loader image

بررسی حکمرانی امنیت سایبری صنعتی شبکه برق (مطالعه موردی: امریکا و هند)

خلاصه مدیریتی

انرژی الکتریکی پیش­نیاز مهمی در پیشرفت حوزه­های اقتصادی، اجتماعی و رفاهی در کلیه جوامع و کشورها محسوب می­شود. به­ویژه در کشورهای درحال‌توسعه یا کمتر توسعه­یافته، در دسترس بودن برق با قابلیت اطمینان بالا همراه با قیمت‌های مناسب، نقش مهمی در توسعه اقتصادی و اجتماعی دارد. در صورت اختلال در کارکرد شبکه برق به دلیل وابستگی دیگر زیرساخت­های حیاتی به آن (ازجمله: شبکه آب‌رسانی، شبکه گاز، بانکداری، ترافیک و حمل‌ونقل، زیرساخت ارتباطات)، پیامدهای سیاسی، اجتماعی و اقتصادی را در پی خواهد داشت.

از مهم­ترین مسائل و چالش­های مربوط به «مقاوم­سازی شبکه برق در مقابل حملات سایبری»، چالش حکمرانی و نامتوازن بودن چینش نهادی است. تعدد و موازی کاری‌های ­سازمان­های مقررات گذار این حوزه و برخی دیگر از بازیگران در این بخش، شرکت­های برق را دچار سردرگمی کرده است. همچنین در ساختار سازمانیِ متولیان این حوزه، مسئولیت اختصاصی برای این موضوع به‌صورت دقیق مشخص نشده است. در خصوص شبکه IT اخیرا با مصوبه سازمان استخدامی و اداری مدیران IT به مدیران IT و امنیت سایبری تغییر یافته­اند (بدون تغییر چارت زیرمجموعه). در خصوص شبکه صنعتی (OT) در ساختار سازمانی، تعیین مسئولیت و وظایف همچنان به صورت دقیق تعریف نشده است. لذا بررسی ساختار حمکرانی سایر کشورهای پیشرو در این زمینه می­تواند راهگشا باشد. از این رو ابتدا تجربه دو کشور ایالات متحده امریکا و کشور هند بررسی شده و سپس در تطبیق با ساختار نظام حمکرانی امنیت سایبری صنعتی در داخل کشور پیشنهادهایی برای تکمیل ساختار سازمانی مسئولیت امنیت سایبری شبکه­ی اداری (IT) و صنعتی (OT) در صنعت برق ارائه شده است.

توجه جدی کشور آمریکا به امنیت زیرساخت­های حیاتی[۱] آن کشور از سال ۲۰۰۱ و در پی حمله یازده سپتامبر جلب شد. قانون Patriot Act  در سال ۲۰۰۱  در واکنش به حمله یازده سپتامبر و برای محافظت زیرساخت‌های این کشور در مقابل حملات تروریستی وضع گردید و به دنبال آن وزارت امنیت داخلی (DHS[۲])  در سال ۲۰۰۲ با هدف حفاظت از زیرساخت­های حیاتی داخلی[۳] تاسیس شد. در دهه­ی ابتدایی فعالیت این وزارت­خانه و همچنین پیدایش حملات سایبری به زیر ساخت­های حیاتی در امریکا مسئولیت حفاظت از زیرساخت­های اساسی بر عهده وزارت امنیت داخلی گذاشته شد. پس از تجربه چندساله و عدم تحقق اهداف و برنامه­ریزی­ها، در حوزه­هایی از جمله حوزه انرژی وزارت خانه مربوطه به عنوان دستیار وزارت امنیت داخلی به امن­سازی حوزه­های زیرمجموعه خود پرداختند. وزارت انرژی برای انجام وظیفه محوله خود دفتری را تحت عنوان “دفتر امنیت سایبری، امنیت انرژی و واکنش سریع[۴]” ایجاد کرد. علاوه بر تغییرات وزارت انرژی؛ دفتر امنیت سایبری در وزارت امنیت داخلی در سال ۲۰۱۸ به ” سازمان امنیت سایبری و امنیت زیرساخت[۵] ” ارتقا یافت که در ذیل آن اداره امنیت زیرساخت از اداره امنیت سایبری تفکیک شده است. در حال حاضر، سطوح نظام حکمرانی امنیت سایبری زیرساخت­های اساسی در کشور امریکا را به بخش­های زیر می توان تقسیم نمود:

  • سیاست گذاری و برنامه ریزی
  • مقررات گذاری و تنظیم­گری و استاندارد
  • نظام اشتراک گذاری تهدیدهای سایبری
  • شرکت های عملیاتی

در کشور هند برخلاف کشور امریکا مساله امنیت سایبری زیرساخت­های حیاتی سبقه­ی طولانی ندارد. مرتبط‌ترین فعالیت­ها در این خصوص به قانون فناوری اطلاعات[۶] مصوب سال ۲۰۰۰ بر می­گردد و طبق آن از سال ۲۰۱۱ سازمان­ها موظف به اجرای استاندارد ایزو ۲۷۰۰۱ در شبکه­ی اداری سازمان خود می­شوند. در سال ۲۰۱۳ سیاست ملی امنیت سایبری[۷] توسط وزارت الکترونیک و فناوری ارتباطات منتشر می­شود. طبق بخش ۷۰ قانون فناوری اطلاعات مرکز ملی حفاظت از زیرساخت­های حیاتی[۸]  در ذیل سازمان ملی تحقیقات فنی (ذیل نخست وزیر هند) و تیم امداد اضطراری هند[۹]  در وزارت الکترونیک و فناوری اطلاعات تشکیل می­شوند. در سال ۲۰۲۱ مقررات امنیت سایبری در شبکه برق توسط سازمان مرکزی برق هند[۱۰] به عنوان نهاد مقررات­گذار فنی بخش برق ابلاغ می­شود که به موجب آن سازمان‌ها موظف به ایجاد اداره امنیت سایبری می­شوند و این اداره نقطه تماس با سازمان­های مقررات­گذار حوزه امنیت سایبری اداری و صنعتی می­شود.

با توجه به بررسی تجربه نظام حکمرانی امنیت سایبری زیرساخت صنعتی برق در کشور امریکا و هند و همچنین وضعیت کنونی کشور در این خصوص جهت رفع نقایص ساختار موجود در کشور پیشنهادهای زیر قابل طرح است:

  • در خصوص اصلاح چارت سازمانی پیشنهاد می‌شود که مسئولیت­ها در حوزه IT و حوزه­ی  OT از یکدیگر مجزا گردند. حوزه شبکه اداری به دفاتر فناوری اطلاعات و حوزه صنعتی به دفاتر فنی مرتبط به هر بخش اختصاص یابد.
  • پیشنهاد می­شود نظام اشتراک­گذاری تهدیدهای امنیت سایبری صنعتی با الگو از کشور امریکا ایجاد شود، این اتفاق سطح آمادگی زیرساخت­ها در مقابل آسیب پذیری­های سایبری را بالا می­برد.
  • آموزش­های مرتبط با امنیت سایبری صنعتی با کمک دانشگاه­ها و موسسات آموزشی و همچنین مراکز معتبر بین المللی برای برگزاری دوره­های تخصصی این حوزه و تربیت نیروی متخصص یکی دیگر از نیازمندی­های کشور است.
  • زیرساخت­های آزمایشگاهی برای ارزیابی آسیب پذیری­های نرم افزاری و سخت افزاری تجهیزات صنعتی در کشور بایستی ایجاد گردد.
  • زیست بوم توسعه فناوری­های امنیت سایبری صنعتی با ایجاد محیط­های آزمون (Test Beds) برای کمک به تنظیم­گران این حوزه در زمینه مقررات­گذاری و استانداردگذاری و همچنین ارزیابی عملکرد فناوری­های مرتبط با این بخش که در محیط صنعتی واقعی بکاربرده خواهند شد، تکمیل گردد.
  • پیشنهاد می­شود موضوع توسعه فناوری­های امنیت سایبری صنعتی با توجه به اهمیت زیرساخت­های حیاتی صنعتی در اولویت توسعه فناوری­های کشور قرار گیرد.

[۱] There are 16 critical infrastructure sectors whose assets, systems, and networks, whether physical or virtual, are considered so vital to the United States that their incapacitation or destruction would have a debilitating effect on security, national economic security, national public health or safety, or any combination thereof.

[۲] Department of Homeland Security

[۳]  زیرساخت­های حیاتی در کشور امریکا طبق فرمان اجرایی رئیس جمهور (Presidential directive PDD-63) در سال ۱۹۹۸ تعیین شده اند. در سال ۲۰۰۳ پس از تشکیل وزارت امنیت داخلی لیست زیرساخت­های حیاتی تکمیل گردید.

[۴] Office of Cybersecurity and Energy security and emergency response

[۵] Cybersecurity and Infrastructure Security Agency

[۶] Information Technology Act

[۷] National Cybersecurity policy

[۸] National Critical Information Infrastructure Protection centre (NCIIPC)

[۹] Computer Emergency response Teams (CERT-In)

[۱۰] Central Electricity Authority

خلاصه:

خلاصه‌ای ثبت نشده است.

برچسب‌ها:

دسته‌ها:

دریافت فایل پیوست:

برای دسترسی به فایل پیوست وارد حساب کاربری خود شوید. 
برای دسترسی به گزارش حاضر و مطالعه آن با ما تماس بگیرید. 
تعداد صفحات: 24 صفحه
حجم فایل: 1 مگابایت
پیشنهاد برای مطالعه:

مطالب مرتبط:

نظرات کاربران:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

خلاصه:

خلاصه‌ای ثبت نشده است.

برچسب‌ها:

دسته‌ها:

دریافت فایل پیوست:

برای دسترسی به فایل پیوست وارد حساب کاربری خود شوید. 
برای دسترسی به گزارش حاضر و مطالعه آن با ما تماس بگیرید. 
تعداد صفحات: 24 صفحه
حجم فایل: 1 مگابایت
پیشنهاد برای مطالعه: