أصدرت شركة Dragos Inc.، المتخصصة في الأمن السيبراني لبيئات التكنولوجيا التشغيلية (OT)، تقريرها لعام 2025 حول المخاطر المالية للأمن السيبراني في OT، بالتعاون مع مركز استخبارات المخاطر السيبرانية التابع لشركة Marsh McLennan.
يعتمد التقرير على نماذج إحصائية لتقدير التأثير المالي للحوادث السيبرانية في مجال OT، وتقييم فعالية مجموعة مختارة من ضوابط الأمان، بهدف تزويد المديرين التنفيذيين وشركات التأمين وفرق الأمن ببيانات تساعدهم على تقييم التعرض المالي واتخاذ الإجراءات المناسبة.
تشير الدراسة إلى أن الخسائر غير المباشرة – التي غالباً ما يتم استبعادها من النماذج القياسية – تمثل ما يصل إلى 70% من الحوادث المرتبطة بـ OT.
وفي أسوأ سيناريو تم نمذجته، يوصف بأنه حدث يحدث مرة واحدة كل 250 عاماً، قد تصل الخسائر السيبرانية العالمية في OT إلى 329.5 مليار دولار، منها 172.4 مليار دولار بسبب توقف الأعمال.
استناداً إلى تحليل بيانات انتهاكات الأمن ومطالبات التأمين على مدار عشر سنوات، حدّد التقرير بعض الضوابط التي ترتبط بقوة بتقليل الخسائر، ومنها: خطة الاستجابة للحوادث، البنية الدفاعية القابلة للحماية، ورصد شبكات أنظمة التحكم الصناعي (ICS).
يرتبط النموذج بـ خمسة ضوابط حرجة للأمن السيبراني لأنظمة ICS وفق SANS، ويستخدم عشرات الآلاف من المحاكاة لربط التدابير المحددة بتخفيض محتمل في المخاطر المالية.
يشير التقرير إلى أن العديد من المؤسسات لا تزال تواجه صعوبات في إدارة مخاطر OT السيبرانية بسبب:
محدودية البيانات حول العواقب المالية.
عدم اليقين بشأن العائد على الاستثمار للإجراءات الأمنية.
نقص المعايير المستقلة لتوجيه الأولويات.
كما يسلط الضوء على الضغوط المتزايدة، بما في ذلك البرمجيات الخبيثة المستهدفة والمتطلبات التنظيمية مثل قاعدة تقديم تقارير حوادث السيبرانية 8-K من SEC، كعوامل تزيد الحاجة إلى استراتيجيات أمان أكثر قابلية للدفاع والقياس.
قال روبرت إم. لي، الرئيس التنفيذي والمؤسس المشارك لـ Dragos Inc.: "أصبح المديرون التنفيذيون أكثر مسؤولية عن إدارة المخاطر السيبرانية، لكن الكثيرين لا يزالون يفتقرون إلى رؤية واضحة لبيئات OT. القدرة على قياس مخاطر OT السيبرانية وربطها بالخسائر المالية المحتملة تُعد تغيّر قواعد اللعبة. يملأ هذا التقرير فجوة حرجة بترجمة أمن OT إلى مخاطر مالية قابلة للقياس وتقييم الضوابط المصممة لتخفيف هذه المخاطر".
وأضاف مارك ستايسي، نائب الرئيس لحلول المخاطر والمرونة في Dragos: "لطالما افتقدت المؤسسات للسياق اللازم لفهم مخاطر OT السيبرانية من منظور الأعمال والمال. تملأ هذه الدراسة تلك الفجوة من خلال ربط بيانات مالية حقيقية بضوابط أمنية خاصة بـ OT، وتوفر لغة وإطار عمل مشترك للمديرين التنفيذيين ومديري المخاطر وشركات التأمين لاتخاذ قرارات مستنيرة بشأن الاستثمار والتأمين."
وقال سكوت سترانسكي، رئيس مركز استخبارات المخاطر السيبرانية في Marsh McLennan: "يوفر هذا التقرير رؤية جديدة لنمذجة المخاطر المالية المتعلقة بـ OT، ويمنح شركات التأمين ومشغلي OT الثقة لاتخاذ إجراءات فعّالة. من خلال ربط الضوابط إحصائيًا بتخفيض المخاطر القابلة للقياس، يمكن للمؤسسات تقييم جاهزية العملاء بشكل أفضل واتخاذ قرارات تغطية قائمة على المخاطر بدقة أعلى."
تعليقات الزوار