همراه ما باشید
هفته نامه عصر ارتباط
اولیـن و پرتیـراژتـرین هفتـه نـامه ICT کشـور

امنیت در سیستم‌های کنترل صنعتی در ایران؛ از حرف تا عمل!

علی کیائی‌فر

علی کیائی‌فر، مدیر تحقیق و توسعه شرکت مدبران

موضوع امنیت سیستم‌های کنترل صنعتی یک دهه است که در دنیا به یکی از مهم‌ترین موضوعات امنیت سایبری تبدیل شده است. بدافزارهایی که بتوانند به سیستم‌های کنترل صنعتی و شبکه‌های SCADA نفوذ کنند به‌صورت بالقوه می‌توانند باعث اختلال یا توقف تولید، انفجار، نشت گازهای سمی، آتش‌سوزی، تخریب و مرگ‌و‌میر گسترده شوند. ابعاد پیامدهای حمله سایبری به تاسیسات کنترل صنعتی آن‌قدر می‌تواند وخیم باشد که پیامدهای امنیت ملی ایجاد کند. براي مثال، نفوذ یک بدافزار به یک شبکه توزیع برق می‌تواند باعث قطع برق در فصل گرما در یک منطقه گرمسیر شود و تداوم چند روزه آن می‌تواند به شورش عمومی ‌و هرج و مرج در یک منطقه تبدیل شود.

ایران همواره هدف جذابی برای حملات سایبری به‌ویژه از نوع صنعتی بوده است. Stuxnet پیشرفته‌ترین سلاح سایبری تاریخ برای حمله به تاسیسات هسته‌ای ایران طراحی شد و هنوز هم در سمینارهای تخصصی امنیتی دنیا هر ساله به آن پرداخته می‌شود و طراحی پیچیده آن به عنوان یک سلاح سایبری کامل و پیچیده برای علاقه‌مندان تشریح می‌شود.

پس از حملات متعدد سایبری به زیرساخت‌های صنعتی کشور خوشبختانه اجماع کاملی میان مسوولان کشور برای پرداختن به این موضوع شکل گرفت و اکنون همه دستگاه‌های مسوول حراستی و امنیتی بر اهمیت امنیت سیستم‌های کنترل واقف هستند.

به همین منظور دستگاه‌های متعدد و بعضا موازی به موضوع امنیت سیستم‌های کنترل صنعتی ورود کرده‌اند. کمیته پدافند غیرعامل، حراست، افتای ریاست‌جمهوری، کمیته‌های امنیت سازمانی و... از جمله نهادهایی هستند که هر یک به نوعی به موضوع امنیت سیستم‌های کنترل صنعتی ورود کرده‌اند، اما متاسفانه هنوز خروجی ملموسی که به امنیت سیستم‌های کنترل صنعتی منجر شده باشد در صنایع کشور مشهود نیست.

وقتی به یک کارخانه صنعتی یا یک شرکت فعال در صنایع حساس ‌وارد می‌شویم، مشاهده می‌کنیم که در شبکه اداری از به‌روزترین استانداردها در طراحی اتاق سرور استفاده شده و انواع استانداردهای امنیتی اخذ شده و از به‌روزترین تجهیزات و نرم‌افزارها و سیستم‌عامل‌ها استفاده می‌شود. برنامه‌های ممیزی و تست نفوذ هم به‌صورت مرتب انجام می‌شود، اما در همان شرکت وقتی وارد ناحیه صنعتی می‌شویم، مشاهده می‌کنیم که ورود به اتاق کنترل بدون هرگونه سیستم احراز هویت به‌سادگی امکان‌پذیر است. غالبا کابل‌های آویزان شبکه در دسترس هستند. اپراتورها روی میزی که زیر آن سرورهای حساس کنترل قرار دارند، چای می‌نوشند و شیفت‌هاي شب هم با استفاده از اسپیکر متصل‌شده به سیستم کنترل، در سکوت شب ترانه جدید مورد علاقه‌شان را گوش می‌دهند!

برخی PLCها فاقد کلمه عبور هستند و همه اپراتورها در شیفت‌های مختلف فقط از یک نام کاربری و رمز عبور مشترک استفاده می‌کنند! همه ارتباطات بدون رمزنگاری انجام می‌شود و هیچ سیستمی ‌برای ثبت رخدادهای شبکه‌ای وجود ندارد!

متاسفانه باید گفت برآیند اقدامات انجام‌شده توسط واحدهای موازی در حوزه امنیت سیستم‌های کنترل صنعتی از سطح بخشنامه و دستورالعمل فراتر نرفته و کم نیستند شبکه‌های صنعتی در کشور که همچنان در مقابل تهدیدهاي ابتدایی هم به‌شدت آسیب‌پذیر هستند.

از مهم‌ترین دلایل ناامن بودن سیستم‌های کنترل صنعتی می‌توان به موارد زیر اشاره کرد:

1- عدم آشنایی کارشناسان برق و ابزار دقیق و کنترل به موضوعات امنیتی

2- اندک بودن متخصصان امنیت سیستم‌های کنترل صنعتی در کشور

3- وجود نهادهای موازی متعدد تصمیم‌گیری

4- عدم وجود شهامت در اجرایی کردن سیاست‌های امنیتی در حوزه کنترل و ترس از ریسک‌های احتمالی آن

5- عدم اعتماد به محصولات امنیتی خارجی در حوزه صنعت

همه این موارد و موارد دیگر موجب شده که موضوع امنیت در سیستم‌های کنترل صنعتی در حد حرف و نامه و سمینارهای متعدد باقی بماند و صنعت ما در مقابل آسیب‌پذیری‌ها همچنان آسیب‌پذیر باشد.

امید است متولیان امر در سال جدید برای این موضوع بلاتکلیف چاره‌ای اساسی بیندیشند تا نتیجه کار چنین نباشد که شبکه اداری در یک صنعت از به‌روزترین استانداردهای امنیتی برخوردار باشد اما در شبکه صنعتی حتی ابتدایی‌ترین تدابیر امنیتی هم اجرا نشده باشد.

درج دیدگاه

عصــر بــازی