Skip to content

ما هو الامتثال للأمن السيبراني؟

في الوقت الحاضر، تواجه المزيد والمزيد من الشركات في مختلف الصناعات تحديات مماثلة، خاصة في المجالات الحرجة للسلامة مثل الطاقة ومعالجة المياه والسكك الحديدية وغيرها. هذا التحدي ملحوظ بشكل خاص في الاتحاد الأوروبي وبلدان الشرق الأوسط ويبدو هذا التحدي على هذا النحو:

”هل منتجك متوافق مع الأمن السيبراني؟“ أو “هل شركتك/منتجك/حلولك متوافقة مع المواصفة القياسية IEC 62443 (و TS 50701 للسكك الحديدية)؟

على الرغم من أننا كمستهلكين سعداء بمطالبة المزيد والمزيد من الشركات بالامتثال لمعايير الأمن السيبراني، إلا أن هذا قد يمثل تحديًا كبيرًا. ولكن دعني أشرح لك.

من أين بدأ كل شيء؟

في معظم الحالات التي شهدناها في السنوات الأخيرة، عندما يطلب العميل من مقدم الخدمة الالتزام بمتطلبات الأمن السيبراني أو إثباتها، حتى العميل لا يفهم تمامًا ما يعنيه ذلك أو كيف ينبغي إثباته بالضبط. يمثل الامتثال للأمن السيبراني فجوة كبيرة بالنسبة لمعظم المشاركين في السوق، على الرغم من أنه ليس مطلوبًا من قبل المستهلكين فحسب، بل أيضًا من قبل السلطات الحكومية. لذلك دعونا نقسم هذا الموضوع ونوضح أخيرًا ما يعنيه تلبية متطلبات الأمن السيبراني.

عندما يتعلق الأمر بالامتثال للأمن السيبراني، فعادةً ما تصادف بعض المعايير المعروفة:

  • سلسلة IEC 62443 - أمان أنظمة الأتمتة والتحكم الصناعية (#IACS): هذا معيار دولي للأمن السيبراني مصمم لحماية IACS من التهديدات السيبرانية. فهو يوفر إطارًا لتأمين هذه الأنظمة طوال دورة حياتها (سواء أثناء التطوير أو التشغيل) ويلبي احتياجات مشغلي النظام والمتكاملين ومصنعي المكونات. وينقسم المعيار حاليًا إلى أربعة أجزاء، يحتوي كل منها على المتطلبات والتوصيات ذات الصلة التي تغطي مبادئ الأمان العامة والسياسات والإجراءات ومتطلبات النظام وأمن المكونات. يضمن المعيار IEC 62443 حماية الأنظمة الصناعية في القطاعات الحيوية مثل النقل والطاقة والتصنيع ضد الهجمات الإلكترونية، وبالتالي فهو قابل للتطبيق على نطاق واسع في بيئات التكنولوجيا التشغيلية عبر مختلف الصناعات.
  • TS 50701 - تطبيقات السكك الحديدية - الأمن السيبراني: تم اعتماد هذا المعيار دوليًا في الاتحاد الأوروبي والعديد من البلدان الأخرى، لا سيما في منطقة الشرق الأوسط ومنطقة آسيا والمحيط الهادئ. وهو يركز على الأمن السيبراني في قطاع السكك الحديدية ويكيف مبادئ المواصفة القياسية الدولية IEC 62443 مع الاحتياجات المحددة للسكك الحديدية. وهو يوفر مبادئ توجيهية لحماية أنظمة السكك الحديدية، بما في ذلك شبكات الإشارات والتحكم والاتصالات، من التهديدات السيبرانية. ويحدد المعيار تدابير السلامة طوال دورة حياة أنظمة السكك الحديدية، بدءًا من التخطيط وحتى إيقاف التشغيل. وينطبق هذا على مختلف أصحاب المصلحة مثل مشغلي البنية التحتية ومتكاملي الأنظمة والمصنعين ويضمن سلامة الأصول الثابتة والمقطورات. على مدار العامين الماضيين، كان هذا المعيار بمثابة الأساس لتطوير المواصفة IEC 63452، والتي سيتم نشرها والاعتراف بها دوليًا في السنوات القليلة القادمة.
  • ISO 27001 – أنظمة إدارة أمن المعلومات: هذا معيار دولي لإنشاء وتنفيذ وصيانة والتحسين المستمر لنظام إدارة أمن المعلومات (ISMS). فهو يوفر نهجا منظما لإدارة المعلومات الحساسة، وضمان سريتها، والنزاهة، وتوافرها. ويحدد المعيار إطارًا قائمًا على المخاطر لمساعدة المؤسسات على تحديد المخاطر الأمنية المحتملة وتنفيذ الضوابط ومراقبة فعاليتها. ينطبق معيار ISO/IEC 27001 على المؤسسات في جميع الصناعات، مما يمكّنها من حماية معلوماتها من التهديدات مثل خروقات البيانات والهجمات الإلكترونية والتهديدات الداخلية. يُستخدم هذا المعيار غالبًا لإثبات الالتزام بأفضل ممارسات أمن المعلومات والامتثال التنظيمي.

بالإضافة إلى ذلك، هناك توجيه NIS 2 لسوق الاتحاد الأوروبي، والذي سيدخل حيز التنفيذ في عام 2023. بناءً على التوجيهات الأصلية لنظام النفاذ الوطني لعام 2016، تركز هذه النسخة المحدثة على تحسين مرونة القطاعات الأساسية والحيوية مثل الطاقة والنقل والصحة والتمويل. يحدد التوجيه متطلبات أكثر صرامة للأمن السيبراني، ويتطلب الإبلاغ عن الحوادث في الوقت المناسب ويعزز التعاون بين الدول الأعضاء للاستجابة بفعالية للتهديدات السيبرانية. ويهدف إلى ضمان أن تكون الكيانات العامة والخاصة مجهزة بشكل مناسب للتعامل مع مخاطر الأمن السيبراني، وبالتالي تعزيز الوضع الأمني ​​العام في الاتحاد الأوروبي. ويجب على جميع الدول الأعضاء في الاتحاد الأوروبي تنفيذ التوجيه بحلول 17 أكتوبر 2024.

أين أنا في الامتثال للأمن السيبراني؟

ومن أجل التبسيط، دعونا نقتصر مثالنا على صناعة السكك الحديدية. عادة، هناك أنواع قليلة من المؤسسات التي تتطلب ويجب أن تثبت الامتثال للوائح الأمن السيبراني.

في أعلى "التسلسل الهرمي للامتثال" توجد الحكومات والسلطات. هذه هي عادةً الهيئات التي تفرض متطلبات محددة للأمن السيبراني في سلسلة التوريد من خلال إصدار القوانين واللوائح ذات الصلة، مثل توجيه NIS-2 المذكور أعلاه أو اللائحة العامة لحماية البيانات، أو من خلال اعتماد معايير مقبولة بشكل عام مثل IEC 62443 وTS 50701 واعتماد معايير أخرى على المستوى الوطني (أي على مستوى الدولة).

المشغلون هم أول "ضحايا" هذه التحسينات. وهم الذين يشترون و"يشغلون" المنتجات النهائية من الموردين ومتكاملي الأنظمة. بالنسبة للسكك الحديدية، هذه المنتجات هي بالطبع القطارات والبنية التحتية (مثل أنظمة الإشارات، وصناديق الإشارة، والأنظمة الثابتة، وأنظمة معلومات الركاب، وأجهزة الصيانة، والأنظمة المساعدة، وما إلى ذلك). تُجبر الحكومة والهيئات التنظيمية المشغلين على أن يكونوا "متوافقين مع الإنترنت" لضمان سلامة الركاب وموثوقيتهم وتكامل الخدمات والبنية التحتية التي تعتمد عليها الدولة.

المصنعون والمتكاملون، وهم الموردون الرئيسيون للمشغلين، هم الأهداف التالية في هذه السلسلة. ويجب عليهم تقديم منتجات وحلول تلبي متطلبات الأمن السيبراني التنظيمية وفي بعض الأحيان المتطلبات الإضافية للمشغلين.

وفي الوقت نفسه، فإن ضمان مرونة تدابير الأمن السيبراني لأنظمة مثل المعدات الدارجة لا يمثل تحديًا فحسب، بل إنه مكلف للغاية أيضًا. ولذلك، فإن معظم الشركات المصنعة، وخاصة تلك التي تقدم منتجاتها في جميع أنحاء العالم، تتقاسم هذه المهمة مع الموردين ومتكاملي الأنظمة. وهذا يعني أنه عند بناء مركبات السكك الحديدية، يفترض المصنعون أن الأنظمة الفرعية للقطارات أصبحت بالفعل آمنة إلكترونيًا، مما يقلل من الموارد اللازمة لجعل مركبة السكك الحديدية بأكملها آمنة إلكترونيًا.

وتستمر هذه "السلسلة" من المستويات الهرمية الأعلى إلى الأدنى حتى تصل إلى مكونات محددة ليتم تثبيتها على متن المركبات أو في وحدات الأرفف بجانب المسار. وعلى كل مستوى، يمكن استكمال المتطلبات الأولية القادمة من الأعلى (أي من الحكومة) بمتطلبات إضافية لضمان قوة الحل.

كيفية تحقيق الامتثال للأمن السيبراني؟

إن النهج العام لتوضيح وضمان الامتثال لمتطلبات الأمن السيبراني مماثل لجميع "اللاعبين" في السوق. في بعض الأحيان يكون الاختلاف الوحيد هو "الجمهور المستهدف".

إذا كنت أحد موردي المكونات، فكل ما عليك فعله هو إثبات أن المكون الخاص بك يلبي متطلبات الأمن السيبراني المطلوبة. ومع ذلك، عندما تعمل على مستوى أعلى، تصبح "اللعبة" أكثر تعقيدًا لأنك تعتمد على الموردين لديك. يجب عليك التأكد من أن المكونات أو الأنظمة الفرعية أو الأنظمة التي تم تسليمها متوافقة تمامًا لتجنب المشكلات المتعلقة بإدارة سلسلة التوريد الخاصة بك.

بشكل عام، يجب عليك مراعاة جانبين من جوانب الامتثال للأمن السيبراني: الفني والتنظيمي.

من منظور تنظيمي، يجب عليك التأكد من أن شركتك قد حددت ونفذت ونفذت بنجاح العمليات ذات الصلة التي تضمن امتثال المنتج النهائي الذي تقدمه إلى عميلك. وهذا يعني أنه تم تصميم منتجاتك وتصنيعها واختبارها وتخزينها وتسليمها وصيانتها وإيقاف تشغيلها مع أخذ تدابير الأمن السيبراني ذات الصلة في الاعتبار. في كل مرحلة من مراحل تطوير منتجك ودورة حياته التشغيلية، يحتاج الموظفون إلى معرفة ما يجب القيام به لضمان السلامة. يجب التحقق من جميع هذه العمليات وتوثيقها لضمان إمكانية التتبع ومتانة التدابير الأمنية الخاصة بك.

على الجانب الفني، يجب ألا يكون موظفوك قادرين على تحديد واختبار وتنفيذ التدابير الأمنية المناسبة فحسب، بل يجب أيضًا التأكد من كفاءتها، وعدم استهلاكها لموارد غير ضرورية، وفي الوقت نفسه أن يكونوا أقوياء بما يكفي لضمان الامتثال ليس فقط على على الورق، ولكن أيضًا على أرض الواقع.

وأخيرًا، كزينة على الكعكة، يجب عليك تحديد وإنشاء وإدارة عمليات الأمن السيبراني ذات الصلة بشكل مستمر مثل: ب. إدارة الثغرات الأمنية والتصحيحات، والاستجابة للحوادث، ومراجعة وتحديث مشهد التهديدات ومستويات المخاطر لمنتجك.

والخبر السار هو أن كل هذا محدد في المعايير المذكورة أعلاه، وهذا هو بالضبط سبب حاجتك إلى الالتزام بها.

ماذا علي أن أفعل؟ ما هي التدابير الأمنية التي يجب أن أبدأ بها؟

الجواب هو نفسه دائمًا: اتبع المعايير. على الرغم من أن المعايير يمكن أن تكون غامضة وتبدو عالية المستوى، إلا أنها تحتوي على جميع المعلومات الضرورية التي تحتاجها للتنفيذ والامتثال للوائح الأمن السيبراني لمنتجك. وفي الوقت نفسه، بدون وجود خبير حقيقي في فريقك، يمكن أن يشكل ذلك تحديًا حقيقيًا، مما يؤدي إلى خسائر كبيرة في الوقت والخسائر المالية.

نصيحة: إذا كنت تعمل في قطاع السكك الحديدية، فيجب عليك أولاً الاطلاع على القسمين 4 و5 من معيار TS 50701. حاول تحديد دورك في مجال السكك الحديدية واكتشف العمليات الموجودة بالفعل. بالإضافة إلى ذلك، سوف يتعرف مهندسو السلامة لديك على الكثير مما هو مذكور هناك. ومع ذلك، كن حذرًا ولا ترتكب الخطأ الشائع: على الرغم من أن الأمن والأمن لهما مناهج وأهداف وأساليب تنظيمية متشابهة، إلا أنهما بعدان مختلفان. لا تتوقع أن يكون مهندس الأمان أو المدقق لديك، حتى مع أكثر من 10 سنوات من الخبرة، قادرًا على التعامل مع الأمان - خاصة عندما يتعلق الأمر بأنشطة التحقق والتحقق (V&V). ولكن هذا موضوع لمناقشة أخرى.

يسعدنا مساعدتك على الامتثال لمتطلبات الأمن السيبراني. فقط اتصل بنا!

نحن هنا من أجلك

تواصل معنا

هل لديك أي أسئلة أو ترغب في الحصول على استشارة؟

تواصل معنا الآن!

An den Anfang scrollen