62-P_1200Karbala_Siote-1

پروژه موفق شرکت امان: امکان‌سنجی و ارائه طرح امنیتی جداسازی سیستم‌های IT و OT یکی از بزرگترین‌ شرکت‌های صنعتی کشور

توسط با بدون دیدگاه اخبارپروژه های امان

به تازگی شرکت دانش بنیان پیشگامان امن آرمان (امان)، به لطف خدا و به همت همکاران زحمتکش و پرتلاش خود در تیم‌های طراحی امنیتی و ارزیابی امنیتی توانست گامی بزرگ در حفاظت از زیرساخت‌های حیاتی صنایع ایران بردارد. این شرکت توانست پروژه بسیار حساس جداسازی سامانه‌های IT و OT برای یکی از بزرگترین‌ شرکت‌های صنعتی کشور را در محدوده قرارداد منعقد شده و در بازه زمانی حدود یک سال با موفقیت به پایان برساند. عموما این نوع پروژه‌ها شامل دو قسمت طراحی و اجرا هستند. طراحی اولین مرحله از چرخه PDCA است که در این مقاله و این فیلم به تفصیل(پیش از این) به آن پرداخته‌ایم. مبنای پروژه جاری استاندارد ISA/ IEC 62443 بود.

اهمیت جداسازی IT و OT در صنایع

سیستم‌های IT (مانند سرورهای سازمانی و نرم‌افزارهای مدیریت) و OT (مانند PLCها، RTUها، و …) در گذشته به‌صورت جداگانه عمل می‌کردند. اما با دیجیتالی شدن صنایع، این دو به هم متصل شده‌اند، که ضمن افزایش کارایی، آسیب‌پذیری‌ها را هم بیشتر کرده است. حملات سایبری مانند WannaCry یا Triton نشان داده‌اند که نفوذ به OT از طریق شبکه‌های IT می‌تواند فرآیندهای تولید را متوقف کند. جداسازی این سیستم‌ها، با کاهش نقاط تماس، ریسک نفوذ را به حداقل می‌رساند.

اهمیت طرح امنیتی شبکه IT و OT

در دنیای امروز، یکپارچه‌سازی IT و فناوری عملیاتی OT در صنایع مختلف باعث افزایش بهره‌وری، کنترل دقیق‌تر و تصمیم‌گیری هوشمندتر شده است. اما این یکپارچگی، تهدیدات امنیتی جدیدی را هم به همراه دارد. بنابراین ازنظر متخصصین شرکت دانش‌بنیان امان طراحی و پیاده‌سازی یک طرح امنیتی جامع برای شبکه‌های IT و OT حیاتی است. علاوه بر آن، یکی از مشکلاتی که در کشور برای امن‌سازی صنایع و سازمان‌ها وجود دارد این است که صنایع و سازمان‌ها صرفاً به مجوزهای امنیتی محصولات بسنده می‌نمایند درصورتی‌که هر پروژه‌ای (نظیر پروژه‌های هوشمند سازی، ارتقا، تحول دیجیتال، دوقلوی دیجیتال (Digital Twin) و …) علاوه بر مجوزهای امنیتی محصولات، به طرح امنیتی دارای تائیدیه بر اساس استانداردهایی نظیر ISA/ IEC 62443  و اسناد بالادستی کشور نیاز دارد.

اهم مراحل اجرای این نوع پروژهها توسط شرکت امان:

شرکت امان با تکیه‌برتجربه عملیاتی و دانش تخصصی در امنیت سیستم‌های صنعتی، این قبیل پروژه‌ها را در مراحل زیر اجرا می‌نماید:

  1. شناخت وضع موجود از سیستم‌های IT و OT
    1. شناسایی تیپیکال دارایی‌های محدوده پروژه بر اساس هدف پروژه و نهایی سازی مرز IT و OT
    2. به‌روزرسانی تیپیکال نقشه‌‌های موجود در شبکه‌های IT و OT و ترسیم توپولوژی شبکه محدوده پروژه بر اساس دانش تخصصی شرکت امان
    3. شناسایی ارتباطات بین اسکادا، DCS و دیگر سیستم‌های IT و OT، مستندسازی آن‌ها
    4. نهایی سازی محدوده پروژه
  2. ارزیابی و امکان‌سنجی جداسازی IT و OT
    1. احصاء اهم تهدیدات امنیت سایبری با رویکرد دانش‌بنیان شرکت امان
    2. امکان‌سنجی جداسازی سامانه‌های IT و OT و سنجش تأثیرات آن بر اساس تجارب تخصصی شرکت امان
  3. پیشنهاد راهکارهای امنیتی
    1. پیشنهاد راهکارهای امنیتی در قالب طرح جداسازی سامانه‌های IT و OT  بر اساس متدولوژی دانش‌بنیان
    2. اخذ تأییدیه امنیتی برای طرح جداسازی
  4. اجرای راهکارهای امنیتی

 به‌منظور امکان‌سنجی، قبل از هر چیز نیاز به شناسایی دارایی‌هایی است که در شرکت‌های صنعتی و در دامنه مربوطه وجود دارد. در این مرحله از پروژه، فاز شناخت، مشخصات دارایی‎ها بر اساس تجارب و ارزیابی‌های تیم‌های تخصصی شرکت امان به‌دست‌آمده و بر اساس هستی‌شناسی پروژه و متدولوژی‌های دانش‌بنیان شرکت امان در دسته‌های موردتوافق با کارفرما دسته‌بندی می‌شوند:

  • دارایی‌های شبکه‌های OT معاونت‌ها، مراکز کنترل و اسکادا بر اساس مدل مرجع
  • دارایی‌های نرم‌افزاری OT  
  • دارایی‌های سخت‌افزاری مربوط به سرویس‌های OT  

در ادامه «ارزیابی امنیتی از سامانه‌های IT و OT» و امکا‌ن‌سنجی جداسازی سامانه‌های IT و OT برای محدوده بیش از 1600 نقطه صنعتی در این شرکت بزرگ صنعتی که بخشی از پروژه‌های هوشمند سازی و تحول دیجیتال بر روی آن انجام‌گرفته به سرانجام رسید.

شرکت دانش‌بنیان امان در صورت پوشش هزینه‌های پروژه از سوی کارفرمایان محترم، در طرح‌های پیشنهادی دو نوع طرح 1- طرح اضطراری/بر اساس وضع موجود (کوتاه‌مدت) 2- طرح مطلوب (بلندمدت) را پیشنهاد می‌دهد.  

در ادامه پروژه‌ بعد از تائید طرح‌های امنیتی، مراحل اجرا با نظارت ناظر امنیتی و توسط خبرگان و متخصصان انجام می‌پذیرد.

پروژه مذکور، یکی دیگر از افتخارات شرکت دانش‌بنیان امان به‌عنوان یک پروژه مهم ملی است که با رضایت کامل کارفرما و دستگاه نظارت به سرانجام رسید.

صنایع و سازمان‌های محترم کشور که علاقه‌مند دریافت اطلاعات بیشتر از این نوع پروژه‌های شرکت امان، متدلوژی‌های دانش‌بنیان این شرکت و دریافت مشاوره‌های تخصصی هستند، متخصصین شرکت امان باافتخار آماده برگزاری جلسات با شمارا دارند لذا کافی است از طریق ارتباط با ما، با کارشناسان امان در تماس باشید.

چرا شرکت امان؟

شرکت دانش‌بنیان امان با تکیه‌بر تیمی از متخصصان فارغ‌التحصیل از دانشگاه‌های برتر (مانند دانشگاه صنعتی امیرکبیر) و تجربه در امنیت سیستم‌های صنعتی، پروژه‌های متعددی در صنایع حساس اجرا کرده است. این شرکت با تحلیل حجم زیادی از حملات سایبری جهانی، راهکارهای عملی برای صنایع ایران ارائه می‌دهد.

 لیست برخی آموزش‌های رایگان آنلاین شرکت امان :

👈 از هک گوشی مدیرعامل  تا انفجار پیجرها و عینکهای FPV! (لینک مشاهده آموزش)  

👈 ارتقاء امنیت سایبری پایه لزوما نیاز به بودجه عالی ندارد! (لینک مشاهده آموزش)  

👈 مصاحبه اخیر با رادیو جوان با محوریت مدیریت ریسک سایبری و خرابکاری صنعتی (لینک مشاهده آموزش در آپارات)

👈 اهمیت مدیریت ریسک سایبری و طرحهای ارتقا امنیت (لینک مشاهده آموزش در آپارات)

👈 اهمیت جانمایی صحیح تجهیزات در معماری امنیتی (لینک مشاهده آموزش در آپارات)  

حملات به RTU و رله های حفاظتی

بررسی تهدیدات و حملات سایبری در حوزه تله‌متری و رولیاژ

توسط با بدون دیدگاه آموزه های امنیتیاخباردوره های آموزشی

کارگاه آموزشی حملات به RTU  و  رله‌های حفاظتی  به دعوت  کنفرانس بین‌المللی حفاظت و اتوماسیون در سیستم‌های قدرت  و به میزبانی دانشگاه تهران  برگزار گردید.

سیستم‌های تله‌متری و رولیاژ از ارکان اصلی زیرساخت‌های مدرن شبکه انتقال برق به شمار می‌روند. البته حوزه تله‌متری خاص حوزه برق نمی‌باشد و شبکه‌های نظیر گاز، آب، حمل‌ونقل و غیره را نیز در برمی‌گیرد. تله‌متری با جمع‌آوری و انتقال داده‌های بلادرنگ، امکان مانیتورینگ وضعیت سیگنال‌ها و تجهیزات را فراهم می‌کند. رولیاژ، به‌عنوان سیستم‌های رله و کنترل الکتریکی، وظیفه مدیریت جریان‌های الکتریکی و سیگنالینگ در شبکه برق را بر عهده دارد. دیجیتالی شدن این سیستم‌ها، ضمن افزایش کارایی، آن‌ها را در برابر تهدیدات سایبری آسیب‌پذیر کرده است.

برخی تهدیدات سایبری که در این کارگاه آموزشی همراه با مصادیق حملات اخیر موردبررسی قرار گرفت، به شرح زیر است:

  • دسترسی غیرمجاز به تله‌متری: نفوذ به داده‌های تله‌متری می‌تواند اطلاعات حساس مانند وضعیت سیگنال‌ها و هشدارها را در معرض افشاء یا دستکاری قرار دهد.
  • حملات به سیستم‌های رولیاژ: دستکاری رله‌های الکتریکی  و حفاظتی ممکن است منجر به اختلال در سیگنالینگ یا حتی خاموشی منطقه‌ای یا ملی شود.
  • حملات باج افزاری: قفل شدن سیستم‌های تله‌متری یا رولیاژ می‌تواند عملیات شبکه قدرت یا سایر شبکه‌ها را متوقف کرده و خسارات ایمنی و مالی به بار آورد.
  • حملات منع سرویس (DDoS): این حملات باهدف قرار دادن سرورهای تله‌متری، مانع از انتقال داده‌های حیاتی می‌شوند.
  • دست‌کاری پروتکل‌های ارتباطی: هکرها می‌توانند پروتکل‌های صنعتی (مانند IECD104,DNP3,61850,Modbus) در تله‌متری و رولیاژ را هدف قرار داده و دستورات جعلی ارسال کنند.

برخی علل آسیب‌پذیری که در این کارگاه آموزشی همراه با مصادیق اجرایی شرکت امان در داخل کشور موردبررسی قرار گرفت، به شرح زیر است:

  • اتصال سیستم‌های تله‌متری و رولیاژ به شبکه‌های ناامن.
  • استفاده از تجهیزات قدیمی با به‌روزرسانی‌های امنیتی محدود.
  • پیچیدگی یکپارچگی سیستم‌های رله و تله‌متری.
  • کمبود آموزش امنیت سایبری برای اپراتورها و پیمانکاران.

برخی راهکارهای پیشنهادی که در این کارگاه آموزشی همراه با محصولات قابل پیاده‌سازی بر اساس تجارب شرکت امان در حوزه ملی و بین‌المللی موردبررسی قرار گرفت، به شرح زیر است:

  • رمزنگاری داده‌ها: حفاظت از اطلاعات تله‌متری و ارتباطات رولیاژ با در نظر گرفتن ملاحظات عملکردی و تاب‌آوری.
  • آنتی‌ویروس، فایروال‌های Embeded و سیستم‌های تشخیص نفوذ صنعتی: مانیتورینگ تهدیدات سایبری.
  • به‌روزرسانی منظم: رفع آسیب‌پذیری‌های نرم‌افزاری و سخت‌افزاری در رله‌ها و حس‌گرها.
  • آموزش کارکنان: افزایش آگاهی در برابر تهدیدات سایبری صنعتی.
  • تست نفوذ صنعتی: شناسایی نقاط ضعف سیستم‌های تله‌متری و رولیاژ پیش از بهره‌برداری در آزمایشگاه‌های معتبر.

نتیجه‌گیری

امنیت سایبری تله‌متری و رولیاژ برای تضمین ایمنی، پایداری و کارایی شبکه‌های صنعتی حیاتی است. با اتخاذ راهکارهای امنیتی پیشرفته و تقویت زیرساخت‌ها، می‌توان تهدیدات سایبری صنعتی را به حداقل رساند. برای مشاوره تخصصی درزمینهٔ امنیت سایبری این تجهیزات، با ما تماس بگیرید و از جزییات بیشتر آگاه شوید.

لیست برخی آموزش‌های رایگان شرکت امان :

👈 ارتقاء امنیت سایبری پایه لزوماً نیاز به بودجه عالی ندارد! (لینک مشاهده آموزش)  

👈 مصاحبه اخیر با رادیو جوان با محوریت مدیریت ریسک سایبری و خرابکاری صنعتی (لینک مشاهده آموزش در آپارات)

👈 اهمیت مدیریت ریسک سایبری و طرح‌های ارتقا امنیت (لینک مشاهده آموزش در آپارات)

👈 اهمیت جانمایی صحیح تجهیزات در معماری امنیتی (لینک مشاهده آموزش در آپارات)  

در ادامه لیست برخی آموزش‌ها، سمینار‌ها و دور‌ه‌های امنیت سایبری تقدیم می‌گردد که برای دریافت پروپوزال هر یک از آن‌ها و اطلاع از جزئیات کمی و کیفی آن‌ها می‌توانید با شرکت پیشگامان امن آرمان(امان) تماس حاصل فرمایید. با کلیک بر روی هر عنوان از فهرست ذیل می‌توانید نمونه دوره‌های برگزارشده یا سوابق مرتبط با موضوع ذکرشده را مشاهده نمایید.

امنیت سایبری سیستم های کنترل صنعتی با ایزوله کردن

Airgap یا ایزوله کردن شبکه: افسانه یا واقعیت

توسط با بدون دیدگاه آموزه های امنیتیدوره های آموزشی

در دنیای امروز که تهدیدات سایبری در صنایع و زیرساخت های ویژه، حیاتی، حساس، مهم و قابل حفاظت به طور فزاینده‌ای در حال افزایش هستند، امنیت سایبری به یکی از دغدغه‌های اصلی تبدیل شده است. یکی از راهکارهایی که به منظور افزایش امنیت شبکه‌ها مطرح می‌شود، مفهوم ایزوله کردن شبکه است. اما آیا این رویکرد واقعاً می‌تواند به عنوان یک راهکار مؤثر در جلوگیری از حملات سایبری مطرح شود؟
در این مقاله و در این فیلم به اختصار به این موضوع می پردازیم.

امنیت سایبری صنعتی پدافند غیرعامل

حضور شرکت امان در هشتمین نمایشگاه پدافند غیر عامل

توسط با بدون دیدگاه اخبار

به اطلاع شرکت‌ها، سازمان‌ها، وزارتخانه‌ها، صنایع و متخصصین و علاقه‌مندان به حوزه امنیت سایبری صنعتی (OT) می‌رسانیم که شرکت امان مفتخر است در هشتمین نمایشگاه ملی تخصصی صنایع بومی پدافند غیرعامل که از تاریخ ۲۳ تا ۲۶ آبان ماه ۱۴۰۳ در محل نمایشگاه بین‌المللی تهران برگزار می‌شود حضورداشته باشد.
باکمال افتخار از شما فرهیخته گرامی دعوت می‌نماییم تا از غرفه امان در سالن شماره 5 (سالن ملل، غرفه شماره 538) بازدید نمایید و با آخرین دستاوردهای ما در زمینه امنیت صنعتی آشنا شوید. متخصصین امان آماده‌اند تا به بحث و تبادل‌نظر در مورد چالش‌ها و راه‌حل‌های امنیتی بپردازند و بهترین مشاوره‌ها را ارائه نمایند.
برای اطلاعات بیشتر(دریافت دعوت‌نامه ورود به نمایشگاه) و تعیین وقت دریافت مشاوره، لطفاً با ما از طریق شماره‌های تماس 88581798 (021) و 09057497411 در ارتباط باشید.

  • پدافند سایبری صنعتی OT

جهت مشاهده  آموزش رایگان «اهمیت مدیریت ریسک و تدوین طرح امنیت سایبری»  روی این لینک کلیک نمایید.

جهت آشنایی بیشتر با شرکت امان (پیشگامان امن آرمان) ‌این تیزر معرفی را ببینید.

جهت مشاهده مصاحبه اخیر شبکه یک و شبکه خبر با شرکت امان در رابطه با دستاورد ملی این شرکت این صفحه را مشاهده فرمایید.

در ادامه لیست برخی آموزش‌ها، سمینار‌ها و دور‌ه‌های امنیت سایبری تقدیم می‌گردد که برای دریافت پروپوزال هر یک از آن‌ها و اطلاع از جزئیات کمی و کیفی آن‌ها می‌توانید با شرکت پیشگامان امن آرمان(امان) تماس حاصل فرمایید. با کلیک بر روی هر عنوان از فهرست ذیل می‌توانید نمونه دوره‌های برگزار شده یا سوابق مرتبط با موضوع ذکر شده را مشاهده نمایید.

دوره آموزشی تخصصی بکاپ‌گیری و بازیابی اطلاعات IT و OT در یکی از صنایع مهم کشور

برگزاری دوره آموزشی تخصصی بکاپ‌گیری و بازیابی اطلاعات IT و OT در یکی از صنایع مهم کشور

توسط با بدون دیدگاه اخباردوره های آموزشی

به دعوت یکی از مهمترین هدلینگ‌های صنعتی ایران، آموزش تخصصی ا بکاپ‌گیری و بازیابی اطلاعات IT و OT در یکی از صنایع مهم کشور توسط واحد آموزش تخصصی امنیت سایبری شرکت امان ) پیشگامان امن آرمان)، برگزار گردید.

تهدیدات سایبری شبکه های کنترل صنعتی کارت پستال امنیتی الزامات امنیت سایبر اسکادا امن سازی سیستم‌های کنترل صنعتی

گزارش حملات سایبری یا موارد مشکوک در صنایع و زیرساخت های حیاتی

توسط با بدون دیدگاه آموزه های امنیتیاخباراستانداردها، الزامات و به روش ها

حملات به زیرساخت‌های حیاتی، شبکه‌های کنترل و اتوماسیون صنعتی، تله‌متری، اسکادا، دیسپاچینگ و نظایر آن در حال افزایش است. به گزارش واحد تخصصی آگاهی‌بخشی سایبر صنعتی شرکت پیشگامان امن آرمان(امان)، در چند سال اخیر انگیزه مهاجمین جهت حمله به زیرساخت ‏های صنعتی افزایش چشم‌گیری پیدا کرده است که به تفصیل در این فیلم آموزشی به آن پرداخته‌ایم.

یکی از چالش‌هایی که در صنایع کشور با آن رو‌به‌رو هستیم عدم ارائه گزارش حملات و رخدادهای مشکوک سایبری یا سایبر-فیزیکی یا جدی نگرفتن این موضوع از سوی همه صنایع است. اگرچه ارائه این گزارش‌ها چالش‌های امنیتی فراوانی به همراه دارد اما با رعایت ملاحظات امنیتی می‌توان این گزارش‌ها را در قالب اصولی به نهادهای بالادستی و مراجع‌ ذی‌صلاح امنیتی و سپس به سایر صنایع و زیرساخت‌های حیاتی ارائه نمود تا پیش از اینکه حملات در سایر سازمان‌ها و صنایع اتفاق بیفتد از وقوع آن پیشگیری نماییم. ما در دوره‌های آموزشی تخصصی امان یا در قالب خدمات مشاوره و اجرا، این موارد را برای شما همراهان همیشگی امان تبیین می‌کنیم. این ضعف باعث می‌شود که بسیار از سازمان‌ها و صنایع تصور ‌کنند که در فضای آرام سایبری هستیم در صورتی که به هیچ وجه این گونه نیست. بر اساس آموزه بیستم از کتاب هنر امنیت، آرام بودن همیشه به معنای امنیت نیست! سازمان/صنعت خود را برای رویارویی با حوادث امنیتی، قدرتمند کنید.

تهدیدات سایبری شبکه های کنترل صنعتی کارت پستال امنیتی الزامات امنیت سایبر اسکادا امن سازی سیستم‌های کنترل صنعتی

خالی از لطف نیست که به لایحه‌ای که اخیراً توسط مجلس سنا آمریکا در موضوع الزام گزارش حوادث سایبری به تصویب رسید اشاره نماییم. قطعاً هدف از بیان این نمونه‌ها در مقالات، اخبار و آموزش‌های امان صرفاً بیان نمونه‌های خارجی است و ما در امان اشراف داریم که منطقی نیست که آنچه در خارج از کشور می‌بینیم عیناً با کپی برداری، در داخل کشور اجرا نماییم. باید ملاحظات متعددی را برای این الگو برداری‌ها در نظر بگیریم.

مجلس سنا آمریکا سه‌شنبه اول مارس 2022 مجموعه‌ای از لوایح امنیت سایبری را به تصویب رساند که یکی از موارد آن الزام گزارش حوادث سایبری برای سازمان‌ها و زیرساخت حیاتی آمریکا است. به نقل از سایبربان، این بسته، مجموعه‌ای از لوایح است که به محافظت از زیرساخت‌های حیاتی در برابر حملات سایبری که اقتصاد و همچنین امنیت ملی آمریکا را تهدید می‌کند کمک می‌کند. این موضوع در حال حاضر اهمیت ویژه‌ای دارد، زیرا آمریکا معتقد است با افزایش خطر حملات سایبری از سوی روسیه و مهاجمین سایبری که روس‌ها حمایت می‌‌کنند، در تلافی حمایت آمریکا از اوکراین مواجه هستند. خالی از لطف نیست به این موضوع نیز اشاره کنیم که حملات متعدد سایبری که در هفته اخیر علیه زیرساخت‌های روسیه اجرا شده به احتمال زیاد با حمایت‌های آمریکا انجام شده است.

این لایحه، گزارش حوادث سایبری سازمان‌ها و شرکت‌های زیرساخت آمریکایی را موظف می‌کند که حملات سایبری را در عرض 72 ساعت پس از هک و پرداخت های باج افزاری را ظرف 24 ساعت به وزارت امنیت داخلی آمریکا (DHS) اطلاع دهند.

ما در امان همراه مطمئن سازمان‌ها، صنایع، شرکت‌های مادر تخصصی و غیره هستیم تا با ارائه خدمات مشاوره و امن سازی مبتنی بر استانداردهای مورد تائید مراجع ذی‌صلاح و با اتکا به تجربه عملیاتی و آزمایش در محیط‌های امن، از زمان طراحی تا پیاده‌سازی و بهره‌برداری سیستم‌های کنترل صنعتی، اسکادا، تله‌متری، دیسپاچینگ و نظایر آن‌ها کمک نماییم تا صنایع و سازمان‌هایی داشته باشیم که طرح‌های امنیتی آن‌ها پشتوانه دقیق و اصولی داشته باشد و از انجام کارهای سلیقه‌ای و غیراصولی خودداری نماییم.

 با امان همراه باشید تا از اخبار تخصصی و دستاوردهای جدید حوزه امنیت سیستم‌های کنترل و اتوماسیون صنعتی آگاه شوید.

مطالب مرتبط:

کارت پستال امنیت سایبری

راهکارهای امنیتی که بلای جان صنایع یا سازمان ها می شوند

توسط با بدون دیدگاه آموزه های امنیتی

شبکه‌های کنترل و اتوماسیون صنعتی، تله‌متری، اسکادا، دیسپاچینگ و نظایر آن در حال افزایش استفاده از فناوری‌های جدید و هوشمند هستند. به گزارش واحد تخصصی آگاهی‌بخشی سایبر صنعتی شرکت پیشگامان امن آرمان(امان)، در چند سال اخیر ارائه راهکارهای امنیتی به صنایع  کشور  به یکی از مباحث داغ شرکت‌ها، مشاورین  و مدرسین تبدیل شده است. هرچند این توسعه و امن سازی آن  موجب افزایش بهره­وری و پایداری کسب‌وکار صنایع  و سازمان‌ها می­شود، درعین‌حال  عدم ارائه طرح‌های امنیتی مناسب و پیاده‌سازی غیرعلمی و غیر فنی راهکارهای امنیتی(سلیقه‌ای)، آن‌هم در زیرساخت‌های حساس، حیاتی و مهم می‌تواند  زمینه ساز ایجاد اختلال  در شبکه اداری یا حتی صنعتی شود.

متأسفانه شاهد این هستیم که گاه مسئولین و کارشناسان محترم متولی در صنایع و سازمان‌ها، تخصص لازم را در تشخیص طرح‌ها و راهکارهای امنیتی مناسب و  اصولی ندارد و نمی‌توانند  میان خدمات مناسب و باکیفیت امنیت سایبری با خدمات یا محصولات  بی‌کیفیت تمایزی قائل شوند. این مقوله در حوزه امنیت سایبری سیستم‌های کنترل صنعتی (فناوری عملیاتی یا OT) به دلیل نوظهور بودن آن به نسبت  امنیت  سایبری حوزه فناوری اطلاعات(IT)  بیشتر به چشم می‌خورد. این امر سبب می‌شود که به‌عنوان مثال، مسئولین مربوطه صرفاً بر اساس قیمت‌های پیشنهادی شرکت‌های یا مشاورین یا ارتباطات محدود موجود، پروژه‌هایی را تعریف و واگذار نمایند. اجرای پروژه‌های مدیریت مخاطرات ضعیف در صنایع یا اجرای راهکارهای امنیتی غیراصولی می‌تواند باعث شود در شرایط خاص یا بحرانی این راهکارهای امنیتی نامناسب به‌جای کمک به ارتقاء امنیت شبکه خود منجر به ایجاد اختلال یا وقفه در فرایند شوند.

امنیت سیستم های کنترل صنعتی

یکی از کارهای ساده در حوزه امن سازی و ارائه خدمات مشاوره، ارائه تعداد بسیار زیاد کنترل و تجهیزات امنیتی (بدون تحلیل دقیق و داشتن منطق اصولی و مبتنی بر رویه های غیر علمی یا با ظاهر شبه علم) برای یک سازمان است که متاسفانه توسط تیم ها یا افراد غیرحرفه ای به سهولت ارائه می شود و می تواند تبعات زیادی برای آینده سازمان به دنبال داشته باشد. این در حالی است که ارائه یک طرح دقیق امنیتی و مبتنی بر مدیریت مخاطره اصولی که ضامن تداوم کسب و کار سازمان در شرایط عادی و بحرانی باشد و بودجه های سازمان را نیز به شکل متعادل در نظر بگیرد کار بسیار پیچیده و تخصصی است. لزوما ارائه کنترل های امنیتی و سازوکارهای متعدد امنیتی به معنای امن سازی مطلوب نیست.

براساس آموزه پنجم از کتاب هنر امنیت، بی‌فک‌ماهی نوعی مارماهی است که بدن آن با غدد ویژه‌ای پوشانده شده است که می‌تواند ماده‌ای چسبنده و لزج منتشر کند. این مارماهی زمانی که با تهدیدی مواجه می‌شود، با استفاده از این ماده‌ی چسبنده به‌عنوان یک ابزار دفاعی از خود محافظت می‌کند؛ این لایه‌ی محافظ منجر به فراری دادن شکارچیان می‌شود. بی‌فک‌ماهی بعدازاینکه خطر را از خود دور کرد، برای پاک کردن این ماده‌ خود را گره می‌زند و بعد تلاش می‌کند به‌وسیله‌ی پیچ‌وتابی که به بدن خود می‌دهد، گره را باز کند و مواد چسبناک را از بدن خود پاک کند. در برخی منابع گزارش‌شده است در مواردی بی‌فک‌ماهی قربانی سازوکار دفاعی خود شده است. بنابراین گاهی سازوکار دفاعی بی‌فک‌ماهی  قتلگاه خودش می‌شود؛ حواسمان باشد سازوکارهای دفاعی که طراحی می‌کنیم، به‌جای مهاجمین، گریبان خودمان را نگیرد!

هنر امنیت شبکه کنترل صنعتی

ما در امان همراه مطمئن سازمان‌ها، صنایع، شرکت‌های مادر تخصصی و غیره هستیم تا با ارائه خدمات مشاوره و امن‌سازی مبتنی براستانداردها مورد تائید مراجع ذی‌صلاح و با اتکا به تجربه عملیاتی و آزمایش در محیط‌های امن، از زمان طراحی تا پیاده‌سازی و بهره‌برداری سیستم‌های کنترل صنعتی، اسکادا، تله‌متری، دیسپاچینگ و نظایر آن‌ها کمک نماییم تا صنایع و سازمان‌هایی داشته باشیم که طرح‌های امنیتی آن‌ها پشتوانه دقیق و اصولی داشته باشد و از انجام کارهای سلیقه‌ای و غیراصولی خودداری نماییم. ما در دوره‌های آموزشی تخصصی امان یا در قالب خدمات مشاوره و اجرا، این موارد را برای شما همراهان همیشگی امان  تبیین می‌کنیم. تصاویر ذیل مکمل این مقاله کوتاه هستند:

امنیت اتوماسیون صنعتی
امنیت صنعتی

 با امان همراه باشید تا از اخبار تخصصی و دستاوردهای جدید حوزه امنیت سیستم‌های کنترل و اتوماسیون صنعتی آگاه شوید.

مطالب مرتبط:

Identification_Small

اهمیت شناسایی جامع دارایی‌های مهم سایبر-فیزیکی در زیرساخت‌های حیاتی

توسط با بدون دیدگاه استانداردها، الزامات و به روش ها

به گزارش واحد تخصصی آگاهی‌بخشی سایبر صنعتی شرکت پیشگامان امن آرمان(امان) جن ایسترلی مدیر آژانس امنیت سایبری و امنیت زیرساخت ایالات‌متحده اخیراً در مورد شروع اقدامات اساسی برای شناسایی جامع «دارایی‌های سیستمی مهم » در زیرساخت‌های حیاتی صحبت کرده است. هدف از این برنامه مهم محافظت از زیرساخت‌های حیاتی و دارایی‌های آن‌هاست که باید در برابر تهدیدات سایبری محافظت شوند. این موضوع اهمیت توجه به مقوله شناسایی دارایی‌های حیاتی در زیرساخت‌های صنعتی و سازمان‌های کشور را مشخص می‌کند که یکی از راهبردهای اصولی شرکت پیشگامان امن آرمان در پروژه‌های مدیریت مخاطرات سایبر-فیزیکی است و به  مشتریان امان ارائه می‌شود. مدیر آژانس امنیت سایبری و امنیت زیرساخت ایالات‌متحده بیان کرده است که چه این برنامه به شکل قانونی لازم‌الاجرا شود و چه قانونی نشود، شناسایی دارایی‌ها بر اساس ارزش‌گذاری‌های  اقتصادی، حوزه‌های شبکه‌ای و دامنه‌ها‌ی منطقی به‌عنوان اقدامات حیاتی ملی انجام خواهد گرفت.

درواقع  این آژانس قرار است از  اختیارات وزارت امنیت داخلی  ایالات‌متحده برای جمع‌آوری داده‌های مرتبط با این دارایی‌ها استفاده کند. این آژانس حتی برنامه‌های دقیقی برای شناسایی این دارایی‌ها در بخش‌های خصوصی دارد. وزارت امنیت داخلی  ایالات‌متحده آمریکا پایگاه‌ داده‌ای را برای این کار ایجاد نموده است و مجاز به استفاده از این پایگاه داده برای تدوین برنامه‌ها و سیاست‌های  مرتبط با این اقدامات است.

 بر اساس تجارب ما در امان، یکی از چالش‌های شناسایی دارایی‌های سایبر-فیزیکی در صنایع کشور در بخش‌های خصوصی دیده می‌شود که رویه همکاری‌های مطلوب با نهادهای دولتی را در حال حاضر ندارند. تجارب چنین پروژه‌هایی و تحلیل و آسیب‌شناسی این پروژه‌ها در واحد امن سازی امان به مشتریان ما این اطمینان را می‌دهد که بتوانیم بر اساس به‌روش‌های دنیا و بر اساس استانداردهای مورد تائید داخلی این چالش‌ها را در حوزه ارتقاء امنیت سایبر-فیزیکی سازمان‌ها و صنایع به حداقل برسانیم.

جهت مطالعه کامل خبر اصلی به این سایت مراجعه کنید.

با امان همراه باشید تا از اخبار تخصصی به‌روز حوزه امنیت سیستم‌های کنترل و اتوماسیون صنعتی آگاه شوید.

مطالعات تطبیقی امنیت سایبر صنعتی

تحول و امنیت سایبری سیستم‌های صنعت برق

توسط با بدون دیدگاه استانداردها، الزامات و به روش ها

به گزارش واحد تخصصی آگاه‌بخشی سایبر صنعتی شرکت پیشگامان امن آرمان(امان)، اخیرا سندی در حوزه  تحول و امنیت سایبری سیستم‌های صنعت برق آمریکا منتشر شده است. این گزارش بر وضعیت کنونی امنیت شبکه برق ایالات متحده با توجه به رویدادهای اخیر امنیت سایبری تمرکز دارد. رسالت امان از آگاهی‌بخشی در این مورد این است که بتوانیم از این گونه اقدامات در صنایع کشور به ویژه حوزه‌های مختلف صنعت برق الگوبرداری سازنده داشته باشیم.

موضوعات مطرح شده در این گزارش شامل مباحث زیر می‌باشد:

  • استانداردهای الزامی، اجباری و قابل اجرای حفاظت از زیرساخت‌های حیاتی،
  • تهدیدات و آسیب‌پذیری‌های شبکه هوشمند برق ،
  • امنیت و مخاطرات زنجیره تامین صنعت برق ،
  • تغییرات فناوری‌های شبکه هوشمند برق ،
  • اقدامات و برنامه‌های ملی برای کمک به امنیت شبکه صنعت برق،
  • بهبود امنیت سایبری خدمات توزیع و بسترهای کوچکتر،
  • اقدامات مضاعف در راستای بهبود بالقوه امنیت سایبری شبکه،

این گزارش همچنین به طور خلاصه به شرح لایحه‌هایی می‌پردازد که در حال حاضر در کنگره آمریکا ارائه شده است که به مسائل امنیتی شبکه هوشمند صنعت برق می‌پردازد. جهت دریافت این گزارش تخصصی روی این لینک کلیک نمایید.

با امان همراه باشید تا از اخبار تخصصی به‌روز حوزه امنیت سیستم‌های کنترل و اتوماسیون صنعتی آگاه باشید.