Czym różni się BCP dla OT od standardowego planu ciągłości działania?

BCP dla OT musi uwzględniać specyfikę środowisk przemysłowych: dłuższy czas odtwarzania systemów, brak możliwości tymczasowej pracy zdalnej dla operatorów, ryzyko fizyczne związane z niekontrolowanymi procesami oraz konieczność koordynacji z działem inżynieryjnym, a nie tylko IT.

Co powinna robić fabryka przez pierwsze 24 godziny po cyberataku na system sterowania?

BCP OT powinien precyzyjnie określać procedury awaryjne: które linie mogą kontynuować pracę manualnie, jak przebiega bezpieczne zatrzymanie procesów, kto podejmuje decyzje operacyjne bez systemów SCADA/HMI, jak komunikować się z klientami i dostawcami oraz kiedy powiadamiać organy regulacyjne.

Jak kopie zapasowe wpisują się w plan ciągłości OT?

Kopie zapasowe konfiguracji PLC, SCADA i HMI są fundamentem odtwarzania, ale sam backup to za mało. BCP musi określać RTO (czas odtwarzania) i RPO (akceptowalna utrata danych), procedury testowania kopii, lokalizację bezpiecznych backupów offline oraz kolejność odtwarzania systemów krytycznych.

Jak często należy testować plan ciągłości działania dla środowisk OT?

Plan BCP dla OT powinien być testowany co najmniej raz w roku poprzez ćwiczenia tabletop, a wybrane procedury — weryfikowane podczas planowanych okien serwisowych. Każda istotna zmiana w infrastrukturze OT powinna skutkować aktualizacją i przetestowaniem odpowiednich fragmentów planu.

Plan ciągłości BCP dla OT: gdy system sterowania pada na dobę

W zarządzaniu kryzysowym istnieje brutalna prawda, którą menedżerowie często odkrywają zbyt późno: realne koszty cyberataku rzadko kiedy wynikają z samego okupu czy kradzieży danych. Największe straty generuje to, co następuje później – paraliżujący przestój. Zatrzymane linie produkcyjne, niewyrealizowane zamówienia, kary umowne i utrata zaufania klientów to finansowe tsunami, które potrafi zatopić nawet najsilniejsze przedsiębiorstwa. Walka z samym atakiem to tylko połowa bitwy. Druga, znacznie ważniejsza, to walka o przetrwanie biznesu w trakcie i po kryzysie.

Wiele firm posiada plan reagowania na incydenty (IRP), który mówi, co robić w trakcie ataku. Znacznie mniej posiada plan odtwarzania awaryjnego (DRP), który opisuje, jak technicznie przywrócić systemy z kopii zapasowych. Ale absolutna mniejszość posiada prawdziwy Plan Ciągłości Działania (Business Continuity Plan - BCP), który odpowiada na najważniejsze pytanie: “Jak nasza firma ma zarabiać pieniądze i realizować swoje zobowiązania, gdy nasze kluczowe systemy technologiczne są niedostępne?”.

W środowisku technologii operacyjnej (OT), gdzie technologia jest nierozerwalnie zrośnięta z fizycznym procesem generowania wartości, pytanie to nabiera dramatycznego znaczenia. Posiadanie Planu Ciągłości Działania dla OT to nie jest już kwestia “dobrej praktyki” – to fundamentalny element strategicznego zarządzania ryzykiem i warunek przetrwania w coraz bardziej niepewnym cyfrowym świecie.

Co jest droższe od samego cyberataku? Przestój, który po nim następuje.

Gdy media donoszą o atakach ransomware, głównym tematem jest zazwyczaj wysokość okupu. W rzeczywistości, dla firm produkcyjnych jest to często najmniejszy problem finansowy. Prawdziwe koszty kryją się gdzie indziej. Każda godzina nieplanowanego przestoju kluczowej linii produkcyjnej to setki tysięcy, a czasem miliony złotych utraconych przychodów. Przestój trwający kilka dni może z łatwością wygenerować straty wielokrotnie przewyższające jakiekolwiek żądanie okupu.

Do tego dochodzą koszty pośrednie. Niewyprodukowanie towaru na czas oznacza konieczność zapłacenia kar umownych swoim klientom. Dłuższy przestój może prowadzić do zerwania kontraktów i trwałej utraty udziałów w rynku na rzecz konkurencji, która była w stanie utrzymać ciągłość dostaw. Wreszcie, jest jeszcze trudny do oszacowania, ale ogromny koszt utraty reputacji i zaufania.

Zrozumienie tej perspektywy jest kluczowe. Inwestycja w planowanie ciągłości działania nie jest kosztem technologicznym. Jest to inwestycja biznesowa, forma ubezpieczenia, która ma na celu ochronę fundamentalnej zdolności firmy do generowania przychodów w najtrudniejszych okolicznościach. To zadanie dla zarządu i menedżerów, a nie tylko dla działu IT.

📚 Przeczytaj kompletny przewodnik: OT/ICS Security: Bezpieczeństwo systemów OT/ICS - różnice z IT, zagrożenia, praktyki

IRP, DRP, BCP: Dlaczego to trzy różne plany i dlaczego wszystkie są Ci potrzebne?

W zarządzaniu kryzysowym często używa się tych trzech akronimów zamiennie, co jest poważnym błędem. Reprezentują one trzy różne, choć powiązane ze sobą, plany, które razem tworzą kompleksową strategię odporności. Najprościej można to wyjaśnić za pomocą analogii do pożaru domu.

Plan Reagowania na Incydenty (IRP) to instrukcja dla strażaków. Mówi on, jak walczyć z ogniem, jak ewakuować ludzi i jak zabezpieczyć miejsce zdarzenia. Jego celem jest opanowanie aktywnego zagrożenia. W świecie cyfrowym, IRP mówi zespołowi CSIRT, jak powstrzymać i wyeliminować cyberatak.

Plan Odtwarzania Awaryjnego (Disaster Recovery Plan - DRP) to instrukcja dla ekipy budowlanej. Mówi on, jak odbudować spalony dom. Jego celem jest techniczne przywrócenie infrastruktury do stanu sprzed katastrofy. W świecie cyfrowym, DRP to szczegółowa procedura odtwarzania serwerów, aplikacji i danych z kopii zapasowych.

Plan Ciągłości Działania (Business Continuity Plan - BCP) to instrukcja dla rodziny. Mówi on, gdzie rodzina będzie mieszkać (np. w hotelu), jak dzieci dotrą do szkoły i jak dorośli będą pracować, podczas gdy ich dom jest odbudowywany. Jego celem jest utrzymanie kluczowych funkcji życiowych i biznesowych w trakcie kryzysu. W świecie cyfrowym, BCP to strategia, która pozwala firmie kontynuować produkcję i obsługę klientów, nawet gdy systemy IT/OT są niedostępne.

Czym jest Analiza Wpływu na Biznes (BIA) i dlaczego jest ona sercem planowania ciągłości działania?

Nie można stworzyć skutecznego Planu Ciągłości Działania, nie wiedząc, co tak naprawdę jest dla naszej firmy najważniejsze. Fundamentem, na którym opiera się cały proces planowania, jest Analiza Wpływu na Biznes (Business Impact Analysis - BIA). Jest to formalny proces, którego celem jest zidentyfikowanie kluczowych procesów biznesowych i ocena, jakie byłyby konsekwencje (finansowe, operacyjne, reputacyjne) ich przerwania w czasie.

W kontekście OT, BIA wymaga ścisłej współpracy menedżerów produkcji, finansów i bezpieczeństwa. Dla każdej głównej linii produkcyjnej czy procesu operacyjnego, zespół musi wspólnie odpowiedzieć na kluczowe pytania: “Jakie przychody generuje ten proces? Jakie kary umowne grożą nam za jego zatrzymanie? Jaki jest wpływ przestoju trwającego godzinę, dzień, tydzień? Które procesy są od siebie zależne?”.

Wynikiem BIA jest udokumentowana, oparta na danych hierarchia krytyczności wszystkich procesów w firmie. Pozwala ona na obiektywne stwierdzenie, które operacje są absolutnie niezbędne do przetrwania firmy, a które mogą poczekać. Ta wiedza jest bezcenna, ponieważ pozwala na skoncentrowanie ograniczonych zasobów i wysiłków na ochronie i planowaniu ciągłości dla tego, co naprawdę ma znaczenie.

Jak zdefiniować kluczowe wskaźniki, czyli Twoje MTPD, RTO i RPO dla każdego procesu?

Wynikiem analizy BIA jest zdefiniowanie trzech kluczowych wskaźników dla każdego procesu, które stanowią ilościowe ramy dla dalszego planowania. Pierwszym i najważniejszym jest Maksymalny Tolerowany Czas Przestoju (Maximum Tolerable Period of Disruption - MTPD). Jest to wskaźnik czysto biznesowy, który określa, jak długo firma jest w stanie przetrwać całkowitą niedostępność danego procesu, zanim konsekwencje staną się katastrofalne i nieodwracalne.

Na podstawie MTPD definiuje się dwa wskaźniki techniczne. Cel Czasu Odtworzenia (Recovery Time Objective - RTO) określa, w jakim maksymalnym czasie dany system lub proces musi zostać przywrócony do działania po awarii, aby uniknąć przekroczenia MTPD. Jeśli MTPD dla kluczowej linii wynosi 24 godziny, nasz RTO dla systemu sterowania tą linią musi być znacznie krótszy, np. 8 godzin, aby dać czas na ustabilizowanie produkcji.

Trzecim wskaźnikiem jest Cel Punktu Odtworzenia (Recovery Point Objective - RPO). Określa on, jaką ilość danych możemy zaakceptować jako utraconą w wyniku awarii. Jeśli RPO dla bazy danych produkcyjnych wynosi 15 minut, oznacza to, że nasze procedury tworzenia kopii zapasowych muszą być wykonywane co najmniej co 15 minut. Zdefiniowanie tych trzech wskaźników dla każdego krytycznego systemu OT jest fundamentem do projektowania adekwatnych strategii odtwarzania i ciągłości.

Kluczowe pojęcia w Planowaniu Ciągłości Działania

AkronimNazwaCo oznacza w praktyce?Pytanie, na które odpowiadaBIAAnaliza Wpływu na BiznesProces identyfikacji i oceny konsekwencji przerwania kluczowych procesów biznesowych.”Co jest dla nas najważniejsze i jakie będą straty, jeśli to stracimy?”MTPDMaksymalny Tolerowany Czas PrzestojuMaksymalny czas, przez jaki proces może być niedostępny, zanim dojdzie do katastrofy.”Jak długo jesteśmy w stanie przetrwać bez tego procesu?”RTOCel Czasu OdtworzeniaMaksymalny docelowy czas na przywrócenie systemu lub procesu po awarii.”Jak szybko musimy to odtworzyć?”RPOCel Punktu OdtworzeniaMaksymalna akceptowalna ilość utraconych danych, mierzona w czasie.”Ile danych możemy stracić?”

Jakie są trzy główne strategie utrzymania ciągłości w OT, gdy cyfrowe sterowanie zawodzi?

Gdy już wiemy, które procesy są krytyczne i jakie są ich docelowe czasy odtworzenia, możemy zacząć projektować konkretne strategie ciągłości działania. W środowisku OT, gdzie mamy do czynienia z procesami fizycznymi, strategie te często różnią się od typowych rozwiązań IT. Zasadniczo, sprowadzają się one do trzech głównych kategorii.

Pierwszą, i najbardziej podstawową, jest przejście na sterowanie ręczne (manual operation). W wielu przypadkach, maszyny i instalacje posiadają możliwość sterowania manualnego, omijającego skomputeryzowane systemy. Jest to strategia wymagająca obecności na miejscu wykwalifikowanych i przeszkolonych operatorów.

Drugą strategią jest działanie w trybie zdegradowanym (degraded mode). Polega ona na utrzymaniu procesu w ruchu, ale przy ograniczonej wydajności lub z wyłączonymi niektórymi funkcjami. Może to być możliwe dzięki wykorzystaniu lokalnych, autonomicznych sterowników, które potrafią pracować bez połączenia z centralnym systemem SCADA.

Trzecią, i najbardziej zaawansowaną strategią, jest pełne odtworzenie awaryjne w zapasowej lokalizacji (failover). Jest to rozwiązanie najdroższe i stosowane tylko w najbardziej krytycznych infrastrukturach, gdzie utrzymywany jest niemal lustrzany, zapasowy system sterowania, gotowy do przejęcia pracy w ciągu kilku minut.

Tryb ręczny: Kiedy i jak bezpiecznie przejść na sterowanie manualne?

Strategia przejścia na sterowanie ręczne jest często postrzegana jako ostateczność, ale w wielu scenariuszach może być jedynym sposobem na uniknięcie całkowitego zatrzymania produkcji. Kluczem do jej skuteczności jest jednak przygotowanie. Nie da się improwizować sterowania skomplikowaną instalacją w warunkach kryzysu.

Plan Ciągłości Działania musi zawierać niezwykle szczegółowe, krok po kroku, procedury operacji manualnych dla każdego krytycznego procesu. Procedury te muszą być opracowane przez najbardziej doświadczonych inżynierów i operatorów. Muszą one uwzględniać wszystkie aspekty bezpieczeństwa fizycznego – jaka jest prawidłowa kolejność otwierania zaworów, jakie są maksymalne dopuszczalne parametry i co robić w przypadku nieoczekiwanych odczytów.

Równie ważne jest przeszkolenie i regularne ćwiczenie personelu w tych procedurach. Operatorzy, którzy na co dzień pracują, klikając w ekran komputera, muszą potrafić w warunkach stresu odnaleźć i obsłużyć odpowiednie zawory i przełączniki na fizycznej instalacji. Regularne, symulowane ćwiczenia w przechodzeniu na tryb ręczny są absolutnie niezbędne, aby ta strategia miała jakąkolwiek szansę powodzenia.

Tryb zdegradowany: Czy Twoje maszyny potrafią pracować autonomicznie bez centralnego systemu SCADA?

Wiele nowoczesnych systemów sterowania jest projektowanych w sposób hierarchiczny. Centralny system SCADA zarządza całym procesem, ale poszczególne maszyny lub komórki produkcyjne są kontrolowane przez lokalne sterowniki PLC. W przypadku awarii systemu centralnego, sterowniki te często posiadają możliwość pracy w trybie autonomicznym lub “wyspowym”.

Strategia pracy w trybie zdegradowanym polega na wykorzystaniu tej zdolności. Plan BCP powinien precyzyjnie definiować, które części procesu mogą kontynuować pracę w takim trybie. Może to oznaczać produkcję przy niższej prędkości, produkcję tylko jednego, standardowego typu produktu, lub konieczność częstszego nadzoru ze strony operatora.

Kluczowe jest, aby możliwości i ograniczenia trybu zdegradowanego zostały dokładnie zidentyfikowane i przetestowane na długo przed kryzysem. Inżynierowie muszą wiedzieć, jak przełączyć systemy w ten tryb, jakie funkcje będą niedostępne (np. zaawansowana diagnostyka, raportowanie) i jakie dodatkowe ryzyka operacyjne się z tym wiążą.

Odtworzenie minimalne: Jakie są absolutnie kluczowe funkcje, które muszą zostać przywrócone jako pierwsze?

W przypadku poważnej awarii, próba jednoczesnego odtworzenia wszystkich systemów jest receptą na chaos. Dojrzały Plan Odtwarzania Awaryjnego (DRP) musi być oparty na priorytetach zdefiniowanych w analizie BIA. Musi on jasno określać, jaka jest kolejność odtwarzania poszczególnych systemów i usług.

Strategia odtworzenia minimalnego (minimum viable recovery) polega na zidentyfikowaniu absolutnie kluczowego podzbioru funkcji, które są niezbędne do wznowienia najbardziej krytycznego procesu produkcyjnego. Celem jest jak najszybsze przywrócenie do życia tylko tych kilku systemów, które pozwolą na wznowienie generowania przychodów, nawet w ograniczonym zakresie.

Na przykład, zamiast odtwarzać od razu cały system SCADA z zaawansowaną analityką i raportowaniem, w pierwszej kolejności możemy odtworzyć tylko jego podstawowy rdzeń, odpowiedzialny za sterowanie i wizualizację, oraz serwer historycznych danych, który jest niezbędny do kontroli jakości. Dopiero po ustabilizowaniu kluczowej produkcji, w kolejnych etapach, odtwarzane są systemy o niższym priorytecie.

Dlaczego plan ciągłości działania musi uwzględniać również zależności od łańcucha dostaw?

Twoja zdolność do utrzymania ciągłości działania nie zależy tylko od Twoich wewnętrznych systemów, ale również od Twoich kluczowych partnerów i dostawców. Co z tego, że Twój zakład jest w pełni sprawny, jeśli awarii uległ Twój jedyny dostawca kluczowego surowca lub energii elektrycznej?

Dlatego dojrzały Plan Ciągłości Działania musi wykraczać poza mury Twojej firmy. Musi on zawierać analizę zależności od łańcucha dostaw. Należy zidentyfikować wszystkich kluczowych dostawców i podwykonawców, bez których Twoja produkcja nie może funkcjonować. Następnie, należy ocenić ich własną odporność i plany ciągłości działania.

W ramach planowania, należy rozważyć strategie mitygacji tych ryzyk. Może to być dywersyfikacja dostawców (posiadanie alternatywnego źródła zaopatrzenia), utrzymywanie strategicznych zapasów surowców lub podpisanie umów z dostawcami, które gwarantują określony poziom usług (SLA) nawet w warunkach kryzysowych.

Jak przygotować personel do pracy w warunkach awaryjnych?

Najlepszy, najbardziej szczegółowy plan na papierze jest bezwartościowy, jeśli ludzie, którzy mają go wykonywać, nie wiedzą o jego istnieniu lub nie potrafią go zastosować w praktyce. Czynnik ludzki jest kluczowym elementem każdej strategii ciągłości działania.

Przygotowanie personelu musi obejmować dwa obszary: szkolenia i ćwiczenia. Wszyscy pracownicy, którzy odgrywają jakąkolwiek rolę w planie BCP, muszą przejść szczegółowe szkolenie, podczas którego zapoznają się ze swoimi zadaniami, procedurami i narzędziami, których będą używać w sytuacji awaryjnej.

Sama wiedza teoretyczna to jednak za mało. Konieczne są regularne ćwiczenia praktyczne, które pozwalają na przetestowanie procedur i zbudowanie “pamięci mięśniowej”. Mogą to być proste ćwiczenia komunikacyjne (np. testowanie łańcucha powiadamiania kryzysowego) lub bardziej złożone symulacje, podczas których zespół musi w kontrolowanych warunkach “na sucho” przejść przez procedurę przejścia na sterowanie ręczne.

Dlaczego nieprzetestowany plan BCP jest tylko teoretycznym dokumentem bez wartości?

Podobnie jak w przypadku planu reagowania na incydenty, nieprzetestowany Plan Ciągłości Działania jest jedynie zbiorem dobrych chęci i optymistycznych założeń. To właśnie w trakcie testów wychodzą na jaw wszystkie jego słabości: nieaktualne dane kontaktowe, niekompatybilne systemy zapasowe, nierealistyczne założenia dotyczące czasu potrzebnego na wykonanie poszczególnych czynności.

Testowanie planu BCP jest procesem złożonym. Musi ono obejmować weryfikację wszystkich jego elementów – od procedur technicznych (np. próbne odtworzenie systemu z kopii zapasowej w środowisku testowym), przez procedury operacyjne (np. symulacja pracy w trybie ręcznym), aż po procedury organizacyjne (np. ćwiczenie komunikacji kryzysowej).

Każdy test powinien być zakończony formalnym raportem, który identyfikuje zidentyfikowane problemy i zawiera rekomendacje usprawnień. Plan Ciągłości Działania musi być dokumentem żywym, który jest regularnie przeglądany, aktualizowany i doskonalony na podstawie wniosków z przeprowadzonych ćwiczeń i realnych incydentów.

Jak posiadanie planu BCP/DRP wpisuje się w wymogi zarządzania kryzysowego dyrektywy NIS2?

Dyrektywa NIS2 kładzie ogromny nacisk na zdolność organizacji do radzenia sobie ze skutkami poważnych incydentów. Artykuł 21 wprost wymienia “obsługę incydentów, ciągłość działania, jak np. zarządzanie kopiami zapasowymi i odtwarzanie awaryjne, oraz zarządzanie kryzysowe” jako jeden z minimalnych środków bezpieczeństwa, które muszą wdrożyć podmioty kluczowe i ważne.

Posiadanie dobrze udokumentowanego i regularnie testowanego Planu Ciągłości Działania i Planu Odtwarzania Awaryjnego jest więc bezpośrednią realizacją tego wymogu. W przypadku kontroli po incydencie, organizacja będzie musiała udowodnić, że posiadała formalne plany, które pozwoliły jej na zminimalizowanie szkód i jak najszybsze przywrócenie kluczowych usług.

Brak takich planów będzie traktowany jako poważne zaniedbanie i dowód na brak należytej staranności, co może skutkować nałożeniem wysokich kar finansowych. NIS2 skutecznie podnosi planowanie ciągłości działania z rangi “dobrej praktyki” do rangi twardego obowiązku prawnego.

Jak nFlo wspiera organizacje w budowie i testowaniu realistycznych planów ciągłości działania dla OT?

W nFlo rozumiemy, że stworzenie skutecznego planu BCP/DRP dla środowiska OT to złożony projekt, który wymaga unikalnej kombinacji kompetencji biznesowych, operacyjnych i technologicznych. Nasza metodyka opiera się na partnerskiej współpracy i prowadzeniu naszych klientów krok po kroku przez cały proces.

Nasi konsultanci facylitują warsztaty Analizy Wpływu na Biznes (BIA), pomagając Twoim menedżerom zidentyfikować kluczowe procesy i zdefiniować realistyczne wskaźniki MTPD, RTO i RPO. Pracujemy ramię w ramię z Twoimi inżynierami, aby zrozumieć możliwości techniczne i opracować adekwatne strategie ciągłości – od procedur sterowania ręcznego po techniczne plany odtwarzania systemów SCADA.

Naszym celem jest nie tylko stworzenie dokumentacji, ale przede wszystkim zbudowanie realnej odporności. Dlatego kluczowym elementem naszej oferty jest pomoc w planowaniu i przeprowadzaniu praktycznych ćwiczeń i testów. Weryfikujemy stworzone plany w kontrolowanych warunkach, identyfikujemy ich słabości i pomagamy w ich ciągłym doskonaleniu, zapewniając, że Twoja organizacja będzie realnie przygotowana na przetrwanie cyfrowego kryzysu.

Czy Twoja fabryka potrafi przetrwać cyfrową burzę, czy jest zamkiem z piasku?

Posiadanie zaawansowanych systemów ochrony przed cyberatakami jest jak budowanie solidnych murów wokół zamku. Jest to absolutnie niezbędne. Ale historia uczy, że nawet najpotężniejsze mury mogą czasem upaść. Prawdziwa odporność to nie tylko grubość murów, ale przede wszystkim posiadanie planu na to, co zrobić, gdy wróg wedrze się do środka.

Czy wiesz, które komnaty w Twoim zamku są najważniejsze? Czy masz plan, jak bronić skarbca, nawet gdy mury płoną? Czy Twoi ludzie wiedzą, jak przetrwać oblężenie, korzystając z zapasowych źródeł i tajnych przejść? To są właśnie pytania, na które odpowiada Plan Ciągłości Działania.

Zadaj sobie te pytania już dziś. Bo w dzisiejszym świecie, nie jest już pytaniem “czy” cyfrowa burza nadejdzie, ale “kiedy”. A od Twojego przygotowania zależy, czy Twoja fabryka okaże się solidną twierdzą, która przetrwa nawałnicę, czy tylko pięknym zamkiem z piasku, który zmyje pierwsza większa fala.

Powiązane pojęcia

Poznaj kluczowe terminy związane z tym artykułem w naszym słowniku cyberbezpieczeństwa:

Incident Response — Incident Response (IR) to zorganizowany proces wykrywania, analizowania i…
Cyberbezpieczeństwo — Cyberbezpieczeństwo to zbiór technik, procesów i praktyk ochrony systemów IT,…
Blue Team — Blue Team to zespół specjalistów odpowiedzialny za obronę systemów…
OT — OT (Operational Technology) to technologia operacyjna kontrolująca fizyczne…
Zarządzanie ciągłością działania — Zarządzanie ciągłością działania (Business Continuity Management, BCM) to…

Dowiedz się więcej

Zapoznaj się z powiązanymi artykułami w naszej bazie wiedzy:

Sprawdź nasze usługi

Potrzebujesz wsparcia w zakresie cyberbezpieczeństwa? Sprawdź:

Audyty bezpieczeństwa - kompleksowa ocena stanu zabezpieczeń
Testy penetracyjne - identyfikacja podatności w infrastrukturze
SOC as a Service - całodobowy monitoring bezpieczeństwa

Plan Ciągłości Działania (BCP) dla OT: Co zrobić, gdy główny system sterowania jest niedostępny przez 24 godziny?