Na czym polega ochrona infrastruktury krytycznej?

Ochrona infrastruktury krytycznej to proces zabezpieczania infrastruktury organizacji z branż krytycznych. Zapewnia ochronę infrastruktury krytycznej organizacji z branż takich jak rolnictwo, energia, żywność i transport przed zagrożeniami cybernetycznymi, klęskami żywiołowymi i zagrożeniami terrorystycznymi. Ochrona zazwyczaj obejmuje zabezpieczenie infrastruktury krytycznej, takiej jak systemy i sieci nadzoru i gromadzenia danych ( SCADA ), a także przemysłowe systemy sterowania (ICS) i technologia operacyjna (OT).

  • Joanna Gościńska
  • /
  • 6 lutego 2024

Historia Ochrony Infrastruktury Krytycznej

Historia CIP rozpoczęła się, gdy w maju 1998 r. prezydent Bill Clinton wydał dyrektywę prezydencką PDD-63. Dyrektywa ta dokumentowała części infrastruktury krajowej, które uznano za krytyczne dla bezpieczeństwa narodowego i gospodarczego Stanów Zjednoczonych. Przedstawiono w nim także sposoby ochrony infrastruktury krytycznej, w tym kroki prowadzące do osiągnięcia tego celu.

W dyrektywie wskazano 16 sektorów, które rząd USA uznał za krytyczne dla infrastruktury krajowej. Każdemu sektorowi przydzielono następnie agencję rządową i departament odpowiedzialny za opracowanie planu CIP w celu jego ochrony. Te 16 indywidualnych planów połączono następnie w jeden kompleksowy, nadrzędny plan, który nazwano Narodowym Planem Zapewnienia Infrastruktury. Ponadto w 2006 r. rząd sformułował Narodowy Plan Ochrony Infrastruktury (NIPP), w którym szczegółowo opisano, w jaki sposób agencje rządowe i sektor prywatny powinny współpracować.

1(22) 2024 SECURITY MAGAZINE1(22) 2024 SECURITY MAGAZINEMonika Świetlińska

16 głównych sektorów uznawanych za krytyczne dla infrastruktury krajowej to: chemiczny, obiekty komercyjne, komunikacja, produkcja krytyczna, baza przemysłowa obronna, służby ratunkowe, energia, usługi finansowe, żywność i rolnictwo, obiekty rządowe, opieka zdrowotna i zdrowie publiczne, technologia informacyjna, reaktory jądrowe, materiały i odpady, systemy transportowe oraz instalacje wodno-ściekowe Do sektorów tych dołączyły ostatnio systemy wyborcze, które Departament Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (DHS) uznał za infrastrukturę krytyczną.

Dlaczego ochrona infrastruktury krytycznej jest ważna?

Zabezpieczenie infrastruktury krytycznej jest niezbędne, aby zapewnić Amerykanom dostęp do usług takich jak woda pitna, energia elektryczna i żywność. Ma także kluczowe znaczenie dla ochrony przed  cyberatakami branż o dużej wartości, takich jak sektor chemiczny, komunikacyjny, służb ratunkowych, opieki zdrowotnej, technologii informatycznych i transportu. 

Jeśli hakerom udałoby się złamać infrastrukturę krytyczną wymienionych powyżej sektorów, mogłoby to mieć katastrofalne konsekwencje dla organizacji. Może również stanowić poważne zagrożenie dla globalnej gospodarki i społeczności. Dlatego skuteczna ochrona infrastruktury krytycznej wymaga od agencji rządowych nawiązania silnych partnerstw ze stronami komercyjnymi i stosowania odpowiednich rozwiązań w celu wdrażania inicjatyw i zarządzania nimi.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Ochrona infrastruktury krytycznej zależy również od rozpoznania zagrożeń, które mogłyby zagrozić jej integralności. Obejmuje to  wektory ataków  i bezpieczeństwo sieci, a także kwestie takie jak awarie sprzętu, ryzyko błędu ludzkiego i klęski żywiołowe, takie jak aktywność pogodowa. Ryzyko to należy uwzględnić przy podejmowaniu decyzji dotyczących rozwiązań umożliwiających organizacjom wykrywanie i identyfikowanie ataków na bezpieczeństwo oraz anomalii w zachowaniu sieci. 

Jak chronić i zarządzać ryzykiem dla infrastruktury krytycznej?

Odpowiedzialność za ochronę infrastruktury krytycznej spoczywa na Agencji ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), agencji DHS utworzonej przez Kongres w listopadzie 2018 r. Agencja kieruje skoordynowanymi krajowymi wysiłkami na rzecz ochrony infrastruktury krytycznej, realizując trzy kluczowe cele:

Ryzykiem infrastruktury krytycznej zarządza Krajowe Centrum Zarządzania Ryzykiem (NRMC), które jest podmiotem w ramach CISA. Celem NRMC jest identyfikacja i zajęcie się największymi zagrożeniami, na jakie narażona jest amerykańska infrastruktura krytyczna, poprzez analizę, planowanie i współpracę. Dokonuje tego poprzez identyfikację i ustalanie priorytetów najważniejszych ryzyk, na jakie narażona jest infrastruktura krytyczna, oraz podejmowanie działań, które pozwolą je złagodzić.

Jak zapewnić ciągłość działania urządzeń firmowych?Jak zapewnić ciągłość działania urządzeń firmowych? Joanna Gościńska

Poprawa bezpieczeństwa ma fundamentalne znaczenie dla ochrony infrastruktury krytycznej. Obejmuje to zwiększenie bezpieczeństwa fizycznego, na przykład zamykanie drzwi i umieszczanie skutecznych ogrodzeń w celu ochrony budynków. Obejmuje to także wdrażanie skutecznych rozwiązań w zakresie cyberbezpieczeństwa w celu ochrony sieci, systemów i użytkowników organizacji, a także identyfikowanie i eliminowanie ich wirtualnych luk. Organizacje muszą także przestrzegać zasad higieny cybernetycznej, zapobiegając używaniu słabych haseł, łataniu luk w zabezpieczeniach oraz unikaniu  oszustw typu phishing  i  ataków złośliwym oprogramowaniem.

Infrastruktura krytyczna stwarza jednak poważne wyzwania w zakresie cyberbezpieczeństwa. Na przykład systemu ICS nie można skanować pod kątem luk w zabezpieczeniach w taki sam sposób, jak wirtualnych środowisk IT, ponieważ może to spowodować przełączenie systemu przemysłowego w tryb offline, co może spowodować zakłócenie funkcjonowania zakładu. Ponadto wiele systemów OT istniało jeszcze przed pojawieniem się Internetu i znajdowało się w systemach „szczelinowych”, co zmniejszało ryzyko cyberataków. Jednak w miarę jak świat staje się coraz bardziej połączony, systemy te są coraz bardziej narażone na ataki hakerów.

Zwiększanie odporności infrastruktury krytycznej

Infrastruktura krytyczna musi być odporna na zmieniające się warunki, a także wytrzymywać zakłócenia i szybko reagować na zakłócenia. Oznacza to siłę wobec zagrożeń fizycznych i cybernetycznych, które wymagają kompleksowego programu obrony cyberbezpieczeństwa. 

Narodowy Instytut Standardów i Technologii (NIST) pomaga organizacjom w tym zakresie. Umożliwia im opracowanie i wdrożenie skutecznej ochrony infrastruktury krytycznej. DHS udostępnia także Cyber ​​Resilience Review (CRR), który jest bezpłatnym zasobem oferującym wgląd w stan odporności cybernetycznej organizacji. CRR obejmuje również ramowy schemat NIST, który umożliwia organizacjom dostosowanie swoich procesów do programu NIST.

 

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu
Tagi: zdrowie infrastruktura ciagłość działania komunikacja planowanie
Powiązane posty
Popularne Tagi

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!