Немедленно — первоочередные действия (кратко, по приоритету):
$1$ Обеспечить безопасность людей: задействовать патрули МВД и муниципальные регулировщики на критических перекрёстках; при необходимости вводить перекрытия и объезды; переводить светофоры в безопасный мигающий режим и/или ставить временные дорожные знаки и регулировщиков на особенно опасных участках.
$2$ Приоритет для экстренных служб: обеспечить непрерывный доступ пожарных, скорой и полиции к главным магистралям (выделенные коридоры, приоритет на перекрёстках).
$3$ Изолировать и стабилизировать систему: отключить от внешних сетей и Интернет все затронутые контроллеры и центральные узлы; при возможности выполнить «air gap» для критичных компонентов или переключить на автономные резервные контроллеры.
$4$ Активировать инцидент‑ответ: объединённая команда (городская ИТ, МВД/киберподразделение, производители/подрядчики оборудования, при необходимости ФСБ/нац. CERT) — фиксация состояния, сбор логов, форензика (соблюдение цепочки хранения доказательств).
$5$ Восстановление базовой работоспособности: перевести систему на резервные/локальные контроллеры или вернуть штатную работу из проверенных резервных копий; при отсутствии — развёртывать временные автономные светофоры/регулировщиков.
$6$ Информирование населения: оперативные и частые уведомления через СМИ, соцсети, мобильные оповещения с рекомендациями маршрутов и ограничениями; координация с перевозчиками общественного транспорта.
$7$ Начать криминальное расследование и обмен индикаторами компрометации с другими городами/организациями.
Среднесрочно — меры для уменьшения риска повторения и повышения устойчивости (сроки и приоритеты):
$1$ Сегментация и защита сети (срок $1-3\text{мес}$): отделить OT/ICS‑сеть управления светофорами от административных и Интернет‑сетей; запретить прямой удалённый доступ без защищённого канала и многофакторной аутентификации.
$2$ Резервирование и отказоустойчивость (срок $3-12\text{мес}$): внедрить георезервные центры управления, горячие/тёплые резервные копии, автономные локальные контроллеры и запасные физические светофоры.
$3$ Мониторинг и раннее обнаружение (срок $1-6\text{мес}$): развернуть SIEM/IDS/OT‑мониторинг, настроить оповещения на аномальное поведение устройств, обеспечить круглосуточный SOC или контракт на мониторинг.
$4$ Жёсткая политика обновлений и проверок безопасности (срок $1-6\text{мес}$): инвентаризация всех устройств, управление уязвимостями, регулярные патчи и тестирование прошивок; плановая пенетрационная проверка.
$5$ Жёсткая аутентификация и управление доступом (срок $1-3\text{мес}$): убрать дефолтные пароли, внедрить MFA для административного доступа, роль‑базированное управление и принцип наименьших привилегий.
$6$ Замена/заточка уязвимого оборудования (срок $6-18\text{мес}$): поэтапная модернизация устаревших контроллеров на устройства с защищённой загрузкой, подписанными прошивками и поддержкой обновлений.
$7$ Регламенты, учения и межведомственная координация (срок $1-6\text{мес}$): разработать и отработать план реагирования на киберинциденты в транспортной инфраструктуре, регулярные учения с МВД, экстренными службами и перевозчиками.
$8$ Контракты и юридические меры (срок $1-6\text{мес}$): пересмотреть SLA с поставщиками, включить требования по кибербезопасности, форензике и уведомлениям; обеспечить страхование рисков.
$9$ Обмен информацией и стандарты (срок $3-12\text{мес}$): налаживать обмен IOC и инцидентами с другими муниципалитетами и национальными CSIRT; внедрить стандарты безопасности OT.
$10$ Общественная готовность и альтернативы (срок $3-12\text{мес}$): улучшение общественного транспорта, развитие навигации и информирования водителей в реальном времени, запасные физические средства регулирования.
Короткий чек‑лист приоритетов для старта: обеспечить безопасность людей и экстренных служб; изолировать и зафиксировать систему для форензики; восстановить базовую работу через резервные средства; публично информировать; начать расследование; параллельно запускать технические мероприятия по сегментации, мониторингу и обновлению оборудования.
Если нужно — могу подготовить детализованный план действий для первых $24\text{ч}$ и для первого квартала ($90\text{дн}$).