اخیراً جناب کاظم زاده،یکی از مخاطبین گرامی سمینارها، در این پست پرسش ذیل را مطرح نمودند:

 

 

 

 

 

بخش‌هایی از این نظر که با * مشخص شده، توسط مدیر سایت حذف شده است

 

 

سلام جناب دکتر احمدیان

 

 

از مقالات آموزشی شما بسیار ممنونم. بنده و همکاران در سمینار اخیر شما حضور داشتیم و استفاده فراوان بردیم. سوالی در مورد دوره آموزشی امنیت کنترل صنعتی sans داشتم، در پروپوزال دوره آموزشی شما سرفصل های sans پوشش داده نشده است، می خواستم بدانم چرا؟ در دوره های دیگر موجود در ایتترنت نظیر دوره های **** *** ***** **** * **** *****  این سرفصل ها پوشش داده شده است.  آیا شما نیز این دوره ها را ارائه می کنید؟ شما کدام دوره را توصیه می کنید؟

 

 

 

 

 

 در مورد این سؤال به‌تفصیل پاسخ می‌دهم چون این مسئله چند ماهی است در چندین جلسه و محفل دیگر نیز مطرح‌شده است و خالی از لطف نیست که یک‌بار به شکل مفصل به آن پاسخ دهم.نخست باید به این نکته اشاره‌کنم که دوره‌های امنیت کنترل صنعتی غالباً در دو سطح برگزار می‌شوند؛ سطح نخست عمومی (دوره‌های مقدماتی) است که این دوره غالباً به شکل کاملاً نظری برگزار می‌شود، سطح دوم دوره‌های پیشرفته است که این دوره‌های باید به شکل نظری و عملی برگزار شوند. آنچه در ادامه مطرح می‌کنم معیارها و نیازمندی‌هایی است که یک دوره پیشرفته (مانند دوره‌های مشابه SANS) باید داشته باشد و شما چنانچه نیاز به برگزاری این دوره‌های تخصصی دارید فارغ از اینکه چه مدرس یا مدرسینی آن را ارائه می نمایند شرایط ذیل را برای انتخاب دوره و مدرس بررسی نمایید و در نظر بگیرید.

 

 

 

 

 

1.      نیاز به تخصص چندساله امنیتی و کنترلی: در سایر حوزه‌های امنیت اطلاعات داشتن مدارک معتبر بین‌المللی یا دانشگاهی می‌تواند شاخصی برای سنجش مهارت مدرس (مدرسین) باشد اما در این حوزه متأسفانه مدارک بین‌المللی چندان فراگیر نیستند و چند سالی است که دوره‌های بین‌المللی توسط SANS،DHS،SCADAHacker و غیره برگزار می‌شود. لذا معیار دقیق علمی برای سنجش مهارت علمی مدرسین و مراکز برگزار کننده در داخل کشور وجود ندارد اما آنچه کاملاً مشهود است و صنایع و سازمان‌ها باید در چنین شرایطی در انتخاب دوره و مدرس به آن توجه نمایند این است که حداقل مدرسین آن‌ها ضمن داشتن رزومه قوی در پژوهش و تدریس، سابقه درخشانی در پروژه‌های ارزیابی و امن سازی داشته باشند و تجربه عملیاتی از کار در صنایع و زیرساخت‌های حیاتی یا آزمایشگاه‌های مرتبط داشته باشند (این تجربه حداقل 5 سال زمان برای کار تخصصی در این حوزه است) وگرنه حاصل برگزاری دوره صرفاً ارائه محفوظاتی خواهد بود که با جست‌وجوی اندک در کتاب‌های این حوزه و مقالات عمومی قابل‌دسترسی است. قابل‌توجه است که در حوزه امنیت کنترل صنعتی بالغ‌بر 12 کتاب رسمی مرجع کاربردی (انگلیسی) و بالغ‌بر 600 مقاله معتبر (انگلیسی) قابل‌دسترس وجود دارد که طبیعتاً گروه مدرسین باید حداقل بر 50% این منابع اشراف کامل داشته باشند که خود این مسئله نیاز به زمانی بالغ‌بر 3 سال مطالعه تخصصی و کاربردی دارد.

 

 

2.      نیاز به تجهیزات آزمایشگاهی: برگزاری دوره‌های تخصصی امنیت اتوماسیون صنعتی نیاز به ارائه کارگاهی همراه با اجرای زنده حملات و راهکاری‌های امنیتی بر روی بسترهای آزمایشگاهی (Test Bed) دارد که مدرس(مدرسین) یا موسسه برگزارکننده این دوره‌ها باید توان تهیه این بسترهای آزمایشگاهی را داشته باشد و در کنار آن در سطحی از دانش و مهارت باشند که بتوانند حملات و راهکارهای امنیتی را بر روی سامانه‌های کنترل صنعتی پیاده‌سازی نمایند و دوره به سمت ارائه تنها نظری مطالب پیش نرود تا دوره اثربخش باشد. ذیلاً نمونه محل برگزاری یکی از این دوره‌های تخصصی را مشاهده می‌کنیم( به پلنت های کوچک  صنعتی روی میزهای آموزش دقت بفرمایید) :

کارگاه آموزشی امنیت اطلاعات سامانه‌ کنترل صنعتی

 

 ذیلاً نمونه یکی از بسترهای آزمایشی که ما از آن در دوره‌های آموزشی پیشرفته استفاده می‌کنیم را مشاهده می فرمایید: 

امنیت سیستم های کنترل صنعتی

به‌عنوان‌مثال یکی مصادیق بلوغ یک دوره‌این است که مدرسین در عمل مشخص کنند کدام‌یک از حملات لایه فناوری اطلاعات در لایه تجهیزات کنترل محلی تا سطح فیلد (دیجیتال و آنالوگ) قابل انجام است و صرفاً انبوهی از حملات فناوری اطلاعات که حتی بسیاری از آن‌ها در لایه‌های صنعتی امکان اجرا ندارند را به مخاطبین بی‌اطلاع منتقل نکنند.

 

 

3.      گروه مدرسین با تخصص‌های امنیت، شبکه، کنترل و ابزار دقیق: با توجه به بین‌رشته‌ای بودن امنیت کنترل و اتوماسیون صنعتی (گرایش‌های شبکه، امنیت اطلاعات، مهندسی نرم‌افزار از مهندسی کامپیوتر و گرایش‌های کنترل، ابزار دقیق و مخابرات از رشته مهندسی برق) توقع می‌رود گروه مدرسین دوره دارای تحصیلات و تخصص‌های متفاوت در هر یک از این گرایش‌ها باشند؛ طبیعتاً این کار در کشور ما از عهده یک نفر خارج است (به دلیل سابقه کم افراد متخصص این حوزه) و نیاز به چند مدرس برای ارائه دوره است. تاکید می کنم سابقه‌ی تدریس صرف در حوزه امنیت اطلاعات و شبکه یا در حوزه‌های کنترل و ابزاردقیق نمی‌تواند به معنای صلاحیت در تدریس دوره‌های امنیت سامانه‌های کنترل صنعتی باشد.

 

 

4.      هزینه بالای دوره‌های تخصصی: تاکنون چندین بار در یک سال گذشته از ما خواسته‌شده است که دوره‌های منطبق با SANS را ارائه نماییم و برای آن سیلابس معرفی نمایم؛ همیشه به مدیران محترم صنایع گفته‌ایم که صرف ارائه سیلابس کپی شده از دوره‌های SANS و مؤسسات دیگر امر منطقی نیست، چراکه این سیلابس در وب‌سایت‌های این مؤسسات خیلی شفاف و کامل معرفی‌شده است (نمونه1) مهم توانمندی در ارائه محتوا و تضمین کیفیت دوره است. برگزاری دوره‌های پیشرفته امنیت کنترل صنعتی در این سطح باید برای مدرسین مقرون‌به‌صرفه باشد چراکه به‌عنوان‌مثال خود دوره‌های SANS ICS 410 و 515 به‌طور میانگین برای هر نفر تقریباً 5هزاردلار  هزینه مطالبه می‌نمایند. بنابراین اگر قرار باشد ما دوره‌ای باکیفیت حداقل 60% دوره‌های مشابه هم ارائه نماییم باید هزینه‌ای متناسب با این کیفیت از صنایع دریافت نماییم که متأسفانه بسیاری از صنایع کشور در حال حاضر به چنین بلوغی نرسیده‌اند. لذا برگزاری این دوره‌ها با هزینه‌های بسیار پایین نمی‌تواند نشان از تطبیق با دوره با دوره‌های بین‌المللی باشد و مدیران محترم صنایع باید قبل از برگزاری دوره، ‌این مسئله را در نظر داشته باشند.

 

 

5.     چالش عدم رعایت کپی‌رایت در ایران و طرح سیلابس و جزئیات: این‌که ما تاکنون سرفصل جزئی دوره‌های مقدماتی و پیشرفته را به شکل عمومی منتشر نکرده‌ایم به دو دلیل است: نخست اینکه اگر قرار به کپی از دوره‌های خارجی باشد که نیاز به ارائه سرفصل نیست چراکه این سیلابس در وب‌سایت‌های این مؤسسات خیلی شفاف و کامل معرفی‌شده است (نمونه2) ، دوم اینکه جزئیات دوره‌های ما با توجه به نیاز کشور و شرایط صنایع کشور (بر اساس تجربه بالغ‌بر 4 سال کار با صنایع و آزمایشگاه‌های مرتبط)  طراحی‌شده است و به دلیل عدم رعایت قوانین کپی رایت در کشور هرگز قصد انتشار عمومی آن‌ها را نداریم.

 

 

6.       تجربه‌های موفق برگزاری: یکی دیگر از معیارهای سنجش دوره‌های آموزشی، تجربه‌های موفق برگزاری دوره‌ها توسط مدرس (مدرسین) است که می‌توانید با مراجعه به صنعت مربوطه اثربخشی دوره را به شکل ملموس مورد ارزیابی قرار دهید.

 

*قابل توجه است که ما نیز دوره  دوره آموزشی عملی « الزامات امنیت در سامانه های کنترل صنعتی و اسکادا»  را  منطبق بر سرفصل های رسمی دوره  SANS ICS410: ICS/SCADA Security Essentials) ارائه می کنیم که میتوانید به پست مربوطه جهت بهره برداری از این در دوره استفاده کنید.

 

مطالب مرتبط: