Алгоритм оценки уязвимости критической инфраструктуры (энергетика, водоснабжение, связь) и меры повышения стойкости.
1) Подготовка
- Сформировать команду (IT, OT/ICS, операторы, безопасность, юристы).
- Собрать требования и границы оценки (периоды, объекты, критичность).
2) Инвентаризация активов
- Каталогизировать активы: сети, контроллеры (PLC/RTU), SCADA, АСУ ТП, серверы, коммутация, датчики, БД, внешние каналы связи, поставщики.
- Для каждого актива фиксировать: функции, критичность, владельца, связи, версии ПО/фирм.
3) Определение критичности и последствий
- Для каждого актива оценить воздействие при отказе по шкале 0–1 (или денежно): $I_a\in [0,1]$.
- Критерии: безопасность людей, устойчивость сервиса, экономический ущерб, соц. последствия, восстановление.
4) Анализ угроз и сценариев атак
- Составить векторы атак: удалённый доступ, компрометация поставщика, DDoS, инсайдеры, вредоносное ПО, манипуляция датчиками.
- Оценить возможности атакующего (навыки, ресурсы, мотивация).
5) Техническая оценка уязвимостей
- Провести:
- пассивный/активный инвенторигационный сканинг (с осторожностью в OT);
- тесты по уязвимостям (CVE), конфигурации, слабые пароли, открытые порты;
- ручную проверку критичных контроллеров и каналов;
- анализ цепочки поставок и прошивок.
- Нормализовать баллы уязвимостей $s_{a,i}\in [0,1]$ по типам (позволяет сравнивать).
6) Оценка вероятности реализации
- Для каждого актива оценить вероятность реализации уязвимости $L_a\in [0,1]$ на основе эксплойтабельности, доступности сети, наличия аутентификации и защит.
- Можно рассчитывать через агрегирование факторов: $L_a=f(exploitability,exposure,controls)$.
7) Расчёт итоговой уязвимости и риска
- Составить взвешенную оценку уязвимости актива:
$$V_a=\sum _i{w}_i{s}_{a,i},\sum _i{w}_i=1,V_a\in [0,1].$$ - Оценить риск (вероятность × последствие):
$$R_a=L_a\times I_a\times V_a.$$ - Для агрегирования на уровень системы/сервиса взять максимум или средневзвешенное:
$$R_{system}=\underset{a}{\max }{R}_a\text{или}{R}_{system}=\frac{{\sum }_a{c}_a{R}_a}{{\sum }_a{c}_a},$$ где $c_a$ — вес по критичности.
8) Приоритизация и план действий
- Классификация: высокий риск (например, $R_a>0.7$), средний ($0.3<R_a\le 0.7$), низкий ($R_a\le 0.3$).
- Составить план исправлений по приоритетам с оценкой затрат и времени.
9) Тестирование и валидация мер
- Провести пен‑тесты, red-team, таблио‑упражнения, приоритетно для выдерживающих человеческую и техническую проверку сценариев.
- OT‑тестирование с безопасностью и резервированием.
10) Непрерывный мониторинг и пересмотр
- Ввести постоянный мониторинг, обновлять инвентарь и оценку после изменений/инцидентов.
- Периодичность ревизии: минимум раз в год и после крупных изменений.
Ключевые метрики (пример)
- Время обнаружения: $\text{MTTD}$ (цель — уменьшать).
- Время восстановления: $\text{MTTR}$.
- Доля исправленных уязвимостей в срок: $\frac{\text{исправлено}}{\text{выявлено}}$.
(Все метрики масштабировать в $[0,1]$ или в измеримых единицах).
Технические меры повышения стойкости
- Сетевая сегментация и фильтрация
- Отдельные VLAN/физические сети для OT/ICS и IT; принцип «зоны и каналы».
- Бастионные хосты и jump‑серверы для доступа к OT.
- Минимизация поверхности атаки
- Отключение ненужных сервисов, закрытие портов, управление конфигурациями.
- Аутентификация и доступ
- Многофакторная аутентификация для всех удалённых/админских доступов.
- Принцип наименьших привилегий, RBAC, журналы доступа.
- Обновления и управление уязвимостями
- Патч‑менеджмент с тестовой средой для OT; виртуальные эмуляторы для проверки прошивок.
- Защита OT/ICS
- Вспомогательные шлюзы (protocol diodes, application gateways), IDS/IPS с поддержкой Modbus/DNP3/IEC‑104.
- Контроль целостности прошивок и белый список приложений.
- Резервирование и восстановление
- Регулярные оффлайн/неподключённые резервные копии конфигураций и данных; планы восстановления.
- Дублирование критичных каналов связи и питание (UPS, генераторы).
- Сетевая и облачная защита связи
- Защита от DDoS, BGP‑безопасность (RPKI), резервные провайдеры, шифрование каналов (TLS/IPsec).
- Логирование и корреляция
- SIEM/Лог‑корреляция, OT‑анализаторы аномалий, EDR/HIDS, телеконтроль.
- Контроль поставщиков
- Анализ безопасности поставщиков, требования к поставкам, проверка обновлений и прошивок.
Организационные меры
- Управление рисками и политика
- Политика кибербезопасности, классификация активов, SLA/OLR для критичных услуг.
- Роли и ответственность
- Назначить владельцев активов, ответственного по кибербезопасности и аварийному восстановлению.
- Обучение и упражнения
- Регулярное обучение персонала (фишинг, реакция), упражнения по инцидентам и таблио‑упражнения.
- План реагирования на инциденты и восстановления
- Документированные процедуры, контакт‑лист, сценарии восстановления, связи с экстренными службами.
- Управление поставщиками и цепочкой поставок
- Контракты с требованиями безопасности, аудит поставщиков, план замены при компрометации.
- Аудит и соответствие
- Внешние аудиты, соответствие отраслевым стандартам (например, NERC, ISO/IEC 27001, IEC 62443).
- Обмен информацией
- Участие в местных/отраслевых ISAC/ISAO, обмен индикаторами компрометации (IOCs).
- Финансовые и регуляторные меры
- Резервы на восстановление, страхование киберрисков, юридическая готовность.
Короткие рекомендации внедрения
- Начать с инвентаризации и определения критичности; затем — базовый пакет защит (сегментация, MFA, резервирование).
- Включать OT‑инженеров при тестировании и внедрении патчей.
- Регулярно тренировать реакцию и проверять план восстановления в реальных условиях.
Если нужно, могу дать шаблон таблицы оценки активов, пример весов $w_i$ и примеры сценариев с расчётом $R_a$.