امنیت سایبری در تأسیسات صلح‌آمیز هسته‌ای

کارولین بایلون، همکار پژوهشی در حوزه علوم، فناوری و امنیت سایبری در اندیشکده چتم هاوس است. راجر برانت – پس از بازنشستگی از ارتش بریتانیا در سال ۲۰۰۴ – به‌عنوان مدیر «سازمان امنیت هسته‌ای صلح‌آمیز» [به سمت] تنظیم‌کننده امنیت در صنعت هسته‌ای صلح‌آمیز در دولت انگلیس منصوب شد. دیوید لیوینگستون عضو همکار در اندیشکده چتم هاوس است؛ اندیشکده‌ای او در آنجا در طیف گسترده‌ای از پروژه‌ها در حوزه‌های مدیریت خطر در سطح ملی، امنیت سایبری، ضدتروریسم، جرائم شدید سازمان‌یافته، امنیت هسته‌ای و امنیت فضایی مشارکت نموده است.

•حفاظت از داده‌ها و عملکرد تضمینی زیرساخت حیاتی•

همه فناوری‌ها از معایب و مزایایی برخوردارند. فناوری‌های دیجیتال نحوه ارتباط افراد با یکدیگر، بکارگیری ماشین‌ها و چگونگی اتصال ماشین‌ها به یکدیگر را متحول می‌سازند. حجم عظیمی از داده‌ها در حال گردش است و [سپس] ذخیره می‌شود؛ جهان ما برای ادامه حیات به‌طور روبه‌رشدی به اینترنت و دیجیتالی‌شدن متکی است. آسیب‌پذیری ناشی از به سرقت رفتن این اطلاعات به یکی از بزرگ‌ترین نقاط ضعف معاملات مالی و بازرگانی مبدل شده است. حفاظت از داده‌ها و عملکرد تضمینی زیرساخت حیاتی – مانند منابع انرژی، غذا و آب، حمل‌ونقل و ارتباطات – به عملکرد ایمن و تضمینی فناوری‌های دیجیتال بستگی دارد. امور شخصی افراد برای نمونه اطلاعات مربوط به سوابق و بیمه درمانی همچنان به‌شدت زیر پا گذاشته می‌شود. این گزارش در عین توجه به چنین موقعیت‌هایی بر روی دسته‌بندی بسیار خطرناک‌تر حمله سایبری – هنگامی‌که سامانه‌های نظارت صنعتی یک تأسیسات دچار اختلال شده و یا حتی تحت تسخیر و یا تجاوز خرابکاران داخل یا خارج همان تأسیساتی که چنین سامانه‌هایی در آنجا واقع شده‌اند، قرار می‌گیرد- متمرکز می‌شود.

•هیچ فناوری‌ای در برابر حوادث، اشتباهات و خرابکاری عامدانه مصون نیست•

در دوره‌های مختلف به انرژی هسته‌ای از زوایای متفاوتی – هم به‌مثابه برکت و هم مصیبت – نگاه شده است. نگرانی‌ها در خصوص خطرات بهداشتی ناشی از یونیزه‌کردن تشعشع بدین معنی بوده است که صنعت هسته‌ای طیف گسترده‌ای از تمهیدات امنیتی و ایمنی را برای جلوگیری از انتشار فاجعه‌بار تشعشع و جهت پاسخگویی سریع و مؤثر به وقوع احتمالی چنین حوادثی در نظر گرفته است. هرچند هیچ فناوری‌ای در برابر حوادث، اشتباهات و یا خرابکاری عامدانه مصون نیست. فاجعه هسته‌ای در [نیروگاه هسته‌ای] «فوکوشیما دایچی» در سال ۲۰۱۱ پس از «زمین‌لرزه و سونامی شدید توهوکو» نمونه جدیدی از آن چیزی است که هنگامی‌که پروتکل‌ها و بهسازی‌های پیشگیرانه به اجرا گذاشته نمی‌شوند و – یا شاید مهم‌تر از آن – وقتی‌که [شرایط] غیرمحتمل به غیرممکن تغییر می‌یابد و وظیفه برنامه‌ریزی برای [مقابله با شرایط] به‌شدت فاجعه‌بار نادیده گرفته می‌شود، شاید اتفاق بیفتد.

•پیامدهای خطرناک ایجاد اختلال در فعالیت فیزیکی یک نیروگاه هسته‌ای•

با این وجود نقش تولید برق هسته‌ای در وزارتخانه‌های انرژی بسیاری از کشورها چشمگیر باقی مانده و در برخی مناطق در حال گسترش است. در طول سال‌های اخیر آسیب‌پذیری زیرساخت حیاتی موضوع برخی پژوهش‌ها بوده است، اما با توجه به افشای ویروس دیجیتالی استاکس‌نت و تأثیری که این ویروس ظاهراً بر عملکرد تجهیزات برنامه هسته‌ای ایران بر جای گذاشته است، بسیاری از متخصصین ابراز نگرانی کرده‌اند که انجام تلاش‌هایی مشابه برای ایجاد اختلال در فعالیت فیزیکی یک نیروگاه هسته‌ای ممکن است خطر شدیدی به‌دنبال داشته باشد. مسلماً همانطورکه این گزارش متذکر می‌شود، شمار متعددی از حوادث مربوط به مداخله سایبری در نیروگاه‌های هسته‌ای گزارش شده است – با این فرض که صنعت هسته‌ای به شیوه‌های مشابه دیگر صنایع عمل می‌کند – ما باید گمان کنیم که این نمونه‌ها بخشی مشهود از معضلی بسیار جدی‌تر به شمار می‌روند.

•دامنه خطرات بالقوه مربوط به نقاط تلاقی امنیت سایبری و امنیت هسته‌ای•

به‌دنبال این نگرانی‌ها بخش امنیت بین‌المللی اندیشکده سلطنتی چتم هاوس – با حمایت «بنیاد جان دی. و کاترینتی. مک‌آرتور» – بررسی دامنه خطرات بالقوه مربوط به نقاط تلاقی امنیت سایبری و امنیت هسته‌ای را تقبل نمود. گروه نظارت بر این پروژه متشکل از متخصصین خبره در حوزه‌های امنیت سایبری و امنیت هسته‌ای تشکیل شد. کارولین بایلون، همکار پژوهشی در حوزه علوم، فناوری و امنیت سایبری در «اندیشکده چتم هاوس» ریاست پژوهش و تحلیل این پروژه را – از جمله انجام مصاحبه با ۳۰ متخصص صنعتی – بر عهده داشت. همچنین راجر برانت و دیوید لیوینگستون، هر دو از اعضای گروه نظارت تخصص صنعتی فراوانشان را در اختیار این پروژه قرار داده و کمک‌های ارزشمندی در راستای نگارش و تحلیل [آن] ارائه نمودند. این پژوهش نشان داد که صنعت هسته‌ای در حال آغاز دست‌به‌گریبان شدن با این تهدید جدید و حیله‌گرانه است. خطر سایبری علیه تأسیسات هسته‌ای به‌ویژه با توجه به افزایش اتکای صنعت هسته‌ای به سامانه‌های دیجیتال و همچنین افزایش مداوم فعالیت مجرمانه سایبری مستلزم ارزیابی و واکنش پایدار است.

•مقابله با تهدید سایبری علیه انرژی صلح‌آمیز هسته‌ای•

هدف ما این است که یافته‌های این پژوهش و پیشنهاد‌های ارائه شده در این گزارش برای مقابله با تهدید سایبری علیه انرژی صلح‌آمیز هسته‌ای می‌بایست با روح مساعدت و همکاری مورد ملاحظه قرار گیرد. روند «اجلاس امنیت هسته‌ای» – با توجه به برگزاری اجلاس آتی در سال ۲۰۱۶ – و نقش «آژانس بین‌المللی انرژی اتمی» در پرداختن به امنیت و ایمنی هسته‌ای به‌طور هماهنگ سازوکارهایی برای تضمین اینکه این مسئله حائز اهمیت از توجه بیشتری برخوردار خواهد شد، به شمار می‌روند. صنعت هسته‌ای، گروه‌های نظارتی، سازمان‌های امنیتی، دولت‌ها و سازمان‌های بین‌المللی می‌بایست با متخصصین امنیت سایبری به‌منظور تدوین واکنش‌های سیاسی قاطعانه از طریق اقدامات عملی هماهنگ‌شده برای پرداختن به کاستی‌های فنی، مدیریتی و فرهنگی مشخص‌شده در این گزارش بر پایه‌ای باثبات همکاری به عمل آورند.

نهایتاً همانطورکه این گزارش در نتیجه‌گیری متذکر می‌شود، بسیاری از یافته‌های این پژوهش را می‌توان به صنایع و بخش‌های دیگر نیز تعمیم داد. زیرساخت حیاتی گسترده‌تر در گوشه‌کنار جوامع – از جمله شبکه‌های برق، شبکه‌های حمل‌ونقل، حمل‌ونقل دریایی و سرمایه‌های ارتباطی فضا-محور – به‌همان شکل با [درجات] مختلف، اما با پیامدهای بالقوه شدید یکسانی در برابر حمله سایبری آسیب‌پذیر هستند. ما امیدوار هستیم که این گزارش به سمع‌ونظر کسانی که در قبال امنیت و ایمنی این زیرساخت حیاتی مسئولیت دارند، برسد و برای نفع همگانی به ایجاد فرهنگ مذاکره عمل‌گرایانه میان صنعت و متخصصین سایبری کمک نماید.

یافته‌های اصلی این گزارش به شرح ذیل است:

– این باور عمومی که تمامی تأسیسات هسته‌ای از اینترنت همگانی جدا و مجزا هستند، یک افسانه است. مزایای تجاری اتصال اینترنتی بدین معنی است که در حال حاضر ارتباطات وی. پی. ان. در برخی از تأسیسات هسته‌ای نصب شده‌اند که گردانندگان تأسیسات گهگاه از [این مسئله] اطلاعی ندارند.

– موتورهای جستجوگر به‌سهولت می‌توانند از طریق چنین ارتباطاتی اجزای زیرساخت حیاتی را شناسایی نمایند.

– این تدبیر حفاظتی حتی در تأسیسات مجهز شاید با یک فلش درایو نقض شوند.

– آسیب‌پذیری زنجیره تأمین بدین معنی است که تجهیزات بکار گرفته شده در تأسیسات هسته‌ای در هر مرحله‌ای با مخاطره مواجه است.

– فقدان آموزش در کنار قطع ارتباط میان مهندسین و کارکنان امنیتی بدین معنی است که کارکنان نیروگاه هسته‌ای غالباً از دستورالعمل‌های امنیتی سایبری کلیدی آگاهی ندارند. [اتخاذ] رویکرد واکنشی به‌جای رویکرد غیرمنفعلانه نسبت به [مقوله] امنیت سایبری به این امکان که تأسیسات هسته‌ای شاید از یک حمله سایبری تا هنگام اجرای آن آگهی نداشته باشند، کمک می‌کند.

گزارش مزبور در پرتو این مخاطرات خطوط کلی ترکیبی از سیاست‌ها و تمهیدات فنی را که برای مقابله با تهدیدات و پرداختن به چالش‌های مزبور ضروری خواهند بود، به دست می‌دهد.

توصیه‌های این گزارش به شرح زیر است:

– باید رهنمودهای برای سنجش خطر امنیت سایبری در صنعت هسته‌ای از جمله یک ارزیابی خطر جامعی که تمهیدات امنیتی و ایمنی را مورد ملاحظه قرار دهد، تدوین شود.

– باید گفتگوی نیرومندی با مهندسین و پیمان‌کاران به‌منظور افزایش آگهی در مورد خطر امنیت سایبری از جمله خطرات برقراری ارتباطات اینترنتی غیرمجاز صورت گیرد.

– باید قوانین در جاهایی که از قبل موجود نمی‌باشند، برای توسعه مراقبت آی. تی. مناسب در تأسیسات هسته‌ای (برای نمونه به‌منظور منع استفاده از ابزارهای شخصی) به اجرا درآیند و قوانین در جاهایی که موجود نمی‌باشند، تقویت شوند.

– باید افشاگری از طریق ترویج اشتراک اطلاعات به‌طور ناشناس و ایجاد «گروه واکنش فوری رایانه‌ای (CERTs)» بهبود پیدا کند.

– باید اتخاذ جهانی استانداردهای نظارتی ترویج شود.

متن کامل این گزارش را می‌توانید از لینک زیر دانلود نمایید:

اندیشکده چتم هاوس: امنیت سایبری در تأسیسات صلح‌آمیز هسته‌ای