CYBER DEFENSE OF URBAN DIGITAL SYSTEMS: SCALING SIEM CORRELATION TO REDUCE INCIDENTS IN A WARTIME CITY

Павло Черніков

doi:10.28925/2663-4023.2025.31.1066

Автор(и)

Павло Черніков Спеціалізоване комунальне підприємство «Київтелесервіс» https://orcid.org/0009-0006-7390-9698

DOI:

https://doi.org/10.28925/2663-4023.2025.31.1066

Ключові слова:

кіберзахист міських систем, SIEM, SOC, кореляція інцидентів, MTTD, MTTR, цифрові міські сервіси, кіберстійкість

Анотація

Сучасні мегаполіси дедалі більше залежать від стійкості цифрових платформ та конвергентних мереж, які забезпечують життєдіяльність міста. В умовах повномасштабної війни, коли кібератаки синхронізуються з фізичним руйнуванням інфраструктури, забезпечення безперервності надання муніципальних послуг вимагає переходу від фрагментарного моніторингу до централізованого, інтелектуального управління інцидентами. У статті систематизовано практичний досвід побудови та експлуатації міського центру кіберзахисту (SOC) на базі Спеціалізованого комунального підприємства «Київтелесервіс» у період 2021–2024 років. Об’єктом дослідження є процеси захисту корпоративної мультисервісної мережі (КММ) міста Києва, яка об’єднує понад 1800 муніципальних установ, 1500 км волоконно-оптичних ліній зв’язку, систему міського відеоспостереження «Безпечне місто» (понад 8000 камер) та мережу датчиків інтернету речей (LoRaWAN). Автором детально проаналізовано операційні виклики, що виникли внаслідок різкого зростання кількості кіберінцидентів та зміни ландшафту загроз: від масованих DDoS-атак на сервіси «Київ Цифровий» до спроб експлуатації вразливостей у телекомунікаційному обладнанні під час блекаутів. Основну увагу в роботі приділено розробці та впровадженню методики масштабування правил кореляції в SIEM-системі. Запропоновано перехід від використання стандартних сигнатур до поведінкового аналізу, структурованого відповідно до функцій рамкової моделі NIST Cybersecurity Framework 2.0 (Identify – Protect – Detect – Respond – Recover). Описано механізм «контекстного збагачення» подій безпеки (Contextual Enrichment), який передбачає автоматичне додавання до сирих логів метаданих про критичність активу, його фізичне розташування та відповідального адміністратора. Це дозволило вирішити проблему «втоми від сповіщень» (alert fatigue), відсіявши до 90% помилкових спрацювань, спричинених легітимною активністю віддалених користувачів через VPN-шлюзи. Результати дослідження підтверджено кількісними показниками ефективності роботи SOC: середній час реагування (MTTR) на інциденти високої критичності вдалося скоротити на 30% (з 45 до 30 хвилин), а доступність ключових адміністративних послуг для громадян було збережено на рівні 99,9% навіть у періоди пікових навантажень. У висновках сформульовано практичні рекомендації для керівників цифрової трансформації міст щодо пріоритезації засобів моніторингу та побудови відмовостійкої архітектури кіберзахисту в умовах обмежених кадрових та фінансових ресурсів. Стаття може бути корисною для фахівців із кібербезпеки критичної інфраструктури, системних архітекторів та посадових осіб органів місцевого самоврядування.

Завантаження

Дані завантаження ще не доступні.

Посилання

National Institute of Standards and Technology. (2024). The NIST Cybersecurity Framework (CSF) 2.0 (NIST Cybersecurity White Paper). U.S. Department of Commerce. https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf

Mahn, A. (2018, April 16). Identify, Protect, Detect, Respond, and Recover: The NIST Cybersecurity Framework. NIST Taking Measure Blog. https://www.nist.gov/blogs/taking-measure/identify-protect-detect-respond-and-recover-nist-cybersecurity-framework

Naserinia, V., Ekstedt, M., & Asplund, M. (2021). Cyber Resilience for Critical Infrastructure: A Systematic Literature Review. KTH Royal Institute of Technology. https://www.diva-portal.org/smash/get/diva2:1576950/FULLTEXT03.pdf

Bellini, E., Marrone, S., & Di Mauro, N. (2025). Situation awareness for cyber resilience: A review. International Journal of Critical Infrastructure Protection, 48, Article 100720. https://doi.org/10.1016/j.ijcip.2025.100755

Cybersecurity Ventures. (2024). SIEM Implementation: Strategies and Best Practices. Cybersecurity Ventures. https://cybersecurityventures.com/siem-implementation-strategies-and-best-practices/

Cymulate. (2025). SIEM Correlation Rules: Fine-Tune Detection Logic at Scale. Cymulate Glossary. https://cymulate.com/cybersecurity-glossary/siem-correlation-rules/

Redborder. (2024, September 10). How SIEM correlation rules work. Redborder Blog. https://redborder.com/how-siem-correlation-rules-work/

Subach, I. Yu., Fesokha, V. V., & Fesokha, N. O. (2019). Model proaktyvnoi intelektualnoi SIEM-systemy dlia kiberzahystu obiektiv krytychnoi infrastruktury [Model of proactive intellectual SIEM-system for cyber protection of critical infrastructure objects]. Information Technology and Security, 7(2), 209–216. https://doi.org/10.20535/2411-1031.2019.7.2.190570

Hnatiuk, S. O. (2023). Systema koreliuvannia podii ta upravlinnia intsydentamy kiberbezpeky na obiektakh krytychnoi infrastruktury [Event correlation and cyber security incident management system at critical infrastructure objects]. Cybersecurity: Education, Science, Technique, 19, 161–174. https://doi.org/10.28925/2663-4023.2023.19.176196

Piadyshev, V. H. (2022). Kiberbezpeka krytychnykh infrastruktur: zakordonnyi dosvid ta ukrainski realii [Cybersecurity of critical infrastructures: foreign experience and Ukrainian realities]. South Ukrainian Law Journal, 4(3), 229–234. https://doi.org/10.32850/sulj.2022.4.3.38

Zubok, V. Yu., Davydiuk, A. V., & Klymenko, T. M. (2023). Cybersecurity of critical infrastructure in Ukrainian legislation and in Directive (EU) 2022/2555. Electronic Modeling, 45(5), 54–66. https://doi.org/10.15407/emodel.45.05.054

Grechaninov, V., Hulak, H., Sokolov, V., Skladannyi, P., & Korshun, N. (2022). Formation of dependability and cyber protection model in information systems of situational center. In Proceedings of the 1st International Workshop on Control, Optimisation and Analytical Processing of Social Networks (COAPSN-2022) (pp. 107–117). CEUR Workshop Proceedings, Vol-3149. https://ceur-ws.org/Vol-3149/paper11.pdf