Post by Mehdi Daneshvar

مجموعه امنیت سایبری در سیستم‌های قدرت — بخش هفتم از کجا شروع کنیم؟ شش پست گذشته عمدتاً درباره مشکل بود: حمله لهستان، Air Gap، Log  نداشتن، Windpark  آلمان. یک سوال طبیعی اینجاست: خب، از کجا شروع کنیم؟ پاسخ BSI و OMICRON در Fachtagung Berlin 2026 — با وجود تفاوت در رویکرد — به یک نقطه مشترک می‌رسد: قبل از هر چیز پیچیده‌ای، اقدامات پایه را جدی بگیریم. در ادبیات امنیت سایبری به این‌ها می‌گویند Low Hanging Fruits —  میوه‌های دم‌دست. چیزهایی که هزینه بالایی ندارند، پیاده‌سازی‌شان نسبتاً ساده است، اما تأثیر واقعی دارند. چرا از اینجا شروع کنیم؟ چون اکثر حملات موفق، از جمله لهستان، از ضعف در همین اقدامات پایه استفاده کردند. نه از آسیب‌پذیری‌های پیچیده Zero-Day، نه از تکنیک‌های پیشرفته. 1-بدانید چه دارید  (Asset Inventory) شاید ساده‌ترین جمله در امنیت سایبری این است: نمی‌توانی چیزی را که نمی‌بینی محافظت کنی. مثال Windpark در Westfalen نشان داد که شکاف بین «آنچه فکر می‌کنیم در شبکه داریم» و «آنچه واقعاً وجود دارد» می‌تواند قابل توجه باشد. یک Asset Inventory واقعی یعنی: چه تجهیزاتی داریم، با چه نسخه Firmware، با چه اتصالاتی، و چه کسی مسئول هر کدام است. 2-رمزهای عبور پیش‌فرض را تغییر دهید  (Default Credentials) این ساده‌ترین نقطه ورود است — و همچنان یکی از رایج‌ترین‌ها. بسیاری از تجهیزات OT با نام کاربری و رمز پیش‌فرض نصب می‌شوند و سال‌ها همان‌طور باقی می‌مانند. در حمله لهستان، استفاده مشترک از یک Credential برای چندین سیستم به عنوان یکی از بردارهای احتمالی ورود ذکر شده است. 3-شبکه را تقسیم‌بندی کنید  (Segmentierung) در اسلایدهای Holger Skurk از OMICRON یک جمله کوتاه اما دقیق بود: « در شبکه‌های ساده و بدون تقسیم‌بندی. هر کس که داخل است، به همه‌جا دسترسی دارد.» تقسیم‌بندی شبکه یعنی حتی اگر مهاجمی وارد شد، حرکتش محدود باشد IT از OT جدا، تجهیزات حفاظت از سیستم‌های مدیریتی جدا. 4- دسترسی از راه دور را ایمن کنید  (Fernzugang) Remote Access یک ضرورت عملیاتی است — اما باید کنترل شود: - احراز هویت چندمرحله‌ای (MFA) ، BSI صراحتاً می‌نویسد : امروز MFA واجب است، نه اختیاری - دسترسی‌های پیمانکاران بدون تاریخ انقضا بسته شوند - هیچ رابط مدیریتی مستقیماً از اینترنت قابل دسترس نباشد 5-Patch Management  را جدی بگیرید داده‌های ENISA (2025) نشان می‌دهد که در بخش انرژی، ۳۲٪ از سازمان‌ها آسیب‌پذیری‌های حیاتی را در بازه بیش از سه ماه Patch می‌کنند. آسیب‌پذیری‌هایی که در حمله لهستان استفاده شدند، شناخته‌شده و دارای Patch بودند. کد Exploit آن‌ها عمومی بود. 6- Logداشته باشید و آن را نگه دارید. از پست قبلی یادمان هست: «تحلیل دشوار بود چون تقریباً هیچ Log ای وجود نداشت.» BSI توصیه می‌کند: Log ها باید متمرکز نگهداری شوند — نه فقط روی خود دستگاه. چون اگر دستگاه Wipe شود، Log هم از بین می‌رود. یک نکته پایانی این فهرست کامل نیست و جایگزین یک ارزیابی امنیتی جامع نمی‌شود. اما تجربه حملات مستند — از Stuxnet تا لهستان ۲۰۲۵ — نشان می‌دهد که اجرای همین اقدامات پایه در اکثر موارد یا حمله را غیرممکن می‌کرد، یا تأثیر آن را به‌شدت محدود می‌کرد. در بخش بعدی کمی عقب‌تر می‌رویم و به چارچوب کلی‌تری می‌پردازیم که این اقدامات را در یک ساختار منسجم قرار می‌دهد: IEC 62443 — استاندارد امنیت سایبری برای سیستم‌های اتوماسیون صنعتی.