امنیت سایبری زیرساخت‌های انرژی، امروز دیگر یک دغدغه حاشیه‌ای نیست؛ بلکه مسئله‌ای استراتژیک و حیاتی که مستقیم بر اقتصاد و امنیت ملی کشورها اثر می‌گذارد. گزارش تازه شرکت Fortinet  با تحلیل دقیق داده‌های به‌دست‌آمده از ۳۰۰ شرکت بین‌المللی فعال در حوزه نفت‌وگاز و برق، تصویری شفاف و مبتنی بر واقعیت از وضعیت امنیت سایبری در زیرساخت‌های حیاتی جهان ترسیم می‌کند. تصویری که فاصله زیادی با نگاه ایده آل یا شعارگونه دارد. این گزارش نشان می‌دهد که حتی پیشرفته‌ترین سازمان‌ها نیز در برابر تهدیدهای سایبری مدرن آسیب‌پذیر هستند و شکاف‌های امنیتی قابل توجهی دارند. بررسی عمیق این داده‌ها، ما را به چند هشدار و پیام کلیدی می‌رساند که برای زیرساخت‌های انرژی ایران نه تنها هشداردهنده، بلکه به‌نوعی نقشه راه برای جلوگیری از فجایع سایبری است.

در ادامه این مقاله از سلام دیجی، با تحلیل موشکافانه آمار و روندهای ارائه‌شده در گزارش Fortinet، به نقاط ضعف پنهان و راهکارهای حیاتی برای ایران خواهیم پرداخت.

افزایش حملات: 55٪ رشد تهدید – چرا این آمار نگران‌کننده است؟

یکی از برجسته‌ترین یافته‌های گزارش Fortinet، افزایش ۵۵ درصدی حملات سایبری به بخش انرژی در سال گذشته است. این عدد تنها یک شاخص آماری نیست؛ بلکه نشان می‌دهد که زیرساخت‌های انرژی – از پالایشگاه‌ها و خطوط انتقال نفت‌وگاز تا شبکه‌های برق – به هدفی دائمی برای مهاجمان سایبری تبدیل شده‌اند.

تحلیل:

✔️ مهاجمان به‌دنبال آسیب به زیرساخت‌های حیاتی هستند، زیرا اختلال در این بخش می‌تواند همزمان خسارت اقتصادی و فشار روانی گسترده ایجاد کند.

✔️ افزایش حملات به بخش نفت‌وگاز (68٪) نسبت به بخش برق (41٪) نشان می‌دهد که حوزه‌های مرتبط با تولید و انتقال انرژی، به دلیل ارزش اقتصادی بالا و احتمال اخاذی موفق، جذاب‌ترین اهداف برای باج‌افزارها و گروه‌های APT هستند.

✔️ بسیاری از حملات امروزی ترکیبی از حملات IT و OT هستند. یعنی مهاجم ابتدا از شبکه‌های اداری وارد شده و سپس با استفاده از آسیب‌پذیری‌ها، به سیستم‌های صنعتی (ICS/SCADA) نفوذ می‌کند.

پیامد این حملات برای ایران:

✔️ یک حمله موفق به تأسیسات نفتی یا گازی می‌تواند زنجیره‌ای از خاموشی‌ها و بحران‌های اقتصادی را در کشور رقم بزند.

✔️ با توجه به زیرساخت‌های قدیمی در برخی نیروگاه‌ها و پالایشگاه‌ها، مهاجمان با صرف منابع اندک می‌توانند اثرات بزرگی ایجاد کنند.

سؤال کلیدی:

آیا زیرساخت‌های انرژی ایران امروز در برابر یک حمله باج‌افزاری گسترده یا حمله زنجیره تأمین آماده هستند؟ این سؤال باید در اتاق‌های مدیریت بحران و هیئت‌مدیره شرکت‌های انرژی پرسیده شود، پیش از آنکه دیر شود.

88٪  سازمان‌ها قربانی حادثه بوده‌اند – ریشه مشکل کجاست؟

یکی دیگر از یافته‌های مهم گزارش Fortinet این است که ۸۸ درصد از شرکت‌های فعال در حوزه انرژی در ۱۲ ماه گذشته دست‌کم یک حادثه امنیتی را تجربه کرده‌اند. این آمار نه تنها بیانگر شدت تهدیدات است، بلکه ضعف ساختاری در سیستم‌های دفاعی این سازمان‌ها را نیز آشکار می‌کند.

تحلیل:

✔️ تنوع تهدیدها: حوادث گزارش‌شده، از حملات فیشینگ و بدافزار گرفته تا نفوذ به سیستم‌های کنترل صنعتی (ICS)، نشان می‌دهد که مهاجمان از روش‌های چندلایه و ترکیبی استفاده می‌کنند.

✔️ کمبود آمادگی Incident Response (IR) : بخش قابل توجهی از سازمان‌ها هنوز فاقد برنامه واکنش به حادثه (IR Plan) هستند یا تیم‌های امنیتی آنها تمرین‌های شبیه‌سازی حمله را انجام نداده‌اند.

✔️ واکنش دیرهنگام:  بسیاری از حوادث به‌دلیل فقدان سیستم‌های مانیتورینگ هوشمند یا SOC تخصصی دیر شناسایی می‌شوند، که همین موضوع شدت خسارت را چند برابر می‌کند.

پیامد برای ایران:

✔️ اگر پیشرفته‌ترین سازمان‌های جهانی با سرمایه‌گذاری‌های عظیم دچار چنین آسیب‌پذیری‌هایی هستند، وضعیت شرکت‌های انرژی در ایران – که اغلب از تجهیزات قدیمی‌تر، بودجه محدودتر و عدم وجود SOC صنعتی پیشرفته رنج می‌برند – به مراتب پرخطرتر است.

✔️ در نبود برنامه واکنش سریع و تمرین‌های Red/Purple Team، احتمال فلج شدن کامل یک پالایشگاه یا شبکه برق در اثر یک حمله سایبری، بسیار بالاست.

شکاف بلوغ امنیتی بین بخش برق و نفت‌وگاز: چالش‌ها و راهکارها

گزارش Fortinet نشان می‌دهد که تنها حدود ۳۱ درصد از شرکت‌های انرژی جهان به سطح بلوغ امنیتی «رفتار پیش‌بینی‌پذیر» رسیده‌اند؛ یعنی قادرند با تحلیل داده‌های امنیتی، تهدیدات را قبل از وقوع شناسایی و خنثی کنند. این درصد برای بخش برق ۳۷٪ و برای نفت‌وگاز ۲۵٪ است.

تحلیل عمیق‌تر:
صنایع برق به دلایل متعددی از جمله فشارهای قانونی بیشتر، سرمایه‌گذاری مستمر در امنیت ICS و وجود چارچوب‌های استاندارد (مثل NERC CIP)، نسبت به نفت‌وگاز جلوتر هستند. اما بخش نفت‌وگاز با چالش‌های ساختاری و فنی متعددی روبروست:

✔️ زیرساخت‌های قدیمی و پراکنده: بسیاری از پالایشگاه‌ها و خطوط انتقال نفت از سیستم‌های صنعتی سال‌ها پیش ساخته‌شده استفاده می‌کنند که فاقد طراحی امنیتی اولیه هستند.

✔️ محیط عملیاتی پیچیده: شبکه‌های گسترده با تجهیزات متنوع و دستگاه‌های کنترل‌کننده متصل به اینترنت، سطح حمله را به‌شدت افزایش می‌دهد.

✔️ کمبود نیروی متخصص: در بسیاری از مناطق، نبود کارشناسان مجرب OT Security باعث شده سازمان‌ها نتوانند تهدیدات را به‌موقع شناسایی و پاسخ دهند.

به همین دلیل، بیشتر سازمان‌های نفت‌وگاز در وضعیت «واکنش‌محور» باقی مانده‌اند؛ یعنی تمرکز اصلی بر کشف و مقابله پس از وقوع حمله است، نه پیشگیری هوشمندانه.

پیامدها برای ایران:

✔️ سیستم‌های نفت‌وگاز ایران، مشابه بسیاری کشورهای درحال توسعه، با ترکیبی از تجهیزات قدیمی و نوین مواجه است که این ناهمگونی و پیچیدگی، آسیب‌پذیری‌ها را تشدید می‌کند.

✔️ برای عبور از این وضعیت، نیاز به راه‌اندازی مراکز SOC صنعتی با تخصص در حوزه OT، بکارگیری فناوری‌های تحلیل پیشرفته (مانند SIEM و UEBA) و تمرکز بر عملیات شناخت تهدیدات (Threat Hunting)  است.

✔️ همچنین، انجام منظم شبیه‌سازی حملات (Red Teaming / Purple Teaming) برای ارزیابی آمادگی دفاعی و بهبود فرآیندهای امنیتی، باید به یک الزام تبدیل شود.

نگرانی‌های کسب‌وکار – امنیت فقط فنی نیست

یکی از واقعیت‌های مهمی که گزارش Fortinet برجسته می‌کند این است که امنیت سایبری بخش انرژی دیگر صرفاً یک چالش فنی نیست، بلکه یک دغدغه استراتژیک کسب‌وکار است. آمارها نشان می‌دهند ۷۷ درصد از سازمان‌ها نگران افت درآمد و کاهش بهره‌وری عملیاتی در اثر حملات سایبری هستند. این نگرانی در بخش نفت‌وگاز با ۸۲ درصد به اوج خود می‌رسد، در حالی که بخش برق با ۷۲ درصد همچنان در سطح بالایی از دغدغه قرار دارد.

تحلیل:

✔️ هزینه واقعی یک حمله: حملات سایبری به زیرساخت‌های انرژی، نه تنها باعث خسارت مستقیم (مانند توقف تولید یا خرابی تجهیزات) می‌شوند، بلکه می‌توانند میلیاردها تومان هزینه غیرمستقیم ناشی از توقف عملیات، اختلال در زنجیره تأمین، جریمه‌های قانونی و از دست رفتن اعتبار برند ایجاد کنند.

✔️ پیچیدگی مدل‌های حمله: حملات جدید اغلب به گونه‌ای طراحی می‌شوند که علاوه بر خسارت فوری، باعث اثرگذاری بلندمدت بر کسب‌وکار شوند. نمونه آن حملات باج‌افزاری است که با رمزگذاری سیستم‌های صنعتی، تولید را برای هفته‌ها متوقف می‌کنند.

✔️ فشار سهامداران و مدیران: بخش انرژی، به‌ویژه شرکت‌های بزرگ نفتی، تحت فشار سهامداران و دولت‌ها قرار دارند تا در برابر این تهدیدات شفاف و پاسخگو باشند. این یعنی امنیت سایبری باید بخشی از KPI مدیران ارشد و استراتژی‌های کلان سازمان باشد.

پیامد برای ایران:

✔️ شرکت‌های انرژی ایران نیز نمی‌توانند امنیت را تنها وظیفه تیم IT یا واحد امنیت بدانند. هر تصمیم مدیریتی در پالایشگاه، پتروشیمی یا نیروگاه باید تأثیرات سایبری احتمالی را در نظر بگیرد.

✔️ ایجاد کمیته‌های امنیتی بین‌بخشی (متشکل از مدیران فنی، مالی و عملیاتی) برای مدیریت ریسک سایبری می‌تواند به یک ضرورت فوری تبدیل شود.

ضعف در Incident Response و سرمایه‌گذاری آینده

گزارش Fortinet نشان می‌دهد که تنها حدود ۳۲ درصد از شرکت‌های حوزه انرژی برنامه‌ای جدی برای تقویت و بهبود روند پاسخ به حادثه (Incident Response – IR) دارند. این آمار روشن می‌سازد که بسیاری از سازمان‌ها هنوز این بخش حیاتی را به درستی اولویت‌بندی نکرده‌اند و ضعف‌های ساختاری در آمادگی و واکنش سریع به حوادث سایبری دارند.

✔️ واقعیت:  32٪ برنامه تقویت Incident Response دارند؛ این نشان می‌دهد IR هنوز نقطه ضعف است.

✔️ تحلیل: بسیاری از سازمان‌ها به جای پیشگیری، هنوز منتظرند حادثه رخ دهد و بعد واکنش نشان دهند.

✔️ پیامد: در ایران حتی پلان واکنش مکتوب (Runbook IR) در بیشتر پالایشگاه‌ها و نیروگاه‌ها وجود ندارد. بدون سناریوی تمرین‌شده، واکنش تیم‌ها در بحران واقعی بسیار کند و پرهزینه خواهد بود.

موج جدید مقررات امنیتی

✔️ واقعیت: گزارش Fortinet نشان می‌دهد که تقریباً ۴۵ درصد از سازمان‌های فعال در حوزه انرژی انتظار دارند در آینده نزدیک با قوانین و مقررات سخت‌گیرانه‌تری در زمینه امنیت سایبری مواجه شوند. این روند جهانی، پاسخ به افزایش چشمگیر تهدیدات و پیچیدگی‌های فناوری در محیط‌های OT است.

✔️ تحلیل:  مقرراتی مانند IEC 62443 و NERC CIP نشان می‌دهد دنیا به سمت استانداردسازی امنیت OT حرکت کرده.

پیامد برای ایران:

✔️ ایران نمی‌تواند خود را از این جریان جهانی جدا کند. حتی در غیاب قوانین رسمی و الزام‌آور، سازمان‌های انرژی ایرانی باید به‌صورت داوطلبانه چارچوب‌های شناخته‌شده‌ای مانند C2M2 (Cybersecurity Capability Maturity Model) و NIST CSF (Cybersecurity Framework) را به کار گیرند.

✔️ بکارگیری این چارچوب‌ها، علاوه بر افزایش سطح امنیت، زمینه تعامل و همکاری بهتر با شرکت‌ها و شرکای بین‌المللی را نیز فراهم می‌کند.

✔️ تأکید بر آموزش و فرهنگ‌سازی امنیتی همراه با پیاده‌سازی مقررات، کلید موفقیت در بهبود آمادگی سایبری است.

خطر زنجیره تأمین: (Supply Chain Attacks) تهدیدی رو به رشد برای زیرساخت‌های انرژی

گزارش Fortinet به‌وضوح نشان می‌دهد که حملات سایبری از مسیر زنجیره تأمین به‌شدت افزایش یافته‌اند؛ به طوری که در سال‌های اخیر، بیش از ۳۰ درصد از نفوذهای موفق به زیرساخت‌های حیاتی، از طریق آسیب‌پذیری‌ها یا دسترسی‌های تأمین‌کنندگان ثالث صورت گرفته است. این نوع حملات که اغلب به عنوان Supply Chain Attacks شناخته می‌شوند، مهاجمان را قادر می‌سازد با نفوذ به شرکت‌های پیمانکاری، نرم‌افزاری یا سخت‌افزاری، به شبکه‌های حساس دسترسی یابند.

حتما بخوانید: افشای برنامه حمله سایبری اسرائیل به ایران؛ راهکارهای دفاعی و توانمندی‌های سایبری ایران

در صنایع نفت، گاز و برق، که تعداد زیادی پیمانکار و تأمین‌کننده تجهیزات مانند PLC (Programmable Logic Controllers)، HMI (Human-Machine Interface) و سامانه‌های نظارتی وجود دارد، این ریسک بسیار بالا است. همچنین، به دلیل تنوع گسترده و پراکندگی جغرافیایی این پیمانکاران، کنترل و نظارت بر امنیت آنها یک چالش بزرگ محسوب می‌شود.

آمار و واقعیت‌ها:

✔️ طبق گزارش‌های بین‌المللی، ۸۲ درصد از سازمان‌های انرژی اذعان دارند که یکی از بزرگ‌ترین چالش‌های امنیتی آنها، مدیریت ریسک تأمین‌کنندگان ثالث است.

✔️ در سال ۲۰۲۴، نمونه‌هایی از حملات زنجیره تأمین مانند نفوذ به نرم‌افزارهای مدیریتی شرکت‌های بزرگ فناوری اطلاعات، موجب اختلالات جدی در زیرساخت‌های انرژی شده است.

✔️ همچنین، مهاجمان با هدف قرار دادن تأمین‌کنندگان کوچک‌تر که اغلب فاقد سیستم‌های امنیتی پیشرفته‌اند، راهی به درون شبکه‌های صنعتی پیدا می‌کنند.

پیامد برای ایران:

✔️ شرکت‌های پیمانکاری ایرانی که مسئول نصب، نگهداری و راه‌اندازی تجهیزات حیاتی هستند، می‌توانند به نقطه ضعف بزرگی تبدیل شوند اگر زیرساخت‌های امنیتی آنها به‌روز و مقاوم نباشد.

✔️ فقدان سیاست‌های امنیتی دقیق در انتخاب، ارزیابی و نظارت مستمر بر پیمانکاران، می‌تواند دروازه نفوذ مهاجمان به شبکه‌های OT کشور باشد.

✔️ توصیه می‌شود سازمان‌های انرژی ایران، چارچوب‌های مدیریت ریسک زنجیره تأمین را به صورت جامع پیاده‌سازی کرده و از فناوری‌های Zero Trust و Least Privilege Access برای محدودسازی دسترسی‌های پیمانکاران استفاده کنند.

شکاف‌هایCyber Hygiene  – دشمن خاموش

گزارش Fortinet تأکید می‌کند که بخش بزرگی از حوادث امنیتی در صنایع نفت، گاز و برق ناشی از خطاهای انسانی، استفاده از USB آلوده، عدم به‌روزرسانی به‌موقع سیستم‌ها و حملات فیشینگ ایمیلی است. این عوامل که اغلب به‌عنوان شکاف‌های «بهداشت سایبری» یا Cyber Hygiene  شناخته می‌شوند، همچنان به‌عنوان دشمنان خاموش، امنیت زیرساخت‌ها را تهدید می‌کنند.

مطالعات جهانی نشان می‌دهد:

✔️ بیش از ۶۰ درصد از نفوذهای موفق در زیرساخت‌های صنعتی، ناشی از خطاهای انسانی یا عدم رعایت سیاست‌های امنیتی پایه هستند.

✔️ حملات فیشینگ در بخش انرژی به دلیل ترکیب ایمیل‌های کاری پرحجم و پیچیدگی عملیات، ۴۰ درصد بیشتر از سایر صنایع رخ می‌دهد.

✔️ استفاده ناصحیح یا بدون کنترل از دستگاه‌های قابل حمل مانند USB، باعث ورود بدافزارهای پیشرفته به شبکه‌های OT شده است.

پیامد برای ایران:

✔️ در بسیاری از سازمان‌های انرژی ایران، مهندسان و پرسنل عملیاتی اغلب آموزش‌های لازم در زمینه Cyber Hygiene را دریافت نمی‌کنند یا به‌روزرسانی‌های امنیتی را جدی نمی‌گیرند.

✔️ نبود سیاست‌های سختگیرانه در کنترل دستگاه‌های قابل‌حمل و عدم پیاده‌سازی مکانیزم‌های جلوگیری از حملات فیشینگ، شکاف‌های بزرگی در امنیت ایجاد کرده است.

✔️ افزایش سطح آگاهی و آموزش مستمر پرسنل، همراه با اعمال قوانین سختگیرانه برای استفاده از ابزارهای جانبی، باید به فوریت در دستور کار قرار گیرد.

توصیه‌های تحلیلی و راهکارهای کلیدی برای بهبود امنیت سایبری زیرساخت‌های انرژی در ایران

با توجه به چالش‌ها و شکاف‌های امنیتی مطرح‌شده در گزارش Fortinet و شرایط خاص زیرساخت‌های انرژی ایران، لازم است سازمان‌ها و نهادهای مرتبط به سرعت مسیر تحول امنیتی خود را بازتعریف کنند. در ادامه چند توصیه تحلیلی و کاربردی ارائه می‌شود:

1. حرکت از رویکرد واکنش‌محور به پیشگیرانه با ایجاد واحد Threat Hunting تخصصی در حوزه OT

سازمان‌ها باید تیم‌های اختصاصی تهدیدشناسی پیشرفته (Threat Hunting) برای محیط‌های صنعتی ایجاد کنند. این تیم‌ها با تحلیل رفتاری و استفاده از هوش تهدید (Threat Intelligence) می‌توانند تهدیدات پیچیده و ناشناخته را پیش از وقوع شناسایی و خنثی کنند.

مطالب مرتبط:  دوره آموزشی Threat Hunting با Splunk و Sysmon

2. راه‌اندازی SOC بومی با دید تخصصی OT

پیاده‌سازی یک مرکز عملیات امنیتی (SOC) که علاوه بر نظارت بر ترافیک IT، بتواند داده‌های شبکه‌های ICS/SCADA را نیز تحلیل و پایش کند، ضروری است. این SOC باید مجهز به فناوری‌هایی مانند SIEM (Security Information and Event Management)، EDR (Endpoint Detection and Response) و NDR (Network Detection and Response) برای شناسایی رفتارهای غیرمعمول در سطح تجهیزات صنعتی باشد.

3. برگزاری منظم تمرین‌های Incident Response (IR) با سناریوهای واقعی

تمرین‌های عملی شبیه‌سازی حملات واقعی مانند حملات باج‌افزاری به سیستم‌های SCADA یا نفوذ به PLC ها باید به صورت منظم برگزار شوند. این تمرین‌ها به تیم‌های امنیتی کمک می‌کند تا آمادگی لازم برای مقابله با بحران‌های واقعی را کسب کنند و نقاط ضعف فرآیندهای واکنش را شناسایی و رفع کنند.

4. بومی‌سازی استاندارد IEC 62443 و تدوین چارچوب ملی امنیت شبکه‌های صنعتی

ایران باید تلاش کند استانداردهای بین‌المللی مانند IEC 62443 را متناسب با نیازها و شرایط بومی خود پیاده‌سازی کند. تدوین چارچوب‌های ملی و سیاست‌های امنیتی ویژه شبکه‌های OT، به همراه الزامات نظارتی و ارزیابی مستمر، سطح امنیت زیرساخت‌ها را به طور قابل‌توجهی ارتقا خواهد داد.

5. آموزش مستمر و نهادینه کردن فرهنگ Cyber Hygiene در تمامی سطوح سازمانی

آموزش‌های مستمر و برنامه‌ریزی‌شده برای افزایش آگاهی پرسنل در خصوص خطرات امنیتی، روش‌های پیشگیری از حملات فیشینگ، مدیریت امن دستگاه‌های قابل حمل و حساسیت به به‌روزرسانی سیستم‌ها، باید جزو فرهنگ سازمانی و الزامات امنیتی هر شرکت انرژی باشد.

جمع‌بندی

ترکیب این راهکارهای فنی و مدیریتی، ضمن افزایش ظرفیت دفاع سایبری سازمان‌ها، زمینه‌ساز یک تغییر ساختاری و فرهنگی در صنعت انرژی ایران خواهد بود. بدون این تحول چندجانبه، مقابله موثر با تهدیدات سایبری پیشرفته و حفاظت از زیرساخت‌های حیاتی کشور به شدت دشوار خواهد بود.

🔔  بزودی در وب‌سایت سلام دیجی:

✔️ بررسی ۵ سناریوی واقعی حمله به OT با الهام از گزارش Fortinet

✔️ راهنمای اجرای یک SOC سبک و بومی برای صنایع انرژی ایران.

✔️ نقشه راه ۶ ماهه برای رسیدن به سطح «Predictive Behavior» .