موضوع امنیت سیستمهای کنترل صنعتی یک دهه است که در دنیا به یکی از مهمترین موضوعات امنیت سایبری تبدیل شده است. بدافزارهایی که بتوانند به سیستمهای کنترل صنعتی و شبکههای SCADA نفوذ کنند بهصورت بالقوه میتوانند باعث اختلال یا توقف تولید، انفجار، نشت گازهای سمی، آتشسوزی، تخریب و مرگومیر گسترده شوند. ابعاد پیامدهای حمله سایبری به تاسیسات کنترل صنعتی آنقدر میتواند وخیم باشد که پیامدهای امنیت ملی ایجاد کند. برای مثال، نفوذ یک بدافزار به یک شبکه توزیع برق میتواند باعث قطع برق در فصل گرما در یک منطقه گرمسیر شود و تداوم چند روزه آن میتواند به شورش عمومی و هرج و مرج در یک منطقه تبدیل شود.
ایران همواره هدف جذابی برای حملات سایبری بهویژه از نوع صنعتی بوده است. Stuxnet پیشرفتهترین سلاح سایبری تاریخ برای حمله به تاسیسات هستهای ایران طراحی شد و هنوز هم در سمینارهای تخصصی امنیتی دنیا هر ساله به آن پرداخته میشود و طراحی پیچیده آن به عنوان یک سلاح سایبری کامل و پیچیده برای علاقهمندان تشریح میشود.
پس از حملات متعدد سایبری به زیرساختهای صنعتی کشور خوشبختانه اجماع کاملی میان مسوولان کشور برای پرداختن به این موضوع شکل گرفت و اکنون همه دستگاههای مسوول حراستی و امنیتی بر اهمیت امنیت سیستمهای کنترل واقف هستند.
به همین منظور دستگاههای متعدد و بعضا موازی به موضوع امنیت سیستمهای کنترل صنعتی ورود کردهاند. کمیته پدافند غیرعامل، حراست، افتای ریاستجمهوری، کمیتههای امنیت سازمانی و… از جمله نهادهایی هستند که هر یک به نوعی به موضوع امنیت سیستمهای کنترل صنعتی ورود کردهاند، اما متاسفانه هنوز خروجی ملموسی که به امنیت سیستمهای کنترل صنعتی منجر شده باشد در صنایع کشور مشهود نیست.
وقتی به یک کارخانه صنعتی یا یک شرکت فعال در صنایع حساس وارد میشویم، مشاهده میکنیم که در شبکه اداری از بهروزترین استانداردها در طراحی اتاق سرور استفاده شده و انواع استانداردهای امنیتی اخذ شده و از بهروزترین تجهیزات و نرمافزارها و سیستمعاملها استفاده میشود. برنامههای ممیزی و تست نفوذ هم بهصورت مرتب انجام میشود، اما در همان شرکت وقتی وارد ناحیه صنعتی میشویم، مشاهده میکنیم که ورود به اتاق کنترل بدون هرگونه سیستم احراز هویت بهسادگی امکانپذیر است. غالبا کابلهای آویزان شبکه در دسترس هستند. اپراتورها روی میزی که زیر آن سرورهای حساس کنترل قرار دارند، چای مینوشند و شیفتهای شب هم با استفاده از اسپیکر متصلشده به سیستم کنترل، در سکوت شب ترانه جدید مورد علاقهشان را گوش میدهند!
برخی PLCها فاقد کلمه عبور هستند و همه اپراتورها در شیفتهای مختلف فقط از یک نام کاربری و رمز عبور مشترک استفاده میکنند! همه ارتباطات بدون رمزنگاری انجام میشود و هیچ سیستمی برای ثبت رخدادهای شبکهای وجود ندارد!
متاسفانه باید گفت برآیند اقدامات انجامشده توسط واحدهای موازی در حوزه امنیت سیستمهای کنترل صنعتی از سطح بخشنامه و دستورالعمل فراتر نرفته و کم نیستند شبکههای صنعتی در کشور که همچنان در مقابل تهدیدهای ابتدایی هم بهشدت آسیبپذیر هستند.
از مهمترین دلایل ناامن بودن سیستمهای کنترل صنعتی میتوان به موارد زیر اشاره کرد:
۱- عدم آشنایی کارشناسان برق و ابزار دقیق و کنترل به موضوعات امنیتی
۲- اندک بودن متخصصان امنیت سیستمهای کنترل صنعتی در کشور
۳- وجود نهادهای موازی متعدد تصمیمگیری
۴- عدم وجود شهامت در اجرایی کردن سیاستهای امنیتی در حوزه کنترل و ترس از ریسکهای احتمالی آن
۵- عدم اعتماد به محصولات امنیتی خارجی در حوزه صنعت
همه این موارد و موارد دیگر موجب شده که موضوع امنیت در سیستمهای کنترل صنعتی در حد حرف و نامه و سمینارهای متعدد باقی بماند و صنعت ما در مقابل آسیبپذیریها همچنان آسیبپذیر باشد.
امید است متولیان امر در سال جدید برای این موضوع بلاتکلیف چارهای اساسی بیندیشند تا نتیجه کار چنین نباشد که شبکه اداری در یک صنعت از بهروزترین استانداردهای امنیتی برخوردار باشد اما در شبکه صنعتی حتی ابتداییترین تدابیر امنیتی هم اجرا نشده باشد.
علی کیائیفر، مدیر تحقیق و توسعه شرکت مدبران
