Ниже — сжатый план действий по ролям и по этапам (приоритеты и пояснения).
Оператор сети — немедленно (первые $0-2$ ч)
- Изолировать компрометированные сегменты; поставить под ручное управление критические ПЛК/SCADA; при необходимости вывести заражённые контроллеры из сети.
- Активировать план инцидент-реагирования и аварийные диспетчерские бригады.
- Подать резервное питание (блоки АБП, дизель-генераторы, мобильные электростанции) для объектов приоритетной группы (больницы, станции водоснабжения, диспетчерские).
- Ввести контроль нагрузки и селективные отключения (аварийное равномерное секционирование) чтобы предотвратить каскадный отказ; поддерживать устойчивость частоты/напряжения.
- Не перезагружать и не перепрошивать устройства до снятия образов/логов для форензики; собирать логи, дампы памяти, сетевые трассы (chain of custody).
- Установить защищённую линию связи с властями и экстренными службами, давать регулярные сводки о зонах восстановления и ограничениях.
Власти/администрация города — немедленно и в первые $0-24$ ч
- Объявить режим ЧС/аварийный режим (если нужно) и активировать координационный штаб (единый коммуникационный центр).
- Приоритизировать и формализовать список критических объектов: больницы, скорые, АЗС, водоочистка, светофоры, железнодорожные узлы.
- Организовать доставку и распределение мобильных генераторов, топлива, медицинских запасов; обеспечить охрану критических объектов.
- Скоординировать работу МЧС, полиции, транспорта, здравоохранения и энергетики; назначить ответственных по районам.
- Обеспечить массовые коммуникации населению: безопасное поведение, ограничения передвижения, информация о работе транспорта и медпомощи.
Службы экстренного реагирования (МЧС, скорая, полиция, транспорт) — первые $0-24$ ч
- Перевести приоритетный приём пациентов в действующие стационары с питанием; при необходимости эвакуировать в референсные больницы.
- Организовать ручное управление транспортом на перекрёстках: регулировщики, временные знаки; направлять маршруты скорых с учётом отключений.
- Развернуть мобильные медицинские пункты и точки раздачи воды/энергии в самых пострадавших районах.
- Обеспечить общественную безопасность: предотвращать паники и мародёрство, координировать эвакуации.
Восстановление ИТ/контроля и расследование — кратко ($24$ ч — $14$ дн)
- Подключить к расследованию профильные CERT/национальные киберподразделения и правоохранительные органы; обмен IOC/трафиком.
- Делать восстановление только из проверенных, чистых резервных копий; сначала в тестовой/изоляционной среде.
- Проводить сканирование на посторонние пособия сохранения доступа (backdoors, модифицированные прошивки); менять сервисные пароли и ключи доступа.
- Восстановление поэтапно: изолированные «острова» — синхронизация — постепенное включение связей, мониторинг сетевой и операционной телеметрии.
- Оценить и зафиксировать ущерб, подготовить отчёты регулятору и страховщику.
Меры по минимизации последствий для людей и транспорта
- Приоритет питания: больницы → станции скорой помощи → водоочистка → светофоры/транспортные узлы.
- Развернуть мобильные источники энергии и обеспечить топливом ($дизель$) для генераторов; организовать логистику.
- Ручное управление светофорами/регулировщики в ключевых перекрёстках; временные маршруты общественного транспорта.
- Информировать людей о безопасном поведении (не пользоваться лифтами, аккуратно с медицинскими приборами, запас воды/лекарств).
Долгосрочные меры (после первичного восстановления, $>14$ дн)
- Полный аудит безопасности OT/IT: сегментация сети, многофакторная аутентификация, обновления ПО/прошивок, защита поставщиков.
- Внедрение детектирования аномалий и постоянного мониторинга (SIEM/IDS для OT), регулярные учения по киберинцидентам.
- Резервирование критических функций: горячие/тёплые резервные площадки, контрактное соглашение на мобильные генераторы.
- Юридические/регуляторные шаги: расследование, ответственность, страховые и компенсационные схемы; публичный отчёт и уроки.
Краткая приоритетная чек‑листа для первых действий (в порядке важности)
1) Сохранить жизни и критические сервисы;
2) Изолировать и остановить распространение атаки;
3) Обеспечить резервное питание для приоритетных объектов;
4) Собирать и сохранять доказательства;
5) Координировать коммуникации с общественностью и службами.
Если нужны конкретные шаблоны распоряжений, чек‑листы для больниц или последовательность «black start» для городской энергосети — скажите, подготовлю.