عرض باحثون من فريق الاستجابة للطوارئ الرقمية في نظم الرقابة الصناعية لدى كاسبرسكي توقعاتهم للتطوّرات في مشهد التهديدات الرقمية والمخاطر التي تواجه نظم الرقابة الصناعية في السنوات القادمة، والتي يجب على المؤسسات الاستعداد لها في العام 2023. وتشمل هذه التوقعات زيادة المساحات المعرضة للهجوم بسبب زيادة الرقمنة، ونشاط الموظفين الداخليين المستعدين للتعاون مع مجرمي الإنترنت، وهجمات الفدية على البنية التحتية الحيوية، بالإضافة إلى التغيرات التقنية والاقتصادية والسياسية التي تؤثّر في القدرة على اكتشاف التهديدات وفي ظهور الثغرات المحتملة التي يستغلها المهاجمون.

وتشكّل هذه التوقعات آراء فريق الاستجابة للطوارئ الرقمية في نظم الرقابة الصناعية لدى كاسبرسكي، استناداً إلى خبرتهم الجماعية في دراسة الثغرات والهجمات والاستجابة للحوادث، بالإضافة إلى رؤية الخبراء الشخصية لنواقل الهجمات الرئيسة التي تُحدث التغيير في مشهد التهديدات.

 

المخاطر والتغيّرات

يتوقع خبراء كاسبرسكي حدوث تحول في نشاط التهديدات المتقدمة المستمرة (APT) ضدّ المؤسسات الصناعية وأنظمة التشغيل في القطاعات والمواقع الجديدة. ومن المرجّح أن تشهد قطاعات الاقتصاد الحيوية كالزراعة والخدمات اللوجستية والنقل والطاقة التقليدية والطاقة البديلة ومنتجي التقنيات الفائقة والصناعات الدوائية والمعدات الطبية، مزيداً من الهجمات في العام المقبل. كذلك، ستبقى الأهداف التقليدية كالمجمعات الصناعية العسكرية والجهات الحكومية نصب أعين الجهات الإجرامية والتخريبية.

كذلك يُتوقّع أن تزداد الأسطح أو المساحات المعرّضة للهجوم، نتيجة لتنامي الرقمنة والتنافس في رفع كفاءة أجهزة إنترنت الأشياء الصناعية والأجهزة الذكية، والتي تشمل أنظمة الصيانة التنبؤية وما يُعرف بتقنيات «التوأمة الرقمية». ويأتي هذا التوجّه مدعوماً بإحصائيات حول الهجمات على أنظمة إدارة الصيانة المحوسبة في النصف الأول من العام 2022. وقد تعرّض 43.5 % من هذه الأنظمة في الشرق الأوسط لهجمات في النصف الأول من العام 2022.

وترتبط أيضاً أخطار التوسع في المساحات المعرضة للهجوم بارتفاع أسعار شركات نقل الطاقة، والارتفاع في أسعار الأجهزة، ما سيجبر العديد من المؤسسات على التخلّي عن خطط توظيف أجهزة البنية التحتية في مقارّ العمل والتوجّه بدل هذا إلى الخدمات السحابية من الموردين، ما قد يُؤثر في موازنات أمن المعلومات.

وقد تأتي التهديدات من وسائل النقل ذاتية القيادة والتجمّعات التي يمكن أن تصبح أهدافاً أو أدوات للهجمات، إضافة إلى أخطار النشاط الإجرامي المتزايد الهادف للحصول على بيانات اعتماد دخول المستخدمين على حساباتهم عن طريق موظفين ذوي أيديولوجيات معينة للتعاون طوعاً وذويّ الدوافع السياسية مع مجرمي الإنترنت ضدّ مؤسساتهم، وموظفين آخرين قد يكونون أعضاء في عصابات إجرامية، أو قد يخضعون لإرادة بعض المبتزّين. وقد يكون بعض هؤلاء الموظفين نشطين في مرافق الإنتاج، أو مطورين لتقنيات أو خدمات تستخدمها المؤسسة.

وستكون صورة التغيّرات التي تطرأ على علاقات الشراكة الموثوق بها نتيجة الأحداث السياسية، والتي تؤثر في حالة الأمن الرقمي لنظم الرقابة الصناعية حول العالم أوضح في عام 2023. بجانب نمو جهود القرصنة الناشطة في الأجندات السياسية الداخلية والخارجية، والتي قد تصبح أكثر فاعلية، فقد تشهد القطاعات المزيد من هجمات الفدية على البنية التحتية الحيوية، نظراً لحقيقة أنه سيصبح من الصعب مقاضاة مثل هذه الهجمات.

وقد يؤدي تراجع جهود التعاون الدولي في مجال تطبيق القانون إلى زيادة الهجمات الرقمية في البلدان التي يمكن اعتبارها خصماً أو معادية. وفي الوقت نفسه، قد تؤدي الحلول البديلة الجديدة المطورة محلياً إلى أخطار جديدة تتمثل في برمجيات مشتملة على أخطاء في إعدادات الأمن وثغرات تسهّل الهجمات الصفرية، ما يجعلها في متناول مجرمي الإنترنت والناشطين في مجال القرصنة.

وقد تواجه المؤسسات أخطاراً جديدة، مثل انخفاض مستوى القدرة على اكتشاف التهديدات بسبب تعطّل قنوات الاتصال بين مطوري أمن المعلومات والباحثين الموجودين في بلدان النزاعات. كما قد تواجه أيضاً انخفاضاً في جودة معلومات التهديدات المستقصاة، ما يؤدي إلى الإسناد غير الدقيق للهجمات إلى الجهات الفعلية القائمة وراءها، نظراً لعدم كفاية المعلومات ومحاولات الحكومات فرض الرقابة على المعلومات المتعلقة بالحوادث والتهديدات والثغرات. كما أن الدور المتزايد للحكومات في العمليات التشغيلية للمؤسسات الصناعية، بما في ذلك الربط بالبيئات السحابية للخدمات الحكومية، والتي قد يكون مستوى حمايتها أقلّ من نظيره في الشركات الخاصة الرائدة في السوق، وقد يؤدي أيضاً إلى أخطار إضافية في أمن المعلومات. وبالتالي، يبرز خطر متزايد من تسرّب البيانات السرية بسبب العدد الملحوظ من الموظفين غير المؤهلين ولا المدربين العاملين في المؤسسات الحكومية، إضافة إلى الثقافة والممارسات الداخلية المتعلقة بالإفصاح المسؤول، والتي ما زالت قيد التطوير.

 

أساليب وتكتيكات

وقال إفغني غونتشاروف رئيس فريق الاستجابة للطوارئ الرقمية في نظم الرقابة الصناعية لدى كاسبرسكي، إن العام 2022 شهد قدراً كبيراً من حوادث الأمن الرقمي، ما تسبّب في العديد من المشكلات للمؤسسات التي تمتلك نظم الرقابة الصناعية وتشغّلها، لكنه أشار إلى عدم حدوث تغيّرات مفاجئة أو كارثية في المشهد العام للتهديدات، أو أية تغيرات يصعب التعامل معها، بالرغم من وقوع حوادث ترددت أصداؤها في وسائل الإعلام. وأضاف: «علينا أن نُقرّ بأننا دخلنا حقبة يتم فيها تحديد أهم التغييرات في مشهد التهديد في الغالب من خلال التطورات السياسية والاقتصادية، ولا بد أن نتذكر بأن مجرمي الإنترنت عالميون بطبيعتهم، ويولون تلك التطورات اهتماماً كبيراً في سعيهم وراء الأرباح السهلة وضمان سلامتهم الشخصية».

 

وتُعدّ هذه التنبؤات جزءاً من تنبؤات كاسبرسكي القطاعية للتهديدات في العام 2023، والواردة في نشرة كاسبرسكي الأمنية Kaspersky Security Bulletin، السلسلة السنوية من التنبؤات والتقارير التحليلية حول التحوّلات الرئيسة في عالم الأمن الرقمي. ويمكن الاطلاع على جميع المنشورات في هذه النشرة، وغيرها من المنشورات ذات الصلة.

وأدرج باحثو كاسبرسكي أيضاً أبرز الأساليب والتقنيات المتوقع انتشارها في الهجمات في العام 2023:

• صفحات ونصوص تصيد مُضمَّنة في مواقع رسمية.

• استخدام التوزيعات المعطَّلة مع تروجانات موضوعة داخل تصحيحات ومولّدات مفاتيح للبرمجيات الشائعة الاستخدام والمتخصصة.

• رسائل التصيد عبر البريد الإلكتروني التي تتناول الأحداث والموضوعات الساخنة.

• المستندات المسروقة في هجمات سابقة على مؤسسات شريكة أو ذات صلة، والتي تُستخدم كطُعم في رسائل البريد الإلكتروني المخادعة.

• انتشار رسائل البريد الإلكتروني المخادعة الواردة من حسابات البريد الإلكتروني المخترقة للموظفين والشركاء، والتي تتنكر في هيئة مراسلات عمل رسمية.

• الثغرات الأمنية التي لديها تصحيحات برمجية، سيتم إغلاقها بشكل أبطأ لزيادة صعوبة الوصول إلى التحديثات الأمنية في بعض الأسواق.

• استغلال أخطاء الإعدادات الافتراضية الأساسية (مثل كلمات المرور الأساسية من المصنع) والثغرات الصفرية في المنتجات من البائعين الجدد، بمن فيهم المحليون.

•الهجمات على الخدمات السحابية.

• استخدام أخطاء الإعدادات الموجودة في الحلول الأمنية، كتلك التي تسمح بتعطيل أحد حلول مكافحة الفيروسات.

• استخدام خدمات سحابية شائعة، مثل CnC، حتى بعد التعرّف على هجوم، وقد تظل الضحية غير قادرة على منع الهجمات لأن العمليات التجارية المهمة تكون معتمدة على السحابة.

• استغلال الثغرات الأمنية في البرمجيات الأصلية، وقرصنة ملفات DLL واستغلال الأجهزة الشخصية المشتملة على ثغرات والمستخدمة في أماكن العمل، لتجاوز أمن العقد الطرفية في الشبكة المؤسسية على سبيل المثال.

• انتشار البرمجيات الخبيثة عبر أدوات التخزين المحمولة للتغلب على التباعد المادي.