امنیت عامل انسانی – قسمت اول

ارزیابی ظرفیت امنیت سایبری نیروی کار صنعتی

مقدمه

امنیت سایبری در محیط‌های سیستم کنترل صنعتی (ICS) به یک موضوع رو به رشد در سطح ملی و جهانی تبدیل شده است. امنیت در حال حاضر با هم‌گرایی فناوری اطلاعات و فناوری عملیات (IT-OT) در حال تکامل است و به این معنی است که سازمان‌ها، شرکت‌ها، صنایع و کارخانه‌های صنعتی از برقراری امنیت پایدار اطلاعات صنعتی خود استقبال می‌کنند.

پارادایم‌های اینترنت اشیا (IIoT) به زیرساخت‌های فناوری اطلاعات، استانداردها و فناوری‌های باز و اینترنت متکی هستند. بنابراین این پلتفرم‌ها در محیط های صنعتی در معرض تهدیدات سایبری، آسیب‌پذیری ها و حملات در سیستمهای ICS (سیستم‌های صنعتی خودکار) کنترل، نظارت و مدیریت فرآیندهای صنعتی قرار دارند.

عملکردهای اساسی یک ICS عبارتند از:

• عملیات اندازه‌گیری توسط سنسورها
• کنترل سخت‌افزاری برای محرک‌ها (فشارشکن‌ها، سوئیچ و…)
• رابط انسان و ماشین (HMI)
• ابزارهای تشخیص و کنترل از راه دور و تعمیر و نگهداری

ICS مدرن و روندهای توسعه آن، سودآوری تجاری و عملیاتی با کیفیت را در صنعت ممکن می‌سازد و در مقابل مجموعه‌ای اجتناب‌ناپذیر از حساسیت‌های امنیتی را نیز به وجود می آورد که قابلیت امنیت و اطمینان از عملکرد صحیح عملیات را تهدید می‌کند.

در حوزه صنعتی طی سال‌های گذشته، افزایش تهدیدهای امنیتی سایبری در حوزه صنعتی باعث به هم‌ریختگی تمرکز صنعتگران و نگرانی‌هایی در این بخش گردیده است.

تهدیدات و حملات علیه ICS در سطح جهانی، چشم‌انداز حمله علیه ICSE ها با الگوریتم‌های هوشمند، امنیت سایبری صنعتی، امنیت SCADA و غیره، کلمات مهیجی هستند که اخیرا به موضوعات رایج گفتگو در میان کاربران روزمره فناوری‌های صنعتی تبدیل شده‌اند.

الزامات و اولویت بندی تهدیدات امنیتی سایبری در شبکه صنعتی برخلاف فناوری اطلاعات و در اکثر موارد امنیتی ICS دارای خطرات جبران ناپذیری هستند و پیامدها و اثرات فیزیکی مرتبط با آن‌ها اغلب شدیدتر و ناگهانی‌تر از حوزه فناوری اطلاعات هستند.

مسائل و مشکلات امنیتی در محیط ICS اغلب به شکل خرابی های تعمیر و نگهداری معمول و سایر ناهنجاری‌های فرآیند ظاهر می‌شوند که تشخیص و حل مسائل را دشوار می‌کند.

دلایل اصلی دشواری مدیریت امنیت ICSE شامل موارد زیر هستند:

• دارایی‌های پراکنده و بسیار زیاد
• الزامات دسترسی از راه دور اجباری و مکرر
• فناوری کنترل و ناوبری سنتی
• برنامه‌های نامناسب امنیتی مانند آنتی ویروس‌ها و فایروال‌ها که در صورت به وجود آمدن مشکل امنیت سایبری، این مشکل می تواند در دسترس بودن سیستم را تحت تاثیر قرار دهد که برای ICS به عنوان یک سیستم در دسترس‌پذیری بالا قابل قبول نیست.
• عدم امکان ارتقاء ICSهای قدیمی‌تر به دلیل باز نبودن و عدم دسترسی به سورس‌های نرم‌افزارهای صنعتی.

توجه به هوشمندی امنیتی نیروی انسانی

یکی از شگردهای دشمنان برای دسترسی به اهداف خرابکاری‌های سایبری در سطح صنعت، سوءاستفاده از پرسنل ناآگاه و غیرماهر و فریب آنها برای انجام عملیات‌های خرابکاری می‌باشد. همچنین اپراتورها و کاربران سیستم‌های ICS بی‌اطلاع و آموزش ندیده، به راحتی به انجام اقدامات و فعالیت‌هایی می‌پردازند که می‌تواند به مهاجمان برای دسترسی آسان به ظرفیت‌های اطلاعاتی مهم برای اجرای مقاصد مخرب خود کمک کند و اینگونه رخدادها اغلب تا زمانی که آسیب ها و ناهنجاری‌های جدی ظهور نکنند، توسط سیستم‌های هشدار امنیتی نیز قابل شناسایی نیستند.

تشدید حملات سایبری، نگرانی سازمان‌ها برای نحوه واکنش به رخدادهای امنیتی که صنعت را مورد تهدید قرار می دهند بسیار زیاد کرده است.

با توجه به رقابت‌های شدید فعلی در ارتباط تجاری و عملیاتی در صنایع، تهدیدهای سایبری در صنعت، می‌تواند برای اعتبار و ارتباطات تجاری هم مشکل آفرین باشد و سوءاستفاده و بهره برداری از عامل انسانی می تواند راه حل موثری برای نفوذهای سایبری صنعتی باشد.

در واقع عدم دانش و مهارت های فنی و امنیتی عناصر انسانی، می تواند دسترسی به دارایی‌های صنعتی و حیاتی امنیتی سایبری را به یک هدف اصلی برای سودجویان تبدیل کند.

عملکردهای صنعتی بدون وقفه و در یک محیط پویا در حال تغییر هستند و امنیت سایبری در اینگونه محیط‌ها می تواند الزامی باشد.

برای تعریف امنیت سایبری می توانیم به متن زیر اشاره کنیم:

«قابلیت‌ هماهنگی افراد، فرآیندها و فناوری‌ها برای ایمن سازی و کنترل دسترسی غیرقانونی، اختلال، تخریب یا اصلاح سیستم های محاسباتی الکترونیکی (سخت افزار، نرم افزار و شبکه‌ها)، داده‌ها و اطلاعاتی که در اختیار دارند را امنیت سایبری در نظر می گیریم»  با این حال، اکثر راه حل های امنیتی موقتی هستند و الزامی است که به صورت مستمر مورد بازبینی و ارزیابی قرار گیرند.

نرم افزارهای امنیتی تنها کسری از مشکلات امنیت سایبری را حل می کنند، افراد (نیروی کار) که نرم افزار را توسعه و (یا) راه اندازی و به کارگیری می کنند، و فرآیند(های) طراحی و ساختار یافته برای استفاده از آن تعریف می نمایند می توانند نقش موثری در برقراری امنیت سایبری داشته باشند.

به عنوان مثال، فرض کنید آقای اکبری یک مهندس فرآیند است که دارایی ایستگاه کاری مهندسی یک ICS را اداره و از فناوری آن استفاده می کند. فایروال “A” و فناوری “B” سیستم تشخیص نفوذ (IDS) برای محافظت از ایستگاه کاری او در برابر خطرات امنیتی هستند. با فرض اینکه آقای اکبری بی‌اطلاع است و قادر به تشخیص اَشکال و امضاهای مختلف طرح های حمله مهندسی اجتماعی نیست، علی به عنوان یک مهاجم باهوش و با نقشه از پیش تعیین شده، از یک ابزار فریبنده “نیزه فیشینگ” استفاده می کند که برای آقای اکبری ناشناخته است. و از این طریق او را فریب می دهد تا روی پیوندها یا پیوست هایی بر روی ایستگاه کاری او کلیک کند که به معنای واقعی کلمه، یک درب پشتی (نقطه ورودی) را فعال می‌کند. لذا به سیستم و شبکه آقای اکبری از طریق یک دسترسی مستقیم از راه دور با وجود قابلیت های ویژه امنیتی سخت افزاری و نرم افزاری فایروال”A” و فناوری”B” و از طریق سوءاستفاده از ناآگاهی امنیتی آقای اکبری، نفوذ می شود.

سناریوی نظری بالا اهمیت عوامل انسانی در تضمین امنیت سایبری ICSE را برجسته می کند، به ویژه

با تاکید بر اهمیت دانش امنیتی (آگاهی) و مهارت های عملی پرسنلی که در فرآیندهای صنعتی مشغول هستند.

تاکید می کنیم که عامل انسانی به همان اندازه مهم است که دستگاه ها و فناوری های فنی در امنیت ICSE ، و سناریوهای واقعی نیز این دیدگاه را تثبیت می‌کنند.

احتمالاً عوامل حمله استاکس‌نت در سال 2013 چالش نفوذ به شبکه نیروگاه هسته‌ای ایران را داشته است، زیرا شبکه دارای ویژگی های مربوط به نفوذ سخت افزاری از بیرون از نیروگاه نبوده است. بنابراین، مهاجمان از تکنیک حمله از طریق USB آلوده توسط شخص ثالث استفاده کرده اند.

تحقیقاتی در رابطه با مفهوم صلاحیت (قابلیت) امنیتی توسط Workman و همکاران (در سال2008)، انجام شد که به خوبی خطر امنیتی از سمت کاربران و پرسنل را نشان می‌دهد. چنین افرادی می توانند مهارت‌ها و دانش امنیتی مناسبی داشته باشند، اما این مهارت ها را در صنعت به کار نگیرند.

انگیزه های احتمالی برای این حملات ممکن است به شرح زیر باشند:

• اکثر نیروی کار ICSE (پرسنل) اغلب با مفاهیم پیشرفته امنیت دیجیتال (سایبری) آشنا نیستند.
• نیروی کار امنیت فناوری اطلاعات اغلب با مفاهیم عملیاتی ICSE آشنا نیستند.
• مهاجمان هوشمند در حال حاضر نیروی انسانی سازمان ها (نیروی کار) را در نظر می‌گیرند.

به عنوان راه حل مقابله با این موضوع، می توانیم موارد زیر را نام ببریم:

1. استفاده از استاندارد امنیت سایبری بین المللی IEC62443
2. استفاده از مشاوره و طرح‌ های امنیتی شرکت‌های متخصص و دارای تاییدیه سازمان های ارزیابی امنیتی
3. درگیرشدن با قابلیت‌های امنیتی مناسب که به درک کافی از صنعت و فناوری امنیت صنعتی و ارزیابی مستمر بستگی دارد.
4. توجه به موضوع ظرفیت های امنیتی نیروی کار
5. طرحی واضح از نقاط ضعف و قوت که به طور موثر بهبود می‌یابد.