أعلنت القوات الجوية الأمريكية عن بدء تطبيق مبادئ الأمن السيبراني القائمة على الثقة الصفرية على أنظمة التحكم الصناعية التي تشغّل قواعدها وبنيتها التحتية، مع تحذير مسؤول رفيع المستوى من أن بيئات التكنولوجيا التشغيلية (OT) لا يمكنها تطبيق نفس متطلبات تكنولوجيا المعلومات (IT) المعمول بها حالياً على الحواسيب والشبكات. وتشمل متطلبات تكنولوجيا المعلومات نحو 91 هدفاً يجب تحقيقها عبر كامل وزارة الدفاع الأمريكية بحلول نهاية السنة المالية 2027.
وخلال مؤتمر Alamo ACE في سان أنطونيو، قال آرون بيشوب، كبير مسؤولي الأمن السيبراني في وزارة القوات الجوية، إن التفويض الخاص بالثقة الصفرية لتكنولوجيا المعلومات لعام 2027 يعد خطوة أولى فقط لحماية الأصول من الهجمات السيبرانية.
وأضاف أن هناك إطار عمل مخصص للتكنولوجيا التشغيلية يجري تطويره، يأخذ في الاعتبار أن أنظمة تشغيل مثل أضواء ممرات الهبوط والمصاعد قد تعمل بشكل مختلف عن خوادم البريد الإلكتروني لكنها لا تزال تمثل نقاط هجوم محتملة.
وأوضح بيشوب: «لا يمكنك تطبيق نفس الإجراءات على PLC كما تفعل مع حاسوبك الشخصي. هذه الأنظمة لا تعمل بنفس الطريقة، ولا تتصل بنفس الأسلوب، ولا تتفاعل بنفس الطريقة، لذلك لا يمكن تطبيق نفس الأهداف الـ92 على التكنولوجيا التشغيلية».
وأشار المسؤول إلى أن أنظمة OT وأنظمة الأسلحة ستكون على مسار أبطأ للامتثال للثقة الصفرية، مع توقع تمديد أهداف الامتثال حتى نهاية العقد الحالي.
ومع ذلك، تعمل إدارة المعلومات بالوزارة على إعداد «مخطط المروحة» لأنظمة OT، وهو خارطة طريق مرئية توضح قدرات الثقة الصفرية المطلوب تنفيذها والإطار الزمني لذلك، ومن المتوقع الإعلان عنها قبل نهاية العام.
وأكد بيشوب أن الأنظمة التشغيلية تعتبر سطح هجوم حيوي، حيث يمكن للمهاجم تعطيل العمليات والمهام دون الحاجة لاختراق الشبكات، من خلال استهداف خدمات الدعم أو الطاقة داخل القاعدة أو خارجها.
وأضاف: «عادةً ما تكون أنظمة OT غير متصلة بشكل دائم، وغالباً ما تكون ملكية خاصة للشركات المصنعة، وتواجه مشكلة دورة الحياة الطويلة، حيث قد تكون موجودة منذ عشر سنوات ومن المتوقع استمرار عملها لعشرين سنة أخرى، لكنها الآن قديمة من منظور تكنولوجيا المعلومات أو التكنولوجيا التشغيلية».
وأشار المسؤول إلى أن هدف الثقة الصفرية ليس مجرد الامتثال، بل بناء بنية تحتية قادرة على العمل حتى أثناء التعرض لهجمات سيبرانية.
ويشمل ذلك تطبيق مبادئ التصميم الآمن التي تستخدم عادة في تكنولوجيا المعلومات على بيئات OT المتنوعة، بحيث تظل الأنظمة تعمل بشكل مستمر دون توقف أو سيطرة للخصم.
وأكد بيشوب أن العمل في هذا المجال سيتطلب وقتاً وتكراراً، مشدداً على أن استبعاد التكنولوجيا التشغيلية من جهود الثقة الصفرية ليس خياراً في عالم يعتمد فيه الخصوم على أي نظام متصل قد يؤثر على العمليات.
وقال: «الثقة الصفرية لا تنتهي أبداً، يمكنك دائماً إيجاد طرق جديدة لحماية نفسك من الداخل».
