Посібник з організації та проведення командно-штабних навчань (TTX) у сфері кібербезпеки
спеціалістів з управління надзвичайними ситуаціями,
Командно-штабні
Командно-штабні навчання є цінним інструментом для міжвідомчої взаємодії, організацій та окремих департаментів, що дозволяє перевірити й удосконалити можливості реагування на інциденти за відсутності шкідливих наслідків реального кіберінциденту. ТТХ допомагають виявити прогалини у знаннях, комунікації та координації, що дає змогу відомствам
сценарію: Головний фасилітатор окреслює сценарій та
процесом вправи для всіх учасників. Фасилітатори (якщо обговорення відбувається в декількох групах одночасно) контролюють темп проходження навчань для кожної групи і під час міжгрупової взаємодії, презентують нові події та виклики разом із розвитком сценарію. Це називається «ввідні» (англ. — Injects), і вони можуть включати виявлення нової інформації про інцидент, отримання розвідданих про загрози або несподівані перешкоди.
Документування (фіксація): Під час усієї вправи спостерігачі / протоколісти документують рішення, вжиті заходи та засвоєний досвід у таблицях для фіксації подій сценарію. Таке документування є надзвичайно важливим для оцінювання ефективності реагування та визначення можливостей для вдосконалення.
Аналіз результатів проведених заходів (англ. — After-Action Review, AAR): Зазвичай, коли вправа закінчується, проводиться підбиття підсумків, під час
2.
та командам об’єднатися, обмінюватися інформацією та співпрацювати в умовах надзвичайної ситуації, що симулюється. У посібнику підкреслюється важливість координації та
між учасниками з різних установ і секторів, що сприятиме згуртованому
можна виокремити такі: Перевірити ефективність планів, політик
та
рівня.
Командно-штабні навчання можуть бути спрямовані на
вивчення технічних, процедурних і навіть політичних аспектів для забезпечення повноти, точності та актуальності реагування на інциденти. Звичайні артефакти, отримані в результаті практичних занять, включають, але не обмежуються таким:
Аналіз результатів проведених заходів.
Плани дій для вдосконалення кібербезпеки.
Плани та посібники щодо реагування на інциденти, управління та комунікації.
Покращені заходи та процедури з кіберстійкості.
Плани розвитку та вдосконалення процесів кібербезпеки.
Плани відновлення після збоїв.
Плани безперервності ділової активності. До початку проведення навчань майбутнім учасникам
вами, експертами з кібербезпеки та зацікавленими
загальної картини.
2. Залучення зацікавлених сторін: Створіть робочу групу, в яку включіть представників державних установ,
галузей економіки, наукових кіл та громадянського суспільства.
участь у дискусіях та семінарах для визначення найбільш важливих та
5. Визначення сфери застосування і масштабу навчань: Подумайте, на чому будуть зосереджені навчання: на конкретній галузі,
або на загальнонаціональних викликах кібербезпеки? Визначте розмах змодельованого сценарію і його вплив.
6. Визначення основних цілей:
Визначте конкретні цілі для TTX, враховуючи інформацію, яку
цікавлених сторін у процесі оцінювання загроз і нормативно-регуляторних вимог. Цілі повинні бути чіткими, вимірюваними та безпосередньо пов’язаними
7.
пріоритетності цілей: Пріоритезуйте визначені
10.
зв’язок. Переконайтеся, що цілі
ми учасниками.
11. Документування та донесення інформації про цілі: Чітко задокументуйте сформульовані цілі
учасників TTX: фасилітатора, гравців та спостерігачів.
12. Встановлення кількісних чи якісних показників та критеріїв оцінювання: Визначте вимірювані кількісні чи якісні показники та критерії оцінювання для кожної цілі, щоб оцінити успішність TTX. Ці критерії
ти, чи було досягнуто під
13.
зіставляти відповіді
нові зворотного зв’язку з учасниками TTX через опитування або інтерв’ю. Використовуйте шкалу Лайкерта (англ. — Likert Scale, шкала сумарних оцінок) з градаціями від 1 до 5: наприклад, де 1 — «повністю не згоден(на)» і 5 — «повністю згоден(на)» для забезпечення статистичного аналізу. Додайте поле для приміток
Оцініть масштаб і серйозність порушення систем безпеки.
Ціль 3: Оцінювання стійкості об’єктів
інфраструктури Показник 1: Час відновлення інфраструктури. Виміряйте час, необхідний для відновлення національної критичної інфраструктури, такої як електромережі, телекомунікації або транспортні системи, до робочого стану. Показник 2: Виявлення вразливостей інфраструктури. Виявіть вразливості
системах критичної інфраструктури та оцініть ефективність національних заходів із забез
печення стійкості та захисту для пом’якшення загроз. Ціль 4: Оцінювання національного обміну інформацією і розвідданими Показник 1: Ефективність обміну розвідувальною інформацією. Оцініть ефективність національних розвідувальних служб
звідувальною інформацією
сторонами. Показник
Ціль 5: Оцінювання мобілізації національних ресурсів Показник 1: Час розгортання ресурсів. Виміряйте час, необхідний для мобілізації та розгортання необхідних ресурсів, включаючи персонал, обладнання та матеріально-технічні засоби, у районах, що постраждали під час кризової ситуації. Показник 2: Наявність достатньої кількості ресурсів. Оцініть, чи є достатньою кількість і тип ресурсів, необхідних для задоволення потреб, що визначені у сценарії.
Ціль 6: Тестування злагодженості комунікації та поширення інформації Показник 1: Своєчасність комунікації
своєчасність комунікації з громадськістю та поширення інформації на національному рівні під час змодельованої кризової ситуації, включаючи оприлюднення офіційних заяв. Показник 2: Точність інформації. Оцініть точність і достовірність інформації, що надається громадськості та ЗМІ, з метою мінімізації дезінформації та плутанини.
Ціль 7: Оцінювання міжнародного співробітництва та координації Показник 1: Міжнародне партнерство. Оцініть ефективність співпраці та координацію країни з міжнародними партнерами, включаючи
організації та альянси. Показник 2: Сумісність. Оцініть здатність національних
(англ. — After-Action Review, AAR).
1. Визначте цілі навчань:
2. Визначте завдання сценарію: Необхідно зважати на такі аспекти, як тип кіберінциденту (наприклад, витік даних, атака програми-вимагача, інсайдерська загроза), уражені системи, потенційний вплив та будь-які обмеження чи перешкоди.
3. Оберіть реалістичний інцидент: Оберіть тип інциденту, який відповідає вашим цілям та сучасному ландшафту кібербезпеки. Важливо, щоб сценарій відображав реальні типи загроз, з якими можуть стикнутися учасники навчань.
4. Опрацюйте подробиці сценарію: • Опис інциденту: Надайте чіткий та вичерпний
як його було виявлено,
індикатори компрометації. • Контекст: Опишіть
інциденту,
дані щодо законодавчих вимог, обов’язків щодо інформування чи звітування до регуляторних органів, комунікації з громадськістю та взаємодії з органами правопорядку чи сторонніми постачальниками. • Середовище моделювання: Зазначте інформацію про середовище моделювання, зокрема про доступні для учасників інструменти і ресурси. Вкажіть, де саме проводитиметься вправа: у фізичному або віртуальному середовищі.
• Обмеження чи перешкоди для сценарію: Визначте всі обмеження чи перешкоди, які застосовуються до сценарію. Наприклад, зазначте, чи є якісь дії чи заходи з реагування, заборонені для використання, або чи є певні припущення, відповідно до яких повинні діяти учасники.
5. Зробіть сценарій складнішим і реалістичнішим: Додайте елементи, що зроблять сценарій складнішим, щоб учасники відчували виклик. Розгляньте можливість введення декількох векторів атак, інсайдерських загроз або неочікуваних обставин для надання сценарію більшого реалізму. Переконайтесь, що запропонований час розгортання сценарію є реалістичним.
6. Доповніть сценарій ввідними: Зміна тактичної обстановки описується у ввідних (англ. — Injects), які додаватимуться під час вправи для підтримування зацікавленості учасників та динаміки розвитку сценарію. Ці ввідні можуть включати нову інформацію, додаткові інциденти, зміни в поведінці зловмисника або
7. Дотримуйтеся правових та етичних меж: При створенні сценарію пам’ятайте
та етичні аспекти. Переконайтеся, що учасники усвідомлюють свої обов’язки щодо захисту даних, конфіденційності та дотримання вимог законів і нормативно-правових актів.
8. Перегляньте і доопрацюйте: Разом з різними експертами, зокрема професіоналами, які працюють у сфері кібербезпеки, юридичними консультантами та фахівцями з комунікацій, проаналізуйте сценарій. Врахуйте їхні рекомендації та відповідно доопрацюйте сценарій для підвищення реалістичності
9.
безпеки та готовності до них. Сценарій слід виконувати послідовно, щоб відтворити
• Сценарій постійної серйозної
(англ. — Advanced Persistent Threat, APT):
Сценарії APT становлять імітацію довготривалих, цілеспрямованих кібератак із боку досвідченого зловмисника. Учасники аналізують і реагують на постійні загрози, спрямовані на
зрив критично важливих операцій. • Сценарій зі стихійним лихом
кібератаки: Ці сценарії поєднують загрози кібербезпеки зі стихійними лихами або кінетичними інцидентами (наприклад, ураган, що порушує роботу центрів обробки даних). Вони дозволяють оцінити стійкість організації та планування безперервності діяльності в умовах складних ситуацій.
2. Суб’єкт кібератаки: • Сценарій щодо інсайдерської загрози: У цьому сценарії учасники стикаються із ситуацією, коли довірений працівник або підрядник зловмисно або ненавмисно створює ризик для кібербезпеки. Під час вправи розглядаються заходи моніторингу, виявлення та реагування на інсайдерські
• Сценарій «Ланцюг постачання або третя сторона»:
тованого стороннього постачальника
(англ. — Supply Chain). Цей тип сценарію
здатність
управляти ризиками, пов’язаними із зовнішніми відносинами. • Сценарій
державою: Моделювання кібератак із боку іншої держави або суб’єктів, що фінансуються іншою державою, допомагає учасникам усвідомити геополітичні та міжнародні наслідки інцидентів кібербезпеки. Це також дозволяє перевірити дипломатичну та міжвідомчу координацію.
3. Об’єкт кібератаки: • Сценарій атаки на критичну інфраструктуру: Цей сценарій сфокусований на кібератаці
інфраструктури, такі як енергетика, транспорт, охорона здоров’я чи фінансова галузь. Учасники відпрацьовують скоординоване реагування
гіональної
ролі як захисників, так і зловмисників. За цим сценарієм «червона команда» (експерти, які проводять симуляцію атаки в ролі зловмисників) кидає виклик «синій команді» (учасники, які забезпечують захист). Ця вправа перевіряє здатність організації виявляти кіберзагрози, реагувати на
Вправа на відповідність нормативним вимогам (англ. — Regulatory Compliance):
Організації, до яких застосовуються вимоги певних нормативно-правових
тів (наприклад, у європейських
вати сценарії, орієнтовані на дотримання
фіденційності. Ця ситуаційна
органів.
Вибір сценарію (основна частина)
увагу на сценаріях, які представляють серйозний ризик
Основні
ОСНОВНИЙ ЗМІСТ TTX
1. Виявлення Інцидентів
2. Управління Інцидентами
3. Безперервність ділової активності
В організаціях мають бути працюючі системи моніторингу та процедури для виявлення кібератак.
В організації впроваджено та задокументовано чітко визначені процеси управління інцидентами, які регулярно тестуються.
Безперервність інформаційної безпеки має бути вбудована в систему управління безперервністю ділової активності організації.
Сценарій, який включено до цього посібника (див. Додаток 2), насамперед спрямо-
на виявлення інцидентів та реагування на них, що відображає пріоритетність
і профіль ризиків
1. Узгодьте зміни тактичної обстановки з цілями: Розпочніть з перегляду цілей TTX.
слід розробляти так, щоб вона допомагала досягти цих цілей. Впевніться,
тактичної обстановки напряму пов’язані
та компетенціями, які учасники мають відпрацювати чи оцінити.
2. Створіть хронологію подій у сценарії: Розробіть хронологію подій, що визначатиме, коли буде введена кожна ввідна під час вправи. Впевніться, що зміни розподілені так, щоб підтримувати залученість
5.
•
Обмеження ресурсів: Розробіть зміни тактичної обстановки, що імітуватимуть обмеження ресурсів, такі як несподівана втрата працівників, знеструмлення, відключення електропостачання або збої в мережі.
• Дефіцит часу: Зміни тактичної обстановки можуть вводити елементи, що ставлять учасників в умови дефіциту часу, такі як кінцеві строки для прийняття рішень, заходи з реагування або подання звітності до регуляторних органів.
• Зовнішні впливи: Імітуйте зовнішні чинники, такі як висвітлення
лених сторін.
• Дії
6. Використовуйте різноманітність: Використовуйте різноманітні
нями ресурсів для створення
7. Додайте невизначеності: Зміни тактичної
неповної інформації, щоб імітувати неоднозначність реальних інцидентів. Сприяйте прийняттю учасниками обґрунтованих рішень на основі наявної інформації. 8.
ролі учасників у вправі та пристосовуйте ввідні до
12.
13.
14. Фіксуйте
рішень. Ця інформація є корисною
Необов’язкове
2.
3.
сценарій використовується для моделювання
ації, пов’язаної з обраним аспектом, що
учасникам
і
ти рішення саме в цьому контексті.
4. Рольові ігри та симуляції. Учасники беруть на себе ролі, доцільні
команди, служби та спеціалісти, що забезпечують реагування, ІТ-фахівці, юрисконсульти чи вище керівництво, і взаємодіють у рольовій грі з моделюванням сценарію. Такий практичний
досвід і розуміння ситуації.
5. Вирішення
6.
7.
8. Засвоєний досвід.
Після проведення ситуаційної
1. Організаційне управління
Вище керівництво
2. Управління Ризиками
Закупівлі / Договори / Правові аспекти
Технічний персонал
3. Управління Постачальниками
4. Управління Активами
5. Управління інформаційною безпекою
6. Стійкість надання послуг
7. Управління Доступом
8. Управління носіями Інформації
9. Управління Системами
Забезпечено наявність належних структур, політик і процесів для розуміння, оцінювання та систематичного управління ризиками безпеки мережі та інформаційних систем організації.
Впроваджено відповідні заходи для виявлення, оцінювання та розуміння ризиків безпеки мережі та інформаційних систем. Це передбачає загальноорганізаційний підхід до управління ризиками.
Організація розуміє та забезпечує управління ризиками безпеки, що виникають через залежність від зовнішніх постачальників та сторонніх послуг.
Все, що необхідно для забезпечення, обслуговування або підтримки мереж, інформаційних систем та служб, визначене і зрозуміле.
Застосовуються пропорційні заходи безпеки для захисту інформації, даних, послуг та систем від кібератак.
Мережеві та інформаційні системи розроблені з урахуванням стійкості до кіберзагроз та операційних збоїв.
Здійснюється управління, контроль та відстеження доступу до інформації, послуг та систем за допомогою політик та процедур.
Здійснюється управління стаціонарними та портативними носіями інформації / забезпечується відповідний захист даних / інформації.
Забезпечується захист інформаційних систем від кібератак протягом усього їхнього життєвого циклу.
10.
Технічний персонал
Здійснюються
Людські ресурси / Організаційний розвиток
Будівлі, споруди та устаткування / Майно
12. Люди
13. Екологічна безпека
14. Фізична Безпека / безпека Будівель та споруд
В організації застосовуються політики та процедури, що гарантують перевірку, навчання та обізнаність співробітників і підрядників щодо їхніх обов’язків у сфері безпеки.
Впроваджено відповідні процедури для зменшення ризиків від внутрішніх і зовнішніх екологічних загроз і небезпек.
Запобігання несанкціонованому фізичному доступу, пошкодженню та втручанню в інформаційні системи та послуги організації.
•
• Представники організацій, реагування яких може бути передбачене сценарієм.
• Представники оперативного штабу для управління під час надзвичайних ситуацій, якщо такий є і постійно діє.
• Регіональні CSIRT, якщо такі є.
• Органи регулювання, участь яких є релевантною питанням, порушеним у сценарії.
• Міжнародні партнери.
• Основні члени вашого ланцюга постачання, якщо це
Рекомендації для відбору фасилітаторів
Покрокова інструкція
1. Визначте роль та обов’язки фасилітатора: Чітко визначте роль та обов’язки фасилітатора(ів) для ТТХ, зокрема, чи виконуватиме фасилітатор обов’язки головного фасилітатора навчань, або ці функції буде розділено між окремими фахівцями.
2. Оцініть досвід фасилітатора(ів): Віддайте перевагу фасилітатору(ам) з
та широким досвідом у сфері кібербезпеки, в реагуванні на інциденти та фасилітації командно-штабних навчань. Важливо, щоб у них було глибоке розуміння ландшафту
4.
5.
силітатором. Зверніться до цих
тивність роботи фасилітатора.
7. Оцініть гнучкість і адаптивність: Переконайтеся, що фасилітатор є
сценарії та реакції учасників можуть змінюватися
силітатор(и) повинні бути готовими підлаштуватися
часу
8. Зважте на обізнаність щодо організацій, які беруть участь у навчаннях:
рою та викликами організацій, які
силітатору
10.
щоб з’ясувати, як вони розуміють цілі та завдання організацій у контексті проведення TTX. Запитайте про їхній підхід до фасилітації та як вони справляються
час розроблення та адаптації сценарію TTX відповідно
12.
14.
15. Формалізуйте домовленості: Після того як ви обрали фасилітатора, обговоріть спільно питання необхідності формалізації ваших домовленостей (ролі, обов’язки, гонорари, терміни та будьякі вимоги щодо конфіденційності та безпеки). Часто така формалізація є непотрібною або такою, що ускладнює
фасилітатора, але чітке обговорення цього питання допоможе в майбутньому
як
Роль головного фасилітатора
планування слід призначити
сення рекомендацій щодо структури заходу. Головний фасилітатор виступає як керівник командно-штабних навчань із кібербезпеки та відіграє ключову роль в успішному проведенні заходу та
фасилітатор відповідає за внесення належних корективів у сценарій, управління процесом навчань та модерування обговорень між учасниками. Ця роль подібна до ролі фасилітаторів груп, але для всього TTX, тобто на стратегічному, а не груповому рівні. Важливо відзначити, що головний фасилітатор не обов’язково має виконувати лише цю функцію; він може виконувати роль одного з фасилітаторів груп, але рекомендується призначити одну відповідальну
1. Управління
ввідних.
2. Адаптація сценарію: Головний фасилітатор повинен
реального
учасникам.
3. Управління часом: Ефективне
6.
було
за створення безпечного та продуктивного середовища, де учасники можуть вдосконалювати свої навички реагування на інциденти. Основні завдання та обов’язки фасилітатора TTX включають таке:
1. Підготовка: Ознайомитися зі сценарієм TTX, цілями, завданнями та матеріалами вправ, що надаються завчасно, щоб
2. Орієнтація: Провести учасникам початкову орієнтацію,
3. Початок вправи: Офіційно розпочати
4. Представлення сценарію: Представити
текстом, додатковою інформацією та
ваного інциденту.
5. Управління ввідними: У відповідних моментах протягом
розвиток подій у сценарії.
6. Роз’яснення ввідних: Роз’яснювати
7. Уточнення ввідних:
8.
9.
вати інтерес учасників. Розв’язувати будь-які питання чи конфлікти, які можуть виникнути під час вправи. Запитання, спрямовані на заохочення обговорення:
• «Яких заходів ви вживаєте?»
• «Ви впевнені? А як ви аргументуєте, чому ви впевнені?»
• «Отже, [ім’я], чи все вас тут влаштовує? Чи є щось, що змушує вас зараз почуватися дискомфортно?»
• Стежити за тими, хто проявляє незгоду чи занепокоєння, а також за тими учасниками, які поводяться тихо. Надавати їм можливість висловити свої зауваження.
12. Вирішення конфліктів: Діяти як
13. Дотримання нейтралітету:
об’єктивний та справедливий процес фасилітації.
14.
15.
зв’язку: Запросити учасників та зацікавлені сторони
для постійного вдосконалення.
Роль фасилітатора полягає
учасників. Ефективна фасилітація
безпеки.
3. Документування (фіксація): Переконатися, що протоколісти
висновки. Це документування є безцінним
нього вдосконалення.
4. Підготовка звіту: Співпрацювати з головним фасилітатором
складання звіту про вправу, де буде підсумовано вправу, включаючи спостереження, відгуки та рекомендації.
На спостерігача / протоколіста під час
покладається обов’язок забезпечувати документування процедур, рішень, дій та
обговорень, що відбуваються під час навчань. Спостерігач / протоколіст відіграє
ключову роль у фіксації деталей та результатів навчань, особливо в заповненні документації щодо відпрацювання сценарію, яка слугує основою для аналізу результатів проведених
сфері кібербезпеки. В ідеалі спостерігач / протоколіст має
під час проведення AAR, роль стенографіста є вирішальною. Ця документація допомагає визначати сильні
ТТХ, можна деталізувати в такий спосіб:
1. Ведення нотаток, стенограми: Детально вести записи вправи, включаючи часові
моментів, дій учасників та обговорень. Фіксувати реакції учасників на зміни тактичної обстановки, їхні рішення, поставлені запитання та
важливі спостереження, зроблені під
2.
3. Ролі учасників:
та спеціалісти, що забезпечують реагування, ІТ-персонал, юрисконсульти, експерти зі зв’язків із громадськістю (PR)), щоб задокументувати їхній безпосередній внесок.
4. Фіксування відгуків учасників: Записувати всі відгуки та коментарі, надані учасниками наприкінці вправи, включаючи їхні враження від реалістичності сценарію, труднощі, з якими вони стикнулися, та аспекти, які потребують вдосконалення.
5. Уточнення змін тактичної обстановки: Задокументувати будь-яку додаткову інформацію або роз’яснення, надані фасилітаторами та експертами відповідно
чи прохань учасників.
6. Упорядкування документів: Підготувати й узагальнити
7.
1.
(AAR): Брати участь у сесії підбиття підсумків, надаючи
докладного аналізу результатів навчання.
2. Підготовка звіту: Допомагати у складанні звіту про
свої
1. Забезпечення підтримки в заповненні та наданні якісних
на опитувальник із нормативно-правової відповідності: Якщо на етапі підготовки
2.
групи у процесі розроблення
переконатися, що він точно відображає реальні загрози та виклики кібербезпеки. Надання рекомендацій щодо покращення реалістичності сценарію.
3. Розроблення ввідних: Активна участь у створенні змін тактичної обстановки або
1. Надання підказок учасникам: Надання учасникам підказок та рекомендацій у ситуаціях,
ся
труднощами або не
виборі оптимального шляху дій. Допомога в розумінні наслідків прийнятих рішень.
2. Оцінювання ризиків: Надавати допомогу в оцінюванні потенційних наслідків
із різними діями та рішеннями учасників. Допомогти їм визначити пріоритети на основі оцінювання ризиків.
3. Технічна інформація: Надання технічної інформації та пояснень щодо концепцій,
нологій кібербезпеки, які стосуються сценарію. Роз’яснення технічних деталей
4. Аналіз
6.
7.
жання регуляторних стандартів. Переконатися, що учасники
зобов’язання.
8. Технічні демонстрації (за потреби): Проводити технічні демонстрації чи симуляції, щоб наочно показати концепції кібербезпеки, сценарії атак чи методи пом’якшення наслідків.
9.
Навчання та підвищення рівня обізнаності: Використовувати ТТХ як можливість проінформувати
10. Володіння актуальною інформацією:
Завдання
1.
стереженнями та рекомендаціями на основі результатів навчань.
ВИЗНАЧЕННЯ
УЧАСНИКІВ
Хто бере участь у ТТХ Визначення уповноважених державних органів: Основною метою національних командно-штабних навчань є моделювання комплексного та скоординованого реагування на серйозний
Приватний сектор: Представники підприємств
для зловмисників національного
ціональній інфраструктурі.
Науково-дослідні установи:
дослідники та
та сучасні кіберможливості.
Експерти з юридичних
галузі права з досвідом у сфері кібербезпеки та реагування
1. Ознайомитися з процесами обміну та поширення даних
совно ймовірної загрози для власників /
структури на території країни.
2. Оцінити можливості обміну інформацією
3. Обговорити плани готовності до надзвичайних
вправі, за підсумками наслідків атаки
Обов’язки присутніх
Бути готовими брати участь у дискусії. Комунікувати приязно та доброзичливо.
Пам’ятати, що не мати відповіді — це нормально.
Групування учасників
інфраструктуру.
Ефективне проведення командно-штабних навчань передбачає
ваний комплект документів і матеріалів. Нижче наведено основні документи,
1. Програма
2. Сценарій:
і діаграми:
3.
4.
за організацію та проведення навчань. Вони містять
5.
для збору відгуків про ефективність навчань та визначення сфер, які потребують вдосконалення.
8. Довідкові матеріали: Надайте всі необхідні довідкові матеріали, такі як приклади політик кібербезпеки, плани реагування на інциденти, списки контактів та відповідну документацію, яка може знадобитися учасникам під час навчань.
9. Шаблон аналізу результатів проведених заходів: Додайте шаблон або документ, який буде використовуватися для запису цікавих рішень, результатів, засвоєного досвіду, рекомендацій та заходів, визначених під час
10. Додаткові матеріали (за потреби): Залежно від складності та цілей TTX
ВИЗНАЧЕННЯ МІСЦЯ
ПРОВЕДЕННЯ
Вибір
1. Вимоги до приміщення: Почніть із визначення вимог
для проведення ТТХ. Поміркуйте про кількість учасників, фасилітаторів, експертів, спостерігачів / протоколістів та інших запрошених осіб, які будуть присутніми під час вправи.
говорень та роботи
2.
доступу та можливість обмежити
інформації та обговорень.
3. Мережева інфраструктура: Переконайтеся, що місце проведення
фраструктуру, яка відповідає технічним
кісне підключення
рингу мережі.
4. Аудіовізуальне обладнання: Оцініть наявність і якість аудіовізуального обладнання, такого як проєктори, екрани, мікрофони, та можливості проведення відеоконференцій. Ці елементи необхідні для проведення презентацій, інструктажів щодо сценарію та комунікації під час вправи.
5. Потреби в електроенергії:
6.
8. Витрати і бюджет: Складіть бюджет
враховуючи
ду приміщення, аудіовізуальне обладнання, послуги технічної підтримки та будь-які додаткові заходи безпеки. Переконайтеся, що обране місце
дення
9. Доступність і планування часових рамок: Перевірте доступність місця проведення на потрібні дати і тривалість ТТХ. Переконайтеся, що це не конфліктує з іншими заходами чи зобов’язаннями, які можуть вплинути на проведення навчань.
10. Відвідування місця проведення: За можливості відвідайте місце проведення, щоб
будь-які потенційні труднощі, які можуть бути неочевидними лише
11. Договір та домовленості: Перегляньте й обговоріть договір
проведення, щоб узгодити очікування,
скасування. Переконайтеся, що всі умови задокументовані та узгоджені.
12. Планування на випадок непередбачуваних ситуацій: Розробіть плани на випадок непередбачуваних ситуацій, пов’язаних
проведення заходу. Визначте резервні
заходи для пом’якшення
ЗАПРОШЕННЯ
УЧАСНИКІВ
Попередньо
навчань: Необхідно розповісти про навчання та
запрошенні: інформація про місце проведення, правила
кові матеріали тощо.
і забезпечення учасників розумінням контексту викликів, з якими вони можуть стикнутися,
запрошених до навчання. У випадку, якщо це передбачено сценарієм,
будь-які відповідні матеріали, такі як нормативно-правові документи та / або зразки відповідних політик та планів.
Зокрема, якщо це перший захід такого типу
(див. Додаток 1).
За умов проведення попереднього тестування
сценарію та зручності
ПРОЦЕС TTX
Як
розпочати TTX? Покрокова інструкція
Для досягнення поставлених цілей командно-штабні навчання повинні
тельно структуровані. Використання структурованого підходу до
ефективно тестувати, вдосконалювати і постійно підвищувати
ня на інциденти кібербезпеки.
ЕТАП ЗМІСТ Вступне слово
Розкрийте такі тези:
• Суть вправ.
• Жодних обмежень у часі.
• Безпечне середовище.
Пояснення учасникам (головний фасилітатор)
Почніть навчання (всі фасилітатори, спостерігачі / протоколісти, експерти)
ре
• Немає безперервного запису, до протоколу вносяться лише дії / результати.
• Немає правильних чи неправильних відповідей.
• Це не тест і не перевірка.
• Вправа розроблена для стимулювання дискусії.
• Чим більше учасники залучені, тим кращий результат.
• Учасники мають поставитися до вправи як до реального сценарію.
• Передісторія сценарію.
• Інші необхідні правила.
• Головний фасилітатор:
• представляє сценарій.
• Фасилітатори в групах (або головний фасилітатор, якщо група одна):
• Дозвольте обговоренню розвиватися у природний спосіб.
• Визначте ризики та проблеми, кроки, яких слід дотримуватися, тощо.
• Використовуйте навідні запитання, щоб стимулювати розмову. Наприклад, «Як би ви вчинили в цій ситуації?».
• Головний фасилітатор
Задокументуйте навчання, використовуючи листи для записів (див. Додаток 3) та подані
опитувальники щодо дотримання вимог у разі потреби (спостерігачі / протоколісти й експерти)
•
• Використовуйте опитувальники щодо дотримання вимог для перевірки та фіксації того, чи було вжито достатньо заходів для відповіді «так» чи «ні» на кожне запитання, якщо це необхідно.
• Опитувальники щодо дотримання вимог (англ. — Regulatory Compliance) можуть бути заповнені групами експертів (ІТ / кібербезпека) до початку навчань або під час навчань, якщо заздалегідь вони не були заповнені повністю.
• Використовуйте розділ «Примітки» для фіксації відповідей і ключових моментів:
• Короткі підсумки щодо прийнятих рішень під час фасилітації сценарію.
• Наведіть приклади кращих практик.
• Спостереження та докази — елементи, які є в наявності та допомагають під час інциденту.
• Використовуйте розділ «Відкриті запитання / проблеми» для фіксації запитань.
• Сфери, які потребують додаткової інформації / дослідження.
• Додаткові запитання та виявлені проблеми.
• У розділі «Дії» зафіксуйте вдосконалення.
• Дії — те, що, як нам тепер відомо, можна виконати в межах наявних ресурсів.
• Засвоєний досвід, тобто те, що нам тепер відомо і для вирішення чого знадобляться додаткові ресурси / проєкт.
3.
рішень та ознайомлює учасників із протоколами та
організації.
4. Тестування зв’язку / комунікацій: Ефективна комунікація є критично
денти. У сприятливому середовищі учасники
не лише всередині своїх
нами, такими як органи правопорядку,
під час реального інциденту.
5. Стрес-тестування:
6.
як внутрішніх, так і зовнішніх.
створення сприятливого середовища є ключовим елементом
успішного проведення командно-штабних
ЗВ’ЯЗОК
навчань:
1.
лення.
2. Повторення цілей та завдань навчань:
3.
4.
5.
6.
7.
СЕСІЯ ПІДБИТТЯ ПІДСУМКІВ
Визначте порядок денний:
плект записів щодо вправи.
Проведіть сесії підбиття підсумків:
Під час сесії дотримуйтеся нижченаведених ключових кроків: • Вступ: Почніть із пояснення мети та порядку денного сесії.
• Огляд цілей, даних і документації: Обговоріть початкові цілі та
стей реагування на інциденти.
• Дії та заходи: Призначте відповідальних за виконання рекомендацій (це можуть бути окремі особи або групи). Переконайтеся, що заходи є чіткими, здійсненними та мають кінцеві строки (дедлайни).
• Запитання та відповіді, підсумки: Підсумуйте ключові висновки сесії, подякуйте учасникам за їхню участь і наголосіть на важливості постійного вдосконалення.
Документування аналізу результатів проведених заходів: Запишіть результати сесії
Розроблення
вчань із кібербезпеки, полягає в
з
огляду звіту, складеного за результатами TTX. Аналіз результатів проведених заходів повинен містити короткий
РЕАЛІЗАЦІЯ
ПЛАНУ ДІЙ ДЛЯ
ВДОСКОНАЛЕННЯ
Учасники та зацікавлені сторони
1. Розподіліть обов’язки: Чітко розподіліть обов’язки
із
2. Встановіть терміни:
3.
4.
вимірювання перебігу реалізації та успішності. Визначте, як ви
оцінювати ефективність заходів, вжитих
6.
8.
9. Документування: Ведіть детальну документацію щодо плану дій, включаючи цілі, завдання, обов’язки, терміни та звіти про перебіг реалізації. Це документування є важливим для підзвітності та подальшого використання.
10. Постійне вдосконалення: Сприяйте розвитку культури постійного вдосконалення кібербезпеки. Заохочуйте зворотний зв’язок від зацікавлених сторін, регулярно
11.
майбутніх національних командно-штабних навчань
цифрової
Загалом, таблиця
в
«Дотримання
чи його дотримуються, чи ні. Заповнення опитувальника має виконувати спеціаліст
Опитувальник,
частина 1: Виявлення
та реагування на інциденти безпеки, а також
руйнівного інциденту на діяльність організації. Для виявлення інцидентів можуть застосовуватися різні технології безпеки, такі як системи виявлення та запобігання вторгненням, мережеві екрани, системи управління журналами, а також системи управління інформацією та подіями безпеки (SIEM).
Нижче наведені таблиці, в яких у формі переліку нумерованих тверджень вказані засоби контролю, що визначають підходи та документацію, спрямовані на забезпечення кібербезпеки. Заповніть, будь ласка, частину 1 опитувальника, вказавши, чи ваша
організації
Опитувальник, частина 1
1. ВИЯВЛЕННЯ ІНЦИДЕНТІВ
Дата, коли було заповнено опитувальник
В організаціях мають працювати системи моніторингу та процедури для виявлення кібератак.
1.1. Можливості щодо виявлення:
Спроби доступу до систем або їх компрометації виявляються, оперативно оцінюються та розслідуються.
РІВЕНЬ 1
РІВЕНЬ
1. Зловмисники, що намагаються використовувати поширені методи кібератак, повинні бути позбавлені можливості отримати доступ до даних чи контролю над технологічними службами, і ця робота не буде ними помічена.
(Так/ Частково/ Ні)
2
4. Створюються та використовуються сервіси з розвідки загроз для прийняття обґрунтованих рішень на основі інформації про ризики та загрози відповідно до потреб бізнесу, а також для інформування про аномальні профілі активності.
5. Є достатнє розуміння нормальної діяльності системи (наприклад, які компоненти системи повинні та не повинні взаємодіяти один з одним), щоб гарантувати, що пошук системних аномалій є ефективним засобом виявлення зловмисної діяльності.
6. Описи деяких системних аномалій, які можуть свідчити про зловмисну діяльність, підтримуються та оновлюються на основі інформації про минулі атаки та розвідки загроз, враховуючи характер атак, що можуть впливати на мережі та інформаційні системи.
7. Проводиться регулярний пошук системних аномалій та генеруються відповідні сповіщення.
1.2. Моніторинг стану безпеки:
Для своєчасного виявлення подій, пов’язаних із безпекою, застосовуються організаційна політика та процедури моніторингу, засновані на оцінюванні ризиків.
1. Мережевий моніторинг здійснюється за допомогою програмних рішень, які налаштовуються кваліфікованим персоналом, для виявлення та запобігання атакам. Ці зміни повинні надавати можливості для виявлення відомих атак на основі сигнатур, а також евристичні можливості для виявлення незвичної поведінки системи. Покриття включає внутрішній моніторинг та моніторинг на боці хоста.
Вимоги виконані (Так/ Частково/ Ні) РІВЕНЬ 1
2. Для виявлення незвичайної активності або тенденцій, що можуть свідчити про атаки, здійснюється моніторинг вхідного та вихідного трафіку, що перетинає межі мережі.
РІВЕНЬ 2
4. Сповіщення, що генеруються стратегією моніторингу системи, ґрунтуються на бізнес-потребах та оцінюванні ризиків. Це включає як технічний, так і операційний моніторинг за потреби.
5. Система моніторингу здатна виявляти несанкціоноване чи випадкове зловживання системами, що обробляють персональні дані, та контролювати доступ користувачів до цих даних, включаючи аномальну активність користувачів. Вона може пов’язувати конкретних користувачів із підозрілою активністю.
6. Розгорнуто централізовану систему, яка може збирати й аналізувати інформацію і сповіщення з усієї організації. Це автоматизовано завдяки великому обсягу даних, що дозволяє аналітикам сконцентруватися на аномаліях чи високопріоритетних сповіщеннях.
7. Моніторинг та аналіз журналів аудиту підтримується централізованим і синхронізованим джерелом відстеження часу, яке використовується
в усій організації для підтримки реагування на інциденти та їх розслідування.
8. Впроваджено процеси для тестування можливостей моніторингу, навчання та засвоєння досвіду з інцидентів безпеки та підвищення ефективності моніторингу.
1. Покриття моніторингу поширюється не лише на мережу, але й на внутрішній моніторинг та моніторинг на боці хоста.
2. Процес підключення нових систем до мережі включає міркування щодо доступу до джерел даних моніторингу.
3. Персонал, відповідальний за проведення моніторингу:
• відповідає за розслідування та інформування про тривожні сигнали моніторингу;
• має ролі та навички, що охоплюють усі частини робочого процесу моніторингу / розслідування;
РІВЕНЬ 2
Опитувальник,
інцидентами та забезпечувати ефективні канали зв’язку, а також впроваджувати інструменти і технології для виявлення та реагування на інциденти. Управління інцидентами охоплює різні етапи, такі як виявлення, визначення пріоритетів, аналіз, локалізація, ліквідація, відновлення та аналіз результатів проведених заходів.
Загалом, ефективне управління інцидентами є важливою складовою
стратегії кібербезпеки, яка допомагає організаціям захиститися від
частина 2
2. УПРАВЛІННЯ ІНЦИДЕНТАМИ Вимоги виконані (Так/ Частково/ Ні) В організації впроваджено та задокументовано чітко визначені процеси управління інцидентами, які регулярно тестуються.
2.1. Протокол реагування на інциденти:
Існує актуальний план реагування на інциденти, що ґрунтується на оцінюванні ризиків.
1. Впроваджено політику та процес реагування на кіберінциденти, які інтегровані з центральними протоколами про звітування щодо кіберінцидентів, сповіщенням про них та їх координацією.
2. Персонал пройшов навчання з реагування на інциденти з розподілом ролей та обов’язків, і організація проводить навчання для тестування планів реагування.
РІВЕНЬ 1
3. Існує план реагування на інциденти та управління ними, задокументований, із чіткими попередньо визначеними процесами,
4.
1
5. У разі виникнення інциденту команді реагування надаються журнали аудиту, в яких фіксуються дії користувачів, винятки та події інформаційної безпеки, щоб допомогти в розслідуванні.
6. Контактні дані ключового персоналу є легкодоступними для використання у разі інциденту.
7. Відповідна політика, процеси та плани ґрунтуються на оцінюванні ризиків та охоплюють усі юридичні та регуляторні вимоги до звітності.
8. Усі інциденти реєструються незалежно від необхідності повідомляти про них.
9. Усі плани, що підтримують управління інцидентами безпеки (включаючи плани безперервності ділової активності та відновлення після збоїв та катастроф), регулярно тестуються.
10. Результати перевірок і тестувань, а також засвоєний досвід використовуються для подальшого розроблення планів управління інцидентами.
1. План реагування на інциденти доводиться до відома та розуміння всієї організації та інтегрується з планами реагування ланцюга постачання.
2. Встановлено порогові значення для визначення, класифікації та оцінювання інцидентів.
РІВЕНЬ 2
3. Є доступ до альтернативних механізмів комунікації та планів реагування, критично важливих документів, які зберігаються в альтернативних безпечних місцях на випадок, якщо основні канали недоступні.
4. Визначено та впроваджено процедури ідентифікації, збирання та збереження доказів.
2.2. Процедура звітування щодо інцидентів:
Про події, пов’язані з безпекою, повідомляється за допомогою визначених процедур,
Вимоги виконані (Так/ Частково/ Ні)
1
2. Користувачі (включаючи працівників та підрядників) ознайомлені з питаннями безпеки, знають свої обов’язки і розуміють, як повідомляти про будь-які виявлені слабкі місця в безпеці систем чи послуг або підозру на них, а також як реагувати на інциденти.
3. Заохочується активна участь користувачів у повідомленні про слабкі місця в системі безпеки чи інциденти, при цьому вони не бояться, що це призведе до взаємних докорів чи обвинувачень.
4. Розроблені комунікаційні плани на випадок інциденту, і всі внутрішні та зовнішні вимоги до звітності визначені у плані управління інцидентами. Це охоплює інформування відповідного наглядового органу, керівників вищого рівня та за потреби органів правопорядку.
5. Здійснюється постійний моніторинг та перевірка ефективності заходів щодо навчання та підвищення рівня обізнаності щодо управління інцидентами.
РІВЕНЬ 2 Додаткові вимоги відсутні.
2.3. Аналіз результатів проведених заходів
Організація переглядає інциденти і використовує засвоєний досвід для вдосконалення заходів безпеки.
1. Вище керівництво повинно брати на себе відповідальність за процес засвоєння досвіду, щоб забезпечити виконання всіх необхідних заходів для підвищення кіберстійкості організації.
2. Докази після інциденту збираються, зберігаються та аналізуються з метою виявлення та усунення першопричини.
Вимоги виконані (Так/ Частково/ Ні)
1
3. Регулярно проводиться аналіз першопричини інциденту як ключова частина заходів із засвоєння досвіду після інциденту. Він є комплексним і включає питання організаційних процесів, а також вразливостей у мережах,
РІВЕНЬ 1
РІВЕНЬ 2
5. Оцінюється досвід, засвоєний після інциденту, і він враховується в майбутніх
та внесенні змін до плану управління інцидентами та в системі моніторингу.
1. Існує задокументований процес аналізу інцидентів, який гарантує, що досвід, засвоєний з кожного інциденту, ідентифікується, фіксується та враховується.
2. Засвоєний досвід охоплює питання звітності, розподілу ролей, управління, навичок та організаційних процесів, а також технічні аспекти мереж та інформаційних систем.
3. Вдосконалення, визначені в результаті аналізу засвоєного досвіду, ранжуються за пріоритетністю, причому покращення з найвищим пріоритетом впроваджуються якнайшвидше.
ДОДАТОК 2. СЦЕНАРІЙ
Описаний сценарій наслідує поточну воєнно-політичну ситуацію в регіоні. Події сценарію стосуються двох країн регіону — Синіх та Червоних
Сині. Країна Синіх перебуває у стані війни з Країною Червоних, понад 25% її громадян є внутрішньо
ви. За понад 18 місяців
перейшла в затяжну фазу. Просування Червоних територією було фактично зупинено, і нині відбувається зворотний процес, але відвоювання йде повільно й зі значними людськими втратами з обох сторін. Сині очікують, що Червоні можуть заподіяти руйнівні кібератаки, які будуть спрямовані проти енергетичної, транспортної та банківської
нак значні перешкоди, що
паперів.
Загальний ландшафт прочервоного хактивізму,
проводять широкомасштабну внутрішню реструктуризацію, цілі постійно нелогічно змінюються, а лідери груп та альянси залишаються неврегульованими.
Середня температура на території Синіх
Оперативна ситуація, частина 1: Ранок
центри
Червоних, що наступатимуть із території Коричневих, імовірно, будуть використані для проведення другого наземного наступу. Планується серія потужних змішаних кінетичних та кібератак на інформаційні ресурси державних установ, організацій енергетичної, банківської
телекомунікацій. Зафіксовано зростання спроб
Сценарій, частина 1:
Кого залучено або кого слід залучити?
Хто що робить:
• Хто здійснює координацію?
• Хто керує?
Сценарій,
інциденту
Звідки ви могли б про це дізнатися?
Звідки ви б отримували цю (або будь-яку іншу) інформацію про загрози?
Ви можете стати наступними…
Ви впевнені, що визначили і чітко розумієте
ції, забезпечення, обслуговування або підтримки ваших
них систем та служб?
Чи забезпечені
Сценарій,
ідентифіка
Понеділок, 12:00: Висловлюються побоювання, що зламані засоби управління мережею використовуються для поширення атак на інші організації, які постраждали від інциденту.
Наразі все ще немає інформації щодо того, хто може стати наступною мішенню атаки.
Чи можуть ваші команди чітко ідентифікувати активи об’єктів критичної інфраструктури та наявні залежності? Ви впевнені, що маєте все, що потрібно, зокрема:
• реєстри обліку цифрових активів;
• плани реагування на інциденти і надзвичайні ситуації?
Понеділок, 16:00: Засоби масової інформації повідомляють, що національні служби безпеки ідентифікували джерело початкових атак. На цей момент після ранкового
енергетичну та комунікаційну інфраструктуру Синіх. Сили вторгнення Червоних, що наступатимуть із території Коричневих, використовуються для початку другого наземного наступу. Відповідь Синіх є одночасно жорсткою
інформаційні ресурси державних установ,
кої галузі.
Зафіксовано зростання спроб
сайти вашої організації? Як наземний наступ може вплинути на
Вівторок, 09:00: Ваш ІТ-відділ повідомляє, що ваш основний вебсайт недоступний через DDoS-атаку, послуги, які надаються Вашою організацією онлайн, також постраждали і періодично стають недоступними.
Як вас би повідомили про це (внутрішньо, в межах організації)?
Що б
безперервності діяльності?
цю атаку із
явами хакерських груп, опублікованими на початку тижня. Чи є у вас комплексний план комунікації?
їх розбито вщент під час відступу на сході країни. Зневірені й розлючені через чергові поразки, вони вирішують розпочати невибіркову, комбіновану кінетичну та кібератаку на різноманітні системи зв’язку, включаючи цивільні, інфраструктурні, військові та спеціальні системи зв’язку, сподіваючись повернути собі певний рівень ініціативи в конфлікті. Низка відомств, переважно Синіх та деяких Зелених, повідомляють про кіберінциденти, що впливають на їхні цифрові
Частини 3A, B, C та D слід виконувати
П’ятниця, 16:45: На цей момент повідомляється, що в результаті
нуто шкідливе програмне забезпечення, яке проникло в мережу і зашифрувало значні обсяги даних, оскільки використовувало облікові записи користувачів
з реагування на надзвичайні ситуації та ІТ-команд
П’ятниця,
тижня: Ви відновили контроль над своєю мережею, вебсайтом і акаунтом у соціальних мережах. За допомогою інструментів, підтримки у сфері кібербезпеки та розвідданих, якими обмінювалися Зелені та Сині, вдалося мінімізувати шкоду, завдану кібератакою. Команди служб кібербезпеки повідомляють, що шкідливе програмне забезпечення перебуває
сценарію: Ви успішно відвернули масовану кібератаку
мальними пошкодженнями та незначними втратами конфіденційної інформації. Червоні повністю розбиті та відступають,
відводять свої війська після виконання всіх завдань та що
їх
дують. Навіть прочервоні ЗМІ та групи активістів сумніваються в цьому сфабрикованому наративі та вимагають зміни режиму.
ДОДАТОК 3.
Підготовка: Перед
Лист обліку відвідування:
Сфера застосування: Навчання національного рівня
Дата проведення
навчань
Тип сценарію: Ескалація від незначного до серйозного інциденту
Відомство, що бере
Реагування на інциденти й управління ними
Питання,
під час обговорення, а також запити слід записувати
Запропоновані
/
Необов’язково фіксувати всі розмови, достатньо зазначати лише доречну узагальнену інформацію, аналогічно веденню протоколу наради. Якщо ви не впевнені, що якась інформація є доречною, зазначте її, і ви зможете прийняти рішення пізніше, коли ТТХ завершиться, або звернутися за отриманням роз’яснень до головного фасилітатора.
ДОДАТОК 4.
ТТХ
прошує Вас взяти участь у командно-штабних навчаннях (TTX) [ЗАЗНАЧТЕ
ВПРАВИ], що проводитимуться [ЗАЗНАЧТЕ
TTX із кібербезпеки — це навчання, що моделює рольові симуляції,
цілі є такими: [ЗАЗНАЧТЕ
ТТХ — це шанс обмінятися інформацією, пройти практичне навчання та виявити аспекти для вдосконалення, що допоможе заповнити прогалини в політиці, процесах реагування на інциденти, процедурах взаємодії тощо. Ми були б дуже вдячні, якби Ви долучилися до навчань. Ваша участь посилить користь від них та значно сприятиме досягненню навчальних цілей.
Детальна інформація щодо навчань:
Дата: [ЗАЗНАЧТЕ ДАТУ]
Реєстрація: [ЗАЗНАЧТЕ ЧАС]
ДОДАТОК 5. ШАБЛОН
ЗВОРОТНОГО
Форма зворотного зв’язку для учасників командно-штабних навчань
Назва вправи: [ЗАЗНАЧТЕ НАЗВУ ВПРАВИ]
Дата і час проведення вправи: [ЗАЗНАЧТЕ ДАТУ І ЧАС]
Група фасилітаторів: [ЗАЗНАЧТЕ ФАСИЛІТАТОРІВ]
Група спостерігачів / протоколістів: [ЗАЗНАЧТЕ СПОСТЕРІГАЧІВ / ПРОТОКОЛІСТІВ]
Група експертів: [ЗАЗНАЧТЕ ЕКСПЕРТІВ]
Інформація про учасника: Ім’я (необов’язково): [ІМ’Я УЧАСНИКА]
Організація: [ОРГАНІЗАЦІЯ УЧАСНИКА]
Роль / посада: [РОЛЬ / ПОСАДА УЧАСНИКА]
Контактна інформація (необов’язково): [АДРЕСА ЕЛЕКТРОННОЇ
МЕР ТЕЛЕФОНУ]
Підготовка до навчань:
1. Реалістичність сценарію: Як Ви оцінюєте реалістичність сценарію навчань?
• Дуже реалістичний
• Помірно реалістичний
• Нереалістичний
2. Надання матеріалів для навчання: Чи вчасно були надані матеріали, що роздаються заздалегідь (інструкції, сценарій, довідкова інформація тощо), та чи сприяли вони ефективності TTX?
• Так
• Ні
• Не застосовувалися
Проведення вправи:
3. Фасилітація: Оцініть ефективність роботи групи фасилітаторів (наприклад,
цій, контроль за перебігом вправи,
• Відмінно
• Добре
• Задовільно
• Незадовільно 4.
5. Комунікація: Оцініть ефективність
лень, координація між учасниками).
• Відмінно
• Добре
• Задовільно
• Незадовільно
6. Прийняття рішень: Оцініть якість процесів прийняття рішень
• Відмінно
• Добре
• Задовільно
• Незадовільно
Загальне враження:
7. Загальний рівень задоволеності: Наскільки Ви задоволені TTX?
• Дуже задоволений(а)
• Задоволений(а)
• Нейтральне враження
• Незадоволений(а)
• Дуже незадоволений(а)
8. Додаткові зауваження: Будь ласка, поділіться будь-якими додатковими зауваженнями, пропозиціями чи відгуками щодо TTX.
[Відкрите текстове поле] Це базова форма зворотного зв’язку, яка
та особливостей вашої ситуаційної вправи.
ДЛЯ
Сценарій № 1 (незначна атака)
Поінформованість щодо інциденту
Понеділок, 08:00: Ви отримуєте сповіщення про підвищений рівень активності та ведення спостереження з боку зловмисників, при цьому вони здійснюють випадкові DDoS-атаки на окремі пристрої та застосунки в подібних організаціях по всій території країн Зелених. Ані прямих доказів щодо
немає.
Примітки
Стандартні запитання:
Як розігруватиметься ця частина сценарію?
Кого залучено або кого слід залучити?
Хто що робить?
• Хто здійснює координацію?
• Хто керує?
Запропоновані додаткові запитання:
Звідки ви могли б про це дізнатися?
Звідки ви б отримували цю (або будь-яку іншу) інформацію про загрози?
Ви можете стати наступними…
Ви впевнені, що визначили і чітко розумієте все, що необхідно для ідентифікації, забезпечення, обслуговування або підтримки ваших мереж, інформаційних систем та служб? Чи забезпечені у вас видимість і ефективне управління всіма цифровими та інформаційними активами? Відкриті запитання / проблеми
/ дії
Ввідна: Оновлення інформації щодо інциденту — Програмне забезпечення, що є об’єктом атаки
Понеділок, 10:00: Ви отримали сповіщення про те, що як експлойти нульового дня в операційних системах та
використовуються ведення спостереження та DDoS-атаки.
Організації у країні Синіх починають стикатися зі збоями в роботі. Все ще
немає ані прямих доказів щодо конкретних цілей, ані потенційного джерела та вектора атаки.
Сценарій, №1B
Примітки
Стандартні запитання: Як розігруватиметься ця частина сценарію?
Кого залучено або кого слід залучити?
Хто що робить?
• Хто здійснює координацію?
• Хто керує?
Запропоновані додаткові запитання:
Звідки ви могли б про це дізнатися?
Звідки ви б отримували цю (або будь-яку іншу) інформацію про загрози?
Ви можете стати наступними…
Ви впевнені, що визначили і чітко розумієте все, що необхідно для ідентифікації, забезпечення, обслуговування
Відкриті запитання / проблеми Заходи / дії
Ввідна: Оновлення інформації щодо інциденту — Інфраструктура
Понеділок, 12:00: Висловлюються побоювання, що зламані засоби управління мережею використовуються для поширення атак на інші організації, які постраждали від інциденту. Наразі все ще немає інформації щодо того, хто може стати наступною мішенню атаки.
Сценарій, №1C
Примітки
Стандартні запитання:
Як розігруватиметься ця частина сценарію?
Кого залучено або кого слід залучити?
Хто що робить?
• Хто здійснює координацію?
• Хто керує?
Запропоновані додаткові запитання:
Ви все ще впевнені, що визначили й чітко розумієте все, що необхідно для забезпечення, обслуговування
Чи можуть ваші команди чітко ідентифікувати
тури та наявні залежності? Ви впевнені, що маєте все, що потрібно? Реєстри обліку цифрових активів Плани реагування на інциденти та
Відкриті запитання / проблеми Заходи / дії
ситуації.
Сценарій № 2 (пряма атака незначна)
Ввідна: Поінформованість щодо незначної прямої атаки
Примітки
Понеділок, 18:00: Хакерська група заявила, що в понеділок під час атак було скомпрометовано низку сайтів як у державному, так і в приватному секторах. Основні джерела збору розвідданих підтверджують, що їх залучили до розслідування кількох резонансних кіберінцидентів. Сценарій, №2A
Стандартні запитання:
Як розігруватиметься ця частина сценарію?
Кого залучено або кого слід залучити?
Хто що робить?
• Хто здійснює координацію?
• Хто керує?
Запропоновані додаткові запитання:
Які джерела розвідданих щодо загроз та інцидентів є надійними?
Як ви могли б про це дізнатися?
Що б ви робили, якби щось сталося?
Відкриті запитання / проблеми
Заходи / дії
Ввідна: Реагування на інциденти
Примітки
Вівторок, 09:00: ІТ-відділ повідомляє, що ваш основний вебсайт недоступний через DDoS-атаку, вебслужби по всій організації також постраждали і періодично стають недоступними.
Стандартні запитання:
Як розігруватиметься ця частина сценарію?
Кого залучено або кого слід залучити?
Хто що робить?
• Хто здійснює координацію?
• Хто керує?
Запропоновані додаткові запитання:
Сценарій, №2B
Як вас би повідомили про це (внутрішньо, в межах організації)?
Про що б ви подумали?
Що б ви робили?
Чи є у вас плани реагування на інциденти
чення безперервності діяльності?
Чи є у вас заздалегідь розроблені комунікаційні плани, канали, процедури та
засоби спілкування зі ЗМІ?
Відкриті запитання / проблеми
Заходи / дії
Ввідна: Відновлення після інциденту
Середа, 09:00: DDoS-атака завершилася, роботу вашого вебсайту і вебслужб відновлено, однак вебсайту завдано значних пошкоджень. Засоби масової інформації у своїх сюжетах розповідають про незадоволених кінцевих користувачів і співробітників, які не могли провести операції через DDoS-атаку. Вашу організацію просять прокоментувати ситуацію, оскільки ЗМІ пов’язують цю атаку із заявами хакерських груп, опублікованими на початку тижня.
Примітки Стандартні запитання: Як розігруватиметься ця частина сценарію?
Кого залучено або кого слід залучити?
Хто що робить?
• Хто здійснює координацію?
• Хто керує?
Запропоновані додаткові запитання:
Про що б ви подумали?
Сценарій, №2С
Чи є у вас комплексний комунікаційний план? З ким би ви консультувалися під час підготовки до будь-якого реагування?
Чи переглянули б Ви свої комунікаційні заходи?
Відкриті запитання / проблеми
Заходи / дії
Сценарій № 3 Пряма атака (серйозна)
Ввідна:
Ініціювання прямої атаки
П’ятниця, 16:30. Через 4 тижні після атак, описаних у Сценаріях 1 та 2A , вся діяльність повернулася до нормального рівня. Після DDoS-атаки не було зафіксовано жодних серйозних інцидентів і не було виявлено жодних індикаторів компрометації. На жаль, у найнезручніший час несподівано відбулася друга хвиля складніших атак. Ваше цифрове обладнання вийшло з ладу, і вам приходять сповіщення щодо проблем із наданням цифрових послуг по всій галузі в низці організацій. Ваша організація, зокрема ІТ-команда, стикається з атакою нульового дня на вашу мережу та хмарні сервіси. Метою атаки є спричинити повномасштабне порушення в роботі, витік та застосування програм-вимагачів для всієї вашої цифрової нерухомості (усіх цифрових активів).
Цей день ще й критично важливий для здійснення фінансових операцій, таких як виплата заробітної плати і проведення інших платежів, тому активність користувачів висока.
Сценарій, №3A
Примітки
Стандартні запитання:
Як розігруватиметься ця частина сценарію?
Кого залучено або кого слід залучити?
Хто що робить?
• Хто здійснює координацію?
• Хто керує?
Запропоновані додаткові запитання:
Як вас сповістять про те, що відбувається?
На що ви насамперед звернете увагу?
Які наслідки є критичними в разі потенційно тривалого
слуг?
Кого ще можна залучити?
Чи буде поінформовано інші відомства? Які саме?
Ввідна: Розгортання шкідливого
програмного
забезпечення із
застосуванням шифрування
Примітки
П’ятниця, 16:45: На цей момент повідомляється, що в результаті атаки було розгорнуто шкідливе програмне забезпечення, яке проникло в мережу і зашифрувало значні обсяги даних, оскільки використовувало облікові записи користувачів та адміністраторів.
Стандартні запитання: Як розігруватиметься ця частина сценарію?
Кого залучено або кого слід залучити?
Хто що робить?
• Хто здійснює координацію?
• Хто керує?
Запропоновані додаткові запитання:
Сценарій, №3B
На що ви насамперед звернете увагу? На якому рівні ведеться робота зі стримування / управління цією атакою? Чи є у
Відкриті запитання / проблеми
Заходи / дії
Ввідна: Рішення щодо відключення мережі
П’ятниця, 17:00: Команда з управління ІТ рекомендує відключити мережу для її ізоляції, щоб обмежити поширення проблеми і дати команді можливість оцінити завдані збитки. Внаслідок цього персонал не матиме доступу до мережі, користувачі та треті сторони не зможуть здійснювати операції у вашій мережі, на вебсайті чи використовувати вебпослуги.
Сценарій, №3С
Примітки
Стандартні запитання:
Як розігруватиметься ця частина сценарію?
Кого залучено або кого слід залучити?
Хто що робить?
• Хто здійснює координацію?
• Хто керує?
Запропоновані додаткові запитання:
Чи є у вас вебсторінка?
Як ви повідомляєте про проблеми?
Чи є у ваших
Ввідна: Безперервність
ділової активності та зовнішні комунікації
П’ятниця, 17:05: Урядові відомства Зелених повідомляють про ідентичний вплив на їхні мережі. Вас визнали потенційним джерелом інфекції. Водночас було зламано ваш публічний акаунт у соціальних мережах і поширюється неправдива інформація. Усі системи припинили свою роботу, включаючи резервні копії, які, схоже, також були скомпрометовані та зашифровані.
Сценарій, №3D
Примітки
Стандартні запитання:
Як розігруватиметься ця частина сценарію?
Кого залучено або кого слід залучити?
Хто що робить?
• Хто здійснює координацію?
• Хто керує?
Запропоновані додаткові запитання:
Як ви на це реагуватимете?
Міністри вимагають гарантій; як ви на це реагуватимете?
Як ви плануєте заспокоїти власну раду директорів / вище керівництво та користувачів?
Відкриті запитання / проблеми
Заходи / дії
Ввідна: Порушення в роботі медіа та викрадення даних
П’ятниця, 18:00: Хакерська група стверджує, що вони завдали серйозної шкоди роботі важливих національних служб, включаючи вашу організацію. Зловмисники заявляють, що отримали контроль над вашим вебсайтом, мережею та акаунтами в соціальних мережах та обурені низьким рівнем безпеки. Також вони стверджують, що викрали великі обсяги даних.
Сценарій, №3E
Примітки
Стандартні запитання:
Як розігруватиметься ця частина сценарію?
Кого залучено або кого слід залучити?
Хто що робить?
• Хто здійснює координацію?
• Хто керує?
Запропоновані додаткові запитання:
На що ви тепер звертатимете увагу? Про що розмірковуватимете?
Як ви організуєте роботу з медіа?
Світові ЗМІ вимагають інтерв’ю: хто
Відкриті запитання / проблеми
організації даватиме його?
Заходи / дії
Ввідна: Повернення контролю
Наступного тижня: Ви відновили контроль над своєю мережею, вебсайтом і акаунтом у соціальних мережах. Джерела у сфері кібербезпеки повідомляють, що початкове зловмисне програмне забезпечення перебуває під контролем і не поширюється далі. Однак ваша організація зазнала втрати ключових систем, включаючи конфіденційні персональні та операційні дані, дані про управління персоналом та оплату праці. Доступні лише хмарні сервіси.
Примітки Стандартні запитання: Як розігруватиметься ця частина сценарію?
Кого залучено або кого слід залучити?
Хто що робить?
• Хто здійснює координацію?
• Хто керує?
Запропоновані додаткові запитання:
Чи сплатите ви викуп?
Чи захищені ви від кібератаки?
Чи поділитеся ви засвоєним досвідом?
Відкриті запитання / проблеми
Заходи / дії
Сценарій, №3F
1. Вступ:
• Фасилітатор: [Ім’я та прізвище фасилітатора]
• Дата і час: [Дата і час сесії AAR]
2. Перегляд цілей та завдань:
• Нагадайте учасникам про цілі та завдання вправи.
3. Повторення сценарію:
• Забезпечте короткий огляд сценарію вправи, включаючи ключові події, інциденти
4. Сильні сторони та досягнення:
•
5.
6.
можливостей реагування на інциденти.
• [Перелік рекомендацій]
8. Визначення пріоритетів серед рекомендацій:
• Розподіліть рекомендації за пріоритетністю з урахуванням їхніх потенційних наслідків та можливостей їх реалізації.
• [Перелік рекомендацій, розподілених за пріоритетами]
9. Дії та заходи:
• Визначте заходи та дії, яких необхідно вжити для впровадження кожної рекомендації.
• [Дії та заходи із зазначенням відповідальних за виконання та кінцевих строків]
10. Документування та звітування:
• Підкресліть важливість документування (фіксації) результатів AAR та рекомендацій.
