Сценарий атаки (пример)

Вектор: компрометация поставщика телеметрии/обновлений для централизованной системы управления поездом (CBTC) → внедрение вредоносного кода в систему сигнализации и ПИ (пассажирская информация).Моментальная цель злоумышленников: нарушение расписания/остановка поездов, ложные аварийные сигналы, отключение турникетов и биллинга, подмена камер наблюдения.Последствия: остановка части линий, скопление пассажиров, сбой оплаты, дезинформация, риск ДТП при синхронизации поездов, паника.Типичный таймлайн:
проникновение через удалённое обслуживание или уязвимый VPN (фаза латентности) — длительность (дней)–(недель);активация вреда в часы пик (удар) — немедленный эффект (0)–(2) часа;эскалация вторичных сбоев (пассажирская паника, нарушение авар.служб) — (2)–(24) часа.

Многослойная стратегия защиты, реагирования и восстановления

1) Профилактика / защита (до инцидента)

Сегментация сети: отделить IT, OT/SCADA, биллинг, ПИ и CCTV; применение межсетевых экранов и диодов данных. Минимальная связность между сегментами по принципу наименьших привилегий.Аутентификация и доступ: MFA для всех административных доступов, привилегированное управление (PAM), ротация ключей и учетных данных.Обновления и управление ПО: тестовая песочница для обновлений поставщиков, цифровая подпись образов, whitelisting приложений на критических контроллерах.Контроль поставщиков (supply chain): проверка CI/CD и цепочки поставок, контрактные SLA и требования к коду/сигнатурам обновлений.Физическая безопасность: ограничение доступа к шкафам релейного оборудования и автоматике.Резервные процедуры и автономные режимы: проработанные мануальные процедуры управления движением, запасные локальные контроллеры и автономные серверы для критических функций.Мониторинг и обнаружение: EDR на серверах/станциях, IDS/IPS в OT-сегменте, поведенческий анализ трафика, лог-централизованный SIEM с корелляцией сигналов.Обучение и учения: регулярные table-top и full-scale учения с IT, операторами, экстренными службами и администрацией.

2) Обнаружение и первичное реагирование (первые (0\text{–}2) часа)

Детектирование: автоматическое оповещение SOC/OT-SOC при аномалии (нестандартный трафик к PLC, подписанные обновления не проходят проверку).Немедленные меры IT/OT:
изоляция поражённого сегмента (микросегментация, VLAN quarantine), блокировать входящие/исходящие соединения к скомпрометированным хостам;останов/переключение на безопасный автономный режим сигнализации (manual interlocking), если доступно;отключить внешние сервисы поставщика, направить трафик на резервные контроллеры.Роль администрации: активация кризисного штаба, координация с городскими экстренными службами и PR.Роль экстренных служб: подготовить силы для эвакуации и управления толпой, обеспечить медпомощь и безопасность на станциях с угрозой давки.Коммуникация с пассажирами: оперативные сообщения через ПИ, соцсети, радиостанции — ограниченная и проверенная информация для предотвращения паники.

3) Стабилизация и локализация ( (2\text{–}24) часа )

Полная изоляция и удалённая блокировка активности злоумышленников; проверка контроля целостности образов на всех критических устройствах.Переход на ручное/локальное управление движением, сокращение числа поездов и ограничение зон работы по продуманному плану для безопасности.Биллинг и платежи: перевести платежи в аварийный офлайн-режим, мониторинг финансовых сигналов.Forensics: собирать образы дисков, логи, сетевые дампы; сохранять цепочку владения (chain of custody).Взаимодействие с правоохранительными органами и CERT/ICS-CERT для координации и угроз-анализа.

4) Восстановление работы ( (1\text{–}7) дней )

Поэтапная реабилитация систем:
верификация и переустановка подписанных образов на контроллерах;тестирование в изолированной среде, затем поэтапное включение на реальной линии.Безопасный возврат к автоматическому управлению только после полного подтверждения целостности и стабильности.Постоянный мониторинг после восстановления, усиленное наблюдение в режиме 24/7 на (N) дней; рекомендовать (N = 7)–(14).Коммуникация: публичное разъяснение причин и мер, compensation policy при длительных сбоях (скидки, проездные).

5) Ответственности и взаимодействие (кратко)

IT/OT персонал:
быстрый анализ и локализация, переключение на резервные контроллеры, forensic capture, восстановление образов.Экстренные службы:
контроль публичной безопасности, эвакуация, поддержка на местах, медицинские службы.Администрация города/оператор:
координация ресурсов, PR-коммуникация, связи с поставщиками и регуляторами, принятие решений о коммерческих компенсациях и политике.Совместный кризисный штаб: один центр принятия решений, ежедневные брифинги, назначенные ответственные (ROE — rules of engagement).

6) Пост-инцидентные меры и улучшения

Полный RCA, аудит поставщиков, обязательное исправление уязвимостей, обновление SLA.Внедрение или усиление следующих мер: резервные линии управления, multi-vendor redundancy, аппаратные диоды для критичных каналов, регулярный Patching window с тестированием.Учения и проверка процедур коммуникации с общественностью и экстренными службами не реже чем раз в (6) месяцев.Отчётность и правовые шаги: уведомление регуляторов, сохранение доказательств, при необходимости – судебные претензии к поставщику.

Краткий чек-лист действий при обнаружении атаки (порядок)
1) Оповестить SOC/OT-SOC и кризисный штаб (минута (0)).
2) Изолировать поражённый сегмент, включить авар.режим управления ( (0\text{–}30) минут).
3) Эвакуация/контроль на станциях при угрозе безопасности ( (0\text{–}60) минут).
4) Сбор артефактов для форензики (параллельно).
5) Координация с правоохранителями и поставщиками ( (\le 24) часа).
6) Постепенное восстановление после проверки образов и тестирования ( (1\text{–}7) дней).

Заключение (кратко)
Комбинация технической защиты (сегментация, MFA, мониторинг), оперативных процедур (изоляция, автономные режимы) и скоординированных действий IT, экстренных служб и администрации позволяет минимизировать риск и быстро восстановить работу метро при кибератаке.