تفاوت امنیت در زیرساخت‌های فناوری اطلاعات و اسکادا( کنترل صنعتی)

سیستم‌های کنترل صنعتی، کنترل دنیای فیزیکی و سیستم‌های فناوری اطلاعات، مدیریت داده‌ها را بر عهده دارند. محیطی که این سیستم‌ها در آن کار می‌کنند دائما در حال تغییر هستند. سیستم‌های کنترل صنعتی خودشان را با راه ‌کار‌های فناوری اطلاعات تطبیق می‌دهند تا توانایی دسترسی از راه دور خود را ارتقا دهند. این سیستم‌ها با استفاده از کامپیوتر‌های استاندارد صنعتی، سیستم عامل‌ها و پروتکل‌های شبکه پیاده‌سازی شده‌اند و از این نظر سعی بر آن دارند خود را شبیه سیستم‌های فناوری اطلاعات کنند. این کار به طور خیلی جدی باعث شده است که این سیستم‌ها از حالت منزوی و انفرادی خارج شوند و این امر یک نیاز بزرگ را برای امنیت این سیستم‌ها ایجاد می‌کند. از جایی که بیشتر راه کار‌های امنیتی برای سیستم‌های IT طراحی می‌شوند، این راه‌کار‌ها در محیط ICS نیز مورد استفاده قرار گیرند. در بعضی موارد نیز بیشتر راه کار‌های جدید نیازمند این هستند که متناسب با محیط ICS باشند. جدول زیر خلاصه‌ای از تفاوت‌های بین سیستم‌های IT و ICS را به تصویر کشیده است. امنیت اطلاعات با معرفی سه معیار اساسی به منظور تامین امنیت سامانه‌های اطلاعاتی پا به عرصه وجود گذاشت. این سه معیار که از گذشته تا کنون مبنای اصلی بسیاری از کارهای صورت گرفته بوده است عبارتند از:

• محرمانگی

• دسترس پذیری
• جامعیت

ابزارها و سامانه‌های فناوری اطلاعات در مدل ابتدایی خود باید بتوانند به نحوی عمل کنند که پوشش سه معیار معرفی شده در بالا را تضمین کنند. بدین معنی که یک سامانه اطلاعاتی باید اولاً در هر زمان مورد دسترس باشد و خدمات مورد نیاز را ارائه دهد (دسترس‌پذیری)، دوماً از افشای اطلاعات کاربران و مشاهده آن‌ها توسط افراد غیرمجاز جلوگیری کند و همچنین اطلاعات رد و بدل شده در سامانه از خرابی یا دستکاری در امان باشد یا به عبارتی اطلاعاتی دریافتی در مقصد صحت و اصالت خود را حفظ کند(جامعیت). این سه معیار اساسی که در جوامع امنیت به مثلث امنیت نیز معروف است در بدو پیدایش در سامانه‌های ارتباطی و فناوری اطلاعاتی مورد استفاده قرار گرفت و رشد و توسعه این مدل بیشتر برای این نوع سامانه‌ها مورد توجه قرار گرفت. امروزه با گسترش و نفوذ سامانه‌های فناوری اطلاعات در زیرساخت‌های کنترل صنعتی اولویت‌بندی این مفاهیم تغییر کرده است. این تغییر به این صورت است که در زیرساخت‌های کنترل صنعتی بالاترین اولویت در مثلث امنیت در دسترس بودن سامانه‌های کنترل صنعتی است و اولویت دوم و سوم به ترتیب از آن جامعیت و محرمانگی اطلاعات می‌باشد. دلیل این مهم این است که در صورت از دسترس‌ خارج شدن این سامانه‌ها، تهدیدات زیادی برای جان انسان، محیط زیست و اقتصاد به همراه دارد. این تهدیدات ناشی از استفاده این سامانه‌ها در اکثر زیرساخت‌های حساس و حیاتی مانند: دیسپاچینگ ملی برق، دیسپاچینگ ملی گاز، سیستم‌ها حمل و نقل ریلی و هوایی، کارخانه‌های نفت و گاز، زیرساخت‌های انرژی اتمی، آب و فاضلاب و سایر کارخانه‌های مهم می‌باشد.

همچنین در سامانه‌های کنترل صنعتی عامل بلادرنگ بودن سامانه‌ها مورد توجه قرار داشته و از اهمیت بسیار بالایی در این زیرساخت‌ها برخوردار است. در حالی که در امنیت سامانه‌های فناوری اطلاعات این معیار مورد توجه نیست. به عنوان مثال با توجه به این‌که تجهیزات امنیت ممکن است در بلادرنگ بودن داده‌های ارسالی وقفه بیاندازد، بهتر است در استفاده از این تجهیزات جانب احتیاط در طراحی و درک بلادرنگی رعایت شود.

مقایسه معیارهای امنیت در زیرساخت‌های فناوری اطلاعات و کنترل صنعتی

وضعیت امنیت در زیرساخت‌های کنترل صنعتی مناسب نیست. دلیل این امر نبود دانش و رویکرد امنیتی مناسب در زیرساخت‌های کنترل صنعتی است، چرا که اغلب مدیران اینگونه زیرساخت‌ها سعی بر استفاده از نیرو‌های درون سازمانی دارند و متخصصین امنیت داخلی به دلیل ترس از ایست قلبی فرآیند‌های در حال اجرا پی‌گیری سخت‌گیرانه‌ای در امنیت بخش‌های کنترلی و فیلد ندارند و بیشتر تمرکز خود را در زیرساخت تجاری و شبکه اتوماسیون اداری می‌گذارند. از این رو بخش اعظم این وظیفه سنگین به متخصصین ابزار دقیق و مهندسین فرآیند سپرده می‌شود. با نگاهی کنجکاوانه به نیازمندی‌های شغلی، دروس گذرانده شده و مکان‌های پروژه‌ای و سایر ویژه‌گی‌ها در کارشناسان ابزاردقیق متوجه می‌شویم، آنها دانش امنیت سایبری کای برای امن‌سازی این زیرساخت‌ها ندارند و حتی کارفرما‌ها نیز مطالبه‌ای در این زمینه ندارند. در نتیجه مقوله امنیت در زیرساخت‌های کنترل صنعتی از اهمیت چندانی برخوردار نیست. نتیجه این امر در جدول مقایسه‌ای زیر آورده شده است.

نیاز زیرساخت‌های کنترل صنعتی در دسترس بودن است، ولی باید این مهم را نیز در نظر بگیریم که با کمرنگ شدن مرز سیستم‌های فناوری اطلاعات و سیستم‌های کنترل صنعتی امنیت و ایمنی به هم پیوند می‌خورند. با توجه به جدول بالا مشخص است که امنیت در زیرساخت‌های کنترل صنعتی رویکردی متفاوت را دنبال می‌کند و هنوز به بلوغ کافی نرسیده است. و اما دلیل این امر چیست و چرا ملاحظات و سیاست‌های امنیت در زیرساخت‌های کنترل صنعتی رعایت نمی‌شود؟ دلایل مهم این تفاوت در شبکه‌های و سیستم‌های کنترل صنعتی با زیرساخت‌های فناوری در اهداف، روش‌های پیاده‌سازی و مکانیزم‌های کارکردی آنها است. سیستم‌های کنترل صنعتی تولید و فرآیند محور هستند. این بدان معناست که بقای سیستم وابسته به تولید است و بالعکس. یعنی اگر بقای این سیستم‌ها در خطر باشد مطمئنا تولید و اهداف آنها نیز به خطر می‌افتد و همچنین در صورت به خطر افتادن تولید امکان و خدمتی که ارائه می‌کنند، بقا و ایمنی آنها نیز به خطر می‌افتد.