Кратко и по делу — разделю меры на краткосрочные (реакция и восстановление) и долгосрочные (устойчивость, регулирование) на уровне государства и международного сотрудничества. Для чисел и целевых метрик использую примеры, которые нужно адаптировать под национальную оценку риска.
Краткосрочные меры (немедленные)
- Сдерживание и реагирование:
- Изолировать инфицированные сегменты сети, отключить внешние каналы и VPN для заражённых узлов, но сохранить доступ для IR‑команды и правоохранителей.
- Запустить инцидентный план (IR) и команду реагирования (SOC/CSIRT), подключить внешних специалистов по форензике и восстановлению.
- Обеспечение непрерывности медицинских услуг:
- Перевести критические процедуры на ручные/аналоговые процессы и перенаправить пациентов в безопасные учреждения.
- Приоритетно восстановить системы, критичные для жизнеобеспечения и доступности медикаментов.
- Резервное восстановление:
- Восстановление только из проверенных, неизменяемых (immutable) и протестированных резервных копий; при необходимости использовать оффлайн/air‑gapped бэкапы.
- Не платить выкуп без одобрения государственных органов и оценки юридических/этических рисков; документировать все коммуникации с атакующими.
- Сбор доказательств и уведомления:
- Сохранить логи и образы дисков для криминалистики; немедленно уведомить национальный CERT/CSIRT и правоохранительные органы.
- Оповестить пациентов и регуляторов в соответствии с обязательными требованиями (см. юридические меры).
- Коммуникация:
- Оперативные публичные коммуникации для предотвращения паники и координации с местными властями и СМИ.
Краткосрочные технические практики (конкретно для ИТ)
- Отключить/изолировать удалённый доступ, отключить учетные записи с подозрительной активностью.
- Включить/обновить EDR/XDR, собрать IOC, провести блокировку по хешам/сигнатурам.
- Восстановление по приоритетам: базы данных пациентских карт и системы управления лекарствами — первыми.
Краткосрочные юридические шаги (государство)
- Активировать обязательное уведомление об инциденте: уведомить национальные органы и пациента в сроки, например $72$ часа (как в GDPR) для существенных утечек.
- Координировать решение по взаимодействию с иностранными органами и банками (если требуются переводы/санкции).
Долгосрочные меры (устойчивость и предотвращение)
- Стратегия резервирования и восстановления данных:
- Внедрить правило $...$: правило $"3‑2‑1"$ — $3$ копии данных, на $2$ разных носителях, $1$ — оффсайт/air‑gapped.
- Использовать immutable snapshots и write‑once хранилища; регулярно тестировать восстановление (план и отчёт о тестах).
- Определять RTO и RPO по критичности систем: например для жизненно важных систем RTO в пределах $1$–$4$ часов, RPO в пределах $0$–$15$ минут; для менее критичных — иные SLA, исходя из оценки риска.
- Регулярные тесты восстановления (full‑restore drills) не реже чем каждые $6$–$12$ месяцев.
- Архитектура и технические меры:
- Сегментация сети и микросегментация: отделять клинические устройства и EHR от административных и внешних сетей.
- Принцип минимальных прав, многофакторная аутентификация для всех удалённых и привилегированных доступов.
- Централизованный мониторинг (SIEM), EDR/XDR, регулярный анализ событий и Threat Hunting.
- Жёсткое управление патчами: критические уязвимости — устранение в течение $24$–$72$ часов после подтверждения наличия эксплойтов; остальные — в установленные SLAs.
- Обязательное применение SBOM (software bill of materials) для ПО и медицинских устройств; требования к пожизненной поддержке безопасности производителем.
- Управление поставщиками и медицинскими устройствами:
- Стандарты безопасности при закупках, контракты с гарантиями исправления уязвимостей и обязательной отчетностью.
- Запрет эксплуатировать устройства, достигшие EOL, без компенсирующих мер.
- Обучение и орг‑меры:
- Регулярные тренировки, tabletop‑упражнения и сценарные тесты: минимум раз в $3$–$12$ месяцев в зависимости от размера организации.
- Повышение квалификации IT‑персонала, сертификация и найм профильных специалистов.
- Страхование и финансирование:
- Поддержка программ страхования и государственных фондов на инцидентное восстановление и модернизацию.
Долгосрочные правовые и регуляторные меры (государство)
- Ввести минимальные базовые требования по кибербезопасности для учреждений здравоохранения (стандарты, сертификация) с поэтапным внедрением.
- Обязательное уведомление о серьёзных инцидентах в конкретный срок (например $72$ часа), с четкими критериями и штрафами за невыполнение.
- Регулирование по обращению с выкупом: прописать обязанности и запреты, предусмотреть координацию с государственными органами и страховыми компаниями.
- Юридическая ответственность производителей медоборудования за уязвимости при отсутствии обновлений/патчей в оговоренные сроки.
- Финансирование модернизации и субсидии для малых клиник, чтобы исключить «слабые звенья».
Международные меры и сотрудничество
- Бесперебойный обмен информацией:
- Создать/усилить каналы обмена IOC, TTP, оперативной информацией между национальными CERT, секторными ISAC/ISAO и WHO/ECDC; стандартизовать формат (STIX/TAXII).
- Юридическое и оперативное сотрудничество:
- Ускорить процедуры MLA/MLAT для киберпреступлений, развивать общие механизмы экстрадиции и замораживания активов.
- Координированные комплексные операции против инфраструктуры атакующих (при политическом решении).
- Международные стандарты и помощь:
- Разработка общих требований к безопасности медицинских устройств и ПО на уровне ЕС/ВОЗ с механизмами сертификации.
- Механизмы быстрого международного реагирования (cyber rapid response teams) и обмен экспертизой/ресурсами в кризисе.
- Санкционная и дипломатическая политика:
- Четкая политика санкций против стран/групп, поддерживающих ransomware‑операторов; дипломатическая координация для пресечения каналов отмывания.
- Capacity building:
- Техпомощь и обучение для стран с ограниченными ресурсами, чтобы не допустить распределения рисков через слабые звенья.
Практический чек‑лист при формировании государственной программы (приоритеты)
- Наличие национального каталога критических систем здравоохранения и классификация по критичности.
- Обязательные минимальные меры безопасности и резервирования для всех поставщиков и учреждений.
- Национальный/секторный CSIRT для здравоохранения с чёткими процедурами уведомления и поддержкой в реальном времени.
- Регулярные учения, тестирование восстановления и независимые аудиты/пентесты.
- Международные соглашения по обмену данными и совместным операциям.
Короткое заключение
- Комбинация быстрых реактивных действий (изоляция, восстановление из проверенных бэкапов, форензика) и системной долгосрочной стратегии (резервирование по правилу $"3‑2‑1"$, сегментация, MFA, патч‑менеджмент, юридические требования и международная координация) существенно снизит риск повторных параличей критической медицинской инфраструктуры.