التنفيذ الفعلي للامتثال لمعيار NERC CIP-015-1

لسنوات عديدة، كانت  NERC (شركة موثوقية الكهرباء في أمريكا الشمالية)  على تأمين المحيط الخارجي بشكل كبير. فقد نظمت CIP-006 الوصول المادي، وأغلقت CIP-007 المنافذ الخدمات وحددت CIP-005 نطاق الحماية الإلكترونية (ESP). وكان الافتراض الأساسي هو أنه إذا تمكنت من التحكم في ما يعبر الحدود، فإنك تتحكم في المخاطر. 

رفضت المبادرة CIP-015-1 هذا الافتراض، وهي سارية المفعول منذ سبتمبر 2025. ومع اقتراب الموعد النهائي الأول للامتثال في سبتمبر 2028، بدأت الفجوة بين «لقد اطلعنا على المعيار» و«لدينا بنية عمل جاهزة» تكتسب أهمية. 

وافقت لجنة تنظيم الطاقة الفيدرالية (FERC) على معيار NERC CIP-015-1 كمعيار INSM (مراقبة أمن الشبكة الداخلية) في 26 يونيو 2025، من خلال الأمر رقم 907. ودخل المعيار حيز التنفيذ في 2 سبتمبر 2025. الموعد النهائي للامتثال هو 2 سبتمبر 2028، بالنسبة للأنظمة السيبرانية ذات التأثير الكبير على نظام الكهرباء بالجملة (BES) والأنظمة السيبرانية ذات التأثير المتوسط على نظام الكهرباء بالجملة (BES) المزودة بـ ERC (الاتصال الخارجي القابل للتوجيه) في مراكز التحكم. يجب أن تمتثل جميع الأنظمة الأخرى ذات التأثير المتوسط ذات الصلة بحلول 2 سبتمبر 2030.

الشرط الأساسي ذو أهمية كبيرة من الناحية التشغيلية:

• يجب على شركات الكهرباء مراقبة حركة المرور داخل شبكات توزيع الطاقة الخاصة بها، وليس فقط ما يدخل ويخرج من حدودها.

• تُلزم المعيار R1 الكيانات بجمع تدفقات البيانات الشبكية استنادًا إلى منطق قائم على المخاطر، وكشف الأنشطة الشاذة، وتقييم الحالات الشاذة المكتشفة، والاحتفاظ بالبيانات ذات الصلة لفترة كافية لدعم التحقيقات.

• يغطي R2 و R3 حماية البيانات المحفوظة والتحكم في الوصول إليها. 

تتطلع الجهات التنظيمية بالفعل إلى المستقبل، حيث صدرت توجيهات إلى NERC لتوسيع نطاق المعيار بحلول سبتمبر 2026 ليشمل أنظمة التحكم والمراقبة الإلكترونية للوصول (EACMS) وأنظمة التحكم المادي في الوصول (PACS) خارج نطاق ESP، والتي ستُدرج فيالمعيار CIP-015-2 المستقبلي. ولم يتبقَ على هذا الموعد النهائي سوى بضعة أشهر. 

إن نشر نظام INSM داخل بيئة التشغيل (OT) يختلف عن نشر نظام SIEM (إدارة المعلومات والأحداث الأمنية) في مركز بيانات الشركة. يجب أن تكون المراقبة سلبية، حيث إن المسح النشط ليس خيارًا متاحًا في بيئات أنظمة التحكم الصناعية (ICS) الحية. غالبًا ما يتم استخدام مجموعة واسعة من البروتوكولات، بما في ذلك Modbus و DNP3 و IEC 61850 و PROFINET و EtherNet/IP، إلى جانب حركة مرور IP القياسية. غالبًا ما تكون قوائم جرد الأصول غير مكتملة، مما يعني أن مشاريع INSM تبدأ عادةً بالاكتشاف قبل أن يصبح الكشف ممكنًا. بالإضافة إلى ذلك، يتطلب نقل بيانات المراقبة من منطقة OT إلى نظام الاحتفاظ على جانب تكنولوجيا المعلومات، دون إدخال مخاطر أمنية جديدة، تخطيطًا معماريًا متعمدًا، وليس مجرد تكوين.

ما يبدو على الورق وكأنه مشروع قصير الأجل قد يستغرق بسهولة 18 شهراً أو أكثر عند أخذ عوامل النشر وإدارة التغيير والتوثيق في الحسبان. وبالنسبة لشركات الكهرباء التي تشمل نطاق عملها أصول عام 2028، فإن نافذة التخطيط طويل الأجل آخذة في الانغلاق.

تتوافق مجموعة منتجات OPSWATالخاصة بأمن شبكات التشغيل (OT) بشكل مباشر مع متطلبات CIP-015-1.

MetaDefender Security™ يعالج R1.1 إلى R1.3، من خلال مراقبة شبكة سلبية بدون وكيل عبر بنى SPAN/TAP دون حقن حركة مرور ودون تعطيل حلقات التحكم.

يتيح الفحص العميق للحزم عبر مئات بروتوكولات تكنولوجيا التشغيل (OT) وتكنولوجيا المعلومات (IT) إمكانية اكتشاف الأصول، ووضع خطوط أساس لحركة المرور، وكشف الحالات الشاذة التي تتطلبها منصة R1. وهذا يمكّن فرق الأمن من تحديد الحالات الشاذة في السلوك، مثل أوامر Modbus غير المتوقعة، واتصالات محطات العمل الهندسية غير المصرح بها، والأجهزة المجهولة التي أدوات تتجاهلها أدوات أمن تكنولوجيا المعلومات التقليدية.

يوفرMetaDefender ما يلزم لمواجهة التحديات المرتبطة بنقل البيانات في بيئة R2. حيث تقوم بوابة الأمان أحادية الاتجاه الخاصة به بتصدير بيانات القياس عن بُعد (INSM) من منطقة تكنولوجيا التشغيل (OT) إلى منصات التحليلات ومنصات SIEM في جانب تكنولوجيا المعلومات (IT) في اتجاه واحد فقط، مع فرض ذلك على مستوى الأجهزة وبدون مسار عودة. وبذلك، يمكن لشركات الكهرباء تلبية متطلبات نقل البيانات دون الحاجة إلى فتح قناة ثنائية الاتجاه قد تؤدي إلى ظهور مخاطر جديدة.

وللتوضيح،NetWall البيانات بأمان، بينما يتولى النظام المستقبل الوفاء بالتزامات الاحتفاظ بالبيانات والتحكم في الوصول الخاصة بالمستويات R2 وR3. وتتمثل بنية الامتثال الكاملة فيOT Security وكشف التهديدات،NetWall بأمان، وقيام نظام SIEM من جانب تكنولوجيا المعلومات بالاحتفاظ بالبيانات والتحكم في الوصول إليها.

بالنسبة لشركات مرافق الكهرباء التي تستخدم منصات الأتمتة DeltaV™ أو Ovation™ من إيمرسون، فإن مسار الامتثال يكون أكثر مباشرة. حيث يتم نشر هذه المنصات في مئات من منشآت توليد الطاقة والمياه ومرافق معالجة مياه الصرف الصحي، مما يجعلها تندرج ضمن فئة مالكي أصول أنظمة إدارة الطاقة (BES) في نطاق المعيار CIP-015-1.  أعلنتOPSWAT Emerson عن اتفاقية توزيع عالمية في أبريل 2026، مما يجعل محفظة OPSWATللأمن السيبراني متاحة من خلال مجموعة Emerson للأمن السيبراني للطاقة والمياه.  

MetaDefender تحالف DeltaV الحالي بالفعلMetaDefender Unidirectional Security Gateway MetaDefenderUnidirectional Security Gateway DeltaV. يوفر هذا التكامل التحكم في الوسائط القابلة للإزالة وبنية تصدير البيانات أحادية الاتجاه التي تدعم متطلبات CIP-003-9 و CIP-015-1 R2، على التوالي.

يوسع الاتفاق الجديد نطاق إدارة تصحيحات شبكات التشغيل (OT) OPSWATلتشمل منصة Ovation التابعة لشركة Emerson في أكثر من 800 موقع حول العالم، وذلكMetaDefender و My Central Management المواقع المحلية. أما بالنسبة العملاء و Ovation، فتتوفر بنية مخصصة ومتوافقة مع معايير CIP من خلال العلاقة القائمة مع شركة Emerson.

لا يُعتبر المعيار CIP 015-1 معيارًا منفردًا. فالتقاطع بين المعيار CIP-003-9، الذي يدخل حيز التنفيذ في 1 أبريل 2026، والمعيار CIP-015-1 هو المجال الذي تبرز فيه فعالية مجموعة منتجات OPSWATبشكل خاص. تغطي المتطلبات التنظيمية لـ CIP-003-9 أيضًا الوسائط القابلة للإزالة والأصول السيبرانية المؤقتة لأنظمة BES السيبرانية ذات التأثير المنخفض.

في بيئات OT، تُستخدم الوسائط القابلة للإزالة والأصول السيبرانية المؤقتة بشكل روتيني لتطبيق التصحيحات وتحديثات البرامج الثابتة في الأنظمة المعزولة شبكياً.حلول وتطهير الوسائط القابلة للإزالة وأجهزة الكمبيوتر المحمولة الخاصة بالموردين قبل أن تلامس أي من أصول نظام التحكم. مع دخول CIP-003-9 حيز التنفيذ، إذا كان برنامجك يعتمد على السياسات بدلاً من الضوابط التقنية، فستكون هذه الفجوة قابلة للتدقيق في دورتك التالية.