زهرا وجدانی: با گسترش تهدید‌های سایبری در حوزه زیرساخت‌های صنعتی و ضرورت ارتقای تاب‌آوری سایبری در صنایع حیاتی کشور، توجه به امنیت شبکه‌های فناوری عملیاتی (OT) بیش از هر زمان دیگری اهمیت یافته است. صنایع نفت و گاز، پتروشیمی، فولاد، برق، مس و سایر بخش‌های راهبردی کشور به عنوان شریان‌های حیاتی اقتصاد در معرض آسیب‌پذیری‌های نوظهور قرار دارند و ارزیابی دقیق این آسیب‌پذیری‌ها یکی از اولویت‌های اصلی حوزه امنیت سایبری محسوب می‌شود.

نخستین رقابت ملی تست نفوذ OT در چارچوب المپیک فناوری ۲۰۲۵ با هدف شناسایی نقاط ضعف امنیتی و ارتقای توان دفاعی در صنایع کلیدی کشور برگزار می‌شود؛ رقابتی که با مشارکت تیم‌های متخصص داخلی و بر اساس سناریو‌های واقعی امنیت صنعتی طراحی شده است و می‌تواند دستاورد‌های مهمی برای کشور به همراه داشته باشد.

در همین راستا با محمدمهدی احمدیان، استاد دانشگاه صنعتی امیرکبیر و مسئول تیم داوری مسابقه تست نفوذ OT در رابطه با جزئیات برگزاری این رویداد به گفت‌و‌گو پرداختیم.

ارزیابی امنیت زیرساخت‌های صنعتی کشور 

استاد دانشگاه صنعتی امیرکبیر و مسئول تیم داوری مسابقه تست نفوذ سامانه‌های صنعتی (OT) المپیک فناوری ۲۰۲۵ در گفت‌و‌گو با خبرنگار علمی برنا از برگزاری نخستین دوره این چالش تخصصی در ایران خبر داد.

محمدمهدی احمدیان با بیان اینکه این رقابت متفاوت از دیگر رویداد‌های حوزه امنیت سایبری است اظهار کرد: در کنار چالش‌های سخت‌افزاری و حوزه IT این مسابقه به‌طور ویژه بر زیرساخت‌های صنعتی و بخش OT متمرکز است؛ یعنی حوزه‌هایی مانند صنایع پتروشیمی، پالایش نفت و گاز، فولاد، مس و سایر صنایع حیاتی کشور.

به گفته وی تیم‌های شرکت‌کننده باید با رعایت تمامی ملاحظات امنیتی و پروتکلی مسابقه، ارزیابی امنیتی انجام داده و پرچم‌ها (Flags) مبتنی بر آسیب‌پذیری‌های تعریف‌شده در شبکه‌های IT و OT را کشف کنند.

شناسایی و رفع آسیب‌پذیری‌های حیاتی صنعتی

این داور مسابقات خاطرنشان کرد: در صنایع کشور با چالش‌های امنیتی جدی مواجه هستیم و این زیرساخت‌ها اکنون مورد تهدید قرار دارند. این نخستین بار است که چنین رویدادی در ایران برگزار می‌شود و از سال آینده با افزایش تعداد شرکت‌کنندگان می‌توانیم به بهبود امنیت در بخش صنعتی کمک بیشتری کنیم.

۸ سناریوی تخصصی برای آزمون امنیت

مسئول تیم داوری درباره پروژه‌های ارائه‌شده توضیح داد: حداقل ۸ سناریوی تخصصی برای این رقابت تعریف شده که در روز‌های ۶ و ۷ آبان‌ماه اجرا می‌شود. این‌که تیم‌ها چه تعداد Flag بتوانند کشف کنند، بستگی به توان فنی و سرعت عملکرد آنها دارد.

حضور ۷ تیم داخلی در رقابت

وی اعلام کرد: در این دوره ۷ تیم دو تا سه نفره حضور دارند. امسال مطابق با پروتکل‌های امنیتی تمام تیم‌ها از داخل کشور هستند.

احمدیان افزود: سناریو‌ها با پوشش طیف متنوع صنایع طراحی شده تا قابلیت کاربرد در محیط‌های واقعی را داشته باشد. تیم‌ها ابتدا مشکل را شناسایی و سپس اقدام به رفع آسیب‌پذیری و کشف Flag می‌کنند.

داوری مبتنی بر سرعت و سطح سختی

وی درباره نحوه داوری نیز گفت: امتیازدهی بر اساس تعداد سناریو‌های حل‌شده و زمان رسیدن به پاسخ است. برخی سؤالات لایه‌های مختلف با سطوح سختی متفاوت دارند و ممکن است یک سؤال ۶ مدل امتیازی داشته باشد. سرعت و دقت هر دو نقش تعیین‌کننده دارند.

ارزیابی نهایی تا یک هفته پس از مسابقه

این استاد دانشگاه توضیح داد: بخش اصلی داوری طی همین دو روز مشخص می‌شود؛ اما گزارش‌های تخصصی تیم‌ها باید ارائه شود که ارزیابی نهایی آنها ممکن است یک هفته تا ۱۰ روز به طول انجامد.

به گفته احمدیان: مسابقه از ساعت ۱۰ صبح ۶ آبان ۱۴۰۴ آغاز شده و بسته به عملکرد تیم‌ها ممکن است کشف Flag‌ها تا ساعات پایانی شب ادامه داشته باشد.

شرکت‌کنندگان جوان و متخصص

وی دامنه سنی متخصصان حاضر در این رقابت را حدود ۱۸ تا ۳۰ سال عنوان کرد و گفت این رویداد بستری برای کشف و حمایت از استعداد‌های امنیت سایبری صنعتی در کشور است.

ضرورت تداوم ارزیابی امنیت صنعتی

ارزیابی امنیت در سامانه‌های فناوری عملیاتی (OT) بخشی بنیادین از مدیریت ریسک در صنایع زیرساختی است. هرگونه اختلال سایبری در این حوزه می‌تواند پیامد‌های فیزیکی گسترده، توقف تولید و تهدید مستقیم ایمنی نیرو‌های انسانی و تجهیزات را به همراه داشته باشد. رویداد اخیر با تمرکز بر سناریو‌های واقعی، فرصتی برای سنجش سطح آمادگی عملیاتی تیم‌های متخصص و آزمایش رویه‌های فنی مقابله با نفوذ در شبکه‌های صنعتی فراهم کرد؛ شبکه‌هایی که به دلیل ماهیت پیوستگی با تجهیزات فیزیکی، بسیار حساس‌تر و پرمخاطره‌تر از شبکه‌های صرفا IT هستند.

تحلیل نتایج چنین رقابتی می‌تواند به ارتقای استاندارد‌های امنیتی، تقویت رویه‌های پایش و شناسایی تهدید، و توسعه راهکار‌های واکنش به حوادث در صنایع حیاتی کشور منجر شود. از سوی دیگر استمرار این ارزیابی‌ها تنها راه شناسایی آسیب‌پذیری‌های نهفته در لایه‌های مختلف کنترل صنعتی است؛ آسیب‌پذیری‌هایی که در صورت غفلت، ممکن است در آینده به نقطه شکست تبدیل شوند.

حال پرسش اساسی اینجاست: آیا صنعت و نهاد‌های مسئول، از ظرفیت‌ها و نتایج این رقابت‌ها برای کاهش واقعی مخاطرات سایبری در زیرساخت‌های کشور بهره‌برداری خواهند کرد؟

انتهای پیام/