قطع الأتمتة، التوريد العالمي
0
How to Harden PLCs Against Cyber Threats in Factories?

كيف تحصّن وحدات التحكم المنطقية القابلة للبرمجة (PLCs) ضد التهديدات السيبرانية في المصانع؟

تستعرض هذه المقالة التقنية أمان وحدات التحكم المنطقية القابلة للبرمجة (PLC) وأنظمة التحكم الموزعة (DCS) من منظور مهندس، مع توضيح نقاط الضعف على مستوى البروتوكولات (Modbus، Profinet)، وإجراءات التقوية خطوة بخطوة، وممارسات البرمجة الآمنة، وبيانات حالة واقعية من منشآت السيارات ومعالجة المياه. كما تقدم إرشادات عملية لتقسيم الشبكات، وتكوين جدران الحماية، وإجراءات تحديث البرامج الثابتة، وتقوية الوصول عن بُعد.

فهم سطح الهجوم لوحدات التحكم المنطقية القابلة للبرمجة وأنظمة التحكم الموزعة الحديثة

وحدات التحكم المنطقية القابلة للبرمجة وأنظمة التحكم الموزعة تشكل النظام العصبي للأتمتة الصناعية. على عكس خوادم تكنولوجيا المعلومات المؤسسية، تعطي هذه الأجهزة أولوية للتوقيت الحتمي والتوافر العالي على ميزات الأمان. نتيجة لذلك، تفتقر معظم وحدات التحكم إلى الحمايات الأساسية مثل الاتصال المشفر، فحوصات السلامة، أو التحكم في الوصول بناءً على الدور. عندما تتصل شبكات الإنتاج بتكنولوجيا المعلومات المؤسسية أو منصات السحابة، يتوسع سطح الهجوم بشكل كبير. يمكن لمنفذ إيثرنت غير محمي واحد على PLC أن يعرض خط إنتاج كامل للاختراق عن بُعد.

نظرة معمقة: ثغرات على مستوى البروتوكول يجب أن يعرفها المهندسون

تم تصميم البروتوكولات الصناعية منذ عقود للبساطة والسرعة. لم يكن الأمان هدفًا تصميميًا أبدًا. يساعد فهم هذه الضعف التقنية المهندسين على اختيار الضوابط التعويضية المناسبة.

Modbus TCP: لا مصادقة، لا تشفير

يستخدم Modbus TCP رموز الوظائف 01-06 لعمليات القراءة والكتابة. يمكن لأي جهاز يصل إلى المنفذ 502 إرسال أوامر كتابة عشوائية. لا يوجد مفهوم جلسة، ولا هوية مستخدم، ولا تحقق من سلامة الرسائل. يمكن للمهاجم الذي يحصل على وصول إلى الشبكة إيقاف محرك، فتح صمام، أو تغيير نقطة ضبط دون ترك سجلات مصادقة. الحماية الوحيدة هي العزل على طبقة الشبكة أو بوابات طبقة التطبيق التي تصفي رموز الوظائف.

Profinet و EtherNet/IP: عرضة لهجمات الحقن

تعتمد هذه البروتوكولات الزمنية الحقيقية على تبادل البيانات الدوري. لا تتحقق من مصدر بيانات الإدخال/الإخراج. يمكن لجهاز خبيث يتظاهر بأنه وحدة تحكم IO حقن قراءات حساسات خاطئة. وبالمثل، يمكن للمهاجم تزوير برقية أمان والتسبب في توقفات طارئة. بدون تقسيم الشبكة أو فحص الحزم العميق، تمر هذه الهجمات دون اكتشاف.

OPC Classic: يعتمد على ثغرات أمان DCOM

تستخدم العديد من أنظمة DCS القديمة بروتوكول OPC DA (الوصول إلى البيانات) الذي يعتمد على Microsoft DCOM. لدى DCOM تاريخ طويل من ثغرات تنفيذ التعليمات البرمجية عن بُعد. علاوة على ذلك، لا يدعم OPC Classic التشفير بشكل أصلي. يمكن للمهاجمين الذين يخترقون خادم OPC قراءة أو كتابة أي علامة عملية. الترحيل إلى OPC UA مع تمكين الأمان هو المسار الموصى به.

دليل التقوية التقنية: خطوة بخطوة لمهندسي الميدان

تفترض الإجراءات التالية أن لديك وصولًا ماديًا أو وصولًا آمنًا عن بُعد إلى وحدة التحكم. قم دائمًا بإجراء هذه التغييرات خلال نافذة صيانة مخططة وتحقق من التشغيل بعدها.

الخطوة 1: إجراء تدقيق أساسي للأمان

اتصل بكل PLC باستخدام برنامج هندسي. سجل ما يلي: إصدار البرنامج الثابت، البروتوكولات المفعلة (HTTP، FTP، SNMP، Telnet)، منافذ TCP/UDP المفتوحة، حسابات المستخدمين المُعدة، وتاريخ آخر تغيير لكلمة المرور. استخدم جدول بيانات لتتبع الانحرافات عن معيار الأمان الخاص بك. بالنسبة لمتحكمات Siemens S7، تحقق من مستوى الوصول المكون في خصائص الأجهزة. بالنسبة لمتحكمات Rockwell، راجع إعدادات حماية المتحكم في Studio 5000.

الخطوة 2: تقوية تكوين المتحكم

عطّل جميع حزم البروتوكولات غير المستخدمة. في PLC النموذجي، أوقف خادم الويب، FTP، SNMP، وأي منافذ صيانة مملوكة. بالنسبة لمنافذ Ethernet، عطل التفاوض التلقائي للخدمات غير المستخدمة. غيّر عنوان الرف/الفتحة الافتراضي إذا سمح البروتوكول بالتعداد. في متحكمات Rockwell Logix، اضبط المنافذ غير المستخدمة على وضع "تعطيل" وفعل "حماية النظام" بمفتاح فريد.

الخطوة 3: تنفيذ تحكم وصول قوي

أنشئ حسابات مستخدمين فردية لكل مهندس. تجنب استخدام حساب "admin" أو "engineer" الافتراضي. للأنظمة التي تدعم الوصول القائم على الدور، عرّف ثلاثة أدوار على الأقل: المشغل (قراءة فقط)، الفني (قراءة وأوامر يدوية)، والمهندس (وصول كامل للبرنامج). اضبط قواعد تعقيد كلمة المرور: 12 حرفًا كحد أدنى، أحرف كبيرة وصغيرة، أرقام ورموز. غيّر كلمات المرور الافتراضية قبل توصيل PLC بأي شبكة.

الخطوة 4: تطبيق الحماية على مستوى الشبكة

ضع كل PLC خلف جدار حماية صناعي يفحص محتوى البروتوكول. أنشئ قواعد جدار حماية تسمح فقط لعناوين IP المصدر المحددة لكل نوع من الحركة. على سبيل المثال، اسمح بحركة HMI إلى PLC على منفذ البروتوكول 44818 (EtherNet/IP) ولكن احظر حركة برامج البرمجة (المنفذ 2222) إلا من محطة عمل هندسية مخصصة واحدة. استخدم VLAN لفصل PLCs السلامة عن PLCs التحكم القياسية. طبق مصادقة منفذ 802.1X على منافذ المحول لمنع اتصال الأجهزة غير المصرح بها.

الخطوة 5: إنشاء سير عمل آمن لتحديث البرنامج الثابت

لا تقم بتحديث البرنامج الثابت مباشرة من موقع البائع عبر الإنترنت. قم بتنزيل ملف البرنامج الثابت على جهاز كمبيوتر موثوق وغير متصل بالإنترنت. تحقق من التوقيع الرقمي للملف. اختبر التحديث على متحكم مطابق في بيئة مختبرية لمدة لا تقل عن 40 ساعة من التشغيل المحاكى. وثق إجراء التراجع في حال فشل التحديث. طبق التحديثات فقط خلال فترات التوقف المجدولة، وليس أثناء تشغيل العملية.

الخطوة 6: تكوين التسجيل والتنبيه

قم بتمكين إعادة توجيه syslog إذا كان PLC يدعم ذلك. بالنسبة للمتحكمات التي لا تدعم التسجيل الأصلي، استخدم نقطة مراقبة شبكة لمراقبة الحركة وتوليد تنبيهات لأحداث محددة: تنزيل البرنامج، تغيير الوضع من التشغيل إلى البرمجة، فرض IO، أو محاولات تسجيل دخول فاشلة متكررة. قم بإرسال السجلات إلى نظام SIEM مركزي مع قواعد ترابط خاصة بتقنية OT. اضبط مستويات شدة التنبيه بحيث يؤدي تغيير البرنامج خلال ساعات عدم العمل إلى تحقيق فوري.

التوجيه الفني المتقدم: ممارسات برمجة PLC الآمنة

يجب أن تمتد الحماية إلى داخل المنطق نفسه. تضيف هذه التقنيات البرمجية دفاعًا عميقًا داخل وحدة التحكم.

  • نفذ التحقق من مجموع التحقق (Checksum): احسب فحص التكرار الدوري لكتل المنطق الحرجة عند بدء التشغيل. خزّن القيمة المعروفة الجيدة في الذاكرة الدائمة. إذا لم يتطابق مجموع التحقق، قم بتفعيل حالة آمنة وتنبيه المشغلين.
  • استخدم مؤقتات المراقبة لفقدان الاتصال: لأي اتصال مع منفذ IO بعيد أو HMI، قم بضبط مؤقت مراقبة. إذا لم تصل الرسالة الدورية المتوقعة ضمن المهلة، حرك المخرجات إلى مواقع آمنة محددة مسبقًا. يمنع هذا البيانات القديمة أو المزيفة من التسبب في حركة خطرة.
  • تحقق من جميع مدخلات HMI في وحدة التحكم: لا تثق أبدًا بأن HMI يرسل قيمًا صحيحة. في منطق وحدة التحكم، تحقق من أن نقاط الضبط التناظرية تبقى ضمن الحدود الآمنة الدنيا والعليا. بالنسبة للأوامر المنفصلة، تحقق من صحة ترتيب التسلسل. ارفض أي أوامر خارج النطاق أو خارج التسلسل.
  • فصل منطق السلامة عن المنطق العادي: استخدم وحدات تحكم منطقية مخصصة للسلامة أو مداخل ومخارج مصنفة للسلامة لوظائف الإيقاف الطارئ والحماية. يجب ألا تمتلك وحدات التحكم العادية صلاحية الكتابة على مخرجات السلامة. يضمن هذا العزل أنه حتى في حالة اختراق وحدة تحكم عادية بالكامل، لا يمكنها تجاوز وظائف السلامة.

حالة تقنية من الواقع: مصنع سيارات يؤمن 320 وحدة تحكم منطقية قابلة للبرمجة

واجهت منشأة كبيرة لتجميع محركات السيارات تحتوي على 320 وحدة تحكم منطقية قابلة للبرمجة (Siemens S7-1200 وS7-1500) محاولات وصول غير مصرح بها متكررة من حواسيب محمولة لمقاولين مخترقين. نفذ فريق الهندسة في المصنع برنامج أمني منهجي مع الخطوات التقنية التالية.

  • تم إجراء جرد واكتشاف 47 وحدة تحكم منطقية قابلة للبرمجة لا تزال تستخدم كلمات مرور افتراضية نشطة.
  • تم تغيير جميع بيانات الاعتماد الافتراضية وتكوين عمر كلمة المرور ليكون 90 يومًا.
  • تم تعطيل خادم الويب وFTP على جميع وحدات التحكم عبر عملية دفعة في TIA Portal.
  • تم تنفيذ تقسيم الشبكة: خمس مناطق تشغيلية (OT) مفصولة بجدران حماية Siemens Scalance.
  • تم إنشاء قواعد جدار حماية صارمة: السماح فقط بحركة مرور Profinet IO (المنافذ 34962-34964) بين وحدة التحكم والمنفذ البعيد؛ السماح فقط باتصال S7 (المنفذ 102) من شاشات HMI وSCADA محددة؛ حظر جميع الحركات الأخرى.
  • تم تحديث البرامج الثابتة على جميع وحدات التحكم المنطقية القابلة للبرمجة الـ 320 من الإصدار 2.6 إلى 3.0 بعد اختبارها في المختبر.
  • تم تفعيل إعادة توجيه سجلات النظام إلى نظام SIEM مركزي مع تنبيهات لأحداث تنزيل البرامج.

النتائج المقاسة بعد 90 يومًا: انخفضت محاولات تسجيل الدخول غير المصرح بها من 487 إلى 39 في الشهر (انخفاض بنسبة 92%). انخفض وقت توقف الإنتاج الناجم عن الحوادث المتعلقة بالأمن السيبراني من 6 أحداث إلى 0. تم تقليل الوقت اللازم لاكتشاف تنزيلات البرامج الشاذة من 14 ساعة إلى 12 دقيقة. كانت التكلفة الإجمالية للمشروع 180,000 دولار، مما منع هجوم فدية محتمل كان سيكلف ما يقدر بـ 4.2 مليون دولار لكل أسبوع من التوقف.

حالة تقنية: منشأة معالجة المياه تقلل من حقن Modbus

تدير منشأة معالجة مياه بلدية 85 وحدة PLC باستخدام Modbus TCP على شبكة مسطحة. لاحظ المشغلون تشغيل صمامات متقطع وبدء مضخات بدون أمر من HMI. كشفت التحقيقات عن جهاز غير مصرح به على الشبكة يحقن رمز الوظيفة 05 (كتابة ملف لولبي واحد) ورمز الوظيفة 16 (كتابة سجلات متعددة).

نشر فريق الهندسة التدابير التقنية التالية:

  • تم تركيب جدار ناري صناعي (Tofino) في وضع شفاف بين المفتاح الرئيسي وشبكة PLC الفرعية.
  • تم إنشاء قائمة بيضاء للمعاملات المسموح بها في Modbus: فقط طلبات القراءة (رموز الوظائف 01، 02، 03، 04) من عناوين IP الخاصة بـ HMI وSCADA.
  • سمح بطلبات الكتابة (رموز الوظائف 05، 06، 15، 16) فقط من عنوان IP واحد مخصص لمحطة العمل الهندسية، وفقط خلال نوافذ الصيانة المحددة باستخدام قوائم التحكم بالوصول الزمنية.
  • تم تفعيل فحص الحزم العميق للتحقق من بقاء عناوين السجلات ضمن النطاقات المكونة.

النتائج: في الشهر الأول، حجب جدار الحماية 1,200 رمز وظيفة Modbus خبيث. توقفت تمامًا أوامر الكتابة غير المصرح بها إلى PLC المضخات الحرجة. استعاد المشغلون الثقة الكاملة في سلامة التحكم. كلف الحل 25,000 دولار، متجنبًا الغرامات البيئية المحتملة وانقطاعات الخدمة.

دليل المهندس لتكوين الوصول الآمن عن بُعد

الدعم عن بُعد لـ PLC ضروري من الناحية التشغيلية لكنه محفوف بالمخاطر التقنية. اتبع هذا النمط الدقيق للتكوين.

  • نشر مركز VPN مخصص لمنطقة OT: استخدم جهاز جدار ناري يدعم IPsec أو OpenVPN. ضعه في منطقة منزوعة السلاح (DMZ) بين IT وOT. لا تستخدم VPN الخاص بتقنية المعلومات للشركة للوصول إلى OT.
  • تكوين المصادقة متعددة العوامل لكل مستخدم: اشترط وجود شهادة أو رمز مادي بالإضافة إلى كلمة مرور. دمج مع دليل LDAP خاص بمنطقة OT.
  • تنفيذ قيود زمنية ومبنية على المصدر: السماح بالوصول عن بُعد فقط خلال ساعات معتمدة مسبقًا ومن عناوين IP عامة محددة لمكتب البائع.
  • استخدم جهاز قفز مع تسجيل الجلسة: اشترط على المستخدمين عن بُعد الاتصال أولاً بجهاز ويندوز مقفل داخل منطقة OT. يعمل كل برنامج برمجة PLC فقط على جهاز القفز هذا. سجل الفيديو الكامل وسجلات ضغطات المفاتيح.
  • فرض بيانات اعتماد لمرة واحدة: أنشئ كلمات مرور VPN فريدة لكل جلسة. قم بإلغائها تلقائيًا بعد 8 ساعات. قم بتدوير بيانات اعتماد المسؤول المحلي لجهاز القفز بعد كل زيارة للبائع.

استكشاف مشكلات تنفيذ أمان PLC الشائعة

غالبًا ما يواجه المهندسون مشاكل محددة عند تطبيق ضوابط الأمان. إليك الحلول التقنية.

  • المشكلة: بعد تغيير كلمة المرور الافتراضية، لا يمكن لبرنامج الهندسة الاتصال عبر الإنترنت.
    الحل: قم بمسح بيانات الاعتماد المخزنة في سجل محطة العمل الهندسية أو مدير بيانات الاعتماد. تتطلب بعض المنصات (Rockwell) إعادة تشغيل الطاقة للـ PLC لكي يسري تأثير كلمة المرور الجديدة على جميع الجلسات.
  • المشكلة: جدار الحماية يحظر حركة IO الشرعية بعد التقسيم.
    الحل: استخدم نسخ المنفذ لالتقاط الحركة أثناء تشغيل الإنتاج. حلل التقاط الحزم لتحديد جميع أزواج المصدر/الوجهة والمنافذ البروتوكولية المطلوبة. أنشئ قواعد السماح بناءً على هذه الحركة المرصودة، ثم انتقل إلى وضع الحظر.
  • المشكلة: فشل تحديث البرنامج الثابت ودخول PLC في وضع التوقف.
    الحل: قبل أي تحديث، تأكد من أن إصدار البرنامج الثابت الجديد يدعم نفس مراجعة الأجهزة بالضبط. استخدم أداة الاسترداد الخاصة بالبائع (مثل Siemens SIMATIC Field PG) للعودة إلى البرنامج الثابت السابق. احتفظ دائمًا بنسخة احتياطية من البرنامج الثابت الأصلي على وحدة USB غير متصلة بالإنترنت.

الأسئلة المتكررة من مهندسي الميدان

كيف يمكنني التحقق مما إذا تم العبث بـ PLC؟

قارن المنطق الجاري حاليًا مع نسخة احتياطية معروفة جيدة مخزنة دون اتصال. استخدم أدوات المقارنة داخل برنامج الهندسة (مثل "Compare Online/Offline" في TIA Portal أو "Compare Logic" في Studio 5000). تحقق من الطابع الزمني لتاريخ ووقت آخر تنزيل للبرنامج. راجع سجل PLC الداخلي إذا كان متاحًا. للتطبيقات الحرجة، نفذ التحقق من مجموع التحقق أثناء التشغيل داخل المنطق.

ما هي الطريقة الأكثر أمانًا لاختبار قواعد جدار الحماية دون تعطيل الإنتاج؟

نشر جدار الحماية في وضع الجسر الشفاف مع تسجيل الدخول فقط للأسبوع الأول. سجّل كل حركة مرور كان من الممكن حظرها. راجع السجلات لتحديد الإيجابيات الكاذبة. ثم انتقل إلى وضع الحظر خلال نافذة صيانة. استخدم زوجًا من جدران الحماية في وضع التبديل التلقائي بحيث يمكن تجاوز أحدهما إذا تم حظر مسار اتصال حرج عن طريق الخطأ.

هل يمكنني استخدام ماسح ثغرات IT قياسي على شبكات PLC؟

لا. الماسحات النشطة التي ترسل حزمًا مشوهة أو تحاول تسجيل الدخول الافتراضي يمكن أن تتسبب في تعطل أنظمة PLC القديمة. استخدم أدوات مراقبة OT السلبية التي تحلل حركة المرور الحالية دون توليد استقصاءات. إذا كان الفحص النشط ضروريًا، فاستخدم أدوات خاصة بالبائع (مثل Rockwell Safety Assurance Tool أو Siemens Sinema Remote Connect) التي تفهم قيود البروتوكولات الصناعية.

التوصيات الفنية النهائية لمهندسي التحكم

الأمن لأنظمة PLC وDCS ليس خيارًا في أتمتة الصناعة الحديثة. ابدأ بخلية إنتاج واحدة كمشروع تجريبي. نفذ تقوية كلمات المرور، إغلاق المنافذ، وتقسيم الشبكة. قِس انخفاض الأحداث الشاذة. وسّع إلى المنشأة بأكملها تدريجيًا. وثّق كل تغيير في التكوين في قاعدة أمان خاضعة للتحكم في الإصدارات. خصص ملكية كل متحكم لمهندس محدد. اعتبر الأمن كمهارة هندسية مستمرة، وليس مجرد تمرين امتثال لمرة واحدة. المصانع التي تدمج هذه الممارسات التقنية تقلل من مخاطر الهجمات الإلكترونية والتوقفات غير المخططة.

Allen-Bradley PLCs Boost Smart Manufacturing Previous

تعزيز التصنيع الذكي بواسطة وحدات التحكم المنطقية القابلة للبرمجة من ألين-برادلي

Next

ما هي الخطوات التقنية لنشر الحوسبة الطرفية مع وحدات التحكم المنطقية القابلة للبرمجة (PLCs)؟

What Are the Technical Steps to Deploy Edge with PLCs?
Back To Blog