مع تقارب أنظمة تكنولوجيا المعلومات وإنترنت الأشياء والتكنولوجيا التشغيلية، فإن الهجمات الإلكترونية على الأنظمة الفيزيائية الإلكترونية في الصناعة والرعاية الصحية وغيرها من السيناريوهات ستأتي بعواقب وخيمة على الجميع، بحسب شركة أبحاث Gartner.

واعتبرت الشركة أن 75% من كبار الضباط في الشركات سيواجهون العديد من حوادث الأمن السيبراني الفيزيائي (CSP) بحلول عام 2024، خاصة تلك التي ستنطوي على أضرار جسيمة ووفيات. مشيرة إلى أن الرؤساء التنفيذيين للشركات قريبًا لن يكونوا قادرين على الاختباء خلف فرقهم القانونية إذا ساءت الأمور.

ازدياد الهجمات الإلكترونية

تُعرِّف شركة Gartner أنظمة CPS بأنها “أنظمة مصممة لتنسيق الاستشعار والحساب والتحكم والشبكات والتحليلات للتفاعل مع العالم المادي (بما في ذلك البشر)”. تم زيادة التداعيات الأمنية لمثل هذه الأنظمة مع استمرار تقارب أنظمة تكنولوجيا المعلومات وإنترنت الأشياء والتكنولوجيا التشغيلية (OT) التي تتحكم في الأنظمة المادية. ويمكن الآن الوصول إلى الأنظمة المادية التي تم فصلها أو عزلها مسبقًا من خلال شبكة تكنولوجيا المعلومات المخترقة أو نقطة نهاية إنترنت الأشياء. في الوقت نفسه، لا تدرك العديد من الشركات أن لديها أنظمة OT متصلة بشبكات المؤسسة؛ أو قد لا يتبعون تقسيم الشبكة الصحيح أو غير ذلك من الاحتياطات الملزمة.

توجد أوجه التقارب هذه بشكل أساسي في البنية التحتية الحيوية وبيئات الرعاية الصحية السريرية في الوقت الحالي، ولكنها ستنتشر على نطاق أوسع مع بدء تطبيق الابتكارات في عالم المباني الذكية والمدن الذكية والسيارات المتصلة والمركبات ذاتية القيادة والرعاية الصحية عن بُعد وغيره.

في هذه البيئات، “يمكن أن تؤدي الحوادث بسرعة إلى ضرر جسدي للأشخاص أو تدمير الممتلكات أو كوارث بيئية”، وفقًا للشركة. فيما يتوقع محللو Gartner أن الحوادث ستزداد بسرعة في السنوات القادمة بسبب الافتقار إلى التركيز الأمني ​​والإنفاق المتوافق حاليًا مع هذه الأصول.

توقعت جارتنر أيضًا أن يصل التأثير المالي لهجمات CPS، والتي قد تؤدي إلى وقوع إصابات مميتة، إلى أكثر من 50 مليار دولار بحلول عام 2023. ويشمل ذلك تكاليف المؤسسات من حيث التعويض عن الخسائر في الأرواح والتقاضي والتأمين والغرامات التنظيمية وفقدان السمعة.

أفضل الممارسات

فيما يتعلق بأفضل الممارسات، أوصت جارتنر المؤسسات أولاً بتحديد جميع الأصول المتصلة في المؤسسة، بغض النظر عما إذا كانت تعتبر معدات تكنولوجيا المعلومات أو معدات OT أو أنظمة إدارة المباني أو الأجهزة الذكية أو أي نوع آخر من الأجهزة المتصلة (اللاسلكية).

بعد ذلك، يجب عليهم تعديل طرق تقييم المخاطر المستخدمة حاليًا لتحديد احتمالية وتأثير الأحداث التي تؤثر على سلامة الإنسان والبيئة. ثم نصحت بتطوير طريقة تصنيف تأخذ الجوانب المادية للبيانات والأنظمة في الاعتبار بدلاً من مجرد مخطط تصنيف البيانات، ومن ثم نشر حملة توعية للتأكد من أن جميع أصحاب المصلحة داخل وخارج المؤسسة على دراية بالمخاطر السيبرانية المادية التي تنجم عن الأنظمة المتصلة في المؤسسة.