Slovenčina 
English (UK) 
Русский 
العربية 
日本語 
한국어 
Magyar 
Türkçe 
Español 
Čeština 
Svenska 
Português 
Ελληνικά 
Suomi 
Nederlands 
Română 
Italiano 
Français 
Polski 
Українська 
Deutsch 
简体中文 
3 Steps Government Policymakers Can Take to Reduce Critical Infrastructure Cyber Attacks">
Recommendation: Zriadiť medziagentúrny register rizík na identifikáciu expozície v prepojených verejných systémoch a následne zosúladiť politiky s cieľom zvýšiť ochranu a zjednodušiť spravované služby.
Akcia 1: Vytvorte a sledujte jednotnú informačnú slučku medzi agentúrami a súkromnými partnermi na identifikáciu mnohých rizík, vrátane trestných činov a odhalenia citlivých údajov.
Akcia 2: Zaveďte prístup k ochrane založený na produktoch a spravovaných službách, ktorý je ukotvený v politikách, ktoré vám umožnia sledovať náklady a výhody v rámci verejne prístupných systémov.
Akcia 3: Aktualizovať obstarávanie a vnútornú politiku o štandardizované kontroly, vyžadovať od agentúr hlásenie aktuálne prebiehajúcich rizík a incidentov a následne použiť všeobecné informácie na informovanie o rozpočtoch a aktualizáciách programov pre samotné agentúry.
Praktický rámec ochrany údajov pre kritickú infraštruktúru
Implementujte špecializovaný program na ochranu údajov pre kľúčové siete služieb, ktorý bude využívať formálnu klasifikáciu údajov a nepretržité monitorovanie narastajúcich rizík a bojovať proti pretrvávajúcim narušeniam.
Pochopte prostredie hrozieb mapovaním aktív, tokov dát a používateľských ciest v kybernetickom priestore. Podľa CISA zosúlaďte návrh kontroly s tými, ktorí prevádzkujú, spoliehajú sa na alebo sú závislí od týchto sietí, a udržiavajte kontinuitu presadzovaním segmentácie a prístupu s najnižšími privilégiami.
Uplatňujte hĺbkovú obranu: identifikujte údaje, ktoré si vyžadujú ochranu, šifrujte údaje počas uloženia a prenosu a spravujte kľúče prostredníctvom špecializovaných procesov. Využívajte MFA, podrobné riadenie prístupu a štvrťročné kontroly prístupu pri súčasnom zachovaní silnej pozície na okrajoch siete a koncových bodoch vrátane zdravotníckych služieb a iných poskytovateľov.
Zaviesť jasné rituály pre riešenie a hlásenie incidentov: definovať prevádzkové príručky, štvrťročne vykonávať cvičné simulácie a bezodkladne hlásiť incidenty príslušným subjektom, aby sa skrátil čas zotrvania a predišlo sa sekundárnym kompromitáciám. Udržiavať nepretržité monitorovanie a rýchle obmedzenie pre kybernetické aktivity v reálnom čase.
| Riadiaca oblasť | Účel | Majiteľ / zodpovedný subjekt | Metriky |
|---|---|---|---|
| Klasifikácia a označovanie údajov | Identifikujte citlivé údaje a vynúťte pravidlá manipulácie. | IT / Správa dát | presnosť > 95%; štvrťročné revízie |
| Správa identít a prístupu (MFA, RBAC) | Obmedzte, kto má prístup k citlivým údajom | IAM tím | MFA pre správcov; princíp najmenších privilégií; každoročné audity prístupu |
| Segmentácia siete / nulová dôvera | Obsahovať narušenia a kontrolovať bočný pohyb | Bezpečnostná architektúra | pokrytie mikrosegmentáciou > 90 %; simulovať narušenia štvrťročne |
| Monitorovanie a protokolovanie | Rýchlo detekujte incidenty a sledujte aktivity | Centrum bezpečnostných operácií | 24/7 pokrytie; MTTD < 15 minút; uchovávanie záznamov 90 dní |
| Zálohovanie a obnova | Zachovajte kontinuitu a obnoviteľnosť | Tím pre zálohovanie a odolnosť | denné zálohy; RPO 4 hodiny; RTO 8 hodín |
| Zdieľanie informácií o hrozbách | Pochopte vznikajúce vzorce a indikátory cielenia | Spravodajské informácie o hrozbách / styk s vládou | mesačné prehľady; zdieľať ukazovatele s entitami |
Stanovte základnú úroveň ochrany údajov založenú na riziku pre siete OT a IT
Hoci existuje naliehavosť, implementácia tohto základného plánu je náročná, ale nevyhnutná. Jednotný základný plán pre celú organizáciu konsoliduje inventúry OT a IT aktív a toky dát do jedného zobrazenia. Táto skutočnosť informuje manažérsku stratégiu na ochranu životne dôležitých údajov a zníženie rizika v odvetví energetiky a priemyslu. Základný plán by mal byť realizovateľný a uskutočniteľný do 60 dní, s jasným poradím priorít pre dátové kategórie a toky. Plán pomáha manažérom pochopiť rizikové body a hodnotu ochrany údajov.
Vedenie agentúry by malo poveriť vypracovaním národnej normy, ktorá zovšeobecňuje základňu založenú na riziku pre pripojené siete a pracovnú silu. Rámec musí byť merateľný, zosúladený s existujúcim dodržiavaním predpisov a štvrťročne aktualizovaný, aby odrážal reálne incidenty a rastúce hrozby. Digitálna kriminalita prudko vzrástla, čo podčiarkuje potrebu formálnej základne. Identifikáciu vysoko hodnotných aktív a tokov údajov by mali vykonať identifikovaní vlastníci s možnosťou rýchlo presunúť nápravné opatrenia do plánu realizácie. Tým sa zabezpečí, že riziká, ktoré boli identifikované, budú zachytené v základni.
Medzi kľúčové opatrenia patrí: identifikácia aktív a tokov údajov na odstránenie nedostatkov; presun segmentácie medzi OT a IT tam, kde je to možné; presadzovanie prístupu s najnižšími oprávneniami pre manažérov a inžinierov; vyžadovanie MFA pre správcovské kontá; šifrovanie citlivých údajov v pokoji aj pri prenose; implementácia 30-dňového cyklu záplat a firmvéru pre položky s vysokým rizikom; vykonávanie štvrťročných cvičení na testovanie reakcie; vytvorenie príručky pre reakciu na incidenty. Tento krok znižuje expozíciu a zvyšuje odolnosť organizácie voči útočníkom.
Na posúdenie pokroku si osvojte panel založený na faktoch: percento pripojených zariadení s aktuálnym firmvérom, percento klasifikovaných dátových tokov, čas do izolácie incidentov a stredný čas do obnovy. Skutočné incidenty za posledný rok ukazujú rastúcu aktivitu hrozieb v celej sieti, najmä tam, kde je povedomie zamestnancov slabé. Keď kontroly preskakujú medzi lokalitami bez zosúladenia, izolácia sa spomaľuje. Všeobecný trend ukazuje, že organizácie s jasnou základnou líniou čelia menšiemu počtu narušení a rýchlejšiemu zotaveniu v porovnaní s kolegami v odvetví. Tento model potvrdzuje, že riadenie a základná rutina sú kľúčové.
Monitorujte a nepretržite overujte identifikované kontroly; komisia môže požadovať štvrťročné audity s národným súborom údajov na porovnávanie výkonnosti v celom sektore. V praxi dobre spravovaná, prepojená sieť smeruje k odolnému postoju, aj keď čelí sofistikovaným aktérom hrozieb. Celkovo je základná línia nevyhnutná pre konzistentné riadenie rizík a pomáha zamestnancom pochopiť úlohu ochrany údajov v každodennej práci.
Zaveďte šifrovanie, správu kľúčov a minimalizáciu údajov v rámci kritických systémov.
Požadovať predvolené šifrovanie pre neaktívne dáta a dáta počas prenosu, nasadiť centralizovanú správu kľúčov a implementovať automatizovanú minimalizáciu dát v rámci základných aktív, aby sa zabránilo strate dát a obmedzilo sa vystavenie údajov.
-
Šifrovanie a riadenie kľúčov naprieč základnými aktívami:
- Šifrujte neaktívne a prenášané dáta štandardne pomocou kryptografických modulov s validáciou FIPS; centralizujte kľúčový materiál v module zabezpečenia hardvéru (HSM) alebo cloudovom KMS s automatizovanou rotáciou a prísnymi kontrolami prístupu. Rozdeľte povinnosti tak, aby žiadna rola nemala prístup k dátam aj kontrolu nad kľúčmi; vynucujte nemenné auditné záznamy na podporu analýzy incidentov. Zahrňte úschovu kľúčov tam, kde je to potrebné, aby ste predišli stratám a umožnili obnovu. Využite svoj technologický stack na automatizáciu presadzovania vo všetkých úložiskách a komunikáciách; krishnan poznamenáva, že centralizovaná kontrola a pravidelná validácia kryptografických implementácií posilňujú odolnosť a pomáhajú identifikovať slabiny, ktoré môžu hackeri zneužiť.
-
Minimalizácia údajov a kontrolované toky údajov:
- Zdôvodnite potrebu dokumentácie niektorých typov zhromažďovaných údajov na poskytovanie služieb; klasifikujte údaje a uplatňujte lehoty uchovávania; kde je to možné, údaje anonymizujte alebo pseudonymizujte; automatizujte vymazávanie neaktuálnych záznamov po definovaných obdobiach. Obmedzte zdieľanie na nevyhnutných partnerov v rámci dodávateľského reťazca a vyžadujte šifrovanie pri prenose; uchovávajte údaje subjektu v minimálnom požadovanom rozsahu a prispôsobte zásady zaobchádzania potrebám zdravotníctva a iných sektorov. Preukážte význam pre hospodárstvo a využite tento prístup na splnenie niektorých politických cieľov a zároveň znížte mieru ohrozenia.
-
Riadenie, dohľad a reakcia na incidenty:
- Zriadiť komisiu zástupcov rôznych agentúr na stanovenie definícií úloh a zodpovednosti; zosúladiť presadzovanie s politikami naprieč ekonomikami a sektormi, vrátane iných; integrovať spravodajské informácie o narastajúcich hrozbách a zameriavaní sa hackermi; zabezpečiť správu a riadenie v kybernetickom priestore a v zdravotníctve a iných základných službách; držať krok s vyvíjajúcimi sa rizikami a ísť príkladom s príručkami a cvičeniami pre riešenie incidentov. Zachytiť prijaté opatrenia a aplikovať získané poznatky na včasné odstránenie nedostatkov, čím sa preukáže hodnota silnejšieho vedenia.
Vynúťte nulovú dôveru pre vzdialenú údržbu a pripojenia dodávateľov
Zaveďte model nulovej dôvery pre vzdialenú údržbu a pripojenia dodávateľov, ktorý vyžaduje krátkodobé poverenia, kontroly stavu zariadenia a priebežné overovanie relácie pre každú interakciu. Tento prístup posilňuje odolnosť podniku tým, že zabezpečuje autentické identity, riadený prístup a auditovateľnú aktivitu v rámci systémov.
- Overenie identity a zariadenia: Vynúťte overovanie na základe certifikátov a MFA pre každého dodávateľa a technika; integrujte s jediným poskytovateľom identít; vyžadujte priebežné kontroly stavu prihlásených zariadení a smerujte protokoly do centralizovaného dátového úložiska; zásady by sa mali pravidelne prehodnocovať, aby sa potvrdila zhoda s rizikovou toleranciou a očakávaniami rolí.
- Rozsah prístupu a minimalizácia privilégií: Priraďte každú úlohu dodávateľa k definovanému portfóliu systémov; uplatňujte riadenie prístupu na základe rolí a časovo obmedzené relácie; obmedzte príkazy a vystavenie údajov na to, čo je nevyhnutne potrebné; tým sa znižuje významný vplyv pri zachovaní agility pre potreby podnikania.
- Sprostredkované pripojenia a riadenie relácií: Všetky vzdialené prístupy do hlavných systémov musia prechádzať cez bezpečnú bránu alebo jump hostiteľa s obojstranným TLS; blokovať priame pripojenia dodávateľov; presadzovať podrobné hranice relácií a automatické ukončenie po dokončení úlohy; sledovať akcie v nemennom zázname.
- Monitorovanie, sledovanie údajov a auditovanie: Umožnite nepretržité monitorovanie relácií; sledujte presuny údajov a zmeny konfigurácie; udržiavajte auditovateľný rozpis akcií pre potreby kontrol; nastavte výstrahy takmer v reálnom čase pre anomálne správanie; zabezpečte, aby údaje aktuálne informovali o rizikových rozhodnutiach.
- Životný cyklus, stav a rozvoj technológií: Udržiavajte aktuálny inventár aktív a portfólií dodávateľov; vyžadujte, aby sa zmeny z rozvojových projektov testovali v kontrolovanom prostredí pred nasadením do systémov podporujúcich život; monitorujte stav systému a automatizujte nápravu tam, kde je to možné.
- Riadenie, dohľad a neustále zlepšovanie: Zosúladenie s obchodnými prioritami; tímy IT obvodov a dohľad agentúr by mali byť súčasťou preskúmania zásad; neustále zlepšovanie techník a zásad; sledovanie metrík výkonnosti a dôležitosti týchto kontrol pre širšie technologické portfólio; tento rámec by mal pomôcť tomuto portfóliu zostať odolným pri jeho raste.
Segmentujte siete a implementujte nepretržité monitorovanie s upozorneniami v reálnom čase
Implementujte segmentovanú topológiu v celej regionálnej sieti a nasaďte nepretržité výstrahy v reálnom čase v centralizovanej, spravovanej konzole. Tento prístup povedie k zníženiu rizika vďaka udržiavaniu služieb v izolovaných zónach a uplatňovaniu dynamických riadení prístupu. Používajte jedinú riadiacu platformu na koordináciu výstrah, zmien zásad a príručiek reakcií, aby mohol váš tím konať rýchlo.
Začnite s regionálnou mapou, kde sa nachádzajú vaše aktíva, a identifikujte, kde sú služby verejne prístupné. V každom regióne zmapujte expozíciu a dôležitosť aktív. Pre každú zónu priraďte dôveryhodného dodávateľa a implementujte prísne kontroly. Zahrňte spravodajské informácie o hrozbách na zlepšenie detekcie a monitorujte indikátory z nedávnych vzorcov skutočností od posledných volieb. Udržiavajte množstvo incidentov a získaných skúseností, aby ste sa mohli rýchlo prispôsobiť.
Zabezpečte, aby služby zostali prepojené prostredníctvom kontrolovaných hraníc: nazývané mikrosegmentácia a rámce nulovej dôvery; implementujte prístup s obmedzeným povolením. Používajte riadený bezpečnostný balík, ktorý podporuje upozornenia v reálnom čase, automatizáciu pre zadržiavanie a plán pre prebiehajúce zmeny. Cieľom je zabrániť šíreniu jediného útoku cez mnoho regiónov a služieb, pre prípad zlyhania zadržania.
Z národného hľadiska sa zosúladiť s plánom, ktorý pokrýva dôležité plánovanie v oblasti dodávateľského reťazca, rizika dodávateľov a obrany počas období vysokého napätia, ako sú voľby. Bezpečnostné tímy sa zameriavajú na spravodajstvo a mali by aj naďalej viesť so spravodajstvom a prispôsobovať taktiku prostrediu hrozieb, kde hackeri v súčasnosti cielia na aktíva. Zamerať sa na skutočnosť, že väčšina narušení začína odhalenými službami a slabými konfiguráciami; najprv odstrániť tieto medzery.
Na kvantifikáciu pokroku monitorujte úrovne expozície, čas detekcie a čas na obmedzenie. Používajte regionálne informačné panely a pokračujte v zdokonaľovaní taktiky na základe spravodajských informácií a faktov. Udržujte si množstvo osvedčených príručiek ešte z prvých dní, vrátane vstupov od spoločnosti Dell a ďalších predajcov. Pripravte sa na ďalší útok a podľa toho upravte segmentáciu. Na celom svete udržiava prijatie týchto postupov energiu a služby pripojené.
Vytvorte si príručky pre reakciu na incidenty, zálohovanie dát a obnovu s cvičeniami
Identifikujte aktíva, ktoré sú najdôležitejšie v regionálnych operáciách, a vymenujte vedúceho pre oblasti ako dáta, sieť a zdravotnícke systémy. Vytvorte špecializovaný tím agentúry na riadenie reakcie na incidenty, zálohovanie dát a obnovu s stratégiou, ktorá je zrozumiteľná pre rôzne organizačné jednotky. Tento prístup pomáha vládam stanoviť štandardy a cielené akcie, aby program mohol bojovať proti hrozbám, keď sa objavia. Iba toľko postupov, aby sa predišlo preťaženiu tímov.
Vytvorte príručku zálohovania dát, ktorá pokrýva rozsah, frekvenciu, šifrovanie, kópie mimo pracoviska a kontroly integrity. Vyberte produkt s funkciami vytvárania verzií a vzduchotesnej izolácie; mesačne testujte obnovu a dokumentujte výsledky v centrálnom úložisku pre revíziu zabezpečenia. Naplánujte automatické spustenie úplných záloh s upozorneniami pri zlyhaní testu obnovy a rozumiete stavu jednotlivých vrstiev dát.
Vypracujte plán obnovy s jasnými cieľmi RTO a RPO pre základné služby. Zmapujte sieťové závislosti a identifikujte kľúčové postupy obnovy, pričom uprednostnite rôzne organizačné jednotky a regióny. Použite štandardizované postupy na zabezpečenie opakovateľnosti a škálovateľnosti krokov obnovy a ich zosúladenie s agentúrami, normami a politikou. Vyškolte tímy, aby pochopili, ako vykonať plán počas cvičenia a dokumentovať medzery.
Program cvičení: stolové, simulované prieniky a cvičenia obnovy naživo. Naplánujte, kedy spúšťať cvičenia; zapojte zainteresované strany z vlád, regiónov a organizácií. Používajte objektívne hodnotenie pre čas detekcie a zadržania, čas obnovy a integritu údajov; zachyťte ponaučenia v stručnej správe po akcii a aktualizujte príslušné príručky.
Správa a zlepšovanie: udržiavať živý katalóg problémov a zlepšení; zabezpečiť prístupnosť hromady poznatkov z incidentov pre všetkých, pričom sa zabezpečí riešenie problematiky ochrany údajov a bezpečnostných tém. Zosúladiť sa s normami a zamerať sa na riziká; merať ukazovatele stavu, ako napríklad priemerný čas na identifikáciu, čas na pochopenie a čas na obnovu; tým sa zabezpečí celoplošná odolnosť v rozsahu.