زهرا وجدانی: با گسترش تهدیدهای سایبری در حوزه زیرساختهای صنعتی و ضرورت ارتقای تابآوری سایبری در صنایع حیاتی کشور، توجه به امنیت شبکههای فناوری عملیاتی (OT) بیش از هر زمان دیگری اهمیت یافته است. صنایع نفت و گاز، پتروشیمی، فولاد، برق، مس و سایر بخشهای راهبردی کشور به عنوان شریانهای حیاتی اقتصاد در معرض آسیبپذیریهای نوظهور قرار دارند و ارزیابی دقیق این آسیبپذیریها یکی از اولویتهای اصلی حوزه امنیت سایبری محسوب میشود.
نخستین رقابت ملی تست نفوذ OT در چارچوب المپیک فناوری ۲۰۲۵ با هدف شناسایی نقاط ضعف امنیتی و ارتقای توان دفاعی در صنایع کلیدی کشور برگزار میشود؛ رقابتی که با مشارکت تیمهای متخصص داخلی و بر اساس سناریوهای واقعی امنیت صنعتی طراحی شده است و میتواند دستاوردهای مهمی برای کشور به همراه داشته باشد.
در همین راستا با محمدمهدی احمدیان، استاد دانشگاه صنعتی امیرکبیر و مسئول تیم داوری مسابقه تست نفوذ OT در رابطه با جزئیات برگزاری این رویداد به گفتوگو پرداختیم.
ارزیابی امنیت زیرساختهای صنعتی کشور
استاد دانشگاه صنعتی امیرکبیر و مسئول تیم داوری مسابقه تست نفوذ سامانههای صنعتی (OT) المپیک فناوری ۲۰۲۵ در گفتوگو با خبرنگار علمی برنا از برگزاری نخستین دوره این چالش تخصصی در ایران خبر داد.
محمدمهدی احمدیان با بیان اینکه این رقابت متفاوت از دیگر رویدادهای حوزه امنیت سایبری است اظهار کرد: در کنار چالشهای سختافزاری و حوزه IT این مسابقه بهطور ویژه بر زیرساختهای صنعتی و بخش OT متمرکز است؛ یعنی حوزههایی مانند صنایع پتروشیمی، پالایش نفت و گاز، فولاد، مس و سایر صنایع حیاتی کشور.
به گفته وی تیمهای شرکتکننده باید با رعایت تمامی ملاحظات امنیتی و پروتکلی مسابقه، ارزیابی امنیتی انجام داده و پرچمها (Flags) مبتنی بر آسیبپذیریهای تعریفشده در شبکههای IT و OT را کشف کنند.
شناسایی و رفع آسیبپذیریهای حیاتی صنعتی
این داور مسابقات خاطرنشان کرد: در صنایع کشور با چالشهای امنیتی جدی مواجه هستیم و این زیرساختها اکنون مورد تهدید قرار دارند. این نخستین بار است که چنین رویدادی در ایران برگزار میشود و از سال آینده با افزایش تعداد شرکتکنندگان میتوانیم به بهبود امنیت در بخش صنعتی کمک بیشتری کنیم.
۸ سناریوی تخصصی برای آزمون امنیت
مسئول تیم داوری درباره پروژههای ارائهشده توضیح داد: حداقل ۸ سناریوی تخصصی برای این رقابت تعریف شده که در روزهای ۶ و ۷ آبانماه اجرا میشود. اینکه تیمها چه تعداد Flag بتوانند کشف کنند، بستگی به توان فنی و سرعت عملکرد آنها دارد.
حضور ۷ تیم داخلی در رقابت
وی اعلام کرد: در این دوره ۷ تیم دو تا سه نفره حضور دارند. امسال مطابق با پروتکلهای امنیتی تمام تیمها از داخل کشور هستند.
احمدیان افزود: سناریوها با پوشش طیف متنوع صنایع طراحی شده تا قابلیت کاربرد در محیطهای واقعی را داشته باشد. تیمها ابتدا مشکل را شناسایی و سپس اقدام به رفع آسیبپذیری و کشف Flag میکنند.
داوری مبتنی بر سرعت و سطح سختی
وی درباره نحوه داوری نیز گفت: امتیازدهی بر اساس تعداد سناریوهای حلشده و زمان رسیدن به پاسخ است. برخی سؤالات لایههای مختلف با سطوح سختی متفاوت دارند و ممکن است یک سؤال ۶ مدل امتیازی داشته باشد. سرعت و دقت هر دو نقش تعیینکننده دارند.
ارزیابی نهایی تا یک هفته پس از مسابقه
این استاد دانشگاه توضیح داد: بخش اصلی داوری طی همین دو روز مشخص میشود؛ اما گزارشهای تخصصی تیمها باید ارائه شود که ارزیابی نهایی آنها ممکن است یک هفته تا ۱۰ روز به طول انجامد.
به گفته احمدیان: مسابقه از ساعت ۱۰ صبح ۶ آبان ۱۴۰۴ آغاز شده و بسته به عملکرد تیمها ممکن است کشف Flagها تا ساعات پایانی شب ادامه داشته باشد.
شرکتکنندگان جوان و متخصص
وی دامنه سنی متخصصان حاضر در این رقابت را حدود ۱۸ تا ۳۰ سال عنوان کرد و گفت این رویداد بستری برای کشف و حمایت از استعدادهای امنیت سایبری صنعتی در کشور است.
ضرورت تداوم ارزیابی امنیت صنعتی
ارزیابی امنیت در سامانههای فناوری عملیاتی (OT) بخشی بنیادین از مدیریت ریسک در صنایع زیرساختی است. هرگونه اختلال سایبری در این حوزه میتواند پیامدهای فیزیکی گسترده، توقف تولید و تهدید مستقیم ایمنی نیروهای انسانی و تجهیزات را به همراه داشته باشد. رویداد اخیر با تمرکز بر سناریوهای واقعی، فرصتی برای سنجش سطح آمادگی عملیاتی تیمهای متخصص و آزمایش رویههای فنی مقابله با نفوذ در شبکههای صنعتی فراهم کرد؛ شبکههایی که به دلیل ماهیت پیوستگی با تجهیزات فیزیکی، بسیار حساستر و پرمخاطرهتر از شبکههای صرفا IT هستند.
تحلیل نتایج چنین رقابتی میتواند به ارتقای استانداردهای امنیتی، تقویت رویههای پایش و شناسایی تهدید، و توسعه راهکارهای واکنش به حوادث در صنایع حیاتی کشور منجر شود. از سوی دیگر استمرار این ارزیابیها تنها راه شناسایی آسیبپذیریهای نهفته در لایههای مختلف کنترل صنعتی است؛ آسیبپذیریهایی که در صورت غفلت، ممکن است در آینده به نقطه شکست تبدیل شوند.
حال پرسش اساسی اینجاست: آیا صنعت و نهادهای مسئول، از ظرفیتها و نتایج این رقابتها برای کاهش واقعی مخاطرات سایبری در زیرساختهای کشور بهرهبرداری خواهند کرد؟
انتهای پیام/
|
مطالب پیشنهادی از سراسر وب |
