CISA anbefaler kritisk infrastruktur at isolere sig i uger eller måneder ved konflikt

Den amerikanske Cybersecurity and Infrastructure Security Agency (CISA) opfordrer ejere og operatører af kritisk infrastruktur til at planlægge for levering af essentielle tjenester under nødsituationer – muligvis i uger eller måneder ad gangen.

Myndigheden, som er den føderale regerings øverste cybersikkerhedsagentur, advarer om, at statsstøttede hackere, herunder to kinesiske grupper kendt som Salt Typhoon og Volt Typhoon, fortsat udgør en alvorlig trussel mod kritiske sektorer som el, vand og internet.

CISA arbejder nu sammen med den private sektor for at beskytte operational technology (OT) – de systemer, der styrer den tunge maskineri og udstyr, som driver det meste af den kritiske infrastruktur. Truslen kommer ofte via forretningssystemer eller tredjepartsprodukter.

Initiativet, kaldet CI Fortify, indebærer, at CISA gennemfører målrettede tekniske vurderinger af kritisk infrastruktur og sigter mod at udvikle planer, der gør det muligt at opretholde sikker drift i uger eller måneder, mens man er isoleret fra IT-netværk og tredjepartsværktøjer. Ifølge CISAs hjemmeside skal planerne sikre, at kritisk infrastruktur fortsat kan fungere, selv efter ejeren har afbrudt forbindelsen til IT, OT, tredjepartsleverandører og telekommunikationsudstyr.

Nick Andersen, CISAs fungerende direktør, fortalte journalister, at målet er at sikre, at essentielle tjenester kan leveres, selv når forbindelsen til IT og OT er afbrudt. Han understregede, at dette kræver, at organisationer udvikler interne planer for, hvilke serviceydelser der er acceptable under isolerede forhold, og at de indgår aftaler med kritiske kunder som militærinstallationer og livsvigtige tjenester.

I de seneste to år har krige i Ukraine, Gaza, Iran og andre steder vist, hvordan vandværker, el-stationer, datacentre og anden kritisk infrastruktur er blevet mål for både kinetiske og cyberangreb. Andersen oplyste, at CISA allerede har påbegyndt samarbejde med nogle virksomheder for at teste vurderingerne og forventer, at arbejdet vil stige betydeligt i takt med, at agenturet rekrutterer flere medarbejdere de kommende måneder. Han nægtede at oplyse navnene på de involverede organisationer, men sagde, at de vil fokusere på dem, der understøtter national sikkerhed, forsvar, folkesundhed og økonomisk kontinuitet.

CISAs vurderinger vil variere fra sektor til sektor afhængigt af deres specifikke behov. "Vandsektoren er ikke nødvendigvis designet til at prioritere specifikke kunders behov uden for genopretningsperioder, mens energi- og transportsektorerne har mere umiddelbare afvejninger ved at vælge én last eller én fragt frem for en anden," forklarede Andersen som eksempel.

CISAs strategi hviler på to søjler: isolation og genopretning.

Isolation som første skridt

Isolation indebærer i praksis at slukke alle forbindelser til tredjeparts- og forretningsnetværk til OT-netværket i tilfælde af en nødsituation eller ukendt sårbarhed. Organisationer skal udvikle interne planer for, hvilke serviceydelser der er acceptable under disse forhold, og indgå aftaler med kritiske kunder.

Genopretning som næste skridt

Genopretningsfasen omfatter bedste praksis som backup af filer, dokumentation af systemer og manuelle backups til driften, når normale computersystemer er nede. Cybersikkerhedseksperter, der beskæftiger sig med kritisk infrastruktur og OT, antager, at Kina ikke er den eneste nation, der har bredt kompromitteret amerikansk kritisk infrastruktur. Hackergrupper knyttet til andre nationer har næsten med sikkerhed udnyttet de samme grundlæggende sårbarheder og manglende hygiejne, som Typhoon-grupperne har identificeret.

Agenturer som FBI og Federal Communications Commission har fremhævet deres indsats for at rense amerikanske netværk for kinesiske hackere og frivilligt samarbejde med telekommunikationsvirksomheder for at styrke deres sikkerhed.