المصاعد والأمن السيبراني

By مادلين أولسون | مستقبل VT - 2030 | مارس 2 ، 2026

دقيقة واحدة للقراءة

نظرة عامة على الذكاء الاصطناعي

مع تطور المصاعد لتصبح منصات متصلة تعتمد على البرمجيات، بات الأمن السيبراني لا يقل أهمية عن السلامة الميكانيكية، إذ يمكن للثغرات الأمنية أن تعطل التشغيل، أو تُعرّض مهام الطوارئ للخطر، أو تُتيح الوصول إلى أنظمة المبنى الأخرى. تبدأ معظم الاختراقات بعمليات التصيد الاحتيالي، لذا يُعد تدريب الموظفين وإجراءات التعامل مع الحوادث أمرًا بالغ الأهمية إلى جانب التدابير التقنية. ومن أهم وسائل الدفاع: اختبار الاختراق الدوري، وتقسيم الشبكة، والمصادقة، ومبدأ أقل الامتيازات، وفحوصات سلامة البيانات، والتشفير، والتسجيل، والحماية من هجمات الحرمان من الخدمة الموزعة (DDoS) واستنزاف الموارد. يُساعد تبني مبادئ معيار IEC 62443-4-2 على ضمان تحديد الهوية، والتحكم في الاستخدام، وسلامة النظام، وسرية البيانات، وتقييد تدفق البيانات، والاستجابة السريعة للأحداث، والتوافر. ومع تزايد الضغوط التنظيمية، بما في ذلك أطر أمن الشبكات وقانون المرونة السيبرانية، يتعين على المصنّعين والمشغلين دمج الأمن السيبراني في التصميم والصيانة والإبلاغ لحماية الأفراد واستمرارية الأعمال.

ما الذي يمكن أن يحدث وكيفية حماية شركتك

بقلم مادلين أولاسون، مراسلة EW في المملكة المتحدة

مع استمرار تطوير المصاعد من أنظمة كهروميكانيكية معزولة إلى منصات متصلة تعتمد على البرمجيات، أصبحت الأمن السيبراني لا يقل أهمية عن السلامة. فالمراقبة عن بُعد، وأدوات الخدمة الرقمية، ووحدات التحكم المعتمدة على إنترنت الأشياء، وأنظمة الوجهات المتصلة بالسحابة، كلها تفتح آفاقًا جديدة، ولكنها في الوقت نفسه تُثير مخاطر جديدة.

قد يتسبب مخترق في خللٍ في عمل المصعد، كإبقاء الأبواب مفتوحة أو تعطيل التشغيل الطبيعي. ويؤثر تعطيل المصعد تأثيرًا بالغًا على حركة الأشخاص وسلامة المبنى. في المباني التي يؤدي فيها المصعد دورًا أمنيًا محددًا، كمصعد خدمات الإطفاء أو مصعد الإخلاء، قد يؤثر أي عطل فيه تأثيرًا كبيرًا على إجراءات الطوارئ. كما يُعد اختراق نظام المصعد مدخلًا مثاليًا لأجزاء أخرى من المبنى. فمع زيادة الترابط بين الأنظمة، قد يصبح المصعد نقطة دخول إلى أنظمة فرعية أخرى، كأنظمة التكييف والتهوية وأنظمة مكافحة الحرائق.

كيف يحدث الهجوم؟

يمكن أن تستحضر كلمة "هجوم إلكتروني" صوراً مختلفة. في تسع حالات من أصل عشر[1]يُعدّ الهجوم الإلكتروني نتيجةً لمحاولة تصيّد ناجحة. بمعنى آخر، ينقر شخص ما على رابط أو يفتح مرفقًا في بريد إلكتروني، مما يمنح المهاجمين دون قصد إمكانية الوصول إلى النظام. في السابق، كانت هذه الرسائل الإلكترونية مليئة بالأخطاء الإملائية ومُصممة لتكون مزيفة بشكل واضح. أي شخص لا يُدرك هذه الأخطاء كان أكثر عرضةً للنقر على الرابط والوقوع ضحيةً للاحتيال. مع الذكاء الاصطناعي، أصبحت الرسائل الإلكترونية أكثر تطورًا، مما يجعل تمييزها أكثر صعوبة، ويستهدف عددًا أكبر من الأهداف ذات القيمة الأعلى. يستطيع المخترقون إرسال ملايين الرسائل الإلكترونية بتكلفة زهيدة، ويكفي نقرة أو نقرتان فقط لتحقيق أهدافهم الإجرامية. وقد ظهرت مؤخرًا حالات استنساخ أصوات أشخاص باستخدام الذكاء الاصطناعي، مما يزيد من صعوبة التمييز بين الطلبات الحقيقية والمزيفة.

عادةً ما تكون عمليات التصيد الاحتيالي بمثابة بوابة لتمكين الهجمات. ووفقًا لشركة Hiscox للتأمين، فإن أكثر أنواع الهجمات شيوعًا التي تستهدف الشركات الصغيرة والمتوسطة في المملكة المتحدة هي

يُعدّ الاحتيال بتحويل المدفوعات، حيث يتم تغيير تعليمات الدفع، أحد أنواع الهجمات الشائعة. ومن أنواع الهجمات الأخرى التجسس على الملكية الفكرية، أي التجسس والحصول على البيانات السرية. كما يُعدّ الابتزاز الإلكتروني، حيث يُهدد المهاجم بالكشف عن السجلات المالية والبيانات التعاقدية والملكية الفكرية ما لم يتم دفع مبلغ مالي. أو قد تقوم مجموعة BitLocker بقفل جميع ملفاتك وتطلب فدية لاستعادة الوصول إلى أنظمتك. ومن الهجمات الأخرى شنّ حملة حجب الخدمة الموزعة (DDoS) أو نشر برامج خبيثة لتعدين العملات المشفرة. تُستخدم هجمات DDoS لإبطاء النظام عن طريق إغراقه بكمية كبيرة من البيانات. ويستغل مُعدِّن العملات المشفرة قوة معالجة الجهاز، ويسرق الطاقة، لتعدين العملات المشفرة. وللأسف، يمكن أن تحدث مجموعة واسعة من الهجمات.

قد ينشأ أحد الآثار المحتملة عندما يمنع ازدحام الشبكة أو تراكم البرامج الضارة المصعد من إرسال رسائل الحالة الروتينية إلى خوادم المراقبة. قد يؤدي غياب هذه الرسائل إلى إصدار خادم المراقبة طلبًا تشغيليًا. يمكن لهذا الطلب توجيه المصعد للعودة إلى الطابق الافتراضي أو تعليق العمليات العادية مؤقتًا. من الضروري التأكد من عدم اعتماد أي وظائف حيوية على الاتصال الخارجي.

وبالمثل، إذا أصبحت شبكة المبنى مشبعة بحركة مرور خبيثة أو استهلاك غير طبيعي للموارد، فقد لا تتمكن أنظمة الإشراف الرئيسية من التواصل مع المصعد، مما يتسبب في تأخيرات في الإرسال أو فقدان الخدمة أو عمليات الإغلاق.

كيف تحمي شركتك؟

يجب تحقيق التوازن بين الجوانب التقنية والإجرائية في مجال الأمن السيبراني. قد تمتلك أنظمة آمنة تقنيًا، ولكن إذا شارك أحدهم كلمة مروره، فإن أمنك ينهار تمامًا. قد تمتلك إجراءات جيدة، ولكن إذا كانت لديك أنظمة قديمة تفتقر إلى أحدث تقنيات الأمان، فإن مستوى أمنك العام يكون منخفضًا للغاية. يُعد تدريب الموظفين على عدم النقر على الروابط، أو تثبيت البرامج، أو مشاركة البيانات، والتأكد من إلمامهم العام بالأمن السيبراني، خطوة أولى مهمة. من المهم تدريب الموظفين على تجنب المخاطر، ولكن من المهم أيضًا وضع إجراءات للتعامل مع حالات التعرض لهجوم. كيف نقلل من انتشار الهجمات، وكيف نعيد الأمور إلى نصابها؟ للأسف، لم يعد السؤال اليوم "هل" ستتعرض للاختراق، بل "متى". في عام 2024، تعرضت أكثر من 40% من الشركات في المملكة المتحدة لهجمات سيبرانية، أي ما يعادل أكثر من 600,000 ألف مؤسسة.[2]

كيف يمكنك التحقق من الجانب التقني؟ أحد الحلول هو إجراء اختبار اختراق، أو اختبار الاختراق اختصارًا. في هذا الاختبار، يحاول المخترقون ذوو النوايا الحسنة اختراق نظامك لاكتشاف أي ثغرات قبل أن تتاح الفرصة للمخترقين ذوي النوايا السيئة للقيام بذلك. يقول تيجمن موليما من معهد ليفت: "بحسب خبرتنا، يكشف اختبار الاختراق دائمًا تقريبًا عن فرص للتحسين، حتى في الأنظمة المصممة جيدًا".

يؤكد موليما أن اختبار الاختراق ليس مدعاةً للخوف، بل يجب اعتباره تجربة تعليمية قيّمة. فهو وسيلة ممتازة لتحسين حماية الشركة. وتتعدد طرق التعلم تبعًا لحجم النظام ونطاقه. وأفضلها هو وجود عدة مختبرين على مدار أيام متتالية لإجراء الاختبارات، مما يتيح لهم فرصة المناقشة والعمل بروح الفريق. عادةً ما تظهر أولى نقاط التحسين خلال الساعة الأولى، ولكن بإجراء الاختبار لعدة أيام، يستطيع المختبرون تكوين نظرة شاملة على أي مشكلات في الأجهزة وشبكة الإيثرنت. ويُعدّ الجمع بين الخبرة التقنية ومعرفة اختبار الاختراق ميزةً كبيرة، إذ يمكّن الفريق من تقييم نقاط الضعف وتوقع تأثيرها.

تُجري برامج الزحف مسحًا تلقائيًا للإنترنت باستمرار، حيث تسعى هذه البرامج إلى العثور على منافذ مفتوحة، أي قنوات اتصال تسمح للجهاز بالتفاعل مع العالم الخارجي. بمجرد أن يعثر برنامج الزحف على منفذ مفتوح، يتحقق المخترق ببساطة مما إذا كان ذا أهمية. غالبًا ما تكشف المنافذ المفتوحة معلومات حساسة مثل نوع الجهاز، واسم الشركة المصنعة، أو البرامج المستخدمة. وهذا بدوره يساعد المهاجمين على تحديد الأنظمة التي تعاني من ثغرات أمنية معروفة أو إعدادات أمنية ضعيفة.

يقول موليما أيضًا إن مبادئ الأمن السيبراني الأساسية متشابهة إلى حد كبير بغض النظر عن نوع الأصل - فقد يكون فرن ميكروويف أو مصعدًا. مع ذلك، في الأنظمة بالغة الأهمية للسلامة، كالمصاعد، يختلف تطبيق هذه المبادئ وتأثيرها اختلافًا كبيرًا، لأن الأعطال قد تؤثر بشكل مباشر على السلامة المادية. يمتلك المخترقون معرفة واسعة بالبيانات، لكنهم لا يدركون دائمًا تداعياتها الكاملة. خلال اختبار الاختراق، غالبًا ما تحتاج إلى وسيط بين المختبرين والشركة لضمان فهم تداعيات الاختراقات فهمًا كاملًا.

على الرغم من كونها مزعجة، إلا أن الهجمات الإلكترونية تُعدّ في نهاية المطاف نموذجًا تجاريًا. عادةً ما يطلب المخترق فديةً تعادل نسبةً معينةً من إيرادات الشركة أو مبلغًا ثابتًا، أيهما أعلى. بالنسبة لشركة في قطاع المصاعد، قد تصل هذه الفدية إلى 1.4% من الإيرادات السنوية أو ما يصل إلى 7 ملايين جنيه إسترليني. يرى المخترقون أن هذا المبلغ يُمكّن الشركات من دفعه دون التعرض للإفلاس. قد يبدو من المفارقات أن العقوبات المالية المفروضة على الشركات التي تُهمل ممارسات الأمن السيبراني تكون في مستوى مماثل. يهدف هذا ببساطة إلى ردع الشركات وضمان بذلها الجهود اللازمة في مجال الأمن السيبراني.

عندما يكون أمنك السيبراني جيدًا، غالبًا لا تدرك قيمته. مع ذلك، قد تكون تكلفة ضعف الأمن باهظة للغاية. فالضرر الذي يلحق بالسمعة قد يكون بنفس فداحة الخسائر المباشرة الناجمة عن هجوم سيبراني.

مع بداية العام الجديد، يُعدّ هذا الوقت مناسباً لمراجعة أمنك السيبراني. قد يستغرق الأمر عاماً كاملاً للوصول إلى مستوى عالٍ من الكفاءة في مراجعة الأنظمة، وتعلّم وتطبيق ما يلزم، وتدريب الموظفين، وغير ذلك.

الأمن السيبراني للمصاعد: فهم معيار IEC 62443-4-2 

توصي شركة موليما بالالتزام بمعيار IEC 62443-4-2، وهو معيار أساسي للمكونات الصناعية الآمنة. إليكم ما تعنيه متطلباته السبعة في سياق صناعة المصاعد.

1. معرفة هوية الأفراد: التحكم في تحديد الهوية والمصادقة

يبدأ النظام الآمن بتحديد الهوية بوضوح. يتفاعل العديد من المستخدمين مع وحدة تحكم المصعد وأي أنظمة فرعية ذات صلة. ينص معيار IEC 62443-4-2 على ضرورة إثبات كل مستخدم وجهاز وعملية برمجية لهويته قبل منحه حق الوصول. يجب أن تُجري أدوات الخدمة مصادقة آمنة بدلاً من استخدام كلمات المرور الافتراضية. كما يجب على وحدات تحكم المصاعد التحقق من هوية اتصالات التشخيص عن بُعد. يساعد هذا في منع الأفراد غير المصرح لهم، أو الأجهزة الخبيثة، من انتحال صفة موظفي الصيانة أو مكونات النظام.

2. الإذن بدقة: التحكم في الاستخدام

بمجرد معرفة من أو ما الذي يصل إلى النظام، يبرز السؤال التالي: ما هي الصلاحيات الممنوحة له؟ استخدم هنا خطوات تحكم محددة، تُحدد ما يُسمح لكل هوية فعله، وتُطبق مبدأ أقل الصلاحيات. على سبيل المثال: لا يُسمح بإجراء تغييرات التكوين إلا للفنيين المعتمدين، ويمكن لأنظمة المراقبة عن بُعد قراءة البيانات فقط دون تعديل المعلمات. هذا يُقلل من مخاطر الحوادث والهجمات، ويضمن أنه حتى في حال تمكن متسلل من الدخول، يبقى نطاق وصوله محدودًا.

3. الحفاظ على نظافة الكود وحمايته من البرامج الضارة: سلامة النظام

في حال تعديل برنامج وحدة تحكم المصعد، قد تكون العواقب وخيمة، بدءًا من الأعطال غير المتوقعة وصولًا إلى السلوكيات الحرجة للسلامة. تضمن متطلبات سلامة النظام بقاء البرامج الثابتة وملفات التكوين كما هي مصممة تمامًا. على سبيل المثال، يجب توقيع البرامج الثابتة على وحدات التحكم والمحركات تشفيرًا، ويجب اكتشاف أي تعديلات غير مصرح بها على التعليمات البرمجية أو المعلمات، ولا يمكن تثبيت التحديثات إلا من مصدر موثوق. بالنسبة لفرق الصيانة الميدانية، يعني هذا الثقة بأن النظام الذي يعملون عليه أصلي وغير معدل وآمن للتشغيل.

4. حماية ما يهم: سرية البيانات

تُنتج أنظمة المصاعد وتُرسل بشكل متزايد بياناتٍ مثل أنماط استخدام الطوابق، وتفاعلات التحكم في الوصول، وسجلات التشخيص، وإحصاءات تدفق الركاب، وغيرها. تضمن متطلبات سرية البيانات حماية المعلومات الحساسة، عادةً من خلال التشفير أثناء التخزين وأثناء النقل، مدعومًا بإدارة قوية للمفاتيح. لا تقتصر السرية على الخصوصية فحسب، بل تمنع أيضًا المهاجمين من جمع معلومات استخباراتية حول أنماط نشاط المبنى.

5. حركة المرور الصحيحة فقط: تدفق البيانات المقيد

من أكثر استراتيجيات الأمن السيبراني فعاليةً اتباع مبدأ أقل الامتيازات وتجنب جميع الاتصالات غير الضرورية. يُشجع تقييد تدفق البيانات على التجزئة، مما يُنشئ حواجز تحدّ من انتشار الاختراق. تُقلل جدران الحماية وقواعد الوصول والحد الأدنى من الاتصال من الثغرات التي يُمكن للمهاجمين استغلالها. إذا ظهرت ثغرة أمنية في منطقة ما، فإن التجزئة تمنعها من التحول إلى كارثة شاملة للنظام.

وتتمثل التوصيات في فصل المكونات الحساسة للسلامة (مثل وحدة التحكم، والمحرك، وسلسلة الأمان) عن أنظمة المعلومات والترفيه أو أنظمة الإعلان، والتأكد من عدم قدرة شبكة الواي فاي الخاصة بالمقصورة أو اللافتات الرقمية على الوصول إلى شبكة التحكم في المصعد، واستخدام جدران الحماية بين بيئات تكنولوجيا المعلومات في المبنى وبيئات تكنولوجيا التشغيل للمصعد.

6. لا تغفل الإشارات: الاستجابة في الوقت المناسب للأحداث

تزخر المصاعد الحديثة بأجهزة الاستشعار وقدرات التشخيص. ويضيف الأمن السيبراني فئة أخرى من الإشارات: محاولات الوصول المشبوهة، وشذوذات التكوين، وسلوك البرامج الثابتة غير المتوقع، وغير ذلك.

يتطلب معيار IEC 62443-4-2 من المكونات تسجيل الأحداث المهمة، وإصدار تنبيهات عند حدوث أي شيء غير معتاد، ودعم أنظمة المراقبة في اكتشاف التهديدات الإلكترونية. بالنسبة لمؤسسات الخدمات، يُحسّن هذا المعيار الصيانة الاستباقية ويساعد في تحديد المشكلات قبل أن تؤدي إلى أعطال أو ظروف غير آمنة.

7. التشغيل الدائم: توفر الموارد

تضمن متطلبات توافر الموارد استمرار تشغيل المكونات، حتى في ظل الضغط أو الهجمات. وتساعد الحماية من محاولات هجمات الحرمان من الخدمة الموزعة، واستنزاف الموارد، وأعطال الأجهزة في الحفاظ على الموثوقية.

قد يشمل ذلك الحماية من فيضانات الشبكة أو التحميل الزائد على وحدة التحكم، ومسارات اتصال احتياطية للأنظمة الحيوية، والتدهور التدريجي في حال عدم استقرار أحد المكونات. بالنسبة للمصنعين ومقدمي خدمات الصيانة، يُترجم هذا إلى تحسين وقت التشغيل وضمان استمرارية التشغيل بشكل أكثر أمانًا.

لا يحل الأمن السيبراني محل السلامة الميكانيكية، بل يعززها. ومع ازدياد ترابط المصاعد وتكاملها مع الحوسبة السحابية واعتمادها على البرمجيات، تتطور المخاطر. يوفر معيار IEC 62443-4-2 مخططًا لبناء وصيانة مكونات آمنة تحمي الركاب والمشغلين ومالكي المباني على حد سواء.

قوانين وتوجيهات الأمن السيبراني

توجد في المملكة المتحدة عدة قوانين للأمن السيبراني، منها على سبيل المثال لا الحصر، قانون إساءة استخدام الحاسوب لعام ١٩٩٠ الذي يُجرّم الوصول غير المصرح به إلى أنظمة الحاسوب والبيانات وإساءة استخدام وظائفها. وقد عُدّل هذا القانون لاحقًا لتوفير حماية للمخترقين الأخلاقيين وباحثي الأمن. أما قانون حماية البيانات لعام ٢٠١٨ فهو النسخة البريطانية من قوانين الاتحاد الأوروبي (اللائحة العامة لحماية البيانات)، وهو مشابه لها في نطاقها.

قانون NIS 2018 هو توجيه لوائح الاتحاد الأوروبي بشأن الشبكات وأنظمة المعلومات (NIS) مُترجم إلى القانون البريطاني. ينطبق هذا القانون فقط على الخدمات الأساسية، ويجري توسيع نطاقه في مشروع قانون الأمن السيبراني والمرونة (الشبكات وأنظمة المعلومات) الجديد (مشروع قانون CS&R)، الذي سيُعرض على البرلمان البريطاني في نوفمبر 2025. كما سيعزز هذا القانون التزامات المرونة ومتطلبات الإبلاغ.

من بين أفضل الممارسات الأخرى إطار تقييم الأمن السيبراني وبرنامج أساسيات الأمن السيبراني+. يُشترط عادةً الحصول على الأخير للتعامل مع أي جهة حكومية في المملكة المتحدة، ولكن المزيد من الشركات الخاصة تشترطه أيضاً لرغبتها في تأمين سلاسل التوريد. إضافةً إلى ذلك، توجد معايير وأطر عالمية مثل ISO 27001، والتي غالباً ما تشترطها الشركات أيضاً.

من المقرر أن يصبح توجيه NIS-2 وقانون المرونة السيبرانية (CRA)، وهما من أبرز إجراءات الاتحاد الأوروبي لتعزيز الأمن السيبراني، إلزاميّين. وقد حظي التوجيه بالفعل بقبول على المستوى الأوروبي، ولكنه لم يُطبّق بعد في جميع الدول الأعضاء. ولا يكمن هذا "الخلل" في قانون المرونة السيبرانية، الذي سيدخل حيز التنفيذ في جميع الدول الأعضاء بنهاية ديسمبر 2027.

ينص توجيه NIS-2 على ضرورة أن تكون الشركات آمنة إلكترونيًا، وفي حال حدوث أي خلل، يجب أن تكون قادرة على إصدار تقرير موجز عن الحادث فورًا، وتقرير مفصل خلال أسبوعين. والهدف من ذلك هو التعلم من الحادث وفهم أسبابه. ولأن هذا التشريع دخل حيز التنفيذ بعد خروج بريطانيا من الاتحاد الأوروبي (بريكست)، فهو غير سارٍ في السوق البريطانية، ولكنه بالطبع يجب أن يُؤخذ بعين الاعتبار من قبل الشركات البريطانية التي تُصدّر منتجاتها إلى الدول الأوروبية.

يُضيف قانون المرونة السيبرانية المزيد من القواعد، مثل ضرورة تصميم المنتجات وتطويرها وإنتاجها مع مراعاة الأمن السيبراني منذ البداية. ويُلزم القانون المصنّعين بتطبيق آلية لتحديد الثغرات الأمنية وتقييمها ومعالجتها طوال فترة الدعم.

مراجع حسابات

[1] إحصائيات حول هجمات التصيد الاحتيالي التي تستهدف الشركات | هانتريس

[2] ملخص مشروع القانون - GOV.UK

مشاركة