Русский 
English (UK) 
العربية 
日本語 
한국어 
Magyar 
Türkçe 
Español 
Čeština 
Svenska 
Português 
Ελληνικά 
Suomi 
Nederlands 
Română 
Italiano 
Français 
Polski 
Українська 
Deutsch 
简体中文 
Slovenčina 
3 Steps Government Policymakers Can Take to Reduce Critical Infrastructure Cyber Attacks">
Recommendation: Создать межведомственный реестр рисков для выявления уязвимостей во взаимосвязанных государственных системах, а затем согласовать политики для повышения защиты и упрощения управляемых сервисов.
Действие 1: Создайте и отслеживайте единую систему обмена информацией между агентствами и частными партнерами для выявления различных рисков, включая преступления и утечки конфиденциальных данных.
Действие 2: Разверните подход к защите, основанный на продуктах, и управляемые сервисы, подкрепленные политиками, которые позволяют вам отслеживать затраты и выгоды в общедоступных системах.
Действие 3: Обновить положения о закупках и внутреннюю политику стандартизированными средствами контроля, обязать ведомства сообщать о текущих рисках и инцидентах, а затем использовать общую информацию для корректировки бюджетов и обновлений программ самих ведомств.
Практическая структура защиты данных для критической инфраструктуры
Внедрить специальную программу защиты данных для ключевых сервисных сетей, применяя формальную классификацию данных и непрерывный мониторинг для борьбы с растущими рисками и устойчивыми вторжениями.
Оцените ландшафт угроз, сопоставляя активы, потоки данных и пользовательские пути в киберпространстве. В соответствии с рекомендациями CISA, согласуйте разработку средств контроля с теми, кто эксплуатирует, полагается на эти сети или зависит от них, и поддерживайте непрерывность, обеспечивая сегментацию и минимальные привилегии доступа.
Примите подход «эшелонированной обороны»: определите данные, требующие защиты, зашифруйте данные в состоянии покоя и при передаче и управляйте ключами с помощью специализированных процессов. Используйте многофакторную аутентификацию, точные средства контроля доступа и ежеквартальные проверки доступа, сохраняя при этом надежную защиту на границах сети и конечных точках, включая медицинские службы и других поставщиков.
Установите четкие ритуалы обработки инцидентов и отчетности: определите служебные инструкции, проводите настольные учения ежеквартально и оперативно сообщайте об инцидентах соответствующим организациям, чтобы сократить время обнаружения и предотвратить вторичные компрометации. Поддерживайте круглосуточный мониторинг и быстрое сдерживание для деятельности в киберпространстве в режиме реального времени.
| Зона управления | Назначение | Владелец / ответственное лицо | Metrics |
|---|---|---|---|
| Классификация и маркировка данных | Выявление конфиденциальных данных и обеспечение соблюдения правил обработки. | ИТ / Управление данными | точность > 95%; ежеквартальные обзоры |
| Управление идентификацией и доступом (MFA, RBAC) | Ограничьте круг лиц, имеющих доступ к конфиденциальным данным. | Команда IAM | МFA для администраторов; принцип наименьших привилегий; ежегодные аудиты доступа |
| Сетевая сегментация / zero-trust | Сдерживайте нарушения и контролируйте горизонтальное перемещение | Архитектура безопасности | покрытие микросегментацией > 90%; моделировать взломы ежеквартально |
| Мониторинг и ведение журналов | Быстро выявляйте инциденты и отслеживайте действия | Центр оперативной безопасности | Круглосуточное покрытие; MTTD < 15 минут; хранение журналов 90 дней |
| Резервное копирование и восстановление | Сохраняйте непрерывность и восстанавливаемость | Команда резервного копирования и отказоустойчивости | ежедневное резервное копирование; RPO 4 часа; RTO 8 часов |
| Обмен данными об угрозах | Понимание возникающих закономерностей и индикаторов таргетинга | Анализ угроз / взаимодействие с госструктурами | ежемесячные отчеты; обмен показателями с организациями |
Разработайте риск-ориентированный базовый уровень защиты данных для OT и IT сетей.
Несмотря на срочность, внедрение этой базовой линии — сложная, но необходимая задача. Единая общеорганизационная базовая линия объединяет инвентаризацию активов OT и IT, а также потоки данных в единое представление. Этот факт определяет стратегию руководителя по защите жизненно важных данных и снижению рисков в энергетическом и промышленном секторах. Базовая линия должна быть действенной и реализуемой в течение 60 дней, с четкой очередностью приоритетов для категорий данных и потоков. План помогает руководителям понять точки уязвимости и ценность защиты данных.
Руководство ведомства должно заказать разработку национального стандарта, обобщающего основанный на оценке рисков базовый уровень для подключенных сетей и персонала. Эта структура должна быть измеримой, согласованной с существующими правилами соответствия требованиям и обновляться ежеквартально с учетом реальных инцидентов и возникающих угроз. Рост числа цифровых преступлений подчеркивает необходимость формального базового уровня. Идентификация ценных активов и потоков данных должна быть завершена определенными владельцами с возможностью быстрого переноса корректирующих действий в план выполнения. Это гарантирует, что выявленные риски будут зафиксированы в базовом уровне.
Ключевые действия включают: выявление активов и потоков данных для устранения пробелов; перенос сегментации между OT и IT там, где это возможно; принудительное применение принципа наименьших привилегий для менеджеров и инженеров; требование MFA для учетных записей администраторов; шифрование конфиденциальных данных в состоянии покоя и при передаче; внедрение 30-дневного цикла установки патчей и прошивок для элементов с высоким риском; проведение ежеквартальных учений для проверки реагирования; создание руководства по реагированию на инциденты. Этот шаг снижает уязвимость и повышает устойчивость организации к атакам.
Чтобы оценить прогресс, используйте панель мониторинга, основанную на фактах: процент подключенных устройств с текущей версией прошивки, процент классифицированных потоков данных, время локализации инцидентов и среднее время восстановления. Реальные инциденты за последний год свидетельствуют о росте угроз в сети, особенно там, где осведомленность сотрудников слаба. Когда средства контроля не согласованы между площадками, локализация замедляется. Общая тенденция показывает, что организации с четкой базовой линией сталкиваются с меньшим количеством утечек и более быстрым восстановлением по сравнению с коллегами по отрасли. Эта закономерность подтверждает, что управление и базовая рутина имеют решающее значение.
Непрерывно отслеживайте и проверяйте определенные средства контроля; комиссия может потребовать ежеквартальные аудиты, используя национальный набор данных для оценки эффективности по всему сектору. На практике хорошо управляемая, подключенная сеть движется к устойчивости даже перед лицом изощренных злоумышленников. В целом, базовый уровень имеет жизненно важное значение для последовательного управления рисками и помогает сотрудникам понять роль защиты данных в повседневной работе.
Обязательное шифрование, управление ключами и минимизация данных во всех критически важных системах
Требовать шифрование по умолчанию для данных в состоянии покоя и при передаче, развернуть централизованное управление ключами и внедрить автоматизированную минимизацию данных по основным ресурсам для предотвращения потери данных и ограничения доступа.
-
Шифрование и управление ключами для основных активов:
- Шифруйте данные в состоянии покоя и при передаче по умолчанию, используя криптографические модули, прошедшие проверку FIPS; централизуйте ключевой материал в аппаратном модуле безопасности (HSM) или облачном KMS с автоматическим поворотом и строгим контролем доступа. Разделите обязанности, чтобы ни одна роль не могла одновременно получать доступ к данным и контролировать ключи; обеспечьте неизменяемые журналы аудита для поддержки анализа инцидентов. Включите депонирование ключей, где это необходимо, для предотвращения потери и обеспечения восстановления. Используйте свой технологический стек для автоматизации обеспечения соблюдения требований во всех репозиториях и коммуникациях; Кришнан отмечает, что централизованный контроль и регулярная проверка криптографических реализаций укрепляют устойчивость и помогают выявлять уязвимости, которые могут использовать хакеры.
-
Минимизация данных и контролируемые потоки данных:
- Задокументируйте типы собираемых данных и обоснуйте их необходимость (потребность) для предоставления услуг; классифицируйте данные и примените сроки хранения; где это возможно, анонимизируйте или псевдонимизируйте; автоматизируйте удаление устаревших записей по истечении установленных периодов. Ограничьте передачу данных необходимым партнерам в рамках цепочки поставок и требуйте шифрование при передаче; храните только минимально необходимые данные о субъектах и адаптируйте политики обработки к потребностям здравоохранения и других секторов. Продемонстрируйте важность для экономики и используйте этот подход для достижения некоторых целей политики при одновременном снижении рисков.
-
Управление, надзор и реагирование на инциденты:
- Учредить межведомственную комиссию для определения ролей и ответственности; согласовать правоприменение с политиками в различных экономических сферах и секторах, включая другие; интегрировать разведданные о растущих угрозах и таргетинге со стороны хакеров; обеспечить управление в киберпространстве, а также в сфере здравоохранения и других жизненно важных службах; не отставать от развивающихся рисков и лидировать в разработке сценариев реагирования на инциденты и проведении учений. Фиксировать принятые меры и применять извлеченные уроки для своевременного устранения слабых мест, демонстрируя ценность более сильного руководства.
Обеспечьте доступ с нулевым доверием для удаленного обслуживания и подключений поставщиков
Внедрите модель доступа с нулевым доверием для удаленного обслуживания и подключений поставщиков, требующую краткосрочные учетные данные, проверки состояния устройств и непрерывную проверку сеанса для каждого взаимодействия. Такой подход повышает устойчивость бизнеса, обеспечивая подлинные идентификаторы, контролируемый доступ и подлежащую аудиту активность в системах.
- Проверка личности и устройства: Обеспечьте принудительную аутентификацию на основе сертификатов и MFA для каждого поставщика и техника; интегрируйтесь с единым поставщиком удостоверений; требуйте постоянных проверок состояния зарегистрированных устройств и направляйте журналы в централизованное хранилище данных; политики следует регулярно пересматривать для подтверждения соответствия аппетиту к риску и ожиданиям от ролей.
- Область доступа и принцип минимальных привилегий: привяжите каждую задачу поставщика к определенному портфелю систем; применяйте ролевой доступ и сеансы с ограничением по времени; ограничьте команды и предоставление данных строго необходимым; это значительно снижает воздействие, сохраняя при этом гибкость для нужд бизнеса.
- Опосредованные соединения и контроль сеанса: Весь удаленный доступ к основным системам должен проходить через безопасный шлюз или jump host с взаимным TLS; блокировать прямые подключения поставщиков; обеспечивать гранулярные границы сеанса и автоматическое завершение по окончании задачи; отслеживать действия в неизменяемом журнале.
- Мониторинг, отслеживание данных и аудит: Обеспечьте непрерывный мониторинг сессий; отслеживайте перемещения данных и изменения конфигурации; поддерживайте поддающуюся аудиту разбивку действий для проверок; устанавливайте оповещения о нетипичном поведении в режиме, близком к реальному времени; убедитесь, что данные в настоящее время используются для принятия решений о рисках.
- Управление жизненным циклом, состоянием и развитием технологий: Поддерживать актуальный перечень активов и портфелей поставщиков; требовать, чтобы изменения, вносимые в разрабатываемые проекты, тестировались в контролируемой среде перед развертыванием в системах жизнеобеспечения; отслеживать состояние системы и автоматизировать восстановление, где это возможно.
- Управление, надзор и непрерывное улучшение: соответствие бизнес-приоритетам; надзор со стороны ИТ-команд районов и агентств должен быть частью анализа политик; непрерывное совершенствование методов и политик; отслеживание показателей производительности и важности этих средств контроля для более широкого технологического портфеля; эта структура должна помочь этому портфелю оставаться устойчивым по мере его роста.
Сегментируйте сети и внедрите непрерывный мониторинг с оповещениями в реальном времени.
Внедрите сегментированную топологию в своей региональной сети и разверните непрерывное оповещение в режиме реального времени в централизованной управляемой консоли. Такой подход приведет к снижению уязвимости за счет размещения сервисов в изолированных зонах и применения динамических средств контроля доступа. Используйте единую плоскость управления для координации оповещений, изменений политик и сценариев реагирования, чтобы ваша команда могла действовать быстро.
Начните с региональной карты местоположения ваших активов и определите, где сервисы находятся в открытом доступе. В каждом регионе составьте карту зон поражения и важности активов. Для каждой зоны назначьте доверенного поставщика и внедрите жесткий контроль. Добавьте аналитику угроз для повышения точности обнаружения и отслеживайте индикаторы на основе недавних фактического материала, собранного после последних выборов. Поддерживайте архив инцидентов и извлеченных уроков для быстрой адаптации.
Обеспечьте постоянное соединение сервисов через контролируемые границы: так называемую микросегментацию и архитектуры нулевого доверия; внедрите доступ с ограничением полномочий. Используйте управляемый стек безопасности, поддерживающий уведомления в реальном времени, автоматизацию сдерживания и план текущих изменений. Цель состоит в том, чтобы предотвратить распространение единичной атаки на множество регионов и сервисов, на случай сбоев сдерживания.
С национальной точки зрения, придерживайтесь плана, охватывающего жизненно важное планирование цепочки поставок, рисков поставщиков и обороны в периоды высокой напряженности, такие как выборы. Команды безопасности сосредоточились на разведке и должны продолжать лидировать с помощью разведки и адаптировать тактику к ландшафту угроз, где хакеры в настоящее время нацелены на активы. Сосредоточьтесь на том факте, что большинство вторжений начинается с открытых сервисов и слабых конфигураций; устраните эти пробелы в первую очередь.
Для количественной оценки прогресса отслеживайте уровни воздействия, время обнаружения и время локализации. Используйте региональные информационные панели и продолжайте совершенствовать тактику на основе разведданных и фактов. Сохраняйте множество проверенных сценариев с первых дней, включая данные от Dell и других поставщиков. Готовьтесь к следующей атаке и соответствующим образом корректируйте сегментацию. Во всем мире внедрение этих практик обеспечивает бесперебойную работу энергосистем и служб.
Разработайте сценарии реагирования на инциденты, резервного копирования и восстановления данных с помощью учений.
Определите наиболее важные активы применительно к конкретному региону и назначьте руководителей по таким направлениям, как данные, сети и системы здравоохранения. Создайте специальную группу агентств для управления реагированием на инциденты, резервным копированием и восстановлением данных, с использованием стратегии, понятной различным организационным подразделениям. Такой подход помогает правительствам устанавливать стандарты и определять целевые действия, чтобы программа могла бороться с возникающими угрозами. Достаточно процедур, чтобы не перегружать команды.
Разработайте плейбук резервного копирования данных, который охватывает область, периодичность, шифрование, удаленные копии и проверки целостности. Выберите продукт с контролем версий и изоляцией с воздушным зазором; ежемесячно тестируйте восстановление и документируйте результаты в централизованном хранилище для проверки безопасности. Настройте автоматическое выполнение резервного копирования в полном объеме, с оповещениями при сбое теста восстановления, и отслеживайте состояние каждого уровня данных.
Разработайте план восстановления с четкими целевыми показателями RTO и RPO для основных сервисов. Составьте карту сетевых зависимостей и определите ключевые последовательности восстановления, приоритизируя различные организационные подразделения и регионы. Используйте стандартизированные процедуры, чтобы обеспечить повторяемость, масштабируемость и соответствие шагов восстановления стандартам и политике агентства. Обучите команды понимать, как выполнять план во время тренировки, и документировать пробелы.
Программа тренировок: настольные учения, имитация вторжений и практические упражнения по восстановлению. Составьте график проведения учений; привлекайте заинтересованные стороны из правительств, регионов и организаций. Используйте объективную оценку времени обнаружения и сдерживания, времени восстановления и целостности данных; фиксируйте уроки в кратком отчете о последующих действиях и соответствующим образом обновляйте сценарии.
Управление и улучшения: ведите актуальный каталог проблем и улучшений; обеспечьте доступность для всех массива знаний, полученных в результате инцидентов, и следите за тем, чтобы рассматривались вопросы защиты данных и безопасности. Согласуйте со стандартами и целевым управлением рисками; измеряйте показатели работоспособности, такие как среднее время выявления, время понимания и время восстановления; это обеспечит устойчивость в масштабе всего региона.