نویسنده: بلیک مورت و کیوا آلگود        مترجم: نیوشا امیدی        ۸ مرداد ۱۴۰۳

لزوم ایجاد فرهنگ تاب‌آوری سایبری توسط تولیدکنندگان

سازمان‌های تولیدی به دلیل تحمل پایین برای توقف تولید و سطح نسبتاً پایین بلوغ سایبری در مقایسه با سایر بخش‌ها، به طور خاص به هدفی سودآور و در دسترس برای حملات سایبری تبدیل می‌گردند. خطر سایبری به عنوان سومین ریسک خارجی بزرگ برای تولیدکنندگان تلقی می‌شود.

---

این مطلب نوشته‌ای است از بلیک مورت و کیوا آلگود که در تاریخ ۷ ژوئن ۲۰۲۴ با عنوان
3ways manufacturers can build a culture of cyber resilience
در وب‌سایت World Economic Forum منتشر شده است. ترجمه این مطلب توسط نیوشا امیدی انجام شده و در اختیار خوانندگان گرامی قرار می‌گیرد.

---

یافته‌های کلیدی

• حمله سایبری به یک شرکت تولیدی می‌تواند اثرات مخرب و زنجیره‌ای داشته باشد که حتی فراتر از صنعتِ خود، بر سایر سازمان‌ها در طول زنجیره تأمین تأثیر بگذارد.
• هزینه و تاثیر تجاری توقف تولید، باعث می‌شود تغییر یا ارتقاء سیستم‌ها بمنظور رسیدگی به امنیت سایبری برای تولیدکنندگان دشوار گردد، اما این امر همچنین آن‌ها را به یک هدف اصلی برای حملات سایبری تبدیل می‌نماید.
• با رعایت سه اصل کلیدی، تولیدکنندگان می‌توانند تاب‌آوری سایبری را در فرهنگ سازمانی خود ادغام کنند تا به تقویت امنیت خود و سایر سازمان‌های موجود در شبکه تجاری‌شان کمک نمایند.

بخش تولید، به عنوان عنصری ضروری در اقتصاد جهانی، طیف گسترده‌ای از صنایع را در بر می‌گیرد، از جمله کالاهای مصرفی، لوازم الکترونیکی، خودرو، انرژی و مراقبت‌های بهداشتی. به دلیل گستردگی و تأثیر جهانی خود، این بخش نقش مهمی در صادرات، نوآوری و رشد بهره‌وری ایفا می‌کند و موتور محرک توسعه اقتصادی در سراسر جهان است.

پراکندگی جهانی کارخانه‌های تولیدی، زنجیره‌های تأمین پیچیده‌ای را ایجاد کرده است که در آن تولیدکنندگان اغلب نقش مصرف‌کننده را نیز برعهده دارند. همچنین، بخش تولید با دیگر بخش‌های حیاتی مانند لجستیک، انرژی و فناوری اطلاعات در هم تنیده است. بنابراین، هرگونه اختلال در فرآیند تولید می‌تواند به صورت آبشاری بر سایر بخش‌ها و در نهایت بر کل جهان تأثیر بگذارد.

در طول یک دهه گذشته، بخش تولید شاهد تحول دیجیتال چشمگیری بوده است و با روی باز از نوآوری‌هایی مانند مدل‌های دیجیتال، رباتیک، هوش مصنوعی، رایانش ابری و اینترنت صنعتی اشیا (Industrial Internet Of Things) استقبال کرده است. در حالی که این پیشرفت‌ها محرک رشد و کارایی هستند، اما در عین حال، بخش تولید را در معرض تهدیدات سایبری نیز قرار می‌دهند.

افزایش حملات سایبری

انتقال از سیستم‌های ایزوله به سیستم‌های بهم‌پیوسته، همزمان با ظهور اینترنت و سپس رایانش ابری، چالش‌های امنیت سایبری را برای سازمان‌های صنعتی افزایش داده است - به ویژه از آنجایی که سازمان‌های مختلف همیشه بر سرمایه‌گذاری در امنیت سایبری تأکید یکسانی ندارند. افزایش تبادل داده در سراسر زنجیره تأمین، این خطرات را تشدید می‌کند. نتیجه این است که ریسک سایبری سیستمی، مسری و اغلب فراتر از درک یا کنترل هر نهاد واحدی است.

در واقع، افزایش اتصال و شفافیت داده، بخش تولید را به هدفمندترین بخش برای حملات سایبری به مدت سه سال متوالی تبدیل کرده است. این بخش اکنون ۲۵.۷ درصد از حملات را به خود اختصاص می‌دهد، در حالی که ۷۱ درصد از این حملات با باج‌افزار مرتبط هستند. سازمان‌های تولیدی به دلیل تحمل پایین برای توقف تولید و سطح نسبتاً پایین بلوغ سایبری در مقایسه با سایر بخش‌ها، به طور خاص به هدفی سودآور و در دسترس برای باج‌افزار تبدیل می‌شوند.

شرکت‌های تولیدی همچنین به دلیل چرخه‌های تولید طولانی خود و سرمایه‌گذاری‌های سنگین مورد نیاز برای بازطراحی خطوط تولید، اغلب در زمینه سرمایه‌گذاری برای تاب‌آوری سایبری عقب می‌مانند. به عنوان مثال، در فوریه ۲۰۲۴، یک تولیدکننده باتری آلمانی به دلیل حمله سایبری به سیستم فناوری اطلاعات خود، مجبور شد تولید را در ۵ کارخانه به مدت بیش از ۲ هفته متوقف کند.

با افزایش ۱۲۵ درصدی هزینه حملات به این بخش در هر سال، اکنون خطر سایبری به عنوان سومین ریسک خارجی بزرگ برای تولیدکنندگان تلقی می‌شود.

ایجاد یک فرهنگ تاب‌آور در برابر حملات سایبری

بخش تولید در ایجاد تاب‌آوری سایبری با پنج چالش اساسی روبرو است. مهمترین این چالش‌ها شکاف ذهنی فرهنگی بین دو محیط سازمانی (دفاتر اداری) و صنعتی است. در محیط صنعتی، اغلب اولویت بر امنیت فیزیکی به جای امنیت سایبری است. این شکاف مانعی جدی در برابر تلاش‌های ایجاد تاب‌آوری سایبری به شمار می‌رود.

چالش‌های فنی نیز یکی دیگر از موانع اصلی هستند. سیستم‌های قدیمی و منسوخ در کنار تعداد بالای دارایی‌های متصل‌شده در سیستم‌های کنترل صنعتی، باعث شده بسیاری از سازمان‌های تولیدی برای مقابله با تهدیدات سایبری پیشرفته، آمادگی نداشته باشند.

علاوه بر این، تولیدکنندگان اغلب برای ارتقای امنیت یا مقابله با حملات سایبری، تمایلی به توقف خطوط تولید ندارند. وابستگی گسترده این صنعت به اکوسیستم گسترده نیز برقراری تاب‌آوری سایبری را دشوار می‌سازد.

چالش‌های استراتژیک نیز از تنش‌های پویا بین عوامل اقتصادی، نیروهای بازار و مسائل ژئوپلیتیکی ناشی می‌شوند. به عنوان مثال، تولید تحت تأثیر عوامل خارجی مانند تورم جهانی و افزایش هزینه‌های انرژی قرار دارد. در گزارشی اخیر، شرکت Rockwell، خطرات سایبری را پس از این عوامل، به عنوان سومین مانع بزرگ برای تولیدکنندگان عنوان کرده است.

پیچیدگی دیگر این است که تولیدکنندگان باید از میان قوانین و استانداردهای مختلف صنعت در زمینه ایمنی کارکنان و محصولات، حفاظت از داده‌ها و امنیت سایبری عبور کنند. این مشکل زمانی پیچیده‌تر می‌شود که شرکت‌ها عملیات غیرمتمرکز داشته باشند؛ اکثر تولیدکنندگان، کارخانه‌هایی در سراسر جهان دارند و همچنین با شرکت‌های تابعه‌ای کار می‌کنند که ممکن است شیوه‌ها و اولویت‌های تصمیم‌گیری خاص خود را داشته باشند. فعالیت در چشم‌اندازهای نظارتی متنوع باعث پیچیدگی بیشتری می‌شود.

۳ راهکار برای ایجاد تاب‌آوری سایبری در بخش تولید

با وجود پیچیدگی‌های موجود، بخش تولید برای اینکه بتواند با خیال راحت، فناوری‌های جدید را کشف و به کار گیرد، باید با چالش‌های سایبری مقابله کند. در همین راستا، مرکز امنیت سایبری و مرکز تولید پیشرفته و زنجیره‌های تأمین مجمع جهانی اقتصاد، اخیراً جامعه‌ای از رهبران سایبری در بخش تولید را برای بحث در مورد چالش‌های کلیدی و شناسایی بهترین شیوه‌ها گرد هم آوردند.

خروجی این گردهمایی، یک راهنما با عنوان «ایجاد یک فرهنگ تاب‌آوری سایبری در بخش تولید»، به تشریح سه اصل کلیدی در زمینه تاب‌آوری سایبری می‌پردازد:

۱. تبدیل تاب‌آوری سایبری به یک اولویت تجاری:
این اصل بر نیاز به تغییر فرهنگی و حکمرانی جامع امنیت سایبری تأکید می‌کند. همچنین اهمیت تأمین بودجه و منابع، در عین حال ایجاد انگیزه برای اطمینان از پذیرش امنیت سایبری به عنوان یک هدف مشترک توسط همه ذینفعان را در بر می‌گیرد.

۲. طراحی با رویکرد تاب‌آوری سایبری:
این اصل به معنای ادغام تاب‌آوری سایبری در تمام جنبه‌های فرایندها و سیستم‌ها است. رویکرد مبتنی بر ریسک باید برای گنجاندن تاب‌آوری سایبری در توسعه محصولات، فرایندها، سیستم‌ها و فناوری‌های جدید به کار گرفته شود.

۳. تعامل و مدیریت اکوسیستم:
این اصل بر اهمیت ایجاد مشارکت‌های قابل اعتماد و افزایش آگاهی امنیتی در میان ذینفعان تاکید می‌کند. به جای اینکه یک سازمان کنترل زنجیره تامین نقش‌آفرینان دیگر را در دست داشته باشد، رویکرد اکوسیستمی شامل تشویق همه نهادهای یک شبکه تجاری برای همکاری در حل مسائلی مانند جرائم سایبری است.

این نوع افزایش اتصال نباید به معنای ریسک بیشتر باشد، در واقع می‌تواند به جابجایی یا حتی بهبود تدریجی ریسک‌پذیری یک سازمان کمک کند. بنابراین، اتصال می‌تواند مزایای فوق‌العاده‌ای برای برنامه امنیت سایبری یک سازمان به همراه داشته باشد. این بدان معناست که سیستم‌هایی که قبلاً ایزوله شده بودند و دید کمی به شرکت‌ها می‌دادند، می‌توانند در مقیاس بزرگ‌تر به طور مؤثرتری مدیریت شوند.

این سه اصل به هم مرتبط و از یکدیگر پشتیبانی می‌کنند. آنها با ۱۷ مورد واقعی از کاربردهای بخش تولید پشتیبانی می‌شوند و بنابراین در هر صنعت و موقعیت تولیدی قابل اجرا هستند. با پیشرفت دیجیتالی شدن، سازمان‌های بخش تولید باید از این اصول برای اولویت دادن به ایجاد یک فرهنگ قوی تاب‌آوری سایبری استفاده کنند. این امر به این صنعت کمک می‌کند تا به طور مؤثرتری در چشم‌انداز رو به رشد تهدیدات سایبری حرکت کند.

---

درباره نویسندگان:
بلیک مورت؛ رئیس و مدیر اجرایی شرکت راکول اتوماسیون
کیوا آلگود؛ رئیس مرکز زنجیره های تولید و تامین پیشرفته، مجمع جهانی اقتصاد LLC
آکشای جوشی؛ رئیس صنعت و مشارکت، فیلیپه بئاتو؛ سرپرست و جولیا موشکتا؛ متخصص تحقیق و تجزیه و تحلیل (همگی از مرکز امنیت سایبری)