ЕВРО

ru_RU Русский
ru_RU Русский en_GB English (UK) ar العربية ja 日本語 ko_KR 한국어 hu_HU Magyar tr_TR Türkçe es_ES Español cs_CZ Čeština sv_SE Svenska pt_PT Português el Ελληνικά fi Suomi nl_NL Nederlands ro_RO Română it_IT Italiano fr_FR Français pl_PL Polski uk Українська de_DE Deutsch zh_CN 简体中文 sk_SK Slovenčina
Блог
Three Steps Government Policymakers Can Take to Reduce Critical Infrastructure Cyber AttacksThree Steps Government Policymakers Can Take to Reduce Critical Infrastructure Cyber Attacks">

Three Steps Government Policymakers Can Take to Reduce Critical Infrastructure Cyber Attacks

Alexandra Blake
на 
Alexandra Blake
11 minutes read
Тенденции в области логистики
Октябрь 10, 2025

Начните с ужесточения контроля доступа и укрепления брандмауэров, чтобы ограничить несанкционированный доступ. Этот шаг повышает уровень защиты во всей организации, блокирует обходные пути и сводит к минимуму уязвимость платежных экосистем и основных утилит.

Ключевые действия включают в себя обеспечение принципа наименьших привилегий для сотрудников, своевременное применение патчей и развертывание комплектов сдерживания для изоляции зараженных файлов. Разработайте четкие планы, собирайте и маркируйте инциденты, и координируйте свои действия с канадскими партнерами при обмене данными о рисках и мерах реагирования.

Готовность к перекрестному огню: Имитируйте инциденты, чтобы выявить способы защиты точек входа и ценных активов, уделяя особое внимание защите ключевых серверов, обеспечивающих платежи и защиту файлов в сетях. Используйте реальные данные из собранных журналов для улучшения контроля.

Регуляторы могут повлиять на скорость принятия планов, статус координации обмена данными и способы, которыми организации смягчают последствия компромиссов. Подчеркните непрерывные улучшения: обновляйте процедуры, делитесь передовым опытом с канадцами и отслеживайте панели мониторинга статуса для выявления текущих рисков.

Немедленно начните сбор исходных метрик по попыткам доступа, неудачным входам в систему и передаче файлов; затем внедрите развертывание, которое устраняет пробелы, обучает сотрудников и обновляет комплекты защиты, чтобы закрыть бреши до их использования.

Практическая структура для снижения числа кибератак на критически важную инфраструктуру

Практическая структура для снижения числа кибератак на критически важную инфраструктуру

Рекомендация: Создайте программу снижения рисков с четким распределением обязанностей по всем основным сетям и измеримыми результатами. К июню внедрите приоритетный план, охватывающий все агентства, с инструкциями для конкретных языков и общим представлением об угрозах для ускорения реагирования в регионе и на разных языках, включая операции в Канаде и русскоязычные команды. Для этого потребуется участие сторон и четкие условия; имена и обязанности должны быть задокументированы. Это сделает подход ощутимым и готовым к действию.

  • Управление и собственность
    • Назначить ответственного сотрудника для каждого класса активов; четко указать роли в организационной структуре; обеспечить участие всех агентств.
    • Составьте приоритетный список, ориентированный на серьезные случаи и растущие угрозы; согласуйте его с канадскими властями и региональными партнерами.
    • Разработать техническое задание, стандартизирующее язык и процедуры реагирования; обеспечить написание и перевод на разные языки для широкой доступности; обеспечить участие всех сторон в обзорах прогресса.
    • Необходимо согласовать политику между ведомствами; назначить единую ответственную сторону за трансграничные действия и межведомственную координацию.
  • Видимость и усиление защиты активов
    • Проведите обнаружение всех активов в IT, OT и операционных системах; составьте карты цепочек уничтожения вторжений; присвойте активам единообразную схему наименований на нескольких языках.
    • Реализуйте сегментацию и принцип минимальных привилегий; обеспечьте принудительное использование MFA, график установки патчей и базовые конфигурации для предотвращения саботажа и попыток обхода.
    • Обеспечьте защиту систем судна и порта с помощью специализированного мониторинга; ведите автономные резервные копии и регулярно тестируйте восстановление, чтобы противостоять сбоям.
  • Threat intelligence и цепочка поставок
    • Создать региональный контур сбора разведданных через группы реагирования; принимать засекреченные индикаторы, где разрешено; отслеживать рост активности ВЗУУ и риски цепочек поставок; отслеживать субъектов, связанных с КНДР.
    • Сопоставляйте сигналы об угрозах с полной цепочкой вторжения; сопоставляйте индикаторы с наблюдаемой активностью в ключевых транспортных и энергетических сетях; адаптируйте защиту соответствующим образом.
    • Делитесь извлеченными уроками на общерегиональных форумах; поддерживайте растущую библиотеку кейсов и мер по смягчению последствий; стандарты написания помогают обеспечить единообразное понимание на разных языках.
  • Обнаружение, реагирование и учения
    • Разверните многоуровневый мониторинг, обнаруживающий аномальное поведение и попытки обхода; убедитесь, что сценарии реагирования существуют на нескольких языках и в разных стилях написания для большей ясности.
    • Регулярно проводите настольные учения, включая участников из Канады и русскоязычные команды; практикуйтесь с портовыми властями, операторами судов и поставщиками услуг; делайте упор на своевременное принятие решений и межведомственную координацию.
    • Отслеживайте такие метрики, как время обнаружения, время локализации и время восстановления; публикуйте краткие ежемесячные отчеты для руководства.
  • Риски и эволюция поставщиков
    • Оценивайте риски третьих сторон по всей цепочке поставок; включайте требования к средствам защиты в контракты; отслеживайте активность на рынке Raas и развивающиеся цепочки поставок; требуйте у поставщиков артефакты безопасности (результаты тестов, историю установки патчей).
    • Обновляйте средства контроля по мере развития моделей угроз; пересматривайте оценку рисков ежеквартально и корректируйте ее в соответствии с приоритетами.

Примечание: подход учитывает региональные реалии, включая операции Канады и сигналы, связанные с КНДР; он опирается на многоязычные коммуникации, четкий стиль изложения и вовлечение операторов судов, поставщиков энергии и региональных агентств. Особое внимание уделяется созданию практических процессов, которые смягчают последствия нарушений и сводят к минимуму сбои в случае компрометации.

Определение и приоритизация критически важных активов и их поверхностей атак

Рекомендация: Создайте актуальный реестр активов, охватывающий IT, OT и облачные домены, с идентификаторами активов, владельцами, оценками влияния на бизнес и взаимозависимостями. Обеспечьте автоматическое обнаружение и еженедельную валидацию руководителем службы безопасности и ответственными лицами для получения точной информации и выявления пробелов в охвате.

Выявляйте поверхности атак для каждого актива, используя модель, связывающую уязвимости с внешними конечными точками, интерфейсами удаленного управления, облачными API и сторонними подключениями. Помечайте поверхности как ограниченные или обширные и используйте CaaS для удаленного мониторинга рисков облачного доступа; сообщайте о тенденциях в панелях мониторинга информационной безопасности.

Приоритизируйте, исходя из интересов противников и вероятных путей доступа, с привязкой к формальной модели и достоверным исследованиям. Оцените вероятность и влияние, затем сконцентрируйте ресурсы в первую очередь на активах Уровня 1, с последующим расширением до Уровня 2 и Уровня 3 по мере совершенствования процедур.

Конкретный план действий: внедрить сегментацию сети, обеспечить принцип наименьших привилегий, развернуть MFA, и поддерживать строгое управление исправлениями и конфигурациями. Установить стандартизированные процедуры для контроля изменений и восстановления, чтобы сократить цикл от обнаружения до безопасного состояния.

Измерение и управление: отслеживайте прогресс с помощью панелей мониторинга; сравнивайте результаты за несколько недель; проводите настольные учения и исследовательские тренировки, чтобы количественно оценить попытки манипулирования и вероятность взлома. Согласуйте ритм с графиками наступления и обновите инструкции для операторов по всему миру.

Аналитика и взаимодействие: используйте инструменты Microsoft и комплекс решений Microsoft Security для улучшения обнаружения и реагирования. Предоставляйте рекомендации межфункциональным командам, чтобы все понимали свои обязанности, когда эскалировать и как корректировать процедуры. Представляйте мнение операторов из разных регионов, чтобы обеспечить учет различных точек зрения.

Обязательное применение базовых средств контроля безопасности и управления исправлениями для OT и ICS.

Обязать установить базовый набор средств контроля безопасности и централизованное управление исправлениями для OT и ICS на предприятиях коммунального хозяйства и связанных с ними объектах, установив 21-дневный срок для развертывания приоритетных обновлений и 45-дневный срок для менее срочных исправлений, с автоматизированным тестированием в изолированной среде и официальным утверждением контроля изменений перед развертыванием в производственной среде.

Установить каноническую базовую линию: автоматическое обнаружение активов и инвентаризация с тегированием критичности устройств; принудительное использование многофакторной аутентификации для учетных записей операторов; принудительное использование принципа наименьших привилегий; сегментирование сетей по функциям и изоляция путей удаленного доступа; стандартизация каналов обновления и защита коммуникаций в цепочке поставок; отправка журналов в централизованное озеро данных для оценок в реальном времени и анализа тенденций; и принятие мер по смягчению последствий уязвимостей до их эксплуатации.

Интегрируйте контрмеры против рисков социальной инженерии: разверните обнаружение фишинга как услуги, проводите непрерывное обучение и запускайте имитационные кампании; требуйте подтверждения для ссылок в рабочих процессах и убедитесь, что сценарии реагирования на инциденты отрабатываются для сокращения времени локализации; отслеживайте манипуляции и поведение злоумышленников на разных сайтах и/или обеспечьте межкомандное взаимодействие.

Соответствовать требованиям законодательства и указаниям ведомств на федеральном уровне и уровне штатов; собирать телеметрические данные от коммунальных предприятий и ведомств для поддержки усилий по оказанию взаимной помощи; публиковать запрошенные оценки, измеряющие зрелость по общей шкале; оперативно устранять недостатки в работе и документировать ход исправления для поддержки надзора.

Устраняйте уязвимости в программном обеспечении поставщиков и/или сторонних компонентах, применяя стандарты сканирования кода, SBOM, доверенные каналы обновлений и подписанные патчи; масштабируйте исправление по всем поставщикам и площадкам, обеспечивая отслеживание выявленных проблем со статусом, ответственными и сроками исполнения.

Координируйте кросс-национальную практику и делитесь передовым опытом для повышения устойчивости; разграничивайте зрелые и зарождающиеся программы и устраняйте разрыв посредством целевых мероприятий и совместных тренингов; нельзя полагаться на фрагментированные практики; создайте систему управления, позволяющую ведомствам учитывать правовые и конфиденциальные ограничения, обеспечивая при этом быстрое исправление ситуации; используйте связи между инвентаризациями активов и каталогами патчей для устранения пробелов.

Измеряйте воздействие конкретными показателями: охват патчами по категориям активов, среднее время установки патчей, процент устройств с MFA, уровень успешных фишинговых симуляций и время нахождения в системе после обнаружения; затраты должны быть распределены по бюджетам программ с периодическими аудитами для оценки соответствия; ведите общедоступную панель мониторинга с выявленными улучшениями и результатами исправления, а также учитывайте разницу между возможностями масштабирования и реальными ограничениями.

Налаживание обмена данными об угрозах в режиме реального времени и скоординированного реагирования

Внедрить безопасную, работающую в режиме реального времени платформу обмена информацией об угрозах между секторами и сетями здравоохранения, объединенную квалифицированными исследователями для обнаружения вторжений и оперативного реагирования, используя общие продукты и оценки; эта потребность удовлетворяется путем принятия мер "последней мили".

Создать уровень управления, определяющий, кто может публиковать, получать доступ и проверять сигналы, обеспечивая автоматизированный поток производных индикаторов при возникновении событий и попытку пресечь деятельность по эксфильтрации; эта работа использует возможности nctas и других организаций, а также учитывает генеративную аналитику для обогащения контекста.

Создайте единый сборник инструкций для специалистов по сетям и здравоохранению; когда происходят сложные вторжения, специалисты запускают автоматическое сдерживание для предотвращения каскадных сбоев, запрещая горизонтальное перемещение и двусмысленные передачи; этот подход использует российские индикаторы и производные данные для улучшения обнаружения и скорости действий, занимая скоординированную позицию для точного реагирования.

Отслеживайте время последних обновлений, проводите оценки и публикуйте показатели производительности; эти усилия объединяют исследователей и участников сектора для обеспечения устойчивости сети и смягчения сбоев в системе.

Артикул Owner Частота KPIs
Общие показатели по секторам ИСАКи секторов и организаций В режиме реального времени Покрытие, MTTD, ложные срабатывания
Обогащение индикаторов производными данными исследователи Непрерывный Качество сигнала, время обнаружения
Руководства по сдерживанию и координация реагирования nctas и медицинские бригады По требованию Время до постановки на содержание, предотвращённые нарушения
Настольные упражнения, включающие шаблоны, полученные из российских источников. nctas, партнеры Quarterly Скорость ответа, точность принятия решений

Определить и модернизировать законы о киберпреступности, связанные с атаками на инфраструктуру.

Принять законодательную базу, которая напрямую криминализирует вмешательство в критически важные сервисы, подключенные к интернету, с четким указанием на действие, намерение и ущерб. Включить правонарушения за несанкционированный доступ, развертывание программ-вымогателей, шифрование и эксфильтрацию данных, которые нарушают основные операции в сфере здравоохранения и других жизненно важных секторах, и установить соразмерные наказания в зависимости от степени тяжести нарушения.

Определение сферы действия, правонарушений и ответственности, которые должностные лица могут последовательно применять в разных юрисдикциях с обязательствами по оперативной отчетности и трансграничному сотрудничеству. Использование производных оценок риска для калибровки наказаний, обеспечивая повышенное реагирование на криминальные сети, которые полагаются на анонимные онлайн-платформы и зарубежные филиалы, при этом сохраняя пропорциональное преследование в судебном порядке.

Разработайте таксономию правонарушений и средств защиты, изложенную в доступной форме для руководителей корпоративной безопасности, поставщиков медицинских услуг и коммунальных предприятий, направляющую инженеров и инженерные группы, работающие со своими ИТ-коллегами, для обеспечения безопасности операций. Положения должны охватывать вторжение, кражу данных и программы-вымогатели с руководством о том, как проводить расследования, сохранять доказательства с компьютеров и координировать действия с правоохранительными органами для быстрого реагирования.

Создайте объединенную платформу для обмена информацией между должностными лицами и представителями промышленности с четкими каналами для медицинских учреждений, корпоративных организаций и государственных служб для сообщения об инцидентах, обмена индикаторами компрометации и координации реагирования. Согласуйте стимулы, чтобы интересы пациентов, клиентов и общественности были приоритетными, при этом учитывая политические аспекты и обеспечивая прозрачное управление. Расширьте руководство по составлению отчетов об инцидентах и учебные материалы, чтобы они соответствовали развивающимся технологиям.

Институционализируйте постоянные обзоры для поддержания современной, адаптируемой структуры, способной реагировать на новые технологии и криминальные методологии. Область применения включает устройства, подключенные к интернету, компоненты цепочки поставок и автоматизацию в промышленных экосистемах. Разработайте стратегии оценки и пересмотра, где должностные лица оценивают производительность, выводят метрики и корректируют ресурсы. Обеспечьте стремление защищать конфиденциальные данные и общественную безопасность, а также обеспечивайте безопасные операции во всех секторах.

Разработайте Четкие Механизмы Реагирования на Инциденты, Восстановления и Отчетности

Recommendation: Внедрите формальный, протестированный механизм реагирования на инциденты, восстановления и подотчетности, который активируется в течение нескольких минут после обнаружения, назначает четко определенные роли и сохраняет доказательства для расследований и аудитов.

Инвентаризируйте все подключенные к интернету активы и пометьте их владельцем, критичностью и контактными точками для повышения скорости реагирования. Разверните модели обнаружения, которые коррелируют оповещения по сетям, конечным точкам и сторонним сервисам, а затем автоматизируйте сортировку, чтобы назначить приоритет и жертв командам реагирования. Обеспечьте выделение ресурсов на сдерживание, искоренение и восстановление, с предоставлением краткого сообщения командам управления и эксплуатации, объясняющего влияние и следующие шаги. Разработайте сценарии для распространенных попыток саботажа и мошенничества, нацеленных на цепочки поставок, и отработайте их вхолостую, чтобы сократить время восстановления. Это дает гораздо более четкую информацию для читателя и помогает смягчить неопределенность.

Механизмы отчетности требуют формальных контрактов и процессов с партнерами, чтобы гарантировать постоянную поддержку и сотрудничество во время инцидентов. Сохраняйте контроль со стороны человека для учета юридических и этических соображений, используя автоматизацию для скорости. После событий публикуйте фактическую хронологию, количественно определяйте время обнаружения и локализации, а также указывайте, что прошло хорошо и что нуждается в улучшении; используйте эти данные для уточнения распределения ресурсов и обязательств по предоставлению помощи жертвам и заинтересованным сторонам. Нарративы, вводящие читателя в заблуждение, должны быть опровергнуты прозрачными данными и четким сообщением о средствах правовой защиты и ответственности. Это их право понимать, что произошло и как это было устранено. Необходимо учитывать аспекты политических отношений для согласования ожиданий заинтересованных сторон и укрепления доверия посредством ответственного выполнения обязательств.

Управление должно включать подотчетность в ежедневную работу: укажите, кто утверждает сдерживание, какие данные передаются читателю и как сообщается о прогрессе. Используйте панели мониторинга для отображения времени обнаружения и сдерживания, этапов восстановления и извлеченных уроков; согласуйте их с контрактами и оценками производительности. Детализируйте человеческие аспекты реагирования, от дежурств до обучения, и часто используемые показатели, такие как завершение обучения, участие в настольных учениях и эффективность доставки сообщений пострадавшим. Эти элементы ведут к усилению снижения рисков и более четкому повествованию для заинтересованных сторон.