البنية التحتية التي لا يفكر فيها أحد حتى تتعطل
في صباح أحد أيام فبراير 2021، لاحظ مشغّلون في محطة معالجة المياه في Oldsmar بولاية Florida أن مؤشر التحكم عن بُعد على شاشة المراقبة يتحرك من تلقاء نفسه — حيث كان يعدّل تركيز هيدروكسيد الصوديوم (الصودا الكاوية) في إمدادات مياه الشرب من 100 جزء في المليون إلى أكثر من 11,000 جزء في المليون. تدخّل أحد المشغّلين خلال دقائق لعكس التغيير. وصف شريف مقاطعة Pinellas الحادثة مبدئياً بأنها هجوم سيبراني استغلّ TeamViewer — وهو تطبيق سطح مكتب بعيد كانت المحطة تستخدمه دون مصادقة متعددة العوامل ومع كلمات مرور مشتركة بين الموظفين. غير أن مكتب التحقيقات الفيدرالي (FBI) صرّح لاحقاً بأنه لم يستطع تأكيد أن الحادثة نتجت عن اختراق سيبراني مستهدَف. وأخبر مدير المدينة السابق الصحفيين في 2023 أن الحادثة كانت على الأرجح خطأً بشرياً وليست هجوماً خارجياً.
سواء كانت حادثة Oldsmar اختراقاً أم لا، فقد كشف التحقيق عن واقع مقلق: كانت المحطة تعمل بنظام Windows 7 (الذي انتهى دعمه منذ يناير 2020)، وتستخدم بيانات اعتماد مشتركة، وتعتمد على أدوات وصول عن بُعد دون مصادقة متعددة العوامل أو تقسيم للشبكة. وهذه ليست ظروفاً استثنائية. ففي مايو 2024، أصدرت وكالة حماية البيئة الأمريكية (EPA) تنبيهاً كشف أن أكثر من 70% من أنظمة معالجة المياه التي تم تفتيشها منذ سبتمبر 2023 كانت تنتهك متطلبات الأمن السيبراني بموجب قانون مياه الشرب الآمنة — بما في ذلك عدم تغيير كلمات المرور الافتراضية وعدم إلغاء صلاحيات الوصول للموظفين السابقين.
والجهات المهاجمة موجودة بالفعل في الداخل. ففي مايو 2023، نسبت Microsoft وتحالف العيون الخمس الاستخباراتي (الولايات المتحدة والمملكة المتحدة وكندا وأستراليا ونيوزيلندا) علنياً حملة تجسس سيبراني متطورة إلى Volt Typhoon، وهي مجموعة تهديد مدعومة من الدولة الصينية تتموضع مسبقاً في شبكات البنية التحتية الحيوية الأمريكية — ليس لسرقة البيانات، بل لتأسيس موطئ قدم دائم لتعطيل محتمل في المستقبل. وبحلول أوائل 2024، كشفت تحذيرات متابعة أن المجموعة حافظت على وصولها لمدة لا تقل عن خمس سنوات عبر أنظمة الاتصالات والطاقة والنقل والمياه. وفي الفترة ذاتها، استغلت حملة هجوم منسّقة في الدنمارك ثغرات في جدران حماية Zyxel لاختراق 22 شركة طاقة في وقت واحد — وهو أكبر هجوم سيبراني في تاريخ الدنمارك.
التكنولوجيا التشغيلية (OT) وأنظمة التحكم الصناعي (ICS) — الأجهزة العصبية الرقمية لشبكات الكهرباء ومحطات معالجة المياه ومصافي النفط ومصانع التصنيع وشبكات النقل — تمثل سطح الهجوم الأكثر خطورة في الأمن السيبراني. فعند اختراق أنظمة تكنولوجيا المعلومات، تُسرق البيانات. أما عند اختراق أنظمة التكنولوجيا التشغيلية، فإن العمليات الفيزيائية تتعطل، ويمكن تعطيل أنظمة السلامة، ويمكن أن يتعرض الأشخاص للأذى.
فهم بنية التكنولوجيا التشغيلية وأنظمة التحكم الصناعي
قد تبدو المصطلحات مربكة. إليك تفصيل واضح:
التكنولوجيا التشغيلية (OT) هي الفئة الواسعة من الأجهزة والبرمجيات التي تراقب وتتحكم في العمليات الفيزيائية — بدءاً من منظّم الحرارة في مبنى وصولاً إلى أجهزة التحكم في التوربينات في محطة كهرباء.
أنظمة التحكم الصناعي (ICS) هي فئة فرعية من التكنولوجيا التشغيلية تشير تحديداً إلى الأنظمة التي تتحكم في العمليات الصناعية:
- نظام التحكم الإشرافي واكتساب البيانات (SCADA): أنظمة مركزية تراقب وتتحكم في بنية تحتية موزّعة جغرافياً — مستشعرات ضغط خطوط الأنابيب عبر آلاف الكيلومترات، ومحطات فرعية كهربائية عبر منطقة بأكملها، وعدّادات تدفق المياه عبر مدينة.
- وحدات التحكم المنطقية القابلة للبرمجة (PLCs): حواسيب مصمّمة خصيصاً تتحكم مباشرة في المعدات الفيزيائية — فتح صمام، أو تعديل سرعة محرك، أو تفعيل إيقاف طوارئ. تنفّذ وحدات PLC عمليات “التحكم” الفعلية في أنظمة التحكم الصناعي.
- أنظمة التحكم الموزّعة (DCS): تُستخدم في الصناعات التحويلية (تكرير النفط والتصنيع الكيميائي) للتحكم في العمليات المستمرة حيث يجب تنسيق متغيرات عديدة في الوقت نفسه.
- واجهة الإنسان والآلة (HMI): الشاشات ولوحات التحكم التي يستخدمها المشغّلون لمراقبة العملية والتفاعل معها — تعرض بيانات فورية وحالة الإنذارات وأدوات التحكم اليدوي.
التحدي الجوهري لأمن التكنولوجيا التشغيلية هو أن هذه الأنظمة صُمّمت من أجل الموثوقية والسلامة، لا من أجل الأمن السيبراني. فكثير من وحدات PLC وأنظمة SCADA نُشرت قبل 15 إلى 25 عاماً، وتعمل بأنظمة تشغيل مملوكة أو قديمة (Windows XP، ومتغيرات أنظمة التشغيل الفورية)، ولا يمكن تحديثها دون إيقاف العملية التي تتحكم فيها، ولم تُصمّم أصلاً لتكون متصلة بالإنترنت.
لكنها الآن متصلة. فتقارب تكنولوجيا المعلومات (IT) والتكنولوجيا التشغيلية (OT) — مدفوعاً بالرغبة في المراقبة عن بُعد وتحليل البيانات والصيانة التنبؤية والكفاءة التشغيلية — قد كشف أنظمة صُمّمت لشبكات معزولة أمام مشهد التهديدات الكامل للإنترنت.
Volt Typhoon: حملة التموضع المسبق
في مايو 2023، نسبت Microsoft وأجهزة استخبارات تحالف العيون الخمس (الولايات المتحدة والمملكة المتحدة وكندا وأستراليا ونيوزيلندا) علنياً حملة تجسس سيبراني متطورة إلى Volt Typhoon، وهي مجموعة تهديد مدعومة من الدولة الصينية. استهدفت الحملة مؤسسات البنية التحتية الحيوية في الولايات المتحدة وأقاليمها، بما في ذلك Guam.
ما جعل Volt Typhoon مثيرة للقلق لم يكن ما فعلته، بل ما لم تفعله. فالمجموعة لم تسرق ملكية فكرية، ولم تنشر برمجيات فدية، ولم تطلب فدية مالية. بل تموضعت مسبقاً — حصلت على وصول إلى شبكات البنية التحتية الحيوية، وأسّست مواطئ قدم دائمة، وانتظرت.
التقنيات: تخصصت Volt Typhoon في أسلوب “العيش من الأرض” (Living off the Land) — أي استخدام أدوات النظام المشروعة (PowerShell وWMI وntdsutil) بدلاً من البرمجيات الخبيثة لتجنب الاكتشاف. اخترقت المجموعة أجهزة مواجهة للإنترنت (أجهزة التوجيه وجدران الحماية وأجهزة VPN) كنقاط دخول، وتحركت أفقياً عبر الشبكات باستخدام بيانات اعتماد مسروقة، وأنشأت وصولاً دائماً يمكن تفعيله عند الطلب.
الأهداف: أنظمة الاتصالات والطاقة والنقل والمياه والصرف الصحي. شمل التركيز الجغرافي بنية تحتية في Guam والساحل الغربي الأمريكي — مناطق ذات أهمية استراتيجية في سيناريو نزاع محتمل حول تايوان.
التداعيات: صرّح مسؤولون أمريكيون في الاستخبارات علنياً بأن هدف Volt Typhoon هو التموضع المسبق في البنية التحتية الحيوية الأمريكية بحيث يمكن للصين، في حال نشوب نزاع عسكري في المحيط الهادئ، تعطيل شبكات الكهرباء والاتصالات وأنظمة المياه الأمريكية لإبطاء الانتشار العسكري الأمريكي وإحداث فوضى داخلية. وفي يناير 2024، عطّل FBI عمليات Volt Typhoon بإزالة برمجيات المجموعة الخبيثة من مئات أجهزة التوجيه المخترقة في المكاتب الصغيرة والمنازل. وكشف تحذير مشترك في فبراير 2024 من CISA وNSA وFBI أن المجموعة حافظت على وصولها إلى بعض الشبكات لمدة لا تقل عن خمس سنوات.
هذا ليس تجسساً. هذا استعداد لحرب سيبرانية تستهدف البنية التحتية المدنية. ويمثل تحولاً جذرياً في كيفية تفكير الدول في أمن البنية التحتية الحيوية.
إعلان
تهديد برمجيات الفدية لأنظمة التكنولوجيا التشغيلية
في حين أن التموضع المسبق من قِبل الدول هو التهديد الأكثر خطورة من الناحية الاستراتيجية، فإن برمجيات الفدية هي التهديد الأكثر تكراراً لبيئات التكنولوجيا التشغيلية.
Colonial Pipeline (2021) تظل الحالة النموذجية. في 7 مايو 2021، حصلت مجموعة الفدية DarkSide على وصول إلى شبكة تكنولوجيا المعلومات الخاصة بشركة Colonial Pipeline باستخدام كلمة مرور مخترقة لحساب VPN غير نشط يفتقر إلى المصادقة متعددة العوامل — وقد عُثر على كلمة المرور ضمن مجموعة من بيانات الاعتماد المسرّبة على الإنترنت المظلم. أوقفت الشركة عمليات خطوط الأنابيب التشغيلية كإجراء احترازي، إذ لم تستطع تحديد ما إذا كان المهاجمون قد وصلوا أيضاً إلى الأنظمة التشغيلية. تسبب الإغلاق الذي استمر ستة أيام في نقص الوقود عبر 17 ولاية أمريكية وموجة شراء بدافع الذعر ووصول أسعار البنزين إلى أعلى مستوياتها منذ أكثر من ست سنوات. دفعت Colonial فدية بقيمة 4.4 مليون دولار (75 Bitcoin)، رغم أن وزارة العدل استعادت لاحقاً حوالي 84% من المبلغ. لم يخترق الهجوم أنظمة التكنولوجيا التشغيلية مباشرة، لكنه أثبت أن تقارب تكنولوجيا المعلومات والتكنولوجيا التشغيلية يعني أن اختراق أنظمة تكنولوجيا المعلومات يمكن أن يفرض إيقاف أنظمة التكنولوجيا التشغيلية.
منذ ذلك الحين، تسارعت هجمات الفدية على المؤسسات الصناعية:
- JBS Foods (2021): أوقفت فدية REvil مصانع تجهيز اللحوم عبر الولايات المتحدة وكندا وأستراليا.
- Dole (2023): أجبرت برمجية فدية على إيقاف مصانع الإنتاج في أمريكا الشمالية.
- Change Healthcare (2024): أدى هجوم فدية BlackCat (ALPHV) على منصة Change Healthcare التابعة لشركة UnitedHealth إلى تعطيل معالجة المطالبات الطبية لأشهر — وهو من أكثر الهجمات السيبرانية تأثيراً في قطاع الرعاية الصحية في تاريخ الولايات المتحدة.
- مرافق المياه (2023-2024): استهدفت مجموعة CyberAv3ngers المرتبطة بالحرس الثوري الإيراني مرافق المياه باستخدام وحدات التحكم Unitronics Vision Series PLCs، مستغلة كلمة المرور الافتراضية للشركة المصنّعة (“1111”) للوصول إلى الأنظمة التشغيلية. بين نوفمبر 2023 وأبريل 2024، تم ربط ما لا يقل عن 29 اختراقاً مؤكداً بالمجموعة، بما في ذلك حادثة بارزة في هيئة مياه Aliquippa في ولاية Pennsylvania.
النمط واضح: تستهدف مجموعات الفدية بشكل متزايد المؤسسات التي تشغّل بنية تحتية حيوية لأن هذه المؤسسات تحت ضغط هائل للدفع — كل ساعة توقف لها عواقب فيزيائية وأمنية واقتصادية.
الفجوة الأمنية: تكنولوجيا المعلومات مقابل التكنولوجيا التشغيلية
يختلف تأمين بيئات التكنولوجيا التشغيلية اختلافاً جوهرياً عن تأمين بيئات تكنولوجيا المعلومات، وكثيراً ما لا يمكن تطبيق ممارسات أمن تكنولوجيا المعلومات مباشرة:
التحديث (Patching): في تكنولوجيا المعلومات، تُطبَّق التحديثات الأمنية بانتظام (تحديثات Patch Tuesday الشهرية والتحديثات التلقائية). أما في التكنولوجيا التشغيلية، فإن تحديث وحدة PLC أو نظام SCADA غالباً ما يتطلب إيقاف العملية الفيزيائية التي يتحكم فيها — إيقاف توربين، أو تعليق خط إنتاج، أو فصل محطة فرعية عن الشبكة. وتعمل كثير من أنظمة التكنولوجيا التشغيلية ببرمجيات قديمة لم يعد المصنّعون يدعمونها. وقد يتطلب التحديث استبدال النظام بالكامل.
الفحص (Scanning): أدوات فحص الثغرات الأمنية التي تعمل بأمان على شبكات تكنولوجيا المعلومات يمكن أن تتسبب في تعطّل أجهزة التكنولوجيا التشغيلية. فالفحص النشط للشبكة (إرسال حزم لاكتشاف الأجهزة وثغراتها) يمكن أن يُرهق وحدات PLC ذات القدرة المحدودة على المعالجة، مما يتسبب في فشلها — بعواقب فيزيائية خطيرة محتملة.
المصادقة (Authentication): تستخدم كثير من أنظمة التكنولوجيا التشغيلية بيانات اعتماد مشتركة أو كلمات مرور افتراضية أو لا تستخدم مصادقة على الإطلاق. ويتطلب تطبيق المصادقة الحديثة (المصادقة متعددة العوامل أو المصادقة القائمة على الشهادات) تحديثات للبرمجيات الثابتة (Firmware) قد لا تكون متاحة للمعدات القديمة.
التوافرية (Availability): في تكنولوجيا المعلومات، يقوم الثالوث الأمني على “السرية والسلامة والتوافرية” (CIA) — مع إعطاء الأولوية عادة للسرية. أما في التكنولوجيا التشغيلية، فإن التوافرية هي الأولوية القصوى. فشبكة كهرباء تتوقف عن العمل تقتل أشخاصاً (تتعطل أجهزة المستشفيات، وتنطفئ إشارات المرور، وتتوقف أنظمة التدفئة في الشتاء). والضوابط الأمنية التي تقلل التوافرية غير مقبولة، حتى لو حسّنت السرية.
استراتيجيات الدفاع في 2026
رغم هذه التحديات، تحرز المؤسسات تقدماً في أمن التكنولوجيا التشغيلية:
تقسيم الشبكة (نموذج Purdue): الدفاع الأساسي الأهم هو فصل شبكات التكنولوجيا التشغيلية عن شبكات تكنولوجيا المعلومات والإنترنت. تحدد بنية Purdue Enterprise Reference Architecture مناطق (من المستوى 0 — العملية الفيزيائية — إلى المستوى 5 — شبكة المؤسسة) مع واجهات محكومة بين كل مستوى. تضمن المنطقة منزوعة السلاح (DMZ) بين شبكتي تكنولوجيا المعلومات والتكنولوجيا التشغيلية عدم وجود مسار اتصال مباشر بين الإنترنت والأنظمة التشغيلية.
المراقبة السلبية (Passive Monitoring): بدلاً من الفحص النشط (الذي يمكن أن يتسبب في تعطّل أجهزة التكنولوجيا التشغيلية)، تراقب أدوات المراقبة السلبية حركة مرور الشبكة دون إرسال أي حزم بيانات. تحلّل حلول مثل Claroty وNozomi Networks وDragos وMicrosoft Defender for IoT حركة مرور شبكة التكنولوجيا التشغيلية بشكل سلبي لاكتشاف الأصول ورصد الشذوذ وتحديد التهديدات دون المخاطرة بتعطيل العمليات.
استخبارات التهديدات: تنشر Dragos استخبارات تهديدات مفصّلة حول مجموعات التهديد الخاصة ببيئات التكنولوجيا التشغيلية (CHERNOVITE وBENTONITE وKAMACITE وغيرها) مع مؤشرات الاختراق وتوصيات دفاعية مصمّمة خصيصاً للبيئات الصناعية.
الأُطر التنظيمية: أنشأت CISA الأمريكية وكالات قطاعية متخصصة لأمن البنية التحتية الحيوية. يفرض توجيه NIS2 الأوروبي (الساري منذ 2024) متطلبات أمن سيبراني إلزامية على مشغّلي الخدمات الأساسية. وتُلزم معايير NERC CIP بضوابط أمن سيبراني محددة لشبكة الكهرباء في أمريكا الشمالية.
الوصول الآمن عن بُعد: كشفت حادثة محطة مياه Oldsmar — بغض النظر عن سببها الحقيقي — عن مخاطر تكوينات الوصول عن بُعد غير الآمنة. توفر حلول الوصول الآمن عن بُعد الحديثة لأنظمة التكنولوجيا التشغيلية (Claroty xDome Secure Access وCyolo) وصولاً عن بُعد محمياً بالمصادقة متعددة العوامل ومراقَباً ومسجّلاً للجلسات — بديلاً عن تكوينات TeamViewer وVPN التي يتم استغلالها بشكل شائع.
إعلان
رادار القرار (المنظور الجزائري)
| البُعد | التقييم |
|---|---|
| الصلة بالجزائر | حرجة — البنية التحتية للطاقة في الجزائر (Sonatrach وSonelgaz) وأنظمة المياه وشبكات النقل أهداف رئيسية؛ قطاع الطاقة ذو أهمية استراتيجية من حيث الإيرادات والأمن القومي |
| جاهزية البنية التحتية؟ | ضعيفة — معظم بيئات التكنولوجيا التشغيلية الجزائرية تفتقر إلى ضوابط أمن سيبراني كافية؛ تقارب تكنولوجيا المعلومات والتكنولوجيا التشغيلية قائم مع تقسيم محدود للشبكة؛ الأنظمة القديمة شائعة |
| المهارات المتوفرة؟ | محدودة جداً — أمن التكنولوجيا التشغيلية تخصص نادر عالمياً؛ الجزائر لديها عدد قليل جداً من المتخصصين ذوي الخبرة في أمن ICS/SCADA |
| الجدول الزمني للتنفيذ | فوري — ينبغي تطبيق تقسيم الشبكة والمراقبة السلبية الآن؛ برامج أمن التكنولوجيا التشغيلية الشاملة تتطلب 18 إلى 24 شهراً |
| أصحاب المصلحة الرئيسيون | Sonatrach (النفط والغاز)، Sonelgaz (الكهرباء)، Algérie Télécom، SEAAL/ADE (مرافق المياه)، ANESRIF (السكك الحديدية)، وزارة الطاقة، وزارة الدفاع، CERT.dz |
| نوع القرار | استراتيجي – أمن قومي — أمن التكنولوجيا التشغيلية للبنية التحتية للطاقة والمياه مسألة أمن قومي وليس مجرد قرار تقني |
خلاصة سريعة: يُعدّ هذا المجال من أكثر مجالات الأمن السيبراني أهمية بالنسبة للجزائر. تشغّل Sonatrach وSonelgaz أنظمة SCADA تتحكم في إنتاج النفط والغاز والشبكة الكهربائية الوطنية — بنية تحتية تولّد مباشرة إيرادات الحكومة وتدعم الحياة المدنية. ينبغي على الجزائر أن تعطي الأولوية لـ: (1) تقسيم الشبكة بين بيئات تكنولوجيا المعلومات والتكنولوجيا التشغيلية في منشآت الطاقة، (2) نشر أدوات المراقبة السلبية لأنظمة التكنولوجيا التشغيلية (Claroty أو Nozomi أو Dragos) لتحقيق رؤية شاملة لشبكات التكنولوجيا التشغيلية دون تعطيل العمليات، و(3) الشراكة مع شركات دولية متخصصة في أمن التكنولوجيا التشغيلية لبناء خبرة محلية. تُظهر سابقة Volt Typhoon أن الدول تتموضع بنشاط مسبقاً في البنية التحتية الحيوية حول العالم — والبنية التحتية للطاقة في الجزائر هدف محتمل نظراً لأهميتها الاستراتيجية في أسواق الطاقة العالمية.
المصادر
- CISA — Volt Typhoon Advisory (AA24-038A)
- Microsoft — Volt Typhoon Analysis (May 2023)
- CISA — Oldsmar Water Treatment Advisory (AA21-042A)
- EPA — Enforcement Alert: Drinking Water Cybersecurity (May 2024)
- CISA — CyberAv3ngers / Unitronics PLC Advisory (AA23-335A)
- SektorCERT — Danish Energy Sector Attack Report (2023)
- Dragos — OT Cybersecurity Year in Review 2025
- NIST — Guide to ICS Security (SP 800-82)
- Claroty — State of XIoT Security Report
- Nozomi Networks — OT/IoT Security Report
- EU NIS2 Directive
- NERC CIP Standards
إعلان