CISA promuje model izolacji i odtworzenia dla infrastruktury krytycznej

Wprowadzenie do problemu / definicja

Amerykańska agencja CISA opublikowała nowe wytyczne dla operatorów infrastruktury krytycznej, koncentrujące się na dwóch kluczowych zdolnościach: izolacji skutków incydentu oraz szybkim odtworzeniu usług po cyberataku. Podejście to zakłada, że organizacje nie powinny planować wyłącznie prewencji, lecz również przygotować się na pracę w trybie ograniczonym, gdy część środowiska IT lub OT zostanie naruszona.

Model ten odzwierciedla zmianę podejścia do cyberodporności. Celem nie jest już tylko powstrzymanie ataku, ale także utrzymanie działania najważniejszych usług nawet wtedy, gdy infrastruktura zostanie częściowo odseparowana od sieci, dostawców lub usług zewnętrznych.

W skrócie

CISA uruchomiła inicjatywę CI Fortify, której celem jest zwiększenie odporności sektorów infrastruktury krytycznej na sabotaż, zakłócenia operacyjne i cyberataki wymierzone w systemy przemysłowe. Wytyczne kładą nacisk na utrzymanie ciągłości świadczenia usług w warunkach degradacji środowiska oraz na zdolność szybkiego i bezpiecznego odtworzenia kluczowych zasobów.

• priorytetem jest utrzymanie funkcji krytycznych mimo naruszenia środowiska,
• operatorzy mają przygotować procedury izolacji systemów i przejścia na tryb ograniczony,
• istotną rolę odgrywają kopie zapasowe, dokumentacja techniczna i ćwiczenia recovery,
• podejście uwzględnia możliwość długotrwałej pracy bez wsparcia zewnętrznych zależności.

Kontekst / historia

Publikacja wytycznych wpisuje się w rosnące obawy władz USA dotyczące zagrożeń dla infrastruktury krytycznej ze strony grup powiązanych z państwami. W ostatnich latach szczególną uwagę zwrócono na kampanie przypisywane aktorom sponsorowanym przez państwa, których celem było uzyskanie trwałego i trudnego do wykrycia dostępu do systemów wspierających sektor energii, transportu, telekomunikacji i wodociągów.

Z perspektywy strategicznej nie chodzi wyłącznie o klasyczne cyberprzestępstwo. Coraz częściej analizowany jest scenariusz, w którym cyberoperacje wspierają konflikt geopolityczny i mają utrudnić reakcję państwa poprzez zakłócenie podstawowych usług. W takim modelu infrastruktura krytyczna staje się celem nie ze względu na dane, lecz z powodu jej znaczenia dla ciągłości funkcjonowania społeczeństwa i państwa.

Nowe zalecenia CISA rozwijają wcześniejsze ostrzeżenia amerykańskich służb i nawiązują do podobnych prac prowadzonych wcześniej przez administrację Australii. W praktyce oznacza to przesunięcie akcentu z samego zapobiegania włamaniu na utrzymanie działania mimo włamania.

Analiza techniczna

Sednem CI Fortify jest założenie, że operator powinien umieć odizolować kluczowe zasoby operacyjne i kontynuować świadczenie usług w środowisku zdegradowanym przez tygodnie, a nawet miesiące. To istotna zmiana względem tradycyjnych modeli disaster recovery, które często zakładają szybszy powrót do normalnego stanu i dostępność usług wspierających.

W warstwie technicznej oznacza to konieczność identyfikacji krytycznych odbiorców usług, mapowania zależności OT, dokumentowania niezbędnych aktywów oraz określenia minimalnego zestawu systemów potrzebnych do utrzymania operacji. Operatorzy muszą wiedzieć, które sterowniki, serwery inżynierskie, stacje operatorskie, systemy komunikacyjne i mechanizmy bezpieczeństwa są absolutnie niezbędne do pracy w trybie izolowanym.

CISA podkreśla, że w scenariuszu kryzysowym nie można zakładać dostępności łączy telekomunikacyjnych, internetu, zdalnego wsparcia dostawców ani usług serwisowych. Jest to szczególnie ważne w środowiskach OT, które często są silnie uzależnione od połączeń zewnętrznych, zdalnego utrzymania i rozbudowanych łańcuchów dostaw.

Wytyczne akcentują również znaczenie aktualnej dokumentacji technicznej, kopii zapasowych oraz ćwiczeń odtworzeniowych. Obejmuje to nie tylko przywracanie konfiguracji i systemów, ale także testowanie wymiany komponentów, odtwarzania urządzeń oraz przejścia na procesy ręczne, jeśli systemy cyfrowe przestaną działać. W praktyce taki model wymaga wcześniejszego przygotowania procedur inżynierskich, zapasowych części, znanych dobrych konfiguracji oraz jasno zdefiniowanych warunków bezpiecznej pracy offline.

Konsekwencje / ryzyko

Najważniejsze ryzyko polega na tym, że wiele organizacji infrastruktury krytycznej jest przygotowanych do ochrony przed incydentem, ale nie do działania po jego materializacji. Jeśli atakujący uzyska dostęp do sieci OT lub zakłóci zależności zewnętrzne, brak zdolności izolacji może doprowadzić do całkowitego zatrzymania usług.

Zagrożenie rośnie w środowiskach, w których istnieje silna integracja IT i OT, szerokie użycie zdalnego dostępu, niewystarczająca segmentacja sieci oraz zależność od jednego dostawcy usług komunikacyjnych lub serwisowych. W takim układzie pojedynczy incydent może wywołać efekt kaskadowy: utratę widoczności operacyjnej, brak zdalnego wsparcia, problemy z rekonfiguracją urządzeń i opóźnienia w przywracaniu pracy.

W perspektywie krajowej skutki mogą obejmować przerwy w dostawach energii, zakłócenia transportu, ograniczenie usług wodociągowych czy utratę ciągłości pracy obiektów o znaczeniu strategicznym. Dla operatorów oznacza to nie tylko ryzyko techniczne, ale również odpowiedzialność regulacyjną, reputacyjną i operacyjną.

Rekomendacje

Organizacje odpowiedzialne za infrastrukturę krytyczną powinny w pierwszej kolejności zidentyfikować usługi, które muszą zostać utrzymane w każdych warunkach, oraz przypisać im minimalny zestaw zasobów OT i IT. Następnie należy opracować realistyczny model pracy w izolacji, zakładający brak części połączeń zewnętrznych i ograniczoną dostępność dostawców.

• przeprowadzić pełne mapowanie zależności między systemami OT, IT i usługami stron trzecich,
• wzmocnić segmentację sieci oraz przygotować procedury szybkiego odłączania wybranych stref,
• utrzymywać aktualną dokumentację architektury, konfiguracji i procesów operacyjnych,
• regularnie testować kopie zapasowe, odtwarzanie konfiguracji i wymianę komponentów,
• przygotować procedury działania manualnego tam, gdzie jest to technicznie możliwe,
• zweryfikować, czy dostawcy i integratorzy wspierają scenariusze pracy offline i recovery,
• prowadzić ćwiczenia tabletop oraz testy techniczne dla scenariuszy sabotażu i degradacji usług.

Ważnym elementem pozostaje także współpraca z dostawcami technologii. Operatorzy powinni wymagać od vendorów ograniczania barier dla izolacji i odtworzenia, a także jasnego określenia zależności komunikacyjnych, licencyjnych i serwisowych, które mogą utrudnić działanie w warunkach kryzysowych.

Podsumowanie

Inicjatywa CI Fortify pokazuje, że odporność cybernetyczna infrastruktury krytycznej nie może opierać się wyłącznie na wykrywaniu i blokowaniu ataków. Równie istotna staje się zdolność do utrzymania usług w warunkach naruszenia oraz szybkie, kontrolowane odtworzenie środowiska.

Dla sektorów OT oznacza to konieczność przejścia od deklaratywnej cyberodporności do praktycznie sprawdzonych scenariuszy izolacji, degradacji i recovery. Organizacje, które nie przygotują się na pracę w trybie ograniczonym, mogą w przyszłości ponieść znacznie większe koszty operacyjne i bezpieczeństwa.

Źródła

1. Cybersecurity Dive – CISA urges critical infrastructure firms to ‘fortify’ before it’s too late – https://www.cybersecuritydive.com/news/cisa-ci-fortify-isolation-recovery-guidance/819317/
2. Cybersecurity Dive – China-linked hackers primed to attack US critical infrastructure, FBI director says – https://www.cybersecuritydive.com/news/fbi-china-hackers-us-critical-infrastructure/706307/
3. CISA – CI Fortify – https://www.cisa.gov/topics/industrial-control-systems/ci-fortify
4. Australian Cyber Security Centre – CI Fortify – https://www.cyber.gov.au/business-government/secure-design/operational-technology-environments/ci-fortify
5. Cybersecurity Dive – CISA, FBI confirm critical infrastructure intrusions by China-linked hackers – https://www.cybersecuritydive.com/news/cisa-fbi-critical-infrastructure-china-hacker/706935/