هشدار کارشناسان امنیتی : 

فضای سیستم های کنترل صنعتی (ICS) بسیار متفاوت از فضای مرسوم حوزه IT است و افشای آسیب پذیری ها در این حوزه، یک شمشیر دولبه و بسیار تیز است؛ چرا که پیش از تلاش برای عیب یابی و به روزرسانی این آسیب پذیری ها، راه را برای ورود مهاجمان سایبری باز می کنیم.

طی سال گذشته، خطوط قرمز ICSها که تصور می شد هکرها نمی توانند از آنها عبور کنند، به شدت کمرنگ شده است. اگرچه هنوز حملات مزاحم و مخرب به این سیستم ها فراگیر نشده اند، اما این حملات دیگر از حالت نظری خارج شده اند و واقعیت یافته اند. ICSها می توانند هدف خوبی برای جنگ های سایبری باشند. با این حال حتی اگر سناریوی جنگ سایبری را نیز نادیده بگیریم، 
ICSها برای نسل جدید مجرمان سایبری که از باجافزارها استفاده می کنند نیز اهداف جذابی به نظر می رسند. همچنین ممکن است این حملات به سمت سیستم ها و شبکه های فناوری عملیاتی (OT) که از مهمترین زیرساخت های فیزیکی و مجازی جهان پشتیبانی می کنند، گرایش پیدا کنند.
با گسترش این تحولات شاهد خواهیم بود که سازندگان قدیمی، راه حل هایی را با برچسب ICS روانه بازار کنند، نقش آفرینانی جدید با راه حل های هدفمند وارد بازار گردند و موجی از تحقیقات عمومی در مورد آسیب پذیری های ICS انجام شود. کشف آسیب پذیری ها و انتشار اخبار آنها جزو اقدامات کارشناسان امنیت است، اما کشف آسیب پذیری های ICS کار بسیار طاقت فرسایی است.
این فضا با فضای مرسوم حوزه IT کاملاً متفاوت است و افشای آسیب پذیری ها در این حوزه که وسعتی بسیار فراتر از IT را در برمی گیرد، یک شمشیر دولبه و بسیار تیز است. وقتی یک آسیب پذیری افشا می شود، قاعدتاً باید سازندگان سیستم های ICS را تحریک کند که راهبردهای طراحی امنیت خود را بهبود بخشند و صاحبان دارایی ها را نسبت به بردارهای احتمالی حملات حساس تر نماید. اما در واقعیت، نمی توان آسیب پذیری های OT را به سرعت آسیب پذیری های حوزه IT رفع کرد. در ادامه، علت این موضوع را بررسی می کنیم.

تجربه و بلوغ
وقتی بحث به روزرسانی و رفع آسیب پذیری های امنیتی مطرح می شود، می توان دید که سازندگان ICS راه درازی را در این حوزه پیموده اند. با این حال، سطح تجربه و بلوغ آنها هنوز با سطح بلوغ و تجربه دنیای نرم افزارهای IT یکسان نیست و آنها معمولاً نمی توانند آسیب پذیری هایی که تازه کشف شده اند را با همان سرعت رفع کنند. علت چیست؟ این سازمانها معمولاً نرم افزارها و سخت افزارهای خود را با تمرکز بر ویژگی هایی نظیر قابلیت اطمینان، عملکرد بلادرنگ و کار بی وقفه تولید می کنند و تمرکز اصلی آنان روی امنیت نیست؛ به همین دلیل، تولیدات آنان توسط مهندسان طراحی می شوند، نه کارشناسان امنیت. البته این روند در حال تغییر است؛ زیرا انتظار می رود که مهندسان ICS نیز از یک چرخه توسعه امن و قابل قبول پیروی کنند. این موضوع به وضوح در استانداردهای ISA و IEC ۶۲۴۴۳-۴-۱ که قرار است در سال ۲۰۱۷ منتشر شوند، بیان شده است. با این حال، تحقق این تغییر در صنعت، به چند سال زمان نیاز دارد.

چرخه عمر طولانی
چرخه عمر مؤلفه های ICS میتواند بین ۲۵ تا ۳۵ سال باشد. بیشتر فناوری های فعلی از نظر پشتیبانی، در پایان چرخه عمر خود قرار دارند. محققان آسیب پذیری هایی را در مؤلفه های رایج ICS افشا کرده اند و مشکلاتی را بیان کرده اند که هرگز رفع نخواهند شد. این آسیب پذیری ها را به عنوان آسیب پذیری های «روز ابد» نامگذاری کرده اند. به عنوان مثال، طبق یافته های گزارش جدید فایرآی، در ۳۳ درصد آسیب پذیری های افشاشده هیچ به روزرسانی خاصی هنگام افشای آنها وجود نداشته است.

به روزرسانی چیست؟
به روزرسانی و رفع آسیب پذیری های ICS منوط به میزان استفاده صاحبان یا اپراتورها از این سیستم ها است. اما در این موضوع، مغایرتی با حوزه امنیت وجود دارد، زیرا:
 اکثر صاحبان این سیستم ها یا اپراتورها نمی توانند هزینه وقفه در سیستم ها برای نصب به روزرسانی ها را بپردازند. کسب وکار این افراد تولید است، نه اداره شبکه های امن. این یکی از تفاوت های بزرگ این حوزه با IT است. در سطح دو و سه شبکه های ICS که دارای سیستم های مبتنی بر ویندوز هستند ممکن است امکان به روزرسانی سیستم ها وجود داشته باشد؛ اما در سطح یک که کنترلرهای منطقی قابل برنامه نویسی (PLC) قرار دارند، برای به روزرسانی ثابت افزارمعمولاً باید PLCها و کنترلرها را از شبکه خارج کرد. در این صنعت، قطع سیستم به ضرر کسب وکار است؛ در نتیجه به روزرسانی نیز صورت نمی گیرد.
 اکثر صاحبان یا اپراتورها شکاف میان IT و OT را به طور کامل پر نکرده اند؛ یعنی چالش های سازمانی مانع به روزرسانی می شوند. مسئولیت سیستم های OT بر عهده مهندسان است و آنان مسائل امنیتی را به قدر کافی درک نمی کنند. تیم های امنیت IT مسئول امنیت هستند، اما به دلیل تأثیر منفی قطعی سیستم ها بر کسب وکار، نمی توانند سیاست های خود را اعمال کنند.
 شناسایی آسیب پذیری ها و به روزرسانی آنها وقتی از عهده راهبر یا اپراتور بر می آید که وی دقیقاً بداند چه چیزی در شبکه قرار دارد. در شبکه های صنعتی این موضوع اصلاً رعایت نمی شود. در نتیجه، تا زمانی که ذی نفعان از آگاهی و پدیداری بهتر و عمیق تری نسبت به دارایی های خود برخوردار نباشند، چرخه شناسایی و به روزرسانی آسیب پذیری ها کاری از پیش نخواهد برد (توضیح مترجم: پدیداری، بدین معنا است که سیستم به گونه ای طراحی و پیاده سازی شود که هیچ اقدامی در آن، دور از دید کنترل های امنیتی انجام نگیرد).

تحمیل سازندگان ICS برای به روزرسانی
در حوزه IT می توان از طریق افشای آسیب پذیری ها، سازنده را مجبور به ارائه بسته به روزرسانی کرد؛ اما در ICS چنین نیست. حوزه ICS با دنیایی که به آن عادت داریم، فرق دارد. افشای آسیب پذیری های ICS قبل از عرضه به روزرسانی توسط سازنده، تنها به نفع مجرمان سایبری است. این افشاها باعث می شود مهاجمان برای راه اندازی حملات خود به مهارت بالایی نیاز نداشته باشند. محققان کارکشته در این حوزه واقعیت مهمی را در مورد امنیت ICS عنوان می کنند و آن هم این است که برای هک یک فرایند در شبکه ICS نیازی به اکسپلویت جدیدترین و بزرگترین آسیب پذیری ها نیست. شکاف های امنیتی در این سیستم ها به شدت گسترده هستند و به عیب یابی نیاز دارند. از این رو، هکرهای ماهر می توانند از راه های بی شماری برای ورود به این سیستم ها استفاده کنند و دیگر لازم نیست با افشای آسیب پذیری ها، روش های حمله به فضای ICS را به هکرهای مبتدی نیز یاد دهیم.
به عنوان نتیجه گیری باید گفت که نمی توان دقت و حساسیتی که صنعت امنیت در مورد آسیب پذیری های محیط IT دارد را به آسیب پذیری های محیط ICS بسط داد. در ICS، همکاری با همه افراد و سازمان ها اهمیتی حتی بیشتر از حوزه IT خواهد داشت. در نتیجه، ما به عنوان محققان امنیت باید به صاحبان و سازندگان ICS کمک کنیم تا بر حل مشکلات سیستمی تمرکز کنند و تلاش های خود را در رفع مسائلی که ظاهراً خبرساز هستند اما راه حل ماندگاری ارائه نمی کنند، هدر ندهند.
منبع : تارنمای مرکز مدیریت راهبردی افتا