كيف يواجه قطاع الطاقة مخاطر الهجمات الإلكترونية؟
كيف يواجه قطاع الطاقة مخاطر الهجمات الإلكترونية؟
الشركات العاملة في الشرق الأوسط تفتقر إلى إجراءات حماية كافية
تتزايد بشكل يومي وبصورة غير مسبوقة المخاوف من الهجمات الإلكترونية في قطاع النفط والغاز، حيث يواجه هذا القطاع حزمة واسعة من المخاطر التي قد تكون أكثر تهديدًا من تلك التي تواجه الشركات العاملة ضمن القطاعات الأخرى. ويعد معدّل الهجمات الإلكترونية التي تستهدف شركات النفط والغاز في منطقة الشرق الأوسط عاليًا مقارنة بالمعدلات العالمية. وبحسب بيانات مركز الحوادث الأمنية الصناعية (RISI)، فإنّ الهجمات الإلكترونية التي تستهدف شركات النفط والغاز في منطقة الشرق الأوسط تمثل أكثر من نصف الحالات المسجلة. وفي المقابل، فإن الحوادث المماثلة في الولايات المتحدة والدول الغربية تمثل أقل من 30% من تلك الحالات.
وفي السنوات القليلة الماضية، انتشرت الهجمات الإلكترونية بشكل ملحوظ في المنطقة. ففي عام 2014م كشفت شبكة كاسبرسكي الأمنية عن تسجيل أكثر من 650.000 حالة لهجمات فايرس رانسوم-وير (ransomware) في أرجاء متعددة من منطقة الشرق الأوسط وشمال إفريقيا في العام الذي سبقه، حيث شملت هذه الهجمات قطاع النفط والغاز.
أما في عام 2015م فقد كشفت شركة الأمن الإلكتروني سيمانتك أن ملفات تروجان لازيوك، وهي عبارة عن برمجيات خبيثة فائقة الضرر، قد حاولت سرقة بيانات شركات الطاقة في أجزاء مختلفة من العالم، ومنها شركات تقع مقراتها في منطقة الشرق الأوسط. ومن المثير للاهتمام أن 25% من تلك المحاولات استهدفت شركات في دولة الإمارات العربية المتحدة، مقابل 10% في كل من السعودية والكويت، و5% في كل من عمان وقطر.
الأمر الذي يطرح التساؤل التالي: لماذا تعتبر شركات النفط والغاز في الشرق الأوسط الشركات الأكثر عرضة للهجمات الإلكترونية؟ وكيف يمكن للشركات التي سقطت ضحية للهجمات الإلكترونية أن تعالج الأمر بشكل عاجل وسريع؟ وما الذي يمكنها القيام به لمواجهة هذا النوع من الهجمات في المستقبل؟
وفي الواقع أنه خلال السنوات القليلة الماضية، تمكنت تلك الشركات من الاستثمار بشكل كبير في مجالي البنية التحتية وتقنية المعلومات والاتصالات من أجل ضمان الحصول على الحلول اللازمة لدعم أعمالها، الأمر الذي نتج عنه الاعتماد على عديد من الأجهزة المتنقلة المختلفة والمتصلة شبكيًا بشركات النفط والغاز.
ونظرًا إلى انتشار الأجهزة المحمولة بشكل واسع وقدرتها على تخزين بيانات حساسة وسرية، فإن تلك الأجهزة تحولت إلى جبهة مفتوحة للهجمات الإلكترونية.
وأما في منطقة الشرق الأوسط وإفريقيا، فيعتبر الوضع أكثر خطورة مقارنة بغيرها من المناطق، نظرًا إلى المعدلات العالية لاستخدام الهواتف المحمولة، حيث لا يوجد أي مؤشر يدل على حدوث تراجع في تلك المعدلات خلال السنوات القادمة، بل العكس، حيث تتوقع شركة أبحاث السوق المستقلة (إي ماركيتر) أن يمتلك أكثر من 789 مليون شخص في منطقة الشرق الأوسط وشمال إفريقيا هواتف متنقلة بحلول عام 2019م، ومن المنطقي افتراض أن هؤلاء سيجلبون هواتفهم المتنقلة إلى أماكن عملهم.
وفي عصرنا هذا، ومع الانتشار الواسع النطاق للشبكات والأنشطة الإلكترونية وضعف حمايتها، فإن إمكانية استشعار النشاطات الخبيثة يعد أمرا صعبا، ما يسمح بتشكيل مساحات تتيح للأطراف الخارجية الوصول والتفاعل المباشر مع الأنظمة والأجهزة التي تدعم عمليات التحكم الخاصة بالشركات، بالإضافة إلى سهولة الوصول إلى أنظمة التحكم الصناعية، إذ إن معظم بروتوكولات الاتصالات الخاصة بأجهزة القياس والتحكم ليست مشفرة بالصورة المطلوبة، ولعل أنظمة اتصالات الأعمال خير دليل على ذلك.
ومن النقاط المهمة الأخرى التي تزيد من احتمالية التعرض للهجمات الإلكترونية: تطبيق تدفق المعلومات. حيث إنه في حال تزويد النظام ببيانات خاطئة أو مزورة أو إذا ما حصل تسريب معين للمعلومات، فإنه من المرجح ألا تكتشف معظم الشركات حدوث ذلك في حينه، بل من الممكن أيضا ألا يتم كشف ذلك على الإطلاق. وثمة فرضية تفيد بأن الهجمة الإلكترونية الضخمة التي تعرضت لها أنظمة شركة أرامكو السعودية في عام 2012م، وهي الشركة الرائدة عالميا في مجال النفط، كان يهدف في حقيقة الأمر إلى التستر على مخالفات سابقة فيما يخص تدفق المعلومات.
إن التحكم غير الفاعل بتدفق المعلومات يسمح للمهاجمين بإصدار أوامر تحكم مضرة عن طريق أدوات غير مرخص لها، حيث إنه من المرجح أن تؤدي هذه الأوامر إلى نتائج شديدة الضرر على البنية التحتية الفعلية، وقيمة الأصول الوطنية، والسلامة والصحة الشخصية.
إن النقاط والثغرات التي تسمح بالهجوم الإلكتروني كثيرة، حيث إن التعاملات في مجال النفط والغاز تعد تعاملات ذات نطاق واسع، وتشمل معلومات حساسة متعلقة بمواقع التنقيب، وصولا إلى المنتجات الاستهلاكية عند مضخات الوقود.
إن الخطر الناجم عن التهديدات الكبيرة المحتملة ليس بالخطر الهين، نظرًا إلى التوسعات الفعلية للبنية التحتية في قطاع النفط والغاز من حيث الإنتاج والتوزيع. فعلى سبيل المثال، قد يكون لتداعيات هجمة إلكترونية ناجحة على شركة عاملة بقطاع النفط والغاز في الشرق الأوسط انعكاسات خطيرة على الأمن الوطني. ففي معظم دول المنطقة، يعتبر قطاع النفط والغاز المصدر الرئيسي للدخل بالنسبة إلى الحكومة، ويشكل هذا القطاع ما يتراوح بين 60% و70% من موارد الإنفاق المالي.
وتمكنت الحكومات في المنطقة، ومن ضمنها حكومتا المملكة العربية السعودية وقطر، من وضع إستراتيجيات وطنية متعلقة بالأمن الإلكتروني سيتم تطبيقها على مراحل متعددة، وتمكنت تلك الحكومات من تطوير السياسات وأطر العمل المتعلقة بهذا الأمر، مع التركيز بشكل خاص على البنية التحتية الأساسية والمصالح الوطنية. فعلى سبيل المثال، تم تطوير إستراتيجية دولة قطر للأمن الإلكتروني من قبل اللجنة الوطنية لأمن المعلومات، بقيادة وزارة تقنية المعلومات والاتصالات، وذلك تماشيا مع توجهات الإستراتيجية الوطنية لتقنية المعلومات والاتصالات 2015م التي تهدف إلى حماية البنية التحتية للمعلومات الوطنية الحيوية وتوفير بيئة إلكترونية آمنة لمختلف القطاعات.
وعلى الرغم من وجود هذه المبادرات والجهود المتنوعة، فإنه يتعين على شركات النفط والغاز في منطقة الشرق الأوسط أن تتولى زمام المسؤولية فيما يتعلق بأمن المعلومات، ويتم ذلك بشكل أساسي بوضع إستراتيجيات أمن المعلومات الخاصة بها بشكل مستقل. وتنصح مجموعة بوسطن كونسلتينج جروب باتباع منهج مبني على المخاطر ويركز على ثلاثة محاور رئيسية، وهي:
تطوير فهم متكامل للمخاطر المحددة، والتي تهدد أصول الشركات، وتحديد الجهود والمصادر المطلوبة للتخفيف من ضررها واحتمالية وقوعها.
بناء واستدامة نظام دفاعي متعدد الطبقات.
إدارة مخاطر الهجمات الإلكترونية بشكل متين.
وبالمحصلة، فإنّ زيادة التعقيدات التقنية الحالية في قطاع النفط والغاز مدفوعة، على سبيل المثال، بالانتشار المتصاعد لتقنيات التنقيب عن البيانات وتحليلها، وتقنيات الاستشعار والتواصل الشبكي، والأنظمة الصناعية، وتقنيات تكامل الأنظمة تجعل هذا القطاع من أكثر القطاعات عرضة للهجمات الإلكترونية. وفي سبيل توفير الحماية اللازمة لشركات النفط والغاز في منطقة الشرق الأوسط، ولمساهميها وعملائها، فإنه يتعين على تلك الشركات أن تضع مسألة الهجمات الإلكترونية على رأس أولوياتها، مع إدراجها ضمن قائمة الاعتبارات المستمرة على المستوى التنفيذي.
http://www.akhbar-alkhaleej.
