IT-менеджмент 770

Что делать в первые два часа после кибератаки

Как руководителю скоординировать работу паникующего коллектива после взлома корпоративной IT-инфраструктуры, и продуктивно взаимодействовать с ИБ-специалистами.

Что делать, если вы получили требование мошенников о выкупе, зайти в учетную запись невозможно, а сайт компании «лежит»? В такой ситуации необходимо руководствоваться заранее подготовленным планом восстановления IT-инфраструктуры в случае ЧП. В этой статье обсудим, какой должен быть нулевой шаг в противостоянии киберугрозам.

Что делать, когда атакуют хакеры

Никто не ждал, но это произошло: при кибератаке руководство совершает одну из ошибок:

  • Впадает в панику.
  • Делает вид, что ничего такого не произошло.
  • Поднимает на уши IT-отдел с требованием «починить это немедленно»!

Такие сценарии опасны, потому что кибератака – это не технический сбой, это кризис, который наступил в результате бездействия в отделе информационной безопасности (ИБ). И действовать здесь нужно по строгому протоколу «План восстановления инфраструктуры» для обеспечения непрерывности деятельности бизнеса. Рассмотрим подробнее каждый шаг.

Шаг 1. Признать кризис и остановить панику

Главный враг компании в первые минуты после взлома – паника и попытка скрыть инцидент. В нашей практике бывали случаи, когда системные администраторы пытались тайно исправить ситуацию, чтобы не получить выговор от руководства. В итоге терялось драгоценное время.

Хакеры действуют на шаг вперед: перед тем как зашифровать серверы, они незаметно скачивают (эксфильтруют) конфиденциальные данные: базы клиентов, бухгалтерию, коммерческую тайну, все ценное, что смогли найти. Пытаться «замести следы» бессмысленно – если данные украли, шантаж неизбежен.

В первый час необходимо собрать кризисный штаб из генерального директора, IT-руководителя, юриста и PR-менеджера. У штаба должен быть один координатор, который принимает решения. Задача – координировать действия, а не искать виноватых.

Шаг 2. Локализовать «пожар»

Первое инстинктивное желание системного администратора при взломе – выключить серверы из розетки или перезагрузить их. Этого делать категорически нельзя. Перезагрузка уничтожает цифровые следы хакеров в оперативной памяти (RAM-дампы). Для ИБ-криминалистов эти данные – как отпечатки пальцев на месте преступления. Без них невозможно понять, как именно злоумышленники проникли в сеть и где еще оставили свои «закладки».

Что нужно сделать вместо этого:

  • Изолировать затронутые сегменты и узлы от внешней сети и от остальной инфраструктуры: отключить VPN-доступ, заблокировать подозрительные каналы связи, ограничить маршрутизацию или перевести узлы в изолированный VLAN. Если такой возможности нет – физически отключить сетевые кабели от интернета, чтобы хакеры потеряли управление вашей инфраструктурой.
  • Сообщить сотрудникам о временном техническом простое.

Шаг 3. Зафиксировать улики

Важно зафиксировать инцидент и учесть, что скорость исчезновения цифровых улик колоссальна. Как только система начинает восстанавливаться, логи перезаписываются, то и следы присутствия взломщиков стираются, подобно следам на песке после дождя.

Очевидно, что вы хотите «вернуть все как было». Но надо понимать, что в случае инцидента IT- и ИБ-команды преследуют принципиально разные цели:

  • Задача IT-отдела – как можно быстрее поднять сервисы, чтобы бизнес снова заработал.
  • Задача ИБ-экспертов – собрать сетевые логи, дампы памяти и триажи с серверов, убедиться, что хакеры не остались в сети, а также изолировать лазейку и исключить взлом в будущем.

К восстановлению можно приступать только после того, как ИБ-команда завершит свою работу. Отдельно подчеркну, что если IT-команде удалось восстановить систему из бэкапов, не разобравшись в причинах, это не лучшая новость: хакеры взломают компанию повторно в любой момент, используя ту же самую уязвимость. И могут уничтожить и сами бэкапы.

Шаг 4. Вспомнить о юридической стороне вопроса

Взлом – это не просто внутренняя проблема компании. Если произошла утечка персональных данных клиентов или сотрудников, ситуация автоматически переходит в правовое поле. У руководителей есть 24 часа на то, чтобы уведомить РКН первично – о самом факте инцидента, предполагаемых причинах, повлекшем ущербе и принятых мерах по локализации (Ст. 21 № 152-ФЗ «О персональных данных»). Дополнительно по результатам внутреннего расследования – в течение 72 часов с момента обнаружения. Таким образом, попытка умолчать о происшествии или некорректно составленный отчет могут обернуться для бизнеса оборотными штрафами, проверками и даже уголовной ответственностью для ряда должностей. Для этого этапа нужны специалисты, которые умеют собирать доказательную базу так, чтобы она имела юридическую силу.

Шаг 5. Заранее подготовить контакты команды реагирования ИБ

У генерального или IT-директора должен быть прямой номер ИБ-команды реагирования на инциденты, с которой стоит заранее заключить рамочный договор и NDA, чтобы в критический момент не терять часы на панику и согласование, а сразу вызвать «кибер-пожарных».

Я убежден, что IT-отделу при взломе нужна помощь. Строить IT-инфраструктуру и защищать ее – это две разные профессии. Требовать от сисадминов успешного отражения и неповтора целевой хакерской атаки равно просить гражданского инженера организовать оборону здания во время штурма. У внутренней IT-команды в момент кризиса просто нет инструментов (софта и навыков компьютерной криминалистики), опыта взаимодействия с хакерами и времени разобраться в час Х.

Шаг 6. Принять на себя долгосрочные обязательства

  • На основе анализа инцидента обновить план восстановления и закрепить регулярные учения по восстановлению.
  • Выполнить рекомендации, полученные на основе расследования компьютерного инцидента (сегментация сети и межсетевое экранирование, соблюдение парольной политики, двухфакторная аутентификация, конфигурирование политик AD, списки доступа, разграничение прав, обучение пользователей по защите от фишинга).
  • Проводить тестирование на проникновение не реже двух раз в год с целью нахождения уязвимостей инфраструктуры раньше злоумышленников.
  • Установить систему мониторинга для предиктивного выявления и реагирования на потенциальные инциденты.

Лучший способ пережить кибератаку – подготовиться к ней заранее. Даже если в компании нет полноценного внутреннего отдела безопасности, должен быть утвержден простой регламент на случай ЧП.

Также читайте:

Как получить полный бесплатный доступ к публикации?
  1. Авторизоваться или зарегистрироваться на сайте
Авторизоваться или Зарегистрироваться
Расскажите коллегам:
Теги: защита от хакеровкибербезопасностьКиберугрозы
Комментарии
Оставлять комментарии могут только зарегистрированные пользователи
Войти или Зарегистрироваться
Статью прочитали
Алина Прудских
Обсуждение статей
Все комментарии
Мероприятия (2892)
Все мероприятия
Дискуссии
Все дискуссии
1299 пользователей онлайн
Свидетельство о регистрации СМИ Эл NФС 77-38751. Републикация материалов - только со ссылкой на Executive.ru, с разрешения редакции сайта. Редакция не несет ответственности за высказывания пользователей на сайте.
Политика обработки персональных данных
Сервисы, рекрутинг:
Сервисы, образование:
Реклама:
Редакция:
Поддержка:
Карта сайта
Телефон отдела рекламы: +7 495 953-74-34
Телефон редакции: +7 495 953-74-34
Адрес: 115035, Россия, Москва, улица Пятницкая, дом 2-38, строение 3.
Executive.ru – краудсорсинговый проект, 80% текстов созданы участниками Сообщества. Если вы не согласны с идеями, высказанными в статье, хотите оспорить логику повествования, уточнить цифры и факты, обращайтесь к авторам, а не в редакцию. Сделать это можно в дискуссиях под публикациями.
18+ Executive.ru © 2000 – 2026.