Polski 
English (UK) 
Русский 
العربية 
日本語 
한국어 
Magyar 
Türkçe 
Español 
Čeština 
Svenska 
Português 
Ελληνικά 
Suomi 
Nederlands 
Română 
Italiano 
Français 
Українська 
Deutsch 
简体中文 
Slovenčina 
3 Steps Government Policymakers Can Take to Reduce Critical Infrastructure Cyber Attacks">
Recommendation: Ustanowić międzyresortrowy rejestr ryzyka w celu identyfikacji zagrożeń w połączonych systemach publicznych, a następnie zharmonizować polityki w celu zwiększenia ochrony i uproszczenia zarządzanych usług.
Akcja 1: Zbuduj i śledź ujednoliconą pętlę wymiany informacji między agencjami i partnerami prywatnymi, aby identyfikować różnorodne zagrożenia, w tym przestępstwa i narażenie wrażliwych danych.
Akcja 2: Wdróż podejście oparte na ochronie produktów i usługach zarządzanych, oparte na zasadach, które umożliwiają śledzenie kosztów i korzyści w systemach publicznych.
Akcja 3: Zaktualizuj zasady dotyczące zamówień i politykę wewnętrzną o ujednolicone mechanizmy kontroli, wymagaj od agencji raportowania o aktualnie trwających zagrożeniach i incydentach, a następnie wykorzystaj ogólne informacje do informowania o budżetach i aktualizacji programów dla samych agencji.
Praktyczne ramy ochrony danych dla infrastruktury krytycznej
Wdrożyć dedykowany program ochrony danych dla kluczowych sieci usług, stosując formalną klasyfikację danych i ciągłe monitorowanie w celu zwalczania rosnących zagrożeń i zwalczania uporczywych włamań.
Zrozum zagrożenia, mapując zasoby, przepływy danych i ścieżki użytkowników w cyberprzestrzeni. Zgodnie z wytycznymi CISA, dopasuj projekt kontroli do osób, które obsługują te sieci, polegają na nich lub są od nich zależne, i zapewnij ciągłość, egzekwując segmentację i dostęp z minimalnymi uprawnieniami.
Przyjmij podejście obrony warstwowej: zidentyfikuj dane wymagające ochrony, szyfruj dane w spoczynku i podczas przesyłania oraz zarządzaj kluczami za pomocą dedykowanych procesów. Wykorzystuj MFA, szczegółowe kontrole dostępu i kwartalne przeglądy dostępu, utrzymując jednocześnie silną pozycję na obrzeżach sieci i punktach końcowych, w tym w placówkach służby zdrowia i u innych dostawców.
Ustanowić jasne rytuały obsługi i raportowania incydentów: zdefiniować runbooki, przeprowadzać ćwiczenia stołowe kwartalnie i niezwłocznie zgłaszać incydenty odpowiednim podmiotom, aby skrócić czas wykrycia i zapobiec wtórnym kompromitacjom. Utrzymać monitoring 24/7 i szybką neutralizację dla aktywności w cyberprzestrzeni w czasie rzeczywistym.
| Obszar kontroli | Cel | Właściciel / podmiot odpowiedzialny | Metryki |
|---|---|---|---|
| Klasyfikacja i etykietowanie danych | Identyfikuj dane wrażliwe i egzekwuj zasady postępowania z nimi | Zarządzanie danymi / IT | dokładność > 95%; kwartalne przeglądy |
| Zarządzanie tożsamością i dostępem (MFA, RBAC) | Ogranicz, kto może dotrzeć do wrażliwych danych. | Zespół IAM | MFA dla administratorów; zasada minimalnych uprawnień; coroczne audyty dostępu |
| Segmentacja sieci / zero-trust | Powstrzymaj naruszenia i kontroluj ruch poprzeczny | Architektura bezpieczeństwa | Pokrycie mikrosegmentacją > 90%; symuluj naruszenia kwartalnie |
| Monitorowanie i rejestrowanie | Szybko wykrywaj incydenty i śledź działania | Centrum Operacji Bezpieczeństwa | Pokrycie 24/7; MTTD < 15 minut; retencja logów 90 dni |
| Kopie zapasowe i odzyskiwanie | Zachowaj ciągłość i możliwość odzyskiwania. | Zespół ds. tworzenia kopii zapasowych i odporności | codzienne kopie zapasowe; RPO 4 godziny; RTO 8 godzin |
| Współdzielenie informacji o zagrożeniach | Zrozumienie nasilających się wzorców i wskaźników targetowania | Współpraca w zakresie analizy zagrożeń / kontakty z administracją państwową | raporty miesięczne; udostępnianie wskaźników podmiotom |
Ustanowienie opartego na ryzyku bazowego poziomu ochrony danych dla sieci OT i IT
Pomimo istnienia pilnej potrzeby, wdrożenie tej linii bazowej jest trudne, ale konieczne. Jednolita, obejmująca całą organizację linia bazowa konsoliduje inwentarze zasobów OT i IT oraz przepływy danych w jeden widok. Ten fakt wpływa na strategię menedżera mającą na celu ochronę istotnych danych i zmniejszenie ekspozycji w sektorach energetycznym i przemysłowym. Linia bazowa powinna być wykonalna i możliwa do opracowania w ciągu 60 dni, z jasną kolejnością priorytetów dla kategorii danych i przepływów. Plan pomaga menedżerom zrozumieć punkty narażenia i wartość ochrony danych.
Kierownictwo agencji powinno zlecić opracowanie krajowego standardu, który uogólni podstawową linię bazową opartą na ryzyku dla połączonych sieci i personelu. Ramy te muszą być mierzalne, zgodne z istniejącymi wymogami i aktualizowane kwartalnie, aby odzwierciedlać rzeczywiste incydenty i rosnące zagrożenia. Przestępczość cyfrowa gwałtownie wzrosła, co podkreśla potrzebę formalnej linii bazowej. Identyfikacja aktywów o wysokiej wartości i przepływów danych powinna być przeprowadzana przez zidentyfikowanych właścicieli, z możliwością szybkiego przeniesienia działań naprawczych do planu wykonawczego. Zapewnia to uwzględnienie w linii bazowej zidentyfikowanych zagrożeń.
Kluczowe działania obejmują: identyfikację zasobów i przepływów danych w celu wyeliminowania luk; przesunięcie segmentacji między OT i IT tam, gdzie jest to możliwe; egzekwowanie zasady minimalnych uprawnień dostępu dla menedżerów i inżynierów; wymaganie MFA dla kont administratorów; szyfrowanie wrażliwych danych w spoczynku i w ruchu; wdrożenie 30-dniowego cyklu aktualizacji i firmware dla pozycji o wysokim ryzyku; przeprowadzanie kwartalnych ćwiczeń w celu przetestowania reakcji; ustanowienie podręcznika reagowania na incydenty. To posunięcie zmniejsza ekspozycję i zwiększa odporność organizacji na ataki.
Aby ocenić postęp, zastosuj oparty na faktach panel kontrolny: procent podłączonych urządzeń z aktualnym oprogramowaniem, procent sklasyfikowanych przepływów danych, czas potrzebny na powstrzymanie incydentów i średni czas do odzyskania sprawności. Faktyczne incydenty z ubiegłego roku wskazują na wzrost aktywności związanej z zagrożeniami w całej sieci, zwłaszcza tam, gdzie świadomość pracowników jest słaba. Gdy mechanizmy kontroli przeskakują między lokalizacjami bez synchronizacji, powstrzymywanie staje się wolniejsze. Ogólna tendencja pokazuje, że organizacje z jasną linią bazową doświadczają mniejszej liczby naruszeń i szybszego odzyskiwania sprawności w porównaniu z innymi w branży. Ten wzorzec potwierdza, że zarządzanie i rutynowe działania w oparciu o linię bazową są kluczowe.
Ciągle monitoruj i weryfikuj zidentyfikowane mechanizmy kontrolne; komisja może wymagać kwartalnych audytów, z krajowym zbiorem danych do porównywania wyników w całym sektorze. W praktyce dobrze zarządzana, połączona sieć zmierza w kierunku odpornej postawy, nawet w obliczu wyrafinowanych podmiotów stanowiących zagrożenie. Ogólnie rzecz biorąc, linia bazowa jest niezbędna dla spójnego zarządzania ryzykiem i pomaga pracownikom zrozumieć rolę ochrony danych w codziennej pracy.
Wprowadzić obowiązek szyfrowania, zarządzania kluczami i minimalizacji danych w kluczowych systemach
Wymagaj domyślnego szyfrowania danych przechowywanych i przesyłanych, wdróż scentralizowane zarządzanie kluczami i zaimplementuj zautomatyzowaną minimalizację danych w kluczowych zasobach, aby zapobiec utracie danych i ograniczyć ich ekspozycję.
-
Szyfrowanie i zarządzanie kluczami w kluczowych zasobach:
- Szyfruj dane domyślnie zarówno w spoczynku, jak i w trakcie przesyłania, używając modułów kryptograficznych zatwierdzonych przez FIPS; scentralizuj materiał kluczy w module bezpieczeństwa sprzętowego (HSM) lub chmurowym KMS z automatyczną rotacją i ścisłą kontrolą dostępu. Rozdziel obowiązki, tak aby żadna pojedyncza rola nie mogła zarówno uzyskiwać dostępu do danych, jak i kontrolować kluczy; wdrażaj niezmienne ścieżki audytu, aby wspierać analizę incydentów. Tam, gdzie to wymagane, uwzględnij depozyt kluczy, aby zapobiec ich utracie i umożliwić odzyskiwanie. Wykorzystaj swój stos technologiczny do automatyzacji wymuszania w całym repozytorium i komunikacji; krishnan zauważa, że scentralizowana kontrola i regularna walidacja implementacji kryptograficznych wzmacniają odporność i pomagają identyfikować słabości, które mogą wykorzystać hakerzy.
-
Minimalizacja danych i kontrolowane przepływy danych:
- Udokumentuj typy gromadzonych danych i uzasadnij ich konieczność (potrzebę) dla świadczenia usług; sklasyfikuj dane i zastosuj limity przechowywania; zanonimizuj lub pseudonimizuj tam, gdzie jest to wykonalne; zautomatyzuj usuwanie nieaktualnych rekordów po określonych okresach. Ogranicz udostępnianie niezbędnym partnerom w łańcuchu dostaw i wymagaj szyfrowania przesyłanych danych podczas transferów; ogranicz dane podmiotów do minimum wymaganego, i dostosuj zasady przetwarzania do potrzeb sektora zdrowia i innych sektorów. Wykaż znaczenie dla gospodarek i wykorzystaj to podejście do realizacji niektórych celów politycznych, jednocześnie ograniczając narażenie.
-
Zarządzanie, nadzór i reagowanie na incydenty:
- Utworzyć międzyagencyjną komisję w celu określenia zakresu obowiązków i odpowiedzialności; dostosować egzekwowanie prawa do polityki w różnych gospodarkach i sektorach, w tym innych; zintegrować dane wywiadowcze na temat rosnących zagrożeń i celowania przez hakerów; zapewnić zarządzanie w cyberprzestrzeni oraz w służbie zdrowia i innych podstawowych usługach; dotrzymywać kroku zmieniającemu się ryzyku i przewodzić w opracowywaniu scenariuszy reagowania na incydenty i ćwiczeń. Rejestrować podjęte działania i wykorzystywać wyciągnięte wnioski do terminowego usuwania słabości, demonstrując wartość silniejszego przywództwa.
Wymuś dostęp oparty na zasadach zero-trust w przypadku zdalnej konserwacji i połączeń z dostawcami.
Wprowadź model dostępu zero-trust dla zdalnej konserwacji i połączeń z dostawcami, wymagający krótkotrwałych poświadczeń, sprawdzania stanu urządzeń i ciągłej weryfikacji sesji dla każdej interakcji. Takie podejście wzmacnia odporność biznesową poprzez zapewnienie autentycznych tożsamości, kontrolowanego dostępu i podlegającej audytowi aktywności w systemach.
- Weryfikacja tożsamości i urządzenia: Wymuszaj uwierzytelnianie oparte na certyfikatach i MFA dla każdego dostawcy i technika; integruj z jednym dostawcą tożsamości; wymagaj ciągłych kontroli stanu z zarejestrowanych urządzeń i kieruj logi do centralnego magazynu danych; zasady powinny być regularnie przeglądane, aby potwierdzić ich zgodność z apetytem na ryzyko i oczekiwaniami dotyczącymi ról.
- Zakres dostępu i minimalne uprawnienia: przypisz każde zadanie dostawcy do określonego portfolio systemów; zastosuj kontrolę dostępu opartą na rolach i sesje ograniczone czasowo; ogranicz polecenia i dostęp do danych do tego, co jest absolutnie konieczne; zmniejsza to znacząco wpływ, zachowując jednocześnie dynamikę potrzeb biznesowych.
- Połączenia za pośrednictwem pośrednika i kontrola sesji: Cały zdalny dostęp do systemów podstawowych musi odbywać się przez bezpieczną bramę lub serwer pośredniczący z wzajemnym TLS; blokować bezpośrednie połączenia dostawców; egzekwować szczegółowe granice sesji i automatyczne zakończenie po ukończeniu zadania; śledzić działania w niezmiennym dzienniku.
- Monitorowanie, śledzenie danych i audytowanie: Włącz ciągłe monitorowanie sesji; śledź ruchy danych i zmiany konfiguracji; utrzymuj podział działań podlegający audytowi do celów weryfikacji; ustawiaj alerty o nietypowych zachowaniach w czasie zbliżonym do rzeczywistego; upewnij się, że dane na bieżąco informują o decyzjach dotyczących ryzyka.
- Zarządzanie cyklem życia, kondycją i rozwijającą się technologią: Prowadzenie aktualnego inwentarza zasobów i portfeli dostawców; wymaganie, aby zmiany z rozwijających się projektów były testowane w kontrolowanym środowisku przed wdrożeniem do systemów podtrzymujących życie; monitorowanie kondycji systemu i automatyzacja napraw tam, gdzie jest to możliwe.
- Zarządzanie, nadzór i ciągłe doskonalenie: Dostosowanie do priorytetów biznesowych; nadzór zespołów IT dzielnic i agencji powinien być częścią przeglądu polityki; ciągłe doskonalenie technik i polityk; śledzenie wskaźników wydajności i znaczenia tych kontroli dla szerszego portfolio technologicznego; ta struktura powinna pomóc temu portfolio zachować odporność w miarę jego rozwoju.
Segmentuj sieci i wdróż ciągłe monitorowanie z alertami w czasie rzeczywistym.
Wprowadź topologię segmentową w całej sieci regionalnej i wdróż ciągłe alerty w czasie rzeczywistym w scentralizowanej, zarządzanej konsoli. Takie podejście doprowadzi do zmniejszenia ryzyka poprzez utrzymywanie usług w odizolowanych strefach i stosowanie dynamicznych kontroli dostępu. Wykorzystaj jedną płaszczyznę zarządzania do koordynowania alertów, zmian w polityce i planów reagowania, aby Twój zespół mógł szybko działać.
Zacznij od regionalnej mapy lokalizacji Twoich zasobów i określ, gdzie usługi są publicznie dostępne. Dla każdego regionu sporządź mapę ekspozycji i ważności zasobów. Dla każdej strefy wyznacz zaufanego dostawcę i wdróż ścisłą kontrolę. Uwzględnij analizę zagrożeń, aby udoskonalić wykrywanie i monitoruj wskaźniki z niedawnych wzorców postępowania od ostatnich wyborów. Utrzymuj obszerny zbiór incydentów i wyciągniętych wniosków, aby szybko się adaptować.
Zapewnij utrzymanie połączeń między usługami poprzez kontrolowane granice: zwane mikrosegmentacją i ramami zero-trust; wdróż dostęp z ograniczoną mocą. Wykorzystaj zarządzany pakiet zabezpieczeń, który obsługuje powiadomienia w czasie rzeczywistym, automatyzację ograniczania i plan ciągłych zmian. Celem jest zapobieżenie rozprzestrzenianiu się pojedynczego ataku na wiele regionów i usług, na wypadek awarii ograniczenia.
Z perspektywy krajowej, należy dostosować się do planu obejmującego kluczowe planowanie w zakresie łańcucha dostaw, ryzyka związanego z dostawcami i obrony w okresach wysokiego napięcia, takich jak wybory. Zespoły ds. bezpieczeństwa koncentrują się na wywiadzie i powinny nadal przewodzić w oparciu o wywiad oraz dostosowywać taktykę do krajobrazu zagrożeń, w którym hakerzy obecnie atakują zasoby. Należy skupić się na fakcie, że większość włamań rozpoczyna się od odsłoniętych usług i słabych konfiguracji; najpierw należy zlikwidować te luki.
Aby kwantyfikować postęp, monitoruj poziomy ekspozycji, czas wykrywania i czas powstrzymywania. Korzystaj z regionalnych pulpitów nawigacyjnych i stale udoskonalaj taktyki w oparciu o dane wywiadowcze i fakty. Utrzymuj zasób sprawdzonych podręczników od samego początku, w tym dane od Dell i innych dostawców. Przygotuj się na następny atak i odpowiednio dostosuj segmentację. Na całym świecie wdrażanie tych praktyk zapewnia nieprzerwane dostawy energii i usług.
Opracuj scenariusze reagowania na incydenty, tworzenia kopii zapasowych danych i odzyskiwania z ćwiczeniami
Zidentyfikuj aktywa o największym znaczeniu w operacjach specyficznych dla danego regionu i wyznacz lidera dla obszarów tematycznych, takich jak dane, sieć i systemy opieki zdrowotnej. Stwórz dedykowany zespół agencji do prowadzenia reagowania na incydenty, tworzenia kopii zapasowych danych i działań naprawczych, ze strategią zrozumiałą dla różnych jednostek organizacyjnych. Takie podejście pomaga rządom ustanawiać standardy i ukierunkowane działania, aby program mógł zwalczać zagrożenia, gdy się pojawią. Wprowadź wystarczającą liczbę procedur, aby uniknąć przeciążenia zespołów.
Stwórz plan działania dotyczący tworzenia kopii zapasowych danych, który obejmuje zakres, częstotliwość, szyfrowanie, kopie poza siedzibą firmy i kontrole integralności. Wybierz produkt z wersjonowaniem i izolacją typu air-gap; testuj przywracanie co miesiąc i dokumentuj wyniki w centralnym repozytorium do przeglądu bezpieczeństwa. Zaplanuj automatyczne wykonywanie pełnych kopii zapasowych z alertami w przypadku niepowodzenia testu przywracania oraz zrozum stan każdego poziomu danych.
Opracuj plan awaryjny z jasno określonymi celami RTO i RPO dla kluczowych usług. Zmapuj zależności sieciowe i określ kluczowe sekwencje odzyskiwania, priorytetyzując różne jednostki organizacyjne i regiony. Użyj standardowych procedur, aby zapewnić powtarzalność, skalowalność i zgodność kroków odzyskiwania z agencjami, standardami i polityką. Przeszkol zespoły, aby rozumiały, jak wykonać plan podczas ćwiczeń i dokumentować luki.
Program ćwiczeń: ćwiczenia stołowe, symulowane włamania i ćwiczenia przywracania na żywo. Planuj harmonogram przeprowadzania ćwiczeń; zaangażuj interesariuszy z rządów, regionów i organizacji. Użyj obiektywnej punktacji dla czasu wykrywania i powstrzymywania, czasu przywracania i integralności danych; zawrzyj wnioski w zwięzłym raporcie powdrożeniowym i odpowiednio zaktualizuj scenariusze postępowania.
Zarządzanie i doskonalenie: prowadź aktualny katalog problemów i usprawnień; zapewnij wszystkim dostęp do zbioru wniosków z incydentów, zapewniając uwzględnienie kwestii ochrony danych i bezpieczeństwa. Dopasuj się do standardów i ukierunkuj się na ryzyko; mierz wskaźniki stanu, takie jak średni czas identyfikacji, czas zrozumienia i czas przywrócenia; to zapewnia odporność na skalę regionalną.