أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) إرشاداً جديداً يستهدف رفع معايير أمن الاتصالات داخل بيئات التقنيات التشغيلية (OT) في قطاعات البنية التحتية الحيوية. وتسلط الوثيقة الضوء على العقبات التي تحول دون تبني آليات المصادقة والتوقيع الرقمي والتشفير في الشبكات الصناعية، وفي مقدمتها التكاليف المرتفعة، والتعقيد التقني، وضعف التوافق مع الأنظمة القديمة.
يأتي هذا الإرشاد تحت عنوان “Barriers to Secure OT Communication: Why Johnny Can’t Authenticate”، واستند في صياغته إلى مقابلات مع ملّاك ومشغلي أصول OT في قطاعات استراتيجية تشمل المياه، والنقل، والكيميائيات، والطاقة، والزراعة.
وخلصت الوكالة إلى أن الطلب على الاتصالات الآمنة مرتفع، إلا أن الواقع التشغيلي لا يزال يميل نحو حلول يسهل تبريرها وتطبيقها، مثل التقسيم الشبكي والمراقبة المستمرة، بدلاً من الترقية الشاملة للبروتوكولات.
فجوة البروتوكولات الموروثة
أوضحت الوثيقة أن الكثير من البروتوكولات الصناعية الموروثة صُممت تاريخياً لتعمل في بيئات مغلقة ومعزولة، لذا فهي تفتقر إلى آليات قوية تمنع انتحال هوية الأجهزة أو التلاعب بالبيانات. وترى CISA أن معالجة هذه الفجوة ترتبط بشكل مباشر بقابلية التطبيق العملي وضمان استمرارية السلامة، وليس فقط بتوفر الحلول التقنية.
التوقيع الرقمي كأولوية تشغيلية
لفتت CISA إلى وجود التباس شائع لدى فرق التشغيل حول مفهوم الاتصال الآمن، خاصة عند التفريق بين التوقيع والتشفير. وأوضحت أن التوقيع الرقمي يركز على سلامة البيانات والمصادقة، ويمكن تطبيقه دون تشفير كامل للبيانات. أما التشفير، فهو يحمي سرية المحتوى، لكنه يفرض أعباء تشغيلية أعلى ويتطلب إدارة دقيقة للمفاتيح الرقمية.
وترى الوكالة أن تشفير بيانات التشغيل قد يحد من قدرة المشغلين على رؤية وفحص ما يدور داخل الشبكة، بينما يعد تشفير وظائف إدارة الشبكة وتحديثات البرمجيات ضرورة قصوى لحماية مسارات التحكم.
تحديات الكلفة والتعقيد
رصد التقرير مصادر الإنفاق المرتفعة التي تدفع المؤسسات لتأجيل تأمين الاتصالات، وتشمل:
- تكاليف ترقية العتاد (Hardware) لدعم التشفير.
- رسوم التراخيص وإدارة الشهادات الرقمية.
- كلفة الاستعانة بطرف ثالث لإدارة بنية PKI، وهي المنظومة التي تصدر الشهادات الرقمية لإثبات هوية الأجهزة في الشبكة.
وتشير CISA إلى أن المشغلين غالباً ما يواجهون مفاضلة صعبة بين ترقية كاملة للمكونات لدعم بروتوكولات آمنة، وبين استخدام بوابات عبور (Gateways) تعمل كوسيط لإضافة طبقات مصادقة فوق الأنظمة القديمة، وهو خيار أقل شمولية لكنه أكثر قابلية للتنبؤ.
مسار مرحلي للتنفيذ
تضمنت توصيات CISA لمشغلي البنية التحتية ضرورة اعتماد نهج تدريجي يبدأ بتعميم التوقيع على الاتصالات وسجل الأحداث (Logging) لرفع القدرة على التتبع، ثم الانتقال لاحقاً لسياسات أمنية أكثر صرامة.
كما طالبت الوكالة المصنعين والموردين بخفض العبء التنفيذي عن العملاء من خلال:
- بناء أنظمة تتمتع بمرونة التشفير (Crypto-agility) لتقليل مخاوف الاستثمار طويل الأمد.
- رفع الشفافية حول تكاليف البنية الأمنية المطلوبة.
- اعتماد الإعدادات الآمنة كخيار افتراضي.
وخلصت CISA إلى أن النسخ الآمنة من البروتوكولات الصناعية الشائعة موجودة منذ سنوات، إلا أن العائق الحقيقي أمام انتشارها هو الكلفة المالية والتعقيد التشغيلي، وليس نقص الابتكار التقني.
