Защита критической инфраструктуры
- Оценка и приоритизация: провести быстрый аудит уязвимых сервисов (СУ ОУС, биллинговые системы, платежные хранилища), выделить критичные активы и точки входа.
- Немедленные меры сдерживания:
- изолировать заражённые сегменты сети и вывести из сети компрометированные устройства;
- переключить важные сервисы на резервные/ручные процедуры управления;
- сохранить сведения для форензики (логи, образ диска) и не перезапускать подозрительные узлы.
- Устранение угрозы:
- очистить/восстановить системы из заведомо чистых резервных копий;
- обновить и патчить ПО и прошивки, удалить неиспользуемые сервисы;
- сменить учётные данные и ключи доступа, аннулировать скомпрометированные сертификаты/токены.
- Сетевой и логический контроль:
- сегментация сети OT/ICS и IT, строгие ACL/файрволы между сегментами;
- принцип наименьших привилегий, ограничение удалённого доступа, многофакторная аутентификация для административных учеток;
- применение белых списков приложений и запрет исполнения неподписанного кода.
- Мониторинг и детекция:
- внедрить/усилить SIEM, EDR, сетевые IDS/IPS, корреляцию инцидентов и оповещения;
- запись и централизованное хранение логов с защитой от удаления.
- Защита платёжных данных:
- шифрование данных в покое и при передаче, токенизация платёжных реквизитов;
- минимизация хранения платёжной информации, регулярная ревизия доступа к данным;
- соответствие стандартам (например, PCI DSS) и аудит.
- Организационные меры:
- активировать команду реагирования на инциденты (CSIRT), подключить внешних специалистов и национальный CERT/правоохранительные органы;
- план непрерывности бизнеса и процедуры восстановления (DRP), регулярные тесты и учения;
- управление поставщиками и цепочкой поставок, проверка безопасных практик подрядчиков.
- Долгосрочно: инвестиции в OT‑кибербезопасность, регулярные аудиты, обучение персонала, программа багбаунти/ответственного раскрытия.
Информирование населения
- Принципы коммуникации: быть оперативным, честным и понятным; публиковать проверенные факты, избегать спекуляций; регулярно обновлять статус.
- Что сообщать:
- какие сервисы затронуты, какие данные возможно скомпрометированы и какие риски это создаёт для жителей;
- какие временные меры приняты и ориентировочная оценка сроков восстановления;
- конкретные рекомендации для граждан (проверять банковские выписки, сменить пароли, включить 2FA, не переходить по подозрительным ссылкам).
- Каналы и доступность:
- использовать несколько каналов: официальный сайт с доской статусов, SMS/рассылки, соцсети, местное радио/ТВ, кол‑центр;
- обеспечить доступность сообщений для маломобильных/уязвимых групп и материалы на нескольких языках, если нужно.
- Защита от фишинга и мошенничества:
- предупреждать о возможных фишинговых рассылках и звонках, давать чёткие признаки официального сообщения (официальные номера/URL);
- открытые инструкции, как проверять подлинность запросов об оплате и как сообщать о подозрительных сообщениях.
- Поддержка пострадавших:
- горячая линия/пункт помощи для пострадавших (фин.консультации, юридическая помощь), при необходимости предложение мониторинга кредитных историй;
- шаблоны уведомлений для организаций и поставщиков услуг.
- Взаимодействие с медиа и НКО:
- координация с местными СМИ, активация ролевых координаторов для распространения единой версии событий;
- регулярные брифинги и FAQ, чтобы снизить панические настроения и предотвратить распространение дезинформации.
Краткий план действий на первые часы: изоляция и сохранение доказательств, уведомление CSIRT/CERT/правоохранителей, перевод критичных сервисов на резерв/ручное управление, оперативное оповещение населения с чёткими инструкциями и каналами обратной связи.