أحدثت أنظمة السلامة الإلكترونية القابلة للبرمجة نقلة نوعية في تصميم المصاعد والسلالم المتحركة، إذ زادت من مرونتها وقدرتها على التشخيص ووقت تشغيلها. إلا أن ربط هذه الأنظمة بالإنترنت يعرضها لخطر البرمجيات الخبيثة وهجمات حجب الخدمة والهجمات الموجهة، ما يتعارض مع مبادئ السلامة الوظيفية. تفترض السلامة الوظيفية بيئة مُحكمة ومعروفة تمامًا، مع تحديثات بطيئة وموثقة وأدلة استخدام شفافة. في المقابل، يتعامل الأمن السيبراني مع العالم الخارجي على أنه غير جدير بالثقة، ويطالب بالسرية والتحديثات السريعة والمصادقة القوية. يتطلب التوفيق بين هذين المبدأين خيارات تصميمية مثل وضع تجاوز الأعطال المستقل، وحزم البرامج المنفصلة، والوثائق الواضحة ولكن المحدودة، ومسؤوليات السلامة والأمن المحددة، وإدارة أمنية مستمرة بعد طرح المنتج في السوق، للحفاظ على سلامة الأنظمة وقدرتها على الصمود.
الصراعات بين الأمن السيبراني والسلامة الوظيفية
بواسطة تيجمين موليما
تم تقديم هذه الورقة في الندوة الدولية للمصاعد والسلالم المتحركة لعام 2023 في إدنبرة، اسكتلندا.
في مشهد التكنولوجيا سريع التطور، كان ضمان سلامة وموثوقية أنظمة المصاعد والسلالم المتحركة دائمًا ذا أهمية قصوى. على مر السنين، شهدت الصناعة تحولا كبيرا نحو تبني الحلول المبتكرة. على مدى العقد الماضي، أثبتت أنظمة السلامة الإلكترونية القابلة للبرمجة (PESS) أنها آمنة و"موجودة لتبقى". فهي أكثر مرونة، وأرخص، وتتيح تصميمات جديدة، وأسهل في التحديث، ويمكن أن توفر معلومات (تشخيصية). ومن خلال دمجها مع Industry 4.0، فهي تتيح الصيانة الوقائية ومراقبة الحوادث الوشيكة ووقت تشغيل أعلى وحتى أوقات إنقاذ أقصر.
ومع ذلك، تأتي الإمكانيات الجديدة مصحوبة بتحديات جديدة: تمثل التهديدات السيبرانية مثل البرامج الضارة وهجمات رفض الخدمة (DOS) وهجمات "الرجل الوسيط" مخاوف كبيرة ويمكن أن تؤثر على نظام الأمان المصمم بعناية لديك. هل من الممكن أيضًا إنشاء نظام PESS للأمن السيبراني؟ وأين تتعارض معايير السلامة الوظيفية (IEC-61508) والأمن السيبراني (IEC-62443)؟ كيف يمكننا معالجة هذا؟
تتعمق هذه الورقة في التفاعل المثير للاهتمام بين معايير وقوانين السلامة الوظيفية والأمن السيبراني، وتفك رموز مطالبها المتضاربة ببراعة. ومن خلال الكشف عن الأساس المنطقي وراء هذه الفوارق، فإنه يقدم حلولاً ثاقبة للمواءمة الفعالة بين المجالين.
صعود التعقيد
على الرغم من أن العالم من حولنا يتغير بسرعة، إلا أن هدفنا الرئيسي هو "ضمان سلامة المصاعد". يتم تعريف السلامة على أنها "حرية المخاطر غير المقبولة" (IEC61508-4، 3.1.11) ويتم تعريف المخاطر على أنها الاحتمال × النتيجة (دليل ISO/IEC 51:1999، التعريف 3.1). مع زيادة تعقيد النظام، تزداد أيضًا فرصة حدوث الأخطاء - المزيد من المكونات التي يمكن أن تنكسر بطرق أكثر وفرصة أكبر للفشل البشري. ونتيجة لذلك، فإن أنظمة PESS المعقدة لها متطلبات عالية على المكونات والعمليات المحددة. ومع ذلك، فإن معظم المصاعد تعمل في الرحم الآمن للمبنى: العمود. هذه بيئة يتم التحكم فيها بالكامل؛ لا يسمح بمعيار EN 81-20 بأي كابلات أو أنظمة أخرى. ولهذا السبب أيضًا لم يكن الأمان مشكلة حقيقية حتى ظهور إنترنت الأشياء (IoT). بمجرد أن يتم تعريف العالم الخارجي بوحدة التحكم، تصبح الأمور مثيرة للاهتمام.

الأمن السيبراني
عند توصيل نظام PESS بالإنترنت، تظهر تحديات جديدة. لم يتم تصميم الإنترنت، الذي يتكون من آلاف أجهزة التوجيه والمحولات وقواعد البيانات وما إلى ذلك، أو التحقق من صحته وفقًا لسلسلة IEC 61508. ولهذا السبب يسمى الاتصال "اتصال القناة السوداء".
مع اتصال القناة السوداء، لا توجد سيطرة كاملة على المعدات المستخدمة ولا توجد ثقة في البرامج/الأجهزة. هذا هو المكان الذي يجد فيه الأمن السيبراني أول اختلاف رئيسي له مع السلامة الوظيفية. السلامة الوظيفية تكون في بيئة خاضعة للرقابة حيث تكون جميع البرامج والأجهزة معروفة، ولكن مع الأمن السيبراني، ليس هذا هو الحال. والأسوأ من ذلك أن عالم القرصنة يتطور ذاتيًا ويخرج عن سيطرة مصممي الأنظمة. بمعنى آخر، لا توجد طريقة لمعرفة ما الذي سيصيبك غدًا. ومع أن أدوات القرصنة أصبحت أرخص ومتاحة بسهولة أكبر، وبالتالي أصبح الوصول إليها أكثر سهولة، فإن التهديدات السيبرانية تتزايد بسرعة.
أنواع الهاكرز
لكي تتمكن من ضبط مستوى الأمان كآلية دفاعية للمتسللين، من المهم فهم الأنواع المختلفة للمتسللين ودوافعهم. ومع اختلاف الاهتمامات والأهداف، فإنهم يميلون إلى تبني استراتيجيات مختلفة.
المجموعة الأولى من المتسللين هي الأكبر من حيث العدد، ولكن مع أقل المعرفة. ومع التدفق المتزايد للأدوات، يمكن تنفيذ هجمات معقدة للغاية بأقل قدر من المعرفة. المصطلح المعروف للمتسللين ذوي المعرفة المحدودة هو "أطفال السيناريو". في تقرير كارنيجي ميلون الذي تم إعداده لوزارة الدفاع البريطانية في عام 2000، تم تعريف أطفال السيناريو على النحو التالي:
"إن المستغلين غير الناضجين ولكن للأسف في كثير من الأحيان بنفس القدر من الخطورة يرتكبون هفوات على الإنترنت. يستخدم البرنامج النصي النموذجي تقنيات وبرامج أو نصوص برمجية موجودة ومعروفة في كثير من الأحيان ويسهل العثور عليها للبحث عن نقاط الضعف في أجهزة الكمبيوتر الأخرى على الإنترنت واستغلالها - وغالبًا ما يكون ذلك بشكل عشوائي وبدون اهتمام أو ربما حتى فهم العواقب الضارة المحتملة ".
يتم تعريف المجموعة الثانية من المتسللين على أنهم أولئك الذين لديهم أموال وموارد ووقت محدود. غالبًا ما يكونون من عشاق التقنية أو مجموعات قرصنة صغيرة تبحث عن المعلومات أو المال. إنهم يخلقون تهديدًا إلكترونيًا لتحقيق مكاسبهم الخاصة، وغالبًا ما يبحثون عن أهداف بجهد منخفض ومخاطر منخفضة وأعلى ربحية.
المجموعة الثالثة من المتسللين لديها أموال غير محدودة (ممولة في الغالب من قبل الحكومات)، والموارد والوقت. يقومون بهجمات مستهدفة على الأنظمة ذات الاهتمام. حاليًا، تعد المرافق الإستراتيجية مثل الطاقة والمياه ووسائل النقل (القطارات والمترو) هي الهدف (الأهداف) الرئيسية لهذه المجموعات. ومع ذلك، هناك اتجاه متزايد للهجمات على الشركات المصنعة (مؤشر ذكاء التهديدات، IBM، 2021)، على سبيل المثال، التجسس. وبسبب الموارد غير المحدودة لهؤلاء المتسللين، فمن الصعب الدفاع ضد هذه المجموعات. ستكون دائما لعبة القط والفأر. يرجى ملاحظة أنه ليس من الواضح دائمًا على أي مستوى يعمل المتسللون وما إذا كانوا ممولين من الحكومة أم لا.
الضرر المتعمد
ما تشترك فيه المجموعات الثلاث من المتسللين هو أن هدفهم هو التسبب في الضرر، وأنهم يعملون دائمًا من أجل مصالحهم الخاصة. أنظمة الاختطاف وطلب الفدية (برامج الفدية)، أو بيع البيانات المتعلقة بالخصوصية، أو استخدام نظام لاستخراج الرموز المميزة للعملات المشفرة؛ المال يجعل العالم يذهب جولة. وهذا يختلف جوهريًا عن السلامة الوظيفية، حيث لا يتم إنشاء التهديدات لإحداث ضرر، ولكن من خلال أخطاء في خطوة من دورة الحياة. في حين يفترض مهندس الأمن الوظيفي أن النوايا الحسنة للمطورين والأخطاء المكتشفة يمكن أن تضع النظام في حالة آمنة، فإن مهندس الأمن السيبراني ينظر إلى العالم الخارجي بأكمله على أنه غير جدير بالثقة، وأي محاولة أو سوء سلوك لديه القدرة على تدمير النظام بالكامل.
آمنة من الفشل
في هندسة السلامة، تكون أعلى الأنظمة القابلة للتحقيق آمنة من الفشل؛ مهما كان العطل، فإن الأنظمة تذهب دائمًا إلى حالة آمنة محددة. يمكن إساءة استخدام هذا السلوك من قبل المتسلل. ومن خلال تنفيذ الهجوم، يكتشف النظام أنه يتعرض للهجوم ويمكنه الدخول إلى حالة التوقف الآمن. تخلق السلامة الوظيفية إمكانية اختطاف المصعد وربما احتجاز أصول المبنى كرهينة. تعد هجمات DOS الموزعة (DDOS) من بين الهجمات الأكثر تنفيذًا. إنها واحدة من أسهل الهجمات التي يمكن تنفيذها ضمن ميزانية معقولة وقد يكون من الصعب الدفاع عنها. بمجرد أن يعتمد النظام على الاتصال بالإنترنت لأداء مهمته، يصبح هجوم DDOS تهديدًا كبيرًا. يمكن تعلم الحل المحتمل من السلامة الوظيفية، حيث يمكن وصف حالة الأمن السيبراني بأنها "لا توجد اتصالات بالعالم الخارجي"، أو وضع الجزيرة. بمجرد أن يكتشف النظام أن هناك من يحاول العبث به، فإنه ينتقل إلى وضع الجزيرة. والنتيجة هي أن هذا يعطي قيودًا على التصميم، حيث لا يمكن لوظائف السلامة الاعتماد على الشبكة.
للتحديث أو عدم التحديث
ترجع نسبة 99% من التهديدات الإلكترونية إلى مشكلات أو أخطاء برمجية. ولحسن الحظ، من السهل تحديث البرنامج. عند العثور على خطأ في منتج أو مكتبة، يمكن إنشاء تصحيح. سيتم فحص هذا التصحيح، بالإضافة إلى ملاحظات التصحيح، بواسطة المتسللين. ونتيجة لذلك، أصبح هذا الخطأ الآن معروفًا للعامة وسيستخدمه قريبًا المتسللون من جميع المستويات. سيتم إنشاء الأدوات ونقلها إلى البرامج النصية للأطفال. يعد تحديث البرامج أحد الركائز الأساسية للأمن السيبراني.
تتطلب السلامة الوظيفية رقابة صارمة على تغييرات النظام وتحديثاته لتجنب حدوث أخطاء أو أعطال محتملة. بالنسبة لكل تحديث، يجب أن تبدأ العملية بتحليل التأثير. ويجب التحقق من كل خطوة من خطوات العملية وتوثيقها، وتنتهي بالاختبار والتحقق لضمان عدم إضافة أي مخاطر إضافية. قد تستغرق هذه العملية شهورًا لأنه يجب إجراء اختبارات التحمل لكسب الثقة في النظام.
يمكن أن تؤدي الزيادة في المهلة الزمنية إلى حدوث صراعات خطيرة داخل الشركة. الحل الأولي هو تقييم المخاطر. في مثل هذا التقييم، يتم تحديد الإجراء الذي ينطوي على أكبر قدر من المخاطر وما إذا كان التحديث ضروريًا. وعند التفكير مرة أخرى، فإن طريقة العمل هذه هي تكتيك تخفيف وليس حلاً حقيقياً. من الأفضل تقسيم مجموعات البرامج الموجودة بالفعل في مرحلة التصميم، بحيث لا تتأثر السلامة الوظيفية بتحديثات الأمن السيبراني.
توثيق
في إطار السلامة الوظيفية، من الممارسات الجيدة مشاركة المعلومات حول النظام مع القائمين على التركيب وموظفي الصيانة ومتكاملي الأنظمة وهيئات التفتيش. من خلال مشاركة حدود النظام والصيانة المقررة، تظل الحالة العامة للنظام وبالتالي السلامة في المستوى المطلوب.
عند الجمع بين عدة أنظمة فرعية من شركات مصنعة مختلفة، تكون هناك حاجة إلى معلومات معمارية مفصلة لتقييم مستوى السلامة العام. عادة، يصف دليل السلامة جميع متطلبات الأنظمة المحيطة للنظام الفرعي.
أما في مجال الأمن السيبراني، فالأمر على العكس من ذلك. يجب أن تكون المستندات مقيدة وسرية لمنح المهاجمين الحد الأدنى من نقاط البداية. ونتيجة لذلك، بدأت المرحلة الأولى من الهجوم السيبراني (مرحلة الاستطلاع(مرحلة الإعداد الأولي للمهاجم للتحضير للهجوم من خلال جمع المعلومات حول الهدف) يمكن أن تتأخر، أحيانًا إلى درجة عدم حدوث هجوم. عندما يكون الوقت والمال محدودين، يميل المتسللون إلى البحث عن هدف أسهل.
ومن هنا فإن "الأمن من خلال الغموض" ليس هو الهدف، ولا حتى آمناً على الإطلاق مبدأ كيركهوفس ينبغي دائما احترامها. يجب أن تكون قادرًا على شرح الأمان للأطراف الموثوقة لديك (على سبيل المثال جهة مُبلَّغة)، دون إعطائهم المفاتيح أو الشهادات وستظل آمنًا، حتى منهم.
السلامة والأمن في صناعة المصاعد
السلامة الوظيفية حاليًا في مرحلة "الأغلبية العظمى". إنه منتشر على نطاق واسع، والمتطلبات والقيود مفهومة في هذا المجال. مجال الأمن السيبراني بدأ للتو في الظهور في صناعة المصاعد. في الغالب، يتم إسناد مهمة الأمن السيبراني إلى مجموعة السلامة الوظيفية، لأن "السلامة والأمن متماثلان تقريبًا، أليس كذلك؟" ومع ذلك، كما يوضح هذا المقال، فإن الفلسفة بأكملها مختلفة بشكل واضح وقد تؤدي إلى صراعات، إذا لم يتم احترام أي من المجالين. إن المشروع محكوم عليه بالتأخير وتجاوز التكاليف، مع ما يترتب على ذلك في نهاية المطاف من أنظمة غير آمنة أو غير آمنة.
مثال على الصراع
لدى الشركة المصنعة لجهاز التحكم في المصعد نظام متصل بالإنترنت، والذي يوفر أيضًا العديد من وظائف السلامة. يطلب قسم الأمان مصادقة ثنائية على الأقل لجميع عمليات تسجيل الدخول (المحلية)، حيث يعد هذا أفضل ممارسة حاليًا. ومع ذلك، بعد مراجعة المتطلبات، تم رفض المصادقة متعددة العوامل.
لا ينبغي أن يتسبب تنفيذ التدابير الأمنية في فقدان الحماية أو فقدان السيطرة أو فقدان الرؤية أو فقدان الوظائف الأساسية الأخرى (IEC62443-3-3). يجب ألا يعطل الأمن العمليات الأساسية. نظرًا لأن الصيانة جزء من دليل السلامة ولإجراء الصيانة يحتاج المشغل إلى تسجيل الدخول وتنفيذ العديد من وظائف السلامة، فلا يمكن تلبية هذا الطلب. ويجب إيجاد استراتيجية مختلفة للحفاظ على أمان النظام.
الاستنتاج و التوصيات
هناك اختلافات كبيرة في الفلسفة والتصميم والحلول في عالم الأمن السيبراني والسلامة الوظيفية. تخلق التقنيات الجديدة تحديات جديدة حيث يمكن للمعايير أن تعطي متطلبات متضاربة. إن فهم كلا العالمين وأصول متطلباتهما هو الأساس للتصميم المناسب.
توصيات
- تأكد من أن وظيفة السلامة لا تعتمد أبدًا على الاتصال بالإنترنت وأن المصعد يمكن أن يعمل بأمان في وضع الجزيرة أو على الأقل الإخلاء.
- قم بتقسيم حزمة البرامج لتحقيق السلامة الوظيفية والأمن السيبراني قدر الإمكان بحيث يمكن إجراء التحديثات الأمنية في الوقت المناسب.
- كما هو الحال مع السلامة، تأكد من أنه يمكنك شرح أنظمة الأمان الخاصة بك دون فقدان الأمان الخاص بك. لأسباب أمنية، قم بتوصيل هذه المعلومات إلى الهيئات الموثوقة فقط.
- قسّم مسؤولية السلامة الوظيفية والأمن السيبراني إلى مجموعتين وتأكد من وجود تواصل وتفاهم جيد بينهما.
- أدرك أنه بمجرد طرح نظامك المتصل في السوق، فلن تنتهي أبدًا من الأمن السيبراني. انظر إلى الشهادة باعتبارها نقطة البداية لرحلة الأمن السيبراني الخاصة بك.
إن الصراعات بين الأمن السيبراني والسلامة الوظيفية أمر لا مفر منه في العالم الذي نعيش فيه متزايد الترابط والتعقيد التكنولوجي. ومع ذلك، لا ينبغي النظر إلى هذه الصراعات على أنها تحديات لا يمكن التغلب عليها. وبدلا من ذلك، ينبغي أن ينظر إليها على أنها فرص لتطوير نهج أكثر شمولا وتكاملا لتصميم النظام وإدارته. إن التعاون بين مهندسي السلامة وخبراء الأمن السيبراني، والالتزام بمعايير السلامة والأمن المعمول بها والعقلية الاستباقية تجاه معالجة هذه الصراعات سيكون أمرًا أساسيًا لإنشاء أنظمة قوية وآمنة. ولن يتسنى لنا ضمان استمرار التكنولوجيا في دفع التقدم مع الحفاظ على رفاهية الأفراد والمجتمع ككل إلا من خلال اتباع نهج متوازن ومنسق.
الرقم المرجعي
[1] ميد، نانسي ر.؛ هوغ، اريك. ستيني ، ثيودور ر. (31 أكتوبر 2005). منهجية هندسة متطلبات الجودة الأمنية (SQUARE) (تقرير). جامعة كارنيجي ميلون. دوى:10.1184/R1/6583673.v1.