Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Amerykańska agencja CISA uruchomiła inicjatywę CI Fortify, której celem jest zwiększenie odporności infrastruktury krytycznej na cyberataki powiązane z napięciami geopolitycznymi. Program koncentruje się na dwóch filarach: izolacji środowisk operacyjnych oraz zdolności do ich bezpiecznego odtworzenia po incydencie.
To podejście zakłada, że operatorzy usług kluczowych muszą być przygotowani nie tylko na próbę włamania, ale również na długotrwałe funkcjonowanie w warunkach ograniczonej łączności, utraty wsparcia zewnętrznego i obecności napastnika wewnątrz sieci. W praktyce oznacza to odejście od myślenia wyłącznie o prewencji na rzecz odporności operacyjnej.
W skrócie
CISA ostrzega, że operatorzy infrastruktury krytycznej w USA pozostają stałym celem zaawansowanych aktorów państwowych. Zagrożenie nie ogranicza się do cyberszpiegostwa, lecz obejmuje także możliwość zakłócenia działania systemów OT odpowiedzialnych za utrzymanie podstawowych usług.
- CI Fortify promuje przygotowanie organizacji do pracy w trybie odizolowanym.
- Program zakłada szybkie i kontrolowane odtworzenie systemów po kompromitacji.
- Szczególny nacisk położono na segmentację, dokumentację środowiska, kopie zapasowe i procedury przejścia na operacje manualne.
Kontekst / historia
W ostatnich latach sektor infrastruktury krytycznej pozostaje jednym z głównych celów działań cybernetycznych sponsorowanych przez państwa. Incydenty dotyczące telekomunikacji, przemysłu, energetyki, ochrony zdrowia i systemów sterowania przemysłowego pokazały, że napastnicy coraz częściej dążą do uzyskania trwałej obecności w środowiskach o znaczeniu strategicznym.
Tego rodzaju operacje mają często charakter przygotowawczy. Zamiast natychmiastowej destrukcji chodzi o wcześniejsze rozpoznanie, budowę przyczółków oraz utrzymanie dostępu, który może zostać wykorzystany w momencie eskalacji konfliktu. Na tym tle CI Fortify należy postrzegać jako próbę przejścia od modelu ochrony skoncentrowanego na zapobieganiu do modelu zakładającego przetrwanie incydentu.
Dla środowisk ICS i OT jest to szczególnie istotne, ponieważ całkowite zatrzymanie procesów bywa bardziej kosztowne i ryzykowne niż praca w trybie zdegradowanym. CISA zakłada scenariusz, w którym organizacja musi kontynuować świadczenie usług mimo aktywnego incydentu, utraty dostępu do internetu, problemów z dostawcami oraz ograniczonej dostępności podmiotów trzecich.
Analiza techniczna
Najważniejszym elementem inicjatywy jest założenie, że kompromitacja nie jest scenariuszem hipotetycznym, lecz realnym punktem wyjścia do planowania obrony. Oznacza to projektowanie środowisk OT tak, aby mogły przetrwać naruszenie bezpieczeństwa bez utraty podstawowych funkcji operacyjnych.
Pierwszy filar, czyli izolacja, polega na celowym odseparowaniu systemów operacyjnych od sieci zewnętrznych, środowisk biznesowych oraz połączeń, które mogą stać się kanałem propagacji ataku. Nie chodzi wyłącznie o tradycyjne odłączenie od internetu, ale o zdolność do szybkiego ograniczenia zaufanych ścieżek komunikacyjnych, interfejsów z partnerami, kanałów zdalnego wsparcia i integracji IT/OT.
W środowisku przemysłowym wymaga to precyzyjnej segmentacji sieci, inwentaryzacji zależności między systemami oraz zrozumienia, które komponenty można bezpiecznie odłączyć bez utraty ciągłości procesu. Bez tej wiedzy organizacja nie będzie w stanie skutecznie przejść w tryb ograniczonego działania.
Drugi filar, odtwarzanie, obejmuje działania konieczne wtedy, gdy sama izolacja nie wystarczy. Chodzi o utrzymywanie aktualnej dokumentacji systemów, regularnie testowanych kopii zapasowych oraz ćwiczeń odtworzeniowych. Z perspektywy technicznej oznacza to konieczność posiadania zweryfikowanych obrazów systemów, procedur przywracania sterowników, serwerów inżynierskich, stacji operatorskich i komponentów pośredniczących.
Kluczowe pozostaje także rozróżnienie pomiędzy odtworzeniem funkcjonalności a odtworzeniem zaufania do środowiska. System przywrócony z backupu nie jest automatycznie środowiskiem czystym, jeśli nie usunięto źródła kompromitacji i nie przeprowadzono odpowiedniej walidacji.
W tle tej strategii znajduje się również problem kontroli dostępu wewnątrz środowiska. Sama izolacja może nie wystarczyć, jeżeli atakujący poruszają się już przez połączenia uprzywilejowane, konta serwisowe, relacje zaufania lub skompromitowane dane uwierzytelniające. Dlatego skuteczna realizacja założeń CI Fortify wymaga połączenia segmentacji z silnym zarządzaniem tożsamością, monitoringiem ruchu w OT, detekcją anomalii oraz ograniczaniem lateral movement.
Konsekwencje / ryzyko
Dla operatorów infrastruktury krytycznej komunikat CISA oznacza konieczność przyjęcia bardziej realistycznego modelu zagrożeń. Największe ryzyko dotyczy organizacji, które zakładają nieprzerwaną dostępność dostawców, usług chmurowych, zdalnego wsparcia lub łączności internetowej.
W warunkach kryzysowych te zależności mogą przestać działać dokładnie wtedy, gdy będą najbardziej potrzebne. Uderzenie w środowiska OT może prowadzić nie tylko do skutków informatycznych, ale również do przestojów operacyjnych, utraty zdolności świadczenia usług publicznych, zagrożeń dla bezpieczeństwa fizycznego oraz efektu domina w łańcuchach dostaw.
Dodatkowym problemem jest długi cykl życia systemów przemysłowych, ograniczona możliwość aktualizacji oraz zależność od starszych technologii. To utrudnia szybkie reagowanie i zwiększa koszty wdrożenia nowoczesnych mechanizmów ochronnych.
Istotnym ryzykiem jest także mylenie odporności z samą redundancją. Organizacja może posiadać zapasowe systemy, ale jeśli wszystkie opierają się na tych samych zależnościach sieciowych, procesowych i tożsamościowych, kompromitacja jednego segmentu może objąć całość środowiska.
Rekomendacje
Operatorzy powinni rozpocząć od pełnej inwentaryzacji aktywów OT, połączeń z IT, dostawcami oraz usługami zdalnymi. Bez mapy zależności nie da się skutecznie zaprojektować izolacji ani ocenić, które funkcje są krytyczne dla utrzymania minimalnego poziomu operacyjnego.
Następnie należy wdrożyć segmentację dostosowaną do procesów przemysłowych, z jasno zdefiniowanymi punktami odcięcia i procedurami awaryjnego rozłączenia. Ważne jest, aby scenariusze izolacji były ćwiczone praktycznie, a nie jedynie opisane w dokumentacji.
Równolegle trzeba rozwijać dojrzałe zdolności odtworzeniowe. Oznacza to utrzymywanie offline’owych lub logicznie odseparowanych kopii zapasowych, testowanie procedur przywracania, walidację integralności backupów oraz przygotowanie obrazów referencyjnych dla kluczowych komponentów.
W środowiskach OT szczególnie ważne jest odtworzenie konfiguracji urządzeń, logiki sterowania i ustawień komunikacyjnych, które często są bardziej krytyczne niż sam system operacyjny. Należy także przygotować procedury pracy manualnej lub lokalnej obsługi procesów, jeśli automatyzacja zostanie czasowo ograniczona.
Kolejnym obszarem jest ograniczanie zaufania do połączeń uprzywilejowanych i relacji zewnętrznych. W praktyce oznacza to stosowanie silnego uwierzytelniania, ograniczanie dostępu dostawców do minimum operacyjnego, monitorowanie sesji zdalnych i usuwanie nieużywanych ścieżek administracyjnych.
Na poziomie zarządczym rekomendowane jest połączenie planów reagowania na incydenty z planami ciągłości działania i bezpieczeństwa procesowego. Cyberatak na infrastrukturę krytyczną nie jest wyłącznie incydentem IT, lecz zdarzeniem operacyjnym wymagającym współpracy zespołów SOC, inżynierów automatyki, utrzymania ruchu, dostawców technologii oraz kierownictwa odpowiedzialnego za ryzyko.
Podsumowanie
CI Fortify pokazuje, że ochrona infrastruktury krytycznej coraz mniej opiera się na założeniu pełnej prewencji, a coraz bardziej na zdolności do przetrwania incydentu. CISA sygnalizuje, że operatorzy muszą przygotować się na scenariusz, w którym przeciwnik już znajduje się w środowisku, a zewnętrzne wsparcie może być ograniczone lub niedostępne.
W takim modelu dwa kluczowe elementy to możliwość szybkiej izolacji środowiska OT oraz sprawdzone procedury jego bezpiecznego odtworzenia. Dla organizacji zarządzających systemami krytycznymi oznacza to konieczność inwestycji nie tylko w ochronę perymetru, ale przede wszystkim w architekturę odporności operacyjnej.
Źródła
- SecurityWeek — CISA Launches ‘CI Fortify’ to Prepare Critical Infrastructure for Geopolitical Cyber Conflict — https://www.securityweek.com/cisa-critical-infrastructure-must-master-isolation-recovery/
- CISA — Shields Up — https://www.cisa.gov/shields-up
- CISA — Cybersecurity Performance Goals — https://www.cisa.gov/cpg
- NIST — Guide to Operational Technology (OT) Security — https://csrc.nist.gov/pubs/sp/800/82/r3/final
- NSA, CISA, FBI, EPA — Top Cyber Actions for Securing Water Systems — https://www.cisa.gov/resources-tools/resources/top-cyber-actions-securing-water-systems