يُعد «مرسوم حماية البنى التحتية الحيوية (أنظمة الحاسوب)» ( PCICSO) إطارًا جديدًا أطلقته حكومة هونغ كونغ لتعزيز الأمن السيبراني وقدرة مشغلي البنى التحتية الحيوية (CIOs) على الصمود. يسري مفعول المرسوم اعتبارًا من يناير 2026، ويحدد التزامات قانونية لمشغلي البنية التحتية الحيوية لحماية أنظمة الكمبيوتر الخاصة بهم من التهديدات السيبرانية، وإدارة المخاطر بشكل استباقي، والاستجابة بفعالية لحوادث الأمن السيبراني. يوضح هذا التنظيم أنه يُتوقع الآن من مشغلي البنية التحتية الحيوية إظهار ضوابط صارمة وقابلة للتنفيذ بشأن كيفية التعامل مع الأنظمة والأجهزة والبيانات.
مرسوم حماية البنى التحتية الحيوية (أنظمة الحاسوب) (PCICSO)
يتمحور الإطار التنظيمي لـ PCICSO حول ثلاثة التزامات أساسية تهدف إلى تزويد "منظمات المعلومات الحيوية" (CIOs) بنهج شامل ومنهجي لإدارة المخاطر السيبرانية. وتُعرَّف "منظمات المعلومات الحيوية" بأنها المنظمات التي تحددها السلطة التنظيمية بناءً على مدى اعتمادها على العمليات الأساسية لأنظمة الحاسوب، وحساسية البيانات الخاضعة للرقابة، ومستوى الرقابة التشغيلية والإدارية على البنية التحتية، والمعلومات المقدمة لإثبات الامتثال.
الالتزامات الأساسية الثلاثة التي يتعين على مديري تكنولوجيا المعلومات الالتزام بها هي:
- الجانب التنظيمي: متطلبات الحوكمة والتنظيم لضمان وجود مساءلة واضحة وسياسات ورقابة في مجال الأمن السيبراني.
- الوقائية: تدابير وقائية وحمائية، تُلزم المشغلين بتطبيق إجراءات وقائية تقنية وتشغيلية مناسبة لتأمين أنظمة الحاسوب الحيوية.
- الإبلاغ عن الحوادث والاستجابة لها: القدرات اللازمة لضمان الكشف عن حوادث الأمن السيبراني الخطيرة ومعالجتها والإبلاغ عنها في الوقت المناسب.
أهم النقاط
على الرغم من أن المرسوم يشمل مجموعة واسعة من المتطلبات، إلا أن هناك بعض النقاط الرئيسية التي يجب على مديري تكنولوجيا المعلومات أخذها في الاعتبار. ووفقًا للملحق 3، الجزء 1 من المرسوم، يتعين على المشغلين وضع سياسات من أجل:
- تحديد وتقييم ومراقبة وتخفيف المخاطر المتعلقة بأمن أنظمة الحاسوب ونقاط الضعف في الأنظمة، والاستجابة لها
- التحكم في الوصول إلى أنظمة الكمبيوتر الحيوية
- إدارة موردي الخدمات والمنتجات المتعلقة بالحاسوب والمستخدمة في الأنظمة
حلول رائدة في القطاع حلول عم الامتثال
Endpoint الأجهزة Endpoint كأساس
تولي إرشادات PCICSO اهتمامًا كبيرًا بحالة Endpoint وإدارة الثغرات الأمنية، حيث تتطلب اكتشاف الثغرات وتقييمها ومعالجتها في الوقت المناسب. ولا ينبغي السماح إلا للأجهزة المتوافقة بالتفاعل مع الأنظمة الحيوية، في حين يجب حظر أو تقييد النقاط الطرفية التي تفتقر إلى التصحيحات أو التي تحتوي على برامج قديمة أو تنطوي على مخاطر أمنية، إلى أن يتم معالجتها. يدعم MetaDefender الامتثال لهذه المتطلبات من خلال فرض امتثال الأجهزة قبل منح حق الوصول وتقييم كل نقطة نهاية وفقًا لسياسات المؤسسة. يشمل هذا التقييم حالة الثغرات الأمنية والتحديثات، مما يضمن أن الأجهزة التي تستوفي متطلبات الأمان المطلوبة هي فقط التي يمكنها الاتصال.
بالإضافة إلى ذلك،Endpoint MetaDefender Endpoint إدارة الثغرات الأمنية والتحديثات عبر جميع النقاط الطرفية، بما يشمل أنظمة التشغيل وتطبيقات الجهات الخارجية. ويقوم بشكل فعال باكتشاف الثغرات الأمنية ومعالجة المخاطر وتقديم الحلول الموصى بها، مع دعم التحديثات لأكثر من 1,100 تطبيق. ولضمان تطبيق الامتثال القابل للتدقيق والتحقيق في الحوادث، يمكن مراقبة جميع حالات أمان النقاط الطرفية والامتثال لها وتدقيقها مركزياً من خلال My Central Management.
الحد من Media القابلة للإزالة
يُعد التحكم في الوصول أحد المجالات الرئيسية التي تركز عليها اللائحة. وهذا يزيد من الحاجة إلى قيام مديري تكنولوجيا المعلومات بإدارة جميع مسارات الوصول إلى الأنظمة الحيوية بعناية، بما في ذلك الوسائط القابلة للإزالة.
لا يزال استخدام USB والوسائط المحمولة الأخرى شائعًا في البيئات التشغيلية، لا سيما في الحالات التي تكون فيها الشبكات مقسمة أو معزولة، مما يجعلها وسيلة هجوم عالية المخاطر في بيئات OT/ICS. ووفقًا لتقرير ميزانية SANS لعام 2025 بشأن OT/ICS، فإن 15.2% من وسائل الهجوم جاءت من وسائط قابلة للإزالة تم اختراقها.
للتخفيف من هذه المخاطر، OPSWAT المؤسسات على تجنب المخاطر المرتبطة بالوسائط القابلة للإزالة من خلال:
- الحد من Media القابلة للإزالة عند نقطة الدخول: يعملMetaDefender على تأمين تدفق البيانات إلى البيئات الحيوية من خلال فحص وتطهير الوسائط القابلة للإزالة عند نقطة الدخول. وقد تم اعتماده كجزء من تحالف DeltaV Silver التابع لشركة Emerson، مما يثبت فعاليته في بيئات وحالات استخدام متعددة.
- Endpoint المسبقة Endpoint والتحكم في الأجهزة: يوفر MetaDefender حماية متطورة لنقاط النهاية في البيئات التشغيلية من خلال الفحص الفعال للوسائط القابلة للإزالة فور إدخالها، وضمان عدم السماح بالوصول إلى الأنظمة الحيوية إلا من خلال الأجهزة أو المحتويات الخالية من الفيروسات.
- Media كطبقة إضافية من الحماية: يوفر كل من MetaDefender Endpoint MetaDefender Media طبقة إضافية من الأمان من خلال فرض سياسات الفحص والتطهير.
- المراقبة المركزية للحماية: من خلال Central Management My يدعم كل من MetaDefender MetaDefender التطبيق المركزي للسياسات من أجل التحكم في الوصول إلى الأجهزة، ومراقبة وإدارة استخدام الوسائط المحمولة، وتسجيل الأنشطة.
إدارة وصول المقاولين وأطراف Supply Chain إلى Supply Chain وتخزين Secure
ونظرًا لأن البنية التحتية الحيوية لا يمكنها العمل في عزلة تامة، فإن العمليات اليومية تتطلب في كثير من الأحيان منح حق الوصول إلى الشبكة للأجهزة الخارجية التي يجلبها الموردون والمقاولون والشركاء. وقد تتجاوز الأجهزة المؤقتة، مثل أجهزة الكمبيوتر المحمولة الخاصة بأطراف ثالثة ومحطات العمل البديلة، إجراءات الفحص المناسبة بسبب ضيق الوقت أو عدم كفاية أدوات مما يخلق نقاط هجوم محتملة في المراحل الأولى.
كشفت البيانات الصناعية الحديثة الواردة في تقريري «SANS 2025 ICS/OT» و«IBM’s 2025 Cost of a Data Breach» ما يلي:
- ارتفعت هجمات الأجهزة العابرة بنسبة 221%
- 27.3% من إجمالي حوادث شبكات التشغيل (OT) نجمت عن أجهزة مؤقتة
- تبلغ تكلفة الانتهاكات المتعلقة بالأطراف الثالثة وسلسلة التوريد حوالي 4.9 مليون دولار في المتوسط لكل انتهاك
Drive تصميم MetaDefender Drive لمعالجة هذه المشكلات من خلال فحص الأجهزة المؤقتة والتحقق منها قبل السماح لها بالوصول إلى شبكاتك الحيوية. ومن خلال الفحص الآمن قبل بدء التشغيل، يمكن للمشغلين فحص الأجهزة بما يتجاوز نظام التشغيل المضيف للكشف عن التهديدات الخفية قبل دخولها إلى الشبكة.
بالنسبة للأنظمة الحيوية التي لا يمكن إيقاف تشغيلها بسبب قيود تشغيلية، يدعم MetaDefender Drive الفحص أثناء الجلسة، مما يتيح فحص الجهاز أثناء تشغيل نظام التشغيل، ويسمح بإجراء فحص متعمق في البيئات الحيوية التي لا يُقبل فيها أي توقف عن العمل.
بالإضافة إلى ذلك، يتيحDrive MetaDefender Drive Smart Touch تخزين الملفات بأمان عن طريق حفظ البيانات، تمامًا مثل USB العادي، مع إخفاء الملفات التي لم يتم فحصها، بحيث لا يُسمح بمشاركة أو توزيع سوى الملفات التي تم فحصها.
تقسيم الشبكة وتدفق البيانات في اتجاه واحد
إلى جانب التقسيم المنطقي، تدرك PCICSO أن بعض الأنظمة الحيوية تتطلب ضمانات أقوى مما توفره الضوابط القائمة على البرمجيات. فجدران الحماية وقوائم التحكم في الوصول (ACL) وسياسات التقسيم تظل عرضة لأخطاء التكوين وإساءة استخدام بيانات الاعتماد واستغلال الثغرات الأمنية في يوم الصفر. وبالنسبة للأنظمة ذات الأثر الكبير التي تعتبر فيها التوافرية والسلامة أمرين حاسمين، فإن فرض حدود الثقة ماديًا يُعد ضابطًا حاسمًا.
يستجيب MetaDefender لهذا المطلب من خلال تدفق البيانات أحادي الاتجاه الذي يتم فرضه عبر الأجهزة، لضمان إمكانية نقل البيانات خارج البيئات الحيوية لأغراض المراقبة والتحليل وإعداد تقارير الامتثال، مع منع الاتصالات الواردة في الوقت نفسه. وعلى عكس ضوابط الشبكات التقليدية التي تعتمد على فرض السياسات، فإن هذا النهج يقضي على فئات كاملة من نواقل الهجوم بحكم تصميمه. فهو يمنع البرامج الضارة والأوامر عن بُعد والحركة الجانبية من العودة إلى الأنظمة المحمية، مما يدعم تركيز PCICSO على الحد من المخاطر النظامية وتقييد مسارات التعرض للأنظمة الحيوية.
من الناحية التشغيلية، يتيح MetaDefender لرؤساء قسم تكنولوجيا المعلومات الوفاء بالتزامات المراقبة والتسجيل وإعداد التقارير دون المساس بعزل النظام. ويمكن نقل السجلات وبيانات القياس عن بُعد والمقاييس التشغيلية بأمان إلى بيئات تكنولوجيا المعلومات أو مراكز العمليات الأمنية (SOC) لإجراء تحليل مركزي، بينما تظل أنظمة التكنولوجيا التشغيلية (OT) وأنظمة التحكم سليمة، مما يدعم الامتثال للوائح.
من الامتثال إلى المرونة
يساعد تطبيق المبادئ التوجيهية الجديدة لقانون الأمن السيبراني في هونغ كونغ المؤسسات على ضمان امتثال الأجهزة للمعايير، ومراقبة حركة الملفات، وإدارة الوسائط القابلة للإزالة، وتقسيم الشبكات. ومع تزايد ترابط البنى التحتية الحيوية في الوقت الذي لا تزال تعتمد فيه على أنظمة لا تتحمل أي انقطاع، يجب أن تعمل الضوابط الأمنية دون تعطيل سير العمليات.
تعمل OPSWAT على توحيد هذه القدرات عبر النقاط الطرفية والوسائط القابلة للإزالة والأجهزة المؤقتة وتدفقات البيانات، مما يتيح معالجة نقاط الدخول الشائعة مع توفير مستوى الرؤية الذي تتوقعه الهيئات التنظيمية. لمعرفة المزيد عن الكيفية التي OPSWAT مؤسسات البنية التحتية الحيوية OPSWAT تلبية هذه المتطلبات وتعزيز المرونة الإلكترونية، تواصل مع أحد خبرائنا اليوم.
