في السنوات الأخيرة، سلطت الهجمات الإلكترونية على مرافق مياه الصرف الصحي في الولايات المتحدة الضوء على مدى ضعف التكنولوجيا التشغيلية. في أوائل عام 2024، شهدت عدة مدن في تكساس اختراق أنظمة SCADA الخاصة بها عن بُعد من قبل المهاجمين، مما تسبب في فيضان خزان مياه قبل أن يستعيد الموظفون السيطرة. وأجبر حادث مماثل في مدينة تيبتون بولاية إنديانا المشغلين على التحول إلى العمليات اليدوية بعد اكتشاف نشاط غير منتظم على أنظمة المحطة. سلطت هذه الأحداث الضوء على مخاطر توصيل البنية التحتية للمعالجة بشبكات المؤسسات أو الشبكات التي تواجه الإنترنت وعززت سبب عدم قدرة هذه المرافق على المساومة على إبقاء أنظمة التكنولوجيا التشغيلية الخاصة بها موصولة عن بعد.
حيث يتعارض الأمن والرؤية
فهم بيانات المؤرخين
إن AVEVA Historian عبارة عن قاعدة بيانات صناعية متخصصة مصممة لالتقاط وتخزين البيانات ذات الحجم الكبير والمتسلسلة زمنياً من أنظمة التقنيات التشغيلية مثل أجهزة الاستشعار وأجهزة التحكم ومنصات SCADA. وعلى مستوى المنشأة، يقوم المؤرخ المحلي بتسجيل بيانات المعالجة (المعلومات التشغيلية الأولية التي تولدها أنظمة التحكم الصناعية وأجهزة الاستشعار) للمشغلين، مما يضمن قدرتهم على مراقبة نشاط المعدات والمعالجة في الوقت الفعلي.
يؤدي مؤرخ المؤسسة من المستوى الأول دورًا مختلفًا: فهو يقوم بتجميع موجزات المؤرخين من منشآت متعددة، مما يمنح فرق المؤسسة رؤية موحدة لإعداد التقارير والتحليلات والتخطيط. ينشأ التحدي عندما تحتاج البيانات إلى الانتقال من هذه المؤرِّخين المحليين إلى مستوى المؤسسة دون فتح مسار للعودة إلى أنظمة التقنيات التشغيلية الحرجة.
تحدي المشاركة Secure للبيانات
في إحدى منشآتها، احتاجت المنشأة إلى إعادة توجيه البيانات من مؤرخ AVEVA Historian المحلي إلى مؤرخ من المستوى الأول على شبكة المؤسسة. كانت هذه البيانات حيوية للمراقبة وإعداد التقارير على مستوى المؤسسة، لكن اتصال شبكة المؤسسة بالإنترنت جعل التكامل المباشر غير آمن.
كان إبقاء أنظمة التقنيات التشغيلية معزولة أمرًا ضروريًا، لأن أي مسار للعودة إلى بيئة التحكم يمكن أن يوفر ناقلًا للهجوم. وفي الوقت نفسه، أدى ترك المؤرخين معزولين إلى الحد من قدرة المؤسسة على مشاركة الرؤى عبر المواقع وتحسين الكفاءة. كان التحدي هو تحقيق كلا الهدفين: الحفاظ على الفصل الصارم مع تمكين الرؤية في الوقت الفعلي.
لم تكن جدران الحماية وغيرها من الأدوات القائمة على البرمجيات كافية. فهي لم تكن تضمن اتصالاً أحادي الاتجاه، وكانت تتطلب صيانة مستمرة، وكانت لا تزال تترك الأصول الهامة معرضة للمخاطر. وبالتالي، احتاجت المنظمة إلى حل من شأنه أن يفرض العزل المادي مع السماح للبيانات الأساسية بالانتقال إلى الخارج.
إنشاء مسار Secure للبيانات في الوقت الحقيقي
لجأ المرفق إلى OPSWAT ونشرOptical Diode MetaDefender (Fend) مع منصة برمجيات eRIS. eRIS هي أداة لإدارة البيانات وإعداد التقارير تُستخدم عادةً في قطاع المياه لترجمة بيانات Historian وتقديمها بشكل آمن، مما يجعلها مناسبة بشكل طبيعي لهذا النشر.
Optical Diode MetaDefender Optical Diode (Fend) هو جهاز أمن إلكتروني معزز بالأجهزة يستخدم العزل البصري لضمان الاتصال أحادي الاتجاه. وبحسب تصميمه، فإنه يحجب فعليًا أي حركة مرور واردة لمنع الوصول عن بُعد أو تسلل البرمجيات الخبيثة، وتساعد وسائل الحماية المدمجة فيه ضد رفض الخدمة والعبث وتقلبات الطاقة على ضمان استمرار تدفق بيانات Historian بشكل موثوق حتى في ظل الضغط.
إليك كيفية عمل عملية النشر:
- تثبيت برنامج eRIS: تم تثبيت برنامج eRIS كخدمة ويندوز على خادم OT AVEVA الحالي، لترجمة بيانات Historian إلى تنسيق أحادي الاتجاه.
- العزل البصري: ثم تنتقل البيانات بأمان من خلالOptical Diode MetaDefender (Fend)، الذي فرض النقل أحادي الاتجاه مع عزل بصري على مستوى الأجهزة.
- دعم البروتوكول: يدعم الجهاز في الأصل كلاً من بروتوكولات تكنولوجيا المعلومات القياسية مثل FTP وSFTP وTCP وUDP، بالإضافة إلى البروتوكولات الصناعية مثل Modbus وBACnet، مما يجعله مناسبًا تمامًا لعمليات نقل البيانات التاريخية.
- التحويل المؤسسي: على الجانب المؤسسي، قام مركز eRIS Hub بتحويل المعلومات إلى تنسيق AVEVA وإعدادها لإدخالها في مؤرخ المستوى 1.
من التأخير اليدوي إلى البصيرة الفورية
ومع تطبيق البنية الجديدة، لم يعد على المرفق الاختيار بين الرؤية والأمان. يمكن للمشغلين في مرفق المعالجة مشاهدة البيانات تظهر على مؤرخ المؤسسة على الفور تقريبًا، مع العلم أنه لا يمكن أن يتدفق أي شيء إلى بيئة التحكم. ما كان يتطلب في السابق حلولاً دقيقة (التجميع اليدوي والإبلاغ المتأخر) أصبح الآن يحدث تلقائيًا، مما يمنح فرق العمليات وفرق المؤسسة الثقة في المعلومات التي يستخدمونها كل يوم.
الفوائد الرئيسية
توفير الوقت في العمليات اليومية: بدلاً من انتظار جمع البيانات ومشاركتها يدوياً، يمكن للموظفين الاعتماد على دفق مستمر من المعلومات الجاهزة للتحليل.
راحة البال لفرق الأمن: إن النقل أحادي الاتجاه الذي تفرضه الأجهزة يعني أنه حتى لو تم اختراق شبكة المؤسسة، فإن أنظمة التقنيات التشغيلية تظل بمنأى عن أي مساس.
رؤية أفضل في جميع أنحاء المؤسسة: اكتسبت فرق المؤسسة الرؤية التي تحتاجها دون تعطيل أو إثقال كاهل موظفي المنشأة.
سهولة النسخ عبر المرافق: مع نشر بسيط ومنخفض الصيانة، يمكن للمرافق تكرار نفس النموذج عبر المرافق الأخرى عند الحاجة.
وللمرة الأولى، تمكنت المؤسسة لأول مرة من رؤية الصورة الكاملة لعملياتها في الوقت الفعلي مع معرفة أن أنظمتها الأكثر أهمية لا تزال محمية بفجوة هوائية حقيقية.
بناء مستقبل Secure لعمليات المياه Secure
ومع وجود عمليات النقل الآمن لبيانات هيستوريان الآن، فإن المرفق في وضع يسمح له بتوسيع نفس النموذج ليشمل أجزاء أخرى من عملياته. يمكن دمج مرافق المعالجة ومحطات الضخ وأنظمة المراقبة الإضافية في شبكة المؤسسة دون تعريض بيئات التكنولوجيا التشغيلية للتهديدات الخارجية.
يضع النشر أيضًا أساسًا لتبني ممارسات جديدة للتحليلات والامتثال. يمكن لفرق المؤسسة البناء على تدفقات البيانات الموثوقة في الوقت الفعلي لتحسين إعداد التقارير ودعم الصيانة التنبؤية والاستجابة بسرعة أكبر للتغيرات التشغيلية. في الوقت نفسه، تظل أنظمة التقنيات التشغيلية محمية بعزل معزولة عن طريق الأجهزة، مما يحمي الخدمات الأساسية من أنواع الهجمات الإلكترونية التي عطلت مرافق المياه والصرف الصحي في جميع أنحاء الولايات المتحدة.
من خلال الجمع بين الرؤية في الوقت الحقيقي والأمان الذي لا هوادة فيه، أنشأت الأداة نهجًا لا يلبي احتياجات اليوم فحسب، بل إنه جاهز أيضًا لتلبية المتطلبات المستقبلية في حماية البنية التحتية الحيوية.
تعرّف على المزيد حول كيف يمكنOptical Diode MetaDefender (Fend) حماية منشأتك مع الحفاظ على عزل الأنظمة الأساسية بشكل آمن.
