CISA apeluje o przygotowanie infrastruktury krytycznej na tygodnie izolacji w razie konfliktu

CISA ostrzega przed zagrożeniami dla infrastruktury krytycznej

Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) wzywa właścicieli i operatorów infrastruktury krytycznej do przygotowania planów utrzymania kluczowych usług w warunkach awaryjnych, które mogą trwać tygodniami, a nawet miesiącami. Największe zagrożenie stanowią sponsorowane przez państwa grupy hakerów, w szczególności chińskie grupy Salt Typhoon i Volt Typhoon, które atakują sektory takie jak energetyka, wodociągi i internet.

Nowa inicjatywa: CI Fortify

W odpowiedzi na rosnące zagrożenia, CISA współpracuje z sektorem prywatnym, aby chronić technologie operacyjne (OT) – systemy sterujące ciężkim sprzętem i urządzeniami w infrastrukturze krytycznej. Ataki mogą przenikać przez systemy IT lub produkty zewnętrznych dostawców. Nowa inicjatywa CI Fortify obejmuje przeprowadzanie przez CISA specjalistycznych ocen technicznych podmiotów zarządzających infrastrukturą krytyczną. Celem jest opracowanie planów, które pozwolą na bezpieczne funkcjonowanie przez tygodnie lub miesiące w całkowitej izolacji od sieci IT, narzędzi stron trzecich i połączeń telekomunikacyjnych.

Nick Andersen, p.o. dyrektora CISA, wyjaśnił, że celem jest zapewnienie ciągłości dostaw kluczowych usług nawet po odłączeniu się od systemów IT, OT, dostawców zewnętrznych i infrastruktury telekomunikacyjnej.

Doświadczenia z konfliktów zbrojnych

W ciągu ostatnich dwóch lat wojny w Ukrainie, Gazie, Iranie i innych regionach doprowadziły do ataków na zakłady wodociągowe, stacje energetyczne, centra danych i inne kluczowe obiekty infrastruktury. Andersen podkreślił, że CISA już rozpoczęła współpracę z niektórymi firmami w ramach pilotażowych ocen technicznych, a w najbliższych miesiącach planuje znaczne rozszerzenie tych działań wraz z rekrutacją dodatkowego personelu. Nie ujawnił jednak nazw podmiotów uczestniczących w programie pilotażowym, wskazując jedynie, że będą one koncentrować się na organizacjach wspierających bezpieczeństwo narodowe, obronność, ochronę zdrowia i ciągłość gospodarczą.

Indywidualne podejście do każdego sektora

Oceny CISA będą dostosowane do specyficznych potrzeb każdego sektora. Jak wyjaśnił Andersen, "Systemy wodociągowe nie są projektowane z myślą o priorytetyzacji konkretnych potrzeb klientów poza okresami awaryjnymi, podczas gdy energetyka i transport muszą podejmować natychmiastowe decyzje dotyczące wyboru obciążenia lub ładunku."

Dwa filary strategii CISA: izolacja i odzyskiwanie

Pierwszym filarem strategii CISA jest izolacja. W przypadku zagrożenia lub wykrycia nieznanej podatności, organizacje powinny całkowicie odłączyć swoje sieci OT od sieci firmowych, zewnętrznych dostawców i połączeń telekomunikacyjnych. Drugim filarem jest odzyskiwanie, które obejmuje najlepsze praktyki, takie jak tworzenie kopii zapasowych plików, dokumentowanie systemów oraz posiadanie ręcznych mechanizmów sterowania w przypadku awarii systemów komputerowych.

Organizacje muszą również opracować wewnętrzne plany określające akceptowalne poziomy usług w warunkach izolacji oraz uzgodnić je z kluczowymi klientami, takimi jak instalacje wojskowe USA i usługi ratujące życie.

Szerszy kontekst zagrożeń

Eksperci ds. cyberbezpieczeństwa i technologii operacyjnych są zgodni, że Chiny nie są jedynym państwem, które szeroko zakrojone naruszyło amerykańską infrastrukturę krytyczną. Grupy hakerskie powiązane z innymi krajami niemal na pewno dostrzegły i wykorzystały te same podstawowe luki i problemy z higieną cybernetyczną, które zostały zidentyfikowane przez grupy Typhoon. Agencje takie jak FBI i Federalna Komisja Łączności (FCC) podkreślają swoje wysiłki mające na celu usunięcie chińskich hakerów i dobrowolną współpracę z operatorami telekomunikacyjnymi w celu wzmocnienia ich sieci.