند. برخی مواقع عدم آگاهی امنیتی در سازمان می تواند به طور سهوی سیستم ها را در معرض حملات سایبری قرار دهد، مانند زمانی که کارکنان رسانه های قابل حمل آلوده به بدافزار را به محیط می آورند. در بسیاری از عملیات، کارکنان به سادگی بر این باورند که سیستم های آنها یک هدف بعید است، بنابراین آنها تمایلی به تغییر رفتارهای خود و اجرای پروتکل های امنیتی جدید ندارند. گذشته از این، چندی پیش آنها می‌توانستند با خیال راحت فرض کنند که همه اجزای تجهیزات قابل اعتماد هستند، که دیگر اینطور نیست، زیرا سنسورها و کنترل‌کننده‌های دیجیتال را می‌توان برای ارائه ورودی نادرست و اطلاعات وضعیت نادرست دستکاری کرد. فرض منسوخ شده دیگر این است که خرابی های فرآیند عمدتاً ناشی از شرایط آب و هوایی، خطای انسانی و فرسودگی تجهیزات است و لزوماً دستکاری مخرب سیستم توسط کسانی که قصد آسیب رساندن دارند نیست.

خواه یک رخنه سایبری عمدی یا غیرعمدی باشد اما عواقب آن می‌تواند شدید باشد، از به خطر انداختن داده‌های محرمانه گرفته تا ایجاد خرابی یا خاموش شدن سیستم. این رخنه می تواند منجر به کاهش درآمد، آسیب به شهرت، فاجعه زیست محیطی، مجازات قانونی، و در موارد شدید، از دست دادن جان افراد شود.

به راحتی می توان فهمید که چرا ادغام کنترل های موثر و جامع امنیت سایبری در ICS اگر نه به طور فزاینده ای اجباری اما ضروری است. برای رسیدن به آن، شرکت‌ها باید راهی برای تطبیق دیدگاه‌های متفاوت در مورد فناوری اطلاعات و عملیات بیابند: متخصصان ICS همیشه خطرات امنیتی مدرن فناوری اطلاعات را کاملاً درک نمی‌کنند، همانطور که متخصصان امنیت فناوری اطلاعات اغلب فرآیندهای صنعتی پشتیبانی شده توسط ICS را کاملاً درک نمی‌کنند.

راه حل

برای بیش از ۵۰ سال، ایمنی انگیزه اصلی طراحی و به کارگیری کنترل برای فرآیندهای تولید فیزیکی بود. در حالی که این انگیزه هنوز وجود دارد و فرآیندها را در وضعیت عملیاتی ایمن نگه می دارد، چشم انداز اختلالات احتمالی اکنون دامنه سایبری را در بر می گیرد. اکنون نیاز به یک برنامه واحد برای رسیدگی به امنیت سایبری سیستماتیک در سراسر تجارت و عملیات  وجود دارد. اگرچه ساخت و اجرای برنامه ای با این ماهیت یک تلاش چند ساله و تحول آفرین است، اما هر مرحله از ابتکار باید یک هدف را در ذهن داشته باشد: ارتقاء مقیاس بلوغ برای ایجاد محیط ICS ایمن، هوشیار و انعطاف پذیر.

ایمن بودن به معنای جلوگیری از نقض یا سازش سیستم از طریق کنترل و نظارت مؤثر و خودکار است. اما، امن کردن همه چیز به یک اندازه امکان پذیر نیست. دارایی‌ها و زیرساخت‌های حیاتی و ICS مرتبط با آن‌ها بدیهی است که در صدر فهرست قرار می‌گیرند، اما مهم است که به خاطر داشته باشید که آنها اجزای مجزا نیستند. آنها بخشی از زنجیره های تامین بزرگتر هستند، بنابراین ضروری است که نقاط ضعف را در سراسر فرآیندهای معدنی تقویت کنیم. این می‌تواند شامل لایه‌ها و انواع بسیاری از کنترل‌ها باشد، از نصب فایر والها تا حسگرهای “سخت ” مانند ماشین‌های حفاری، بیل‌های مکانیکی، محرک‌های زمین، تجهیزات خردایش و سنگ‌زنی و کارخانه‌های پردازش. سیستم ها باید طوری طراحی شوند که در نظر بگیرند که واحدی که یک دارایی را اداره می کند ممکن است تنها سازمانی نباشد که حق در اختیار داشتن داده ها را دارد. همچنین ممکن است به شرکت‌های خدمات و عرضه‌کننده و فروشندگان تجهیزات، داده‌های عملکرد عملیاتی و تجهیزات به منظور بهبود خدماتی که می‌توانند ارائه دهند، مشاهده شوند. مگر اینکه ساختار مناسبی داشته باشد، ممکن است فرصتی برای نشت داده های پیش بینی نشده یا ضعف های سیستم فراهم کند که می تواند توسط اشخاص ثالث مورد سوء استفاده قرار گیرد. ایجاد سیستم های کنترل و نظارت با حقوق دسترسی به داده ها به وضوح تعریف شده و توانایی شناسایی موارد نقض این موارد ضروری است.

در چند سال گذشته، صنعت معدن شاهد مرزهای سنتی بین IT شرکت و ICS بوده است. امروزه، تکامل آن با پیگیری استخراج هوشمندانه برای مقابله با چالش‌های بخش دوگانه کاهش عیار سنگ معدن و راندمان عملیاتی ادامه دارد. فراتر از دیجیتالی کردن عملیات معدن، استخراج هوشمندانه و تصمیم گیری آگاهانه از طریق اطلاعات دقیق، کامل و به موقع است که مستلزم ایجاد ارتباطات جدید در بین سایت‌های معادن جدا شده قبلی و سیلوهای تجاری کاربردی صورت گیرد. با افزایش این ارتباطات، فراوانی و پیچیدگی حملات سایبری نیز افزایش می یابد. با این حال، بسیاری از شرکت ها از نظر آمادگی خود سرعت خود را حفظ نکرده اند. فراخوان برای پر کردن شکاف آمادگی سایبری، با افزایش آگاهی عمومی از جرایم سایبری و تأثیرات فاجعه بار بالقوه آن بر زیرساخت های حیاتی، هرگز کانون توجه نبوده است. فراتر از ملاحظات ایمنی و عملیاتی سنتی برای اجرای یک برنامه ایمن، هوشیار و انعطاف پذیر نه تنها برای افزایش توانایی شرکتهای معدنی در حفاظت از یکپارچگی عملیاتی در میان طیف رو به رشد تهدیدات سایبری ضروری است، بلکه برای دستیابی به برتری عملیاتی با بهره گیری از مزایای بهره وری ارائه شده ضروری است که توسط یک محیط دیجیتالی و کاملاً یکپارچه ICS نگهداری شود.

---

[۱] industrial control systems

[۲] programmable logic controllers 

[۳] روش تقلبی ارسال ایمیل ظاهراً از فرستنده شناخته شده یا مورد اعتماد به منظور ترغیب افراد هدف به افشای اطلاعات محرمانه.