المصدر -
وضعت شركة كاسبرسكي لاب، بالتعاون مع أعضاء في اتحاد الإنترنت الصناعية IIC، دليلاً إرشادياً لممارسي نموذج النضج الأمني Security Maturity Model (SMM)، في خطوة من شأنها مساعدة مشغلي إنترنت الأشياء على تحديد مستوى النضج الأمني الذي ينبغي لهم الوصول إليه استناداً على أهدافهم الأمنية وشهيتهم تجاه المخاطر.
وينبني نموذج النضج الأمني على المفاهيم المحددة في إطار العمل الخاص بأمن الإنترنت والذي وضعه ونشره اتحاد الإنترنت الصناعية في العام 2016. ويُعتبر نموذج النضج الأمني الأول من نوعه في قطاع الأمن الإلكتروني، إذ يناقش أسلوب النضج الأمني الموضوع حديثاً لإنترنت الأشياء. ويُحدّد النموذج إطاراً أمنياً لأصحاب المصلحة من المنتجين والمشغّلين لتقنيات إنترنت الأشياء، بالاستناد على مستويات الأمن في هذه التقنيات، كما يقيِّم مدى نضج أنظمة إنترنت الأشياء لدى الشركات من خلال النظر إلى الحوكمة والتقنية وإدارة الأنظمة. ويشير الخبراء إلى أن النماذج الأخرى قد تتناول قطاعاً متخصصاً بعينه، مثل إنترنت الأشياء، ولكن من دون الأمن، أو الأمن ولكن ليس في إنترنت الأشياء. أما نموذج النضج الأمني فيغطي جميع هذه الجوانب مشتملاً على عناصر مأخوذة من النماذج الموجودة أصلاً عند الحاجة، للاستفادة من العمل القائم حالياً وتجنّب الازدواجية.
ويراعي الدليل الإرشادي مجموعة واسعة من المعنيين من أصحاب المصلحة في قطاع إنترنت الأشياء. وليس خبراء الأمن وحدهم من يركّز تركيزاً كبيراً على تعزيز أمن البنية التحتية التي تربط نظم المعلومات بالأشياء المادية، فهناك أيضاً مشغلو المرافق الصناعية، ومطورو البرمجيات ذات الأغراض الخاصة، وأصحاب الشركات المنتجة للحلول، فضلاً عن السُلُطات التنظيمية، ولذلك حرِص نموذج النضج الأمني لإنترنت الأشياء، بخلاف المعايير والمتطلبات التنظيمية الاعتيادية، على أن يأخذ في الاعتبار المصالح والاحتياجات الأمنية لجميع الشركات والأفراد المشتركين في عمليات إنترنت الأشياء وإدارتها.
وبالإضافة إلى ذلك، يحتوي دليل الممارسين الإرشادي على دراسات لثلاث حالات تساعد أصحاب المصلحة في قطاع إنترنت الأشياء على تطبيق نموذج النضج الأمني، وتشمل خطّ تعبئة ذكياً يعتمد في تشغيله على البيانات، وبوابة سيارات تدعم إجراء التحديثات لاسلكياً، وكاميرات أمنية تُستخدم في البيئات السكنية.
ويساعد هذا الدليل الإرشادي، من جهة أخرى، مشغلي إنترنت الأشياء على فهم حالتهم الراهنة وحالة أهدافهم، ومعرفة الخطوات التي عليهم اتخاذها للوصول إلى تلك الأهداف، والتي تمكّن الشركات بعد تقييمها، ومع مرور الوقت، من تحسين حالتها الأمنية عبر الاستمرار في إجراء التقييم لأنظمتها الخاصة بإنترنت الأشياء، ومن ثَمّ إجراء التحسينات على أساس معامِلات مرجعية مدرجة في الدليل يبلغ عددها 36 معاملاً، تساعد الشركات على الوصول إلى المستوى المطلوب.
وبهذه المناسبة، قالت إيكاترينا رودينا، أحد كبار محللي الأنظمة بفريق الاستجابة لحالات الطوارئ الإلكترونية في نظم الرقابة الصناعية لدى كاسبرسكي لاب، إن تحديد أولويات التدابير الأمنية ووضع الأهداف وبناء استراتيجية لجعل نظام ما آمناً بما فيه الكفاية "هدف يؤثر في التخطيط الاقتصادي للشركات واستثماراتها واختيارها لبرامج التأمين على الأمد البعيد، وأضافت: "يتضمن النهج الحديث في التعامل مع مثل هذه المهام اللجوء إلى إنشاء بنية هيكلية مختارة تدعم عملية اتخاذ القرار بكفاءة في مجال معين، لذلك يُعد نموذج النضج الأمني لإنترنت الأشياء إطار عمل مثالياً لمثل هذه البُنية المختارة في مجال أمن إنترنت الأشياء، ويمكّن الجهات الفاعلة من اتخاذ الخطوة الأولى (ثم الثانية فالثالثة، إلخ عند الحاجة) على طريق تحقيق نظام آمن، سواء كان النظام ضخماً، كمنشأة صناعية، أو صغيراً كسوار لمراقبة أنشطة اللياقة البدنية".
ويعمل فريق الخبراء على المشروع منذ عامين تقريباً؛ ففي بداية العام 2017، بدأ فريق "قدرات تطبيق الأمن"، الذي يركّز على استخدام ممارسات الأمن في تطبيقات إنترنت الأشياء الواقعية ضمن اتحاد الإنترنت الصناعية، في استكشاف الطرق الكفيلة ببناء نموذج النضج الأمني. ويأتي الدليل الإرشادي لممارسي نموذج النضج الأمني مرافقاً لورقة العمل المعنونة: "الوصف والاستخدامات المقررة لنموذج النضج الأمني لإنترنت الأشياء"، التي صدرت عن اتحاد الإنترنت الصناعية في وقت سابق من العام 2018.
وينبني نموذج النضج الأمني على المفاهيم المحددة في إطار العمل الخاص بأمن الإنترنت والذي وضعه ونشره اتحاد الإنترنت الصناعية في العام 2016. ويُعتبر نموذج النضج الأمني الأول من نوعه في قطاع الأمن الإلكتروني، إذ يناقش أسلوب النضج الأمني الموضوع حديثاً لإنترنت الأشياء. ويُحدّد النموذج إطاراً أمنياً لأصحاب المصلحة من المنتجين والمشغّلين لتقنيات إنترنت الأشياء، بالاستناد على مستويات الأمن في هذه التقنيات، كما يقيِّم مدى نضج أنظمة إنترنت الأشياء لدى الشركات من خلال النظر إلى الحوكمة والتقنية وإدارة الأنظمة. ويشير الخبراء إلى أن النماذج الأخرى قد تتناول قطاعاً متخصصاً بعينه، مثل إنترنت الأشياء، ولكن من دون الأمن، أو الأمن ولكن ليس في إنترنت الأشياء. أما نموذج النضج الأمني فيغطي جميع هذه الجوانب مشتملاً على عناصر مأخوذة من النماذج الموجودة أصلاً عند الحاجة، للاستفادة من العمل القائم حالياً وتجنّب الازدواجية.
ويراعي الدليل الإرشادي مجموعة واسعة من المعنيين من أصحاب المصلحة في قطاع إنترنت الأشياء. وليس خبراء الأمن وحدهم من يركّز تركيزاً كبيراً على تعزيز أمن البنية التحتية التي تربط نظم المعلومات بالأشياء المادية، فهناك أيضاً مشغلو المرافق الصناعية، ومطورو البرمجيات ذات الأغراض الخاصة، وأصحاب الشركات المنتجة للحلول، فضلاً عن السُلُطات التنظيمية، ولذلك حرِص نموذج النضج الأمني لإنترنت الأشياء، بخلاف المعايير والمتطلبات التنظيمية الاعتيادية، على أن يأخذ في الاعتبار المصالح والاحتياجات الأمنية لجميع الشركات والأفراد المشتركين في عمليات إنترنت الأشياء وإدارتها.
وبالإضافة إلى ذلك، يحتوي دليل الممارسين الإرشادي على دراسات لثلاث حالات تساعد أصحاب المصلحة في قطاع إنترنت الأشياء على تطبيق نموذج النضج الأمني، وتشمل خطّ تعبئة ذكياً يعتمد في تشغيله على البيانات، وبوابة سيارات تدعم إجراء التحديثات لاسلكياً، وكاميرات أمنية تُستخدم في البيئات السكنية.
ويساعد هذا الدليل الإرشادي، من جهة أخرى، مشغلي إنترنت الأشياء على فهم حالتهم الراهنة وحالة أهدافهم، ومعرفة الخطوات التي عليهم اتخاذها للوصول إلى تلك الأهداف، والتي تمكّن الشركات بعد تقييمها، ومع مرور الوقت، من تحسين حالتها الأمنية عبر الاستمرار في إجراء التقييم لأنظمتها الخاصة بإنترنت الأشياء، ومن ثَمّ إجراء التحسينات على أساس معامِلات مرجعية مدرجة في الدليل يبلغ عددها 36 معاملاً، تساعد الشركات على الوصول إلى المستوى المطلوب.
وبهذه المناسبة، قالت إيكاترينا رودينا، أحد كبار محللي الأنظمة بفريق الاستجابة لحالات الطوارئ الإلكترونية في نظم الرقابة الصناعية لدى كاسبرسكي لاب، إن تحديد أولويات التدابير الأمنية ووضع الأهداف وبناء استراتيجية لجعل نظام ما آمناً بما فيه الكفاية "هدف يؤثر في التخطيط الاقتصادي للشركات واستثماراتها واختيارها لبرامج التأمين على الأمد البعيد، وأضافت: "يتضمن النهج الحديث في التعامل مع مثل هذه المهام اللجوء إلى إنشاء بنية هيكلية مختارة تدعم عملية اتخاذ القرار بكفاءة في مجال معين، لذلك يُعد نموذج النضج الأمني لإنترنت الأشياء إطار عمل مثالياً لمثل هذه البُنية المختارة في مجال أمن إنترنت الأشياء، ويمكّن الجهات الفاعلة من اتخاذ الخطوة الأولى (ثم الثانية فالثالثة، إلخ عند الحاجة) على طريق تحقيق نظام آمن، سواء كان النظام ضخماً، كمنشأة صناعية، أو صغيراً كسوار لمراقبة أنشطة اللياقة البدنية".
ويعمل فريق الخبراء على المشروع منذ عامين تقريباً؛ ففي بداية العام 2017، بدأ فريق "قدرات تطبيق الأمن"، الذي يركّز على استخدام ممارسات الأمن في تطبيقات إنترنت الأشياء الواقعية ضمن اتحاد الإنترنت الصناعية، في استكشاف الطرق الكفيلة ببناء نموذج النضج الأمني. ويأتي الدليل الإرشادي لممارسي نموذج النضج الأمني مرافقاً لورقة العمل المعنونة: "الوصف والاستخدامات المقررة لنموذج النضج الأمني لإنترنت الأشياء"، التي صدرت عن اتحاد الإنترنت الصناعية في وقت سابق من العام 2018.