Агентство по кибербезопасности и защите инфраструктуры США (CISA) представило новую национальную инициативу, направленную на то, чтобы помочь операторам критической инфраструктуры выдерживать крупные кибератаки и восстанавливаться после них, готовясь к работе в изоляции от интернета и сторонних зависимостей.
Программа под названием CI Fortify призвана гарантировать, что организации смогут продолжать предоставление жизненно важных услуг даже в тех случаях, когда их сети деградированы, отключены или подвергаются активной кибератаке. «Устойчивость и надежность начинаются с планирования и инвестиций», — заявил исполняющий обязанности директора CISA Ник Андерсен на брифинге для СМИ, подчеркнув, что операторы должны быть готовы функционировать, даже будучи отрезанными от внешней связи.
«CI Fortify правильно определяет доктрину, — отметил Джеймс Вайненбреннер, генеральный директор поставщика сетевой безопасности Elisity. — Чего не хватает, так это инвестиций со стороны операторов, которые сделали бы это руководство выполнимым».
Инициатива появилась на фоне предупреждений официальных лиц США о том, что противники уже заняли позиции внутри сетей критической инфраструктуры, имея потенциал для нарушения работы электроснабжения, водоснабжения и связи во время геополитических конфликтов.
Что пытается решить CISA
По своей сути, CI Fortify направлена на обеспечение операционной устойчивости в наихудших условиях. CISA настоятельно призывает организации исходить из того, что связь, особенно с внешними поставщиками, может отсутствовать во время крупного инцидента, и соответствующим образом планировать свои действия.
Эта устойчивость подразумевает развитие способности намеренно отключаться от сторонних сервисов, телекоммуникаций и даже от частей собственных ИТ-сред, продолжая при этом эксплуатацию критически важных систем. Это также означает способность быстро восстанавливать скомпрометированные системы, находясь в этом изолированном состоянии.
Представители CISA подчеркивают, что речь идет не о традиционном «воздушном зазоре» (air-gapping), а о контролируемой изоляции в сочетании с возможностью работать локально и вручную при необходимости. Цель состоит в том, чтобы отрезать доступ противников, сохраняя при этом предоставление основных услуг.
«Когда происходит кибератака, хорошо спланированные аварийные возможности помогают гарантировать, что пострадавшая организация сможет по-прежнему предоставлять критически важные услуги», — сказал Андерсен из CISA.
Агентство заявило, что будет поддерживать эти усилия посредством целевых оценок, рекомендаций и учений. Пилотная фаза уже идет, и планируется дополнительный персонал для масштабирования программы по секторам.
На практике инициатива побуждает организации ответить на сложные вопросы: как долго они могут работать без внешней связи? Какие зависимости являются критическими? И каков минимально жизнеспособный уровень обслуживания, который они должны поддерживать во время сбоя?
Знакомый план под новым названием
Хотя формулировка CI Fortify нова, лежащие в ее основе концепции не новы. Несколько экспертов отмечают, что инициатива в значительной степени переупаковывает давно существующие практики, связанные с аварийным восстановлением, непрерывностью бизнеса и реагированием на инциденты — области, в которые многие организации исторически недоинвестировали.
«Мне это кажется традиционным планированием непрерывности бизнеса, аварийного восстановления и реагирования на инциденты, — заявил Ричард Форно, заместитель директора Института кибербезопасности Университета Мэриленда в Балтиморе (UMBC). — Это то, что организации должны были давно включить в свое планирование кибербезопасности».
Именно этот разрыв между теорией и практикой CISA пытается устранить. Посыл агентства заключается в том, что одного планирования недостаточно: операторы должны создавать и тестировать возможности, которые работают в условиях реального стресса.
Билл Мур, генеральный директор Xona Systems, поставщика решений для безопасного удаленного доступа, обрисовал проблему в архитектурных терминах, утверждая, что устойчивость зависит от того, как спроектированы системы для функционирования во время сбоев.
«Устойчивость не достигается только политикой, видимостью или планами реагирования на инциденты, — сказал Мур. — Операторам критической инфраструктуры нужны архитектуры, которые позволяют выполнять основные работы при сегментации, деградации, изоляции или активном киберстрессе сетей».
Проблема видимости
Одной из самых больших проблем для CI Fortify является то, что многие организации не имеют четкого представления о своих собственных зависимостях, особенно в средах операционных технологий (OT).
Современная критическая инфраструктура глубоко взаимосвязана, полагаясь на уровни поставщиков, поставщиков управляемых услуг, интеграторов и систем лицензирования. Эта сложность затрудняет картирование того, что необходимо отключить, а что должно оставаться работоспособным во время кризиса.
«Вы не сможете планировать работу в отключенном состоянии от третьих сторон в течение недель или месяцев, пока не сможете фактически перечислить, кто эти третьи стороны», — отметил Вайненбреннер из Elisity. «Большинство операторов не могут этого сделать».
Этот пробел в видимости был подчеркнут в недавних инцидентах, включая один, связанный с поставщиком технологий для коммунальных служб Itron, и другой, связанный с атаками иранских злоумышленников на программируемые логические контроллеры на объектах критической инфраструктуры, где злоумышленники использовали слабо изученные подключения к средам OT. Без всеобъемлющего инвентарного списка зависимостей планирование изоляции может остаться в значительной степени теоретическим.
Акцент CISA на оценках и картировании зависимостей признает эту проблему, но устранение этого разрыва потребует устойчивых усилий — и, вероятно, новых инструментов — со стороны владельцев активов.
Стоимость, стимулы и реальность
Даже когда организации понимают, что необходимо сделать, экономика устойчивости остается серьезным барьером.
Создание систем, способных работать без внешних зависимостей, часто требует избыточной инфраструктуры, резервных систем и альтернативных каналов связи, что сопряжено с расходами.
«Чтобы сделать то, что они предлагают, требуется иметь тонну ресурсов в режиме горячего резерва, а это стоит денег, — сказал Форно из UMBC. — Во многих случаях компании не будут тратить деньги, чтобы гарантировать, что они смогут отключиться и беспрепятственно перейти на резервный режим».
Это напряжение между безопасностью и стоимостью, вероятно, определит, как будет внедряться CI Fortify. Сопротивление отрасли прошлым регуляторным усилиям предполагает, что одних добровольных рекомендаций может быть недостаточно для обеспечения широкомасштабных изменений.
Удаленный доступ как точка контроля
Еще одна ключевая тема — роль удаленного доступа как необходимости и риска одновременно.
Во время сбоя операторам, инженерам и поставщикам по-прежнему потребуется доступ к критически важным системам. Однако традиционные подходы — такие как VPN и широкий доступ на уровне сети — могут подорвать усилия по изоляции, расширяя поверхность атаки.
Мур из Xona Systems утверждает, что удаленный доступ должен быть переосмыслен как строго контролируемая, аудируемая функция, предназначенная для кризисных условий.
«Устойчивость критической инфраструктуры требует удаленного доступа, созданного для кризисных условий: никакого широкого сетевого воздействия, никаких предположений о доверии от конечной точки до OT, точного контроля сеансов и четких доказательств того, кто, что, когда и зачем получал доступ», — сказал он.
По сути, CISA просит операторов сейчас столкнуться с этими критическими вопросами устойчивости, прежде чем кризис заставит их это сделать. Будет ли инициатива пользоваться успехом, будет зависеть не столько от ясности руководящих указаний правительства, сколько от того, смогут ли операторы составить карту своих зависимостей, обосновать стоимость обеспечения устойчивости и перестроить доступ, не нарушая работу систем, которые они пытаются защитить.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Cynthia Brumfield
