الـتـهـديـدات الـسـيـبـرانـيـة لـقـطـاع الـطـاقـة: الـمُـحـفـزات وآلـيـات الـمـواجـهـة

إعـداد: مـيـار هـانـى

فى مايو 2021، تسبب هجوم سيبرانى على خط أنابيب “كولونيال” الأكبر لنقل المنتجات النفطية فى الولايات المتحدة الأمريكية فى شل البنية التحتية الرقمية، حيث نجح الهجوم فى الاستيلاء على  100 غيغابايت من البيانات وإغلاق العمليات فى خط الأنابيب لمدة 5 أيام، وهو ما أثار اضطرابات كبيرة فى إمدادات الوقود بالبلاد، وكلف الحادث الشركة الملايين من تكاليف الاسترداد بينما ألحق ضررًا بسمعة علامتها التجارية، ويرتبط الحادث ارتباطًا وثيقًا بهذا الفشل المُحدد للأمن السيبرانى.[1]

ويمثل قطاع الطاقة 10.7% من جميع الهجمات الإلكترونية الموثقة رسميًا وفقا لمؤشر X-Force Threat Intelligence Index 2023، وبالتالى هذا يضع قطاع الطاقة فى المرتبة الرابعة بشكل عام، وهو نفس العام السابق يلى التصنيع والتمويل والتأمين والخدمات المهنية والتجارية، وكانت سرقة البيانات والابتزاز هى النتائج الأكثر شيوعًا لهذه الهجمات بنسبة 23%، واحتلت أمريكا الشمالية المرتبة الأولى بنسبة 46% من جميع الهجمات، تليها أوروبا وأمريكا اللاتينية بنسبة23 % وأقل بقليل من 5% فى آسيا والشرق الأوسط وإفريقيا.[2]

على الرغم من الانخفاض العام فى التهديدات، إلا أن قطاع الطاقة ما زال فى خطر، فإذا ألقينا نظرة على أحد أحدث الهجمات السيبرانية على قطاع الطاقة، كهجوم ALPHV ransomware والمعروفة أيضا باسم BlackCat على شركة Encino Energy الأمريكية المنتجة للغاز الطبيعى والنفط، والذى أدى لكشف 400 غيغابايت من البيانات، فتقول الشركة إن عملياتها لم تتأثر بالهجوم، ومع ذلك، ليس من المعلوم ما إذا كانوا قد دفعوا الفدية أم لا.[3]

ويمثل قطاع الطاقة هدفًا مفضلًا للنشاط السيبرانى الذى يهدف إلى إحداث أضرار تشغيلية فادحة كتخريب منشآت الطاقة، أو سرقة البيانات والمعلومات، أو إحداث أزمات اقتصادية وخسائر مالية، فضلًا عن الأضرار البيئية التى يمكن أن يسببها.

أبـرز الـعـوامـل الـتـى تـزيـد مـن ضـعـف قـطـاع الـطـاقـة

  • الوتيرة السريعة للابتكار التكنولوجى فى قطاع الطاقة، فعلى الرغم من أنه عامل تمكين حاسم للتقدم، إلا أنه يزيد من مستويات الهجمات الإلكترونية.[4]
  • توسع مشهد التهديدات للمرافق ليشمل المزيد من التهديدات الإلكترونية من الجهات الفاعلة التى تستهدف المرافق ومنها:
  • القراصنة المدعومون من الدول لتنفيذ هجمات ذات آثار تخريبية ضد البنية التحتية الحيوية لإحداث اضطراب اقتصادى وأمنى، وذلك كإجراء رادع أو انتقامى للتطورات الجيوسياسية الأخرى.
  • مجرمى الإنترنت الذين يسعون للحصول على تعويضات مالية جراء هجماتهم، ولا تقتصر تلك الهجمات على شبكات تكنولوجيا المعلومات وحدها، وعلى سبيل المثال هجوم الفدية لتعطيل رؤية شركة غاز فى عمليات خطوط الأنابيب، الذى أدى لفقدان الإنتاجية والإيرادات.

كما أنها تعد هدفًا جذابًا لسرقة الأسرار التجارية والبيانات السرية والملكية الفكرية والتى تعد جوهر القدرة التنافسية للعديد من المنظمات.

  • نشطاء القرصنة السياسية الذين يسجلون علنًا معارضتهم لمشروعات طاقة بعينها باعتبارها غير أخلاقية، وتميل تهديداتهم إلى أن تكون أقل تعقيدًا إلا أنها ما تزال قادرة على تعطيل عمليات الطاقة الكهربائية والغاز.
  • التعقيد الجغرافى والتنظيمى للمرافق، مما يجعل من الصعب ضمان الأمن العام للشبكة.
  • الترابط الفريد فى قطاع الطاقة الكهربائية والغاز بين الأنظمة الافتراضية والبنية التحتية المادية يخلق مخاطر أمنية عالية، حيث يمكن أن يؤثر تعطيل جزء من هذا الاعتماد المتبادل على الجزء الآخر، فى أسوأ الأحوال، يمكن أن تشمل العواقب فقدان الطاقة وتدمير المعدات وتلف الأجهزة فى جميع أنحاء الشبكة.
  • توجد مخاطر إضافية تصاحب التوسع فى التكنولوجيا الجديدة، وخاصة تلك المرتبطة بمصادر الطاقة الخضراء (مثل مزارع الرياح والطاقة الشمسية)، وفى الكثير من الأحيان تترك لوحات الوصول لتوربينات الرياح غير آمنة، مما يسمح للمهاجمين بالوصول المادى إلى كل من عناصر التحكم الداخلية فى الجهاز وجزء من شبكة OT الأوسع، إذ أشارت الأبحاث الأمنية الحديثة إلى أن نقاط الضعف المادية ونقص أمان الشبكة مكنت الباحثين من اجتياز شبكة مزرعة الرياح بأكملها فى غضون دقائق، مع امتيازات الوصول التى كانت ستمكنهم من التسبب فى خسائر تتراوح من 10,000 دولار إلى 30,000 دولار من الإيرادات فى الساعة أو حتى تدمير التوربينات بالكامل. [5]

أبـرز الـبـرامـج الـمُـسـتـخـدمـة فـى اسـتـهـداف قـطـاع الـطـاقـة

CrashOverride

فى ديسمبر 2016، تعرضت شبكة الكهرباء فى أوكرانيا إلى هجوم برمجيات خبيثة جديد، أدى إلى انقطاع ما يقرب من خمس قدرة المحطة على توليد الكهرباء وإخضاع أجزاء من كييف للظلام التام. وتعد تلك أول حالة معروفة لبرامج ضارة تم إنشاؤها خصيصًا لضرب أنظمة الشبكة الكهربائية، فبمجرد إصابة أجهزة Windows، تقوم تلقائيًا بتعيين أنظمة التحكم وتسجيل سجلات الشبكة لإرسالها إلى مشغليها. بالإضافة إلى ذلك، بمجرد اتصال البرامج الضارة بالإنترنت، تصبح لديها القدرة على التكيف مع العديد من البروتوكولات، والأسوأ، أنه يضر بجميع الملفات الموجودة على النظام ويزيل مساره بعد الانتهاء.

GreyEnergy

على مدى السنوات العديدة الماضية، استهدف GreyEnergy قطاعات الطاقة فى أوكرانيا وكذلك دول أوروبا الشرقية، ويصيب الأنظمة باستخدام رسائل البريد الإلكترونى للتصيد الاحتيالى التى تخدع المستخدمين لتمكين وحدات الماكرو الضارة كطريقة إصابة أولية.

Havex Malware

هو برنامج ضار يستهدف قطاع الطاقة منذ أغسطس 2012، يعد الغرض الأساسى منه العمل كأداة جمع المعلومات الاستخبارية لأغراض التجسس وليس لتعطيل الأنظمة الصناعية، وتم توزيع Havex عبر هجمات التصيد الاحتيالى ورسائل البريد الإلكترونى، وكان معظم الضحايا الذين تم التعرف عليهم من الولايات المتحدة وأوروبا.[6]

Operation Sharpshooter

كانت عملية Sharpshooter حملة تجسس تم الكشف عنها فى ديسمبر 2018، استهدفت الحملة شركات الطاقة والطاقة النووية الموجودة فى ألمانيا وتركيا والولايات المتحدة والمملكة المتحدة، وتمكنت العدوى من الانتشار بين 87 منظمة فى بلدان مختلفة.

TRITON/TRISIS malware

وهو برنامج ضار خطير تم اكتشافه فى منتصف نوفمبر 2017 عندما استهدف شركة بتروكيماويات فى المملكة العربية السعودية، واستهدف البرنامج أنظمة السلامة (SIS)، ونظام الإغلاق فى حالات الطوارئ (ESD).

وهو يعد نوعًا من الأدوات عالية الاستهداف التى تمكن المهاجم من تعديل أنظمة السلم بالكامل على الأجهزة المصابة، وبالتالى يمكن أن يكون تأثير الهجوم الناجح على الهدف مدمرًا.[7]

بـعـض مـن أكـبـر الـهـجـمـات الـسـيـبـرانـيـة على قـطـاع الـطـاقـة فـى الـسـنـوات الأخـيـرة

خـط أنـابـيـب كـولـونـيـال 2021:

كان هجوم برنامج الفدية على خط أنابيب كولونيال، الذى ينقل ما يقرب من 2.5 مليون برميل من الوقود يوميًا ويمثل 45% من إمدادات الوقود إلى الساحل الشرقى، أحد أكثر الهجمات الإلكترونية شهرة فى الآونة الأخيرة لما سببه من إغلاق العمليات فى خط الأنابيب لمدة 5 أيام وتأثر محطات الوقود الممتدة من واشنطن إلى فلوريدا نتيجة نقص الإمدادات، وارتفاع أسعار النفط، إلى جانب إثارة حالة من الذعر بين المواطنين.

وقد أقرّت الشركة بأنها تعرضت لهجوم فدية من قبل مجموعة دارك سايد Dark side -التى تتخذ من روسيا مقرًا لها- واضطرت إلى دفع فدية قيمتها 4.4 مليون دولار بسبب احتجاز القراصنة للبيانات.

ومن الجدير بالذكر أنه نتيجة للحادث أصدر الرئيس “جو بايدن” أمرًا تنفيذيًا بتعزيز الأمن السيبرانى فى القطاعات العامة والخاصة من الهجمات السيبرانية المتطورة.

اسـتـهـداف COPEL – Electrobras 2021:

أعلنت شركتا Eletrobras وCopel، وهما شركتان رئيسيتان للمرافق الكهربائية فى البرازيل، تعرضهما لهجمات برامج الفدية فى فبراير 2021، وتسببت الهجمات فى تعطيل العمليات وأجبرت الشركات على تعليق بعض أنظمتها مؤقتًا، مما تسبب فى إزعاج مؤقت للكثيرين فى البلاد.

وتعد Copel الأكبر فى ولاية بارانا، بينما Eletrobras هى أكبر شركة مرافق للطاقة فى أمريكا اللاتينية وتمتلك أيضا Eletronuclear، وهى شركة تابعة تشارك فى بناء وتشغيل محطات الطاقة النووية.[8]

اسـتـهـداف مـنـشـآت نـفـطـيـة فـى بـلـجـيـكـا وهـولـنـدا 2022:

كان قطاع الطاقة فى قلب الاهتمام فى أوروبا فى ضوء الصراع (الروسى – الأوكراني)، وفى هذا السياق تعرض قطاع الطاقة للاستهداف من قبل الهجمات السيبرانية، بما فى ذلك التجسس والتعطيل والتخريب وسرقة البيانات، ويعد استهداف قطاع الطاقة فى بلجيكا وهولندا من أحد أكبر الهجمات السيبرانية الأخيرة، إذ تعرضت بعض المنشآت النفطية فى الموانئ لهجوم إلكترونى فى فبراير 2022، وذلك بعد بضعة أشهر فقط من هجوم بسيط ولكنه مماثل على شركتين ألمانيتين تسبب فى انقطاع إمدادات البنزين فى الأجزاء الشمالية من ألمانيا، إلا أن هذا الهجوم الإلكترونى أحدث آثار أكبر وخلق أزمة طاقة مؤقتة، إذ قالت شركة “سي – إنفست” البلجيكية، إن الهجوم على محطاتها النفطية أثّر فى موانئها بأوروبا وإفريقيا، فى حين أثّر الاختراق بعمليات “إفوس” الهولندية فى موانئ غنت ومالطا وتيرنوزن، وكشفت التقارير أن الموانئ عانت من بطء فى عمليات تحميل وتفريغ شحنات المنتجات المكررة، وأعاق الهجوم السيبرانى سفن النفط من تفريغ حمولتها بعد تعرض نظام التشغيل للعطل فى “روتردام” أكبر ميناء للشحن بأوروبا.

وقد ربط بعض خبراء الأمن السيبرانى الهجمات الإلكترونية الأخيرة على أوروبا كجزء من التهديدات المستمرة من الصين للشركات الأوروبية الخاصة، فى حين اتهم آخرون روسيا بسبب تهديداتها بقطع إمدادات النفط عن أوروبا على ضوء الحرب فى أوكرانيا.[9]

جـمـعـيـة دلـتـا مـونـتـروز الـكـهـربـائـيـة (DMEA) 2022:

اضطرت شركة الكهرباء التى تتخذ من كولورادو مقرًا لها إغلاق 90% من ضوابطها الداخلية فى يناير 2022، بعد استهدافها من قبل البرامج الإلكترونية الضارة التى محت 25 عامًا من البيانات التاريخية.[10]

مـنـشـآت الـطـاقـة الـنـوويـة لم تـسـلـم مـن الـحـروب الـسـيـبـرانـيـة

اسـتـهـداف الـمـنـشـأة الـنـوويـة الإيـرانـيـة فـى نـطـنـز:

شرعت الحكومتان الأمريكية والإسرائيلية فى استخدام برنامج ستاكسنت (StuxNet) لتعطيل – أو على الأقل تأخير – البرنامج النووى الإيرانى، إذ أعتقدت إدارتى بوش وأوباما أن إسرائيل ستشن ضربات جوية ضد منشآت الطاقة النووية إذا اقتربت قدرة إيران من تطوير قنابل ذرية، وبالتالى التسبب باندلاع حرب إقليمية، وعليه اعتبرت تلك الهجمة السيبرانية بديلًا غير عنيف.

ويُعد برنامج ستاكسنت فيروسًا متنقلًا متطورًا للغاية، لا ينحصر الغرض منه فى إصابة أجهزة الحاسوب الشخصية فحسب، بل يمكنه أيضًا التسبب فى تأثيرات مادية على أرض الواقع، واستهدف البرنامج أجهزة الطرد المركزى الخاصة بتخصيب اليورانيوم فى موقع نطنز، وبالفعل استطاعت تلك الهجمات تأخير تطوير برنامج إيران النووى لمدة عام على الأقل، كما دفع ذلك إيران إلى امتلاك جيش سيبرانى خاص بها.

ومن الجدير بالذكر أن المنشأة لم تكن متصلة بالإنترنت، وأُصيبت عن طريق وحدات التخزين المتنقلة USB والتى تم نقلها بداخل المنشأة إما من خلال عملاء المخابرات أو عن طريق أشخاص تم تكليفهم بزرع الفيروس، وبالتالى يمكن للدول أن تتعرض لهجوم سيبرانى وهى خارج منظومة الإنترنت، وذلك من خلال زرع كود خبيث لتدمير المنظومة المُستهدفة.[11]

اسـتـهـداف شـركـة “كـيـه إتـش إن بـى” الـكـوريـة:

تعرضت شركة كوريا الجنوبية للطاقة النووية والمائية “كيه إتش إن بى” لهجمات إلكترونية فى أواخر عام 2014، أسفرت عن تسريب بيانات تتعلق بالشركة والعاملين بها؛ إذ نشر القراصنة بيانات الشركة على مواقع التواصل الاجتماعى، وتم تسريب معلومات شخصية لـ10 آلاف موظف، ومخططات تدفّق الكهرباء، وتصميمات لمفاعلين نوويين على الأقلّ، وتقديرات التعرض للإشعاع بين السكان المحليين، فضلًا عن مطالبتهم بإغلاق ثلاثة مفاعلات نووية.

ومع ذلك، أعلنت الحكومة أن البيانات المُسربة لا تمثل أى خطر على السلامة، وما أثار مخاوفها هو أن تكون كوريا الشمالية المسؤولة عن الهجوم السيبرانى، وأن تفرض سيطرتها على البنية التحتية الحيوية فى البلاد.[12]

الـخـاتـمـة:

يعد قطاع الطاقة هو حجر الأساس للبنية التحتية الحيوية وشريان الحياة للاقتصاد الحديث، فمع التحول الرقمى السريع عبر القطاعات المختلفة وزيادة الهجمات السيبرانية تطورًا وتعقيدًا، يجعلنا نقول إن نظام الدفاع الذى يعمل بشكل مثالى فى قطاع الطاقة اليوم قد لا يكون نظامًا فعالًا غدًا، لذلك من الضرورى أن يبقى قطاع الطاقة على دراية كافية بالتطورات فى مجال الأمن السيبرانى مع مواصلة العمل للتخفيف من الاضطرابات المستقبلية ونقاط الضعف المحتملة فى الأنظمة التى يتحكم فيها.

وتشكّل الحماية ضد هذه التهديدات الإلكترونية تحديًا متزايدًا، وعليه، يوفر الكتاب الأبيض للمنتدى الاقتصادى العالمى “المرونة السيبرانية فى صناعة النفط والغاز” مجموعة من المبادئ التوجيهية لتوفير الخطوة الأولى لمساعدة كبار القادة فى تأمين البنية التحتية الحيوية ومعالجة المخاطر السيبرانية، وذلك على النحو التالى:

  • إنشاء نموذج حوكمة شامل للأمن السيبرانى.
  • تعزيز الأمن والمرونة عبر اتباع منهجيات التصميم.
  • تنفيذ آليات شاملة لإدارة المخاطر والدفاع، مع تعزيز القدرات فى مجالات الوقاية والمراقبة والاستجابة والتعافى.
  • إعداد واختبار خطة مرونة استنادًا إلى قائمة سيناريوهات محددة مسبقًا للتخفيف من تأثير الهجوم السيبرانى.
  • تعزيز التعاون الدولى بين القطاعين العام والخاص وبين جميع أصحاب المصلحة فى القطاع.[13]

 المصادر:

[1] أحمد شوقي، “خط أنابيب كولونيل.. الأكبر لنقل المشتقات النفطية فى أميركا”، 31 مايو 2022

https://attaqa.net/2022/05/31/%D8%AE%D8%B7-%D8%A3%D9%86%D8%A7%D8%A8%D9%8A%D8%A8-%D9%83%D9%88%D9%84%D9%88%D9%86%D9%8A%D9%84-%D8%A7%D9%84%D8%A3%D9%83%D8%A8%D8%B1-%D9%84%D9%86%D9%82%D9%84-%D8%A7%D9%84%D9%85%D8%B4%D8%AA%D9%82%D8%A7/

[2]Worley, Michael. Et al.  Rep. X-Force Threat Intelligence Index 2023. IBM Security X-Force. Accessed August 28, 2023. https://www.ibm.com/downloads/cas/DB4GL8YM?_ga=2.8462389.1085369109.1693167815-149674289.1692903074&_gl=1*169mg5q*_ga*MTQ5Njc0Mjg5LjE2OTI5MDMwNzQ.*_ga_FYECCCS21D*MTY5MzE2NzgxNC4yLjEuMTY5MzE2ODA1OS4wLjAuMA.

[3] Staff, SC. “Encino Energy Claims ‘no Impact’ from ALPHV Ransomware Attack.” SC Media, February 27, 2023. https://www.scmagazine.com/brief/encino-energy-claims-no-impact-from-alphv-ransomware-attack.

[4] “Cyber Security Threats in Energy Sector: Everything You Need to Know.” Swiss Cyber Institute, April 16, 2021. https://swisscyberinstitute.com/blog/all-you-need-to-know-about-cyber-security-threats-in-energy-sector/.

[5] Bailey, Tucker, Adam Maruyama, and Daniel Wallance. “The Energy-Sector Threat: How to Address Cybersecurity Vulnerabilities.” McKinsey & Company, November 3, 2020. https://www.mckinsey.com/capabilities/risk-and-resilience/our-insights/the-energy-sector-threat-how-to-address-cybersecurity-vulnerabilities.

[6] “Cyber Security Threats in Energy Sector: Everything You Need to Know.” Swiss Cyber Institute

[7] Moore, Ross. “Cyber Security Threats in Energy Sector.” Cybersecurity Crusaders. Accessed August 29, 2023. https://www.cybersecuritycrusaders.io/2021/05/25/cyber-security-threats-in-energy-sector/.

[8] Ilascu, Ionut. “Eletrobras, Copel Energy Companies Hit by Ransomware Attacks.” BleepingComputer, February 5, 2021. https://www.bleepingcomputer.com/news/security/eletrobras-copel-energy-companies-hit-by-ransomware-attacks/.

[9] مى مجدي، “أخطر هجمات سيبرانية تستهدف شركات الطاقة.. ابتزاز أرامكو أشهرها (تقرير)”، 6 مارس 2022

https://attaqa.net/2022/03/06/%D8%A3%D8%AE%D8%B7%D8%B1-%D9%87%D8%AC%D9%85%D8%A7%D8%AA-%D8%B3%D9%8A%D8%A8%D8%B1%D8%A7%D9%86%D9%8A%D8%A9-%D8%AA%D8%B3%D8%AA%D9%87%D8%AF%D9%81-%D8%B4%D8%B1%D9%83%D8%A7%D8%AA-%D8%A7%D9%84%D8%B7%D8%A7/

[10] “Some of the Biggest Cyberattacks on Energy Infrastructure in Recent Years.” Prospero Events Group, March 24, 2022. https://www.prosperoevents.com/biggest-cyberattacks-energy-infrastructure/.

[11] العربية.نت، “كيف هوجمت المنشأة النووية الإيرانية فى “نطنز” المعزولة من الإنترنت؟”، 6 يوليو 2019

https://www.alarabiya.net/iran/2019/07/06/%D9%83%D9%8A%D9%81-%D9%87%D9%88%D8%AC%D9%85%D8%AA-%D8%A7%D9%84%D9%85%D9%86%D8%B4%D8%A3%D8%A9-%D8%A7%D9%84%D9%86%D9%88%D9%88%D9%8A%D8%A9-%D8%A7%D9%84%D8%A7%D9%8A%D8%B1%D8%A7%D9%86%D9%8A%D8%A9-%D9%81%D9%8A-%D9%86%D8%B7%D9%86%D8%B2-%D8%A7%D9%84%D9%85%D8%B9%D8%B2%D9%88%D9%84%D8%A9-%D9%85%D9%86-%D8%A7%D9%84%D8%A7%D9%86%D8%AA%D8%B1%D9%86%D8%AA%D8%9F

[12] مى مجدي، مرجع سابق.

[13] “Why the Energy Sector’s Latest Cyberattack in Europe Matters.” World Economic Forum. Accessed August 30, 2023. https://www.weforum.org/agenda/2022/02/cyberattack-amsterdam-rotterdam-antwerp-energy-sector/.

كلمات مفتاحية