سعید میرشاهی – امنیت سایبری یک نگرانی عمده در حوزه انرژی است. مت واتسون، کارشناسRed Team Expert در گزارشی در CovertSwam، پیچیدگی زیرساختها و تنوع جغرافیایی در عرصه امنیت سایبری حوزه انرژی را بررسی کرده است.
حوزه انرژی، زیرساختهای حیاتی را که برای زندگی روزمره ما ضروری است، فراهم کرده و حفظ میکند؛ از گرم کردن و تامین انرژی منازل و ادارات تا سوخترسانی به وسایل نقلیه که به ما امکان سفر در سراسر جهان را میدهد. انرژی، یک منبع حیاتی است اما با اتکای روزافزون به فناوری در بخش انرژی، خطر حملات سایبری نیز در حال افزایش است. بنابراین صنعت انرژی باید اطمینان حاصل کند گامهایی برای تقویت امنیت خود در این حوزه برداشته است؛ به ویژه زمانی که تهدید حملات دولت- ملت همچنان در حال افزایش است.
- حملات دولت-ملت: چرا بخش انرژی در خطر است؟
حملات دولت – ملت، نوعی حمله سایبری است که توسط یک بازیگر تحت حمایت دولت در شبکههای رایانهای کشور دیگر انجام میشود. از این حملات میتوان برای مختل کردن عملیات دولتی، سرقت دادههای حساس یا حتی ایجاد آسیب فیزیکی استفاده کرد. حملات دولت – ملت، معمولا بسیار سازماندهیشده و پیچیده هستند و به دلیل پیچیدگی آنها، شناسایی و دفاع در برابر آن دشوار است.
با لحاظ کردن این موضوع، جای تعجب نیست که بخش انرژی یک کشور، به یک هدف جذاب برای انواع مختلف بازیگران تهدید تبدیل شود که هر کدام، دلایل و اهداف خاص خود را دارند.
بازیگران تهدید دولت – ملت، به دلایل اقتصادی و ژئوپلیتیکی، بهویژه به بخش انرژی علاقهمند هستند. این، یک زیرساخت حیاتی است که میتواند به عنوان یک سلاح در برابر دشمن استفاده شود. به عنوان مثال، بازیگر دولت – ملت ممکن است شبکه انرژی یک کشور رقیب را هدف قرار دهد تا باعث خاموشی شود. این امر میتواند برای تضعیف اقتصاد دشمن یا تواناییهای نظامی وی مورد استفاده قرار گیرد. هکتیویستها ممکن است حملات خود را علیه بخش انرژی هدایت کنند تا به دلایل محیطی یا ایدئولوژیک، مخالفت علنی خود را با فعالیتهای این صنعت نشان دهند اما مجرمان سایبری ممکن است صرفا برای منافع مالی، جذب بخش انرژی شوند.
- روشهای اولیه حمله چیست؟
مهاجمان سایبری از روشهای مختلفی برای حمله به حوزه انرژی استفاده میکنند. یکی از رایجترین روشهایی که برای دسترسی اولیه استفاده میشود، فیشینگ نیزهای است. عوامل تهدید از فریبهای مختلفی استفاده میکنند تا قربانیان خود را وادار کنند روی یک لینک، کلیک یا یک فایل را دانلود کنند. به عنوان مثال، ایمیلها ممکن است پیرامون موضوعاتی مانند مراقبتهای بهداشتی، آگهیهای شغلی، حقوق، تعطیلات یا سیاستهایی درباره رمز عبور ساخته شوند. اگر کاربر روی یک لینک مخرب کلیک یا یک فایل مخرب را دانلود کند، بدافزار میتواند به سیستم او تزریق شود.
یکی دیگر از روشهای حمله، ارسال یک ایمیل فیشینگ است که از قربانی میخواهد هویت خود را با وارد کردن اطلاعات شخصی تایید کند. سپس عوامل تهدید میتوانند از این دادهها برای دسترسی مستقیم به منابع شرکتی در زمینه امنیت قربانی یا برای انجام بازنشانی رمز عبور اکانت شرکت قربانی استفاده کنند.
زیرساختهای مورد استفاده شرکتها در بخش انرژی، اغلب پیچیده و از نظر جغرافیایی، متنوع است و سطح حمله بزرگی را ارایه میکند که ایمن ساختن آن میتواند دشوار باشد. شبکههای آنها اغلب حاوی ترکیبی از زیرساختهای فیزیکی و سایبری مانند سیستمهای اسکادا یا کنترل نظارتمحور و جمعآوری داده (SCADA) است که با تمرکز به اتصال به اینترنت طراحی نشدهاند.
سیستمهای اسکادا، نوعی فناوری عملیاتی (OT) هستند که میتوانند برای کنترل و نظارت بر فرایندهای فیزیکی، دستگاهها و زیرساختهای درگیر در تولید و توزیع انرژی استفاده شوند. این سیستمها اغلب برای فعال کردن گزینه دسترسی به اینترنت ارتقا یافتهاند یا رابطهایشان از طریق وب به گونهای در معرض دید هستند که هنگام استقرار سیستم در ابتدا انتظار نمیرفت. در نتیجه، این سیستمها ممکن است فاقد کنترلهای امنیتی لازم برای محافظت در برابر حملات سایبری باشند.
- مطالعه موردی: استاکسنت و Pipedream
استاکسنت وPipedream ، مطالعه موردی درباره حمله دولت – ملت است. استاکسنت یک کرم کامپیوتری مخرب بود که اولین بار در سال 2010 شناسایی و به عنوان یکی از پیچیدهترین بدافزارها لحاظ شد. این کرم رایانهای با استفاده از چندین تکنیک پیشرفته توسعه یافت و به سرعت از طریق شبکهها پخش شد اما توسط نرمافزار آنتی ویروس سنتی شناسایی نشد.
غالبا اعتقاد بر این است استاکسنت توسط یک گروه تهدید دولت – ملت برای ایجاد اختلال در برنامه هستهای ایران به منظور هدف قرار دادن سیستمهای کنترل صنعتی (ICS)، بهویژه سانتریفیوژهای مورد استفاده برای غنیسازی اورانیوم در تاسیسات هستهای ایران طراحی شده است.
استاکسنت به این سیستمها حمله کرد و باعث آسیب فیزیکی به سانتریفیوژها شد. این حمله، ابتدا شرکتهایی را هدف قرار داد که به نوعی با سیستمهای کنترل صنعتی مورد استفاده در تاسیسات هستهای نطنز در ایران درگیر بودند. این شرکتها به دلیل دسترسی فیزیکی به تاسیسات نطنز انتخاب شدند، زیرا سیستمهای کنترل صنعتی موجود در آن، دارای شکاف هوایی بودند.
کرم استاکسنت معمولا از طریق درایوهای فلش USB دارای آلودگی منتشر میشود که اولین ناقلی بود که برای آلودگی کارکنان شرکتهای شخص ثالث به کار میرفت. استاکسنت سپس سیستمهای کنترل صنعتی در تاسیسات هستهای نطنز را زمانی که پیمانکاران شخص ثالث به طور فیزیکی از سایت بازدید کردند، آلوده کرد.
این کرم رایانهای به عنوان تغییردهنده بازی در دنیای جنگ سایبری توصیف شده است. این امر، پتانسیل حملات سایبری برای آسیب فیزیکی به زیرساختهای حیاتی را نشان داد و نگرانیهایی را درباره آسیبپذیری سیستمهای کنترل صنعتی ایجاد کرد. کشف استاکسنت منجر به افزایش توجه و سرمایهگذاری در امنیت سایبری برای زیرساختهای حیاتی در سراسر جهان شد. از زمان ایجاد استاکسنت، عوامل تهدید سایبری، بیشتر روی بدافزار طراحیشده برای هدف قرار دادن سیستمهای کنترل صنعتی (ICS) تمرکز کردند.
در سال 2021 نیز یک بدافزار مدولار مخصوص ICS به نام Pipedream شناسایی شد که یک بدافزار چند مرحلهای است. این بدافزار برای نفوذ به یک سیستم، کسب پایداری و سپس اجرای دستور از طرف عامل تهدید طراحی شده است. بردار اولیه برای توزیع Pipedream از طریق ایمیلهای فیشینگ حاوی یک لینک مخرب بود که در صورت باز شدن توسط قربانی، مولفههای اضافی را دانلود و یک ارتباط دائمی با زیرساخت فرماندهی و کنترل عامل تهدید برقرار میکرد. سپس به عامل تهدید، تواناییِ کنترل سیستم آلوده و اجرای دستور از راه دور را میداد.
- رهبران حوزه انرژی چه باید کنند؟
از آنجا که بازیگران تهدید، اکنون فعالانه ابزارهایی را توسعه میدهند که به طور خاص، زیرساختهایی مانند سیستمهای کنترل صنعتی را هدف قرار میدهند، ضروری است سازمانها در بخش انرژی امنیت سایبری، سرمایهگذاری کنند تا اطمینان یابند به ابزارها، مهارتها و تخصص لازم برای شناسایی و محافظت در برابر حملات سایبری مجهز هستند. این امر، حیاتی است. در این رابطه، زمینههای کلیدی در حوزه صنعت، بر موارد زیر تمرکز دارند:
- آموزشِ آگاهی از امنیت: آموزش کارکنان درباره ناقلهای حمله رایج مورد استفاده عوامل تهدید مانند فیشینگ/ فیشینگ نیزهای، همراه با بهترین شیوههای امنیت سایبری شامل کنترلهای فنی و مبتنی بر فرایند، چرایی ضروری بودن آنها و چگونگی کمک به کاهش در برابر تهدیدات سایبری هستند.
- کنترلهای دسترسی قوی: اجرای کنترلهای دسترسی قوی مانند احراز هویت چندعاملی (MFA) و مدیریت دسترسی ممتاز، میتواند در زمینه جلوگیری از دسترسی غیرمجاز به سیستمهای حیاتی کمک کند.
- ارزیابیهای امنیتی مستمر: بهبود مستمر با ردیابی آسیبپذیری، آزمایش نفوذ و شبیهسازیهای حمله سایبری، میتواند به شناسایی نقاط ضعف و آگاهی از شکاف زیرساختهای امنیتی و کنترلهای مبتنی بر فرایند کمک کرده و اصلاح کمبودها را تسهیل کند.
- تداوم کسبوکار و برنامهریزی واکنش به حادثه: توسعه، اجرا و آزمایش منظم طرح تداوم کسبوکار و واکنش به حادثه، میتواند زمان بازیابی را تسریع کرده و برای به حداقل رساندن تاثیر و آسیب ناشی از حمله سایبری کمک کند.
- نظارت و هشدار امنیتی: پیادهسازی و مراقبت از نظارت و راهکار هشدار امنیتی، هشدار درباره فعالیتها و رویدادهایی است که خارج از یک خط پایه شناختهشده پیکربندی شدهاند.
نتیجه آنکه، بخش انرژی از سوی عوامل مختلف تهدید، در معرض خطر حملات سایبری قرار دارد که هرکدام انگیزهها و روشهای خاص خود را دارند. عواقب یک حمله سایبری موفقیتآمیز میتواند تبعات شدیدی برای صنعت و کل اقتصاد داشته باشد. حوزه انرژی، نیازمند سرمایهگذاری در عرصه امنیت سایبری در زمینه آموزش کارکنان، افزایش کنترلهای امنیتی فنی و آمادگی بهتر برای محافظت در برابر حملات سایبری و بهبود وضعیت در برابر این حملات است.