Ниже — подробный пошаговый план реагирования на инцидент вымогательского ПО в больнице. План разбит по фазам (немедленные действия, короткий/средний/долгий срок) и включает технические, клинические, коммуникационные и юридические аспекты, а также меры по восстановлению и повышению цифровой устойчивости.

Важное замечание: безопасность пациентов и продолжение оказания медицинской помощи — приоритет. Параллельно с техническими мерами обеспечьте работу клинических процессов в безопасном режиме.

Немедленные (0–24 часа)
Сбор команды и объявление инцидентаАктивируйте команду реагирования на инциденты (IRT): CISO/IT-лидер, главный врач/медицинский директор, руководитель безопасности, юрист, PR/коммуникации, операционный директор, представитель службы безопасности и главный по персоналу.Назначьте руководителя инцидента и ответственных за основные направления (изоляция, клиническая поддержка, коммуникации, юридические действия).

Идентификация и изоляция

Немедленно отключите явно скомпрометированные системы от сети (физически/логически): сегменты, серверы, рабочие станции. Делайте это аккуратно, чтобы не разрушить доказательства.Отключите внешние VPN и сторонние удалённые доступы, временно запретите новые подключения.Изолируйте сеть (microsegmentation) по необходимости — цель: остановить распространение.Не форматируйте и не перезагружайте подозрительные хосты без консультации специалиста по форензике (можно потерять volatile-артефакты).

Сохранение доказательств (форензика)

Зафиксируйте состояние сети и систем: снимите изображения памяти и дисков, логи, сетевые дампы, системные временные файлы.Соблюдайте цепочку хранения доказательств (chain of custody). Привлеките опытную внешнюю форензик-команду при отсутствии внутренней экспертизы.Скопируйте логи с сетевого оборудования, SIEM, EDR, Active Directory и почтовых серверов.

Оценка масштаба

Определите затронутые системы (EHR/EMR, лаборатории, образы, медицинские приборы), временную точку начала, точки входа.Определите, есть ли доказательства утечки данных (exfiltration). Это критично для уведомлений пациентов/регуляторов.

Краткосрочная клиническая работа

Переведите клинические службы на заранее подготовленные резервные протоколы: бумажная регистрация, печатные формы, ручная доставка результатов, при необходимости переведите пациентов в другие учреждения.Сообщите персоналу о предельной осторожности с медицинскими приборами и о запрете подключения внешних носителей.24–72 часа (содержательная локализация и коммуникация)
Контейнмент (локализация)Закройте уязвимые входы (удалите вредоносные учётные записи, заблокируйте IP, поменяйте ключи доступа).Отключите нежизненно важные сервисы, если они создают угрозу. Поменяйте привилегированные пароли после создания контрольной точки/снимка.Восстановите раннюю сегментацию сети, чтобы уменьшить доступ к критичным системам.

Коммуникации

Настройте единую точку коммуникации для персонала и руководства, чтобы избежать слухов.Подготовьте официальные сообщения:Для персонала: что произошло, какие системы недоступны, альтернативные рабочие процедуры, к кому обращаться.Для пациентов: краткая, честная информация о сбое, действиях больницы и о возможных задержках/мерах безопасности; контакты для экстренных вопросов.Для СМИ: ограниченные факты, обещание обновлений.Выдайте инструкции по защите персональной информации и по предотвращению рассылки паники.

Юридические и регуляторные действия

Немедленно подключите юридический отдел и внешнего регулирующего/комплаенс-советника.Проанализируйте требования по уведомлению регуляторов и пациентов (в зависимости от юрисдикции — законы о защите персональных данных, медицинской тайне, уведомления в течение установленных сроков). Уведомьте органов здравоохранения, при необходимости — органы по защите данных и правоохранительные органы.Свяжитесь с киберполициями/национальными CERT/ответственными структурами и с вашей страховой компанией по киберрискам.Зафиксируйте все решения и действия — для последующей юридической защиты и аудита.

Решение по выкупу

Не принимайте единоличного решения о выплате выкупа. Принятие решения требует обсуждения с юридическим отделом, правоохранительными органами, страховщиками и руководством. Обратите внимание, что оплата не гарантирует возврата данных и может иметь юридические последствия.3–14 дней (расследование, восстановление критичных функций)
Глубокое расследованиеФорензик-команда выясняет вектор атаки, используемые уязвимости, список скомпрометированных учетных записей, доказательства утечки.Восстановите цепочку событий и оцените полноту компрометации данных (PHI, PII, финансовые данные).

Востановление критичных сервисов

Восстановление должно идти по приоритетам: обеспечение жизнеобеспечения и критичных клинических систем — EHR, системы назначения лекарств, сканирования/лаборатории, сети вызова скорой помощи.Восстанавливайте системы только после полной проверки и очистки угрозы. Лучший подход — восстановление с помощью проверенных, неинфицированных резервных копий.Тестируйте восстановленные системы в изолированной среде до ввода в эксплуатацию.Проводите поэтапное возвращение сервисов в продакшн, сопровождаемое мониторингом.

Альтернативные процедуры

Поддерживайте коммуникацию с пациентами о необходимости перенаправления/отложенных процедур.Если возможно, организуйте партнерство с соседними клиниками для неотложной помощи.

Уведомления пациентов

Если имеются доказательства утечки персональных/медицинских данных — подготовьте детальные уведомления пациентам с информацией, какие данные затронуты, какие шаги принимает больница, рекомендации по защите личных данных и контакты для вопросов/поддержки.Предложите пострадавшим услуги кредитного мониторинга/поддержки, если это уместно.2–12 недель (полное восстановление и анализ)
Реконструкция и чисткаПолная перезагрузка/переустановка ОС и приложений на заражённых хостах, если невозможно доказать отсутствие скрытых угроз.Регенерация сертификатов, ключей и обновление учётных данных для всех сервисов.

Уроки и документирование

Проведите детальный post-incident review (root cause analysis), документируя уязвимости, ошибки в процедурах, и предлагаемые исправления.Подготовьте отчет для руководства, регулирующих органов и страховой компании.

Обновление политик и процедур

Обновите incident response plan, планы бизнес-непрерывности и процедуры оповещения.Усовершенствуйте резервные копии, их тестирование и полиcы по хранению (immutable, off-site, air-gapped).Долгосрочные меры по повышению цифровой устойчивости (3–12 месяцев и далее)
Технические мерыАрхитектура и сегментация: внедрите микросегментацию, сегментирование медицинских устройств от административной сети.Резервное копирование: регулярные, проверяемые, неизменяемые (immutable) и изолированные бэкапы с регулярной проверкой восстановления (test restores).Endpoint protection: разверните EDR/XDR и систему обнаружения вторжений (IDS/IPS).MFA и управление привилегиями: многфакторная аутентификация для всех удалённых и привилегированных доступов; Privileged Access Management (PAM).Патч-менеджмент и управление уязвимостями: регулярные сканы, быстрые откаты и тестирование патчей.Логи и мониторинг: централизованный SIEM, долгосрочное хранение логов, корреляция событий и автоматические оповещения.Application whitelisting и контроль исполнения ПО на критичных серверах.Безопасность медицинских устройств: инвентаризация, сегментация, обновления и контрактование производителя.

Организационные и процедурные меры

Политики резервного копирования, инцидент-реагирования, доступа и управления изменениями.Регулярное тестирование DR/BCP: планшеты, сценарии, учения для клинического персонала (tabletop exercises и full-scale drills).Обучение сотрудников: фишинг-учения, обучение по безопасности, регулярные бай-проведения.Управление поставщиками: требования по безопасности для сторонних поставщиков, аудит и соглашения по реагированию на инциденты.Наличие соглашений о взаимопомощи с соседними клиниками и планов для перенаправления пациентов.

Инвестиции и страхование

Пересмотрите покрытие киберстраховки и условия (покрытие форензики, восстановления, юридических расходов и т. д.).Инвестируйте в внешние контракты с MSSP/IR-командами для круглосуточной поддержки.

Коммуникация с внешними сторонами (рекомендации)

Правоохранительные органы и CERTs: уведомьте и сотрудничайте, не удаляйте доказательства.Регуляторы по защите данных и органы здравоохранения: соблюдайте сроки уведомлений.Пациенты: честность, конкретика, регулярные обновления и инструкции по самозащите.СМИ: единое официальное сообщение, избегайте спекуляций.

Практические контрольные списки (коротко)

Первые 4 часа: активировать команду, изолировать, собрать первичные логи, обеспечить пациентскую безопасность.Первые 24 часа: уведомить руководителей и правоохранительные органы, переключиться на ручные клинические процессы, сохранить доказательства.Первые 72 часа: завершить первичный форензик-анализ, определить масштаб утечки, запустить восстановление приоритетных сервисов.Первые 2 недели: проверенное восстановление, уведомления пострадавшим, план по исправлениям.1–6 месяцев: обновление ИБ-политик, внедрение технологий и обучение персонала.

Рекомендации по принятию решений руководству (коротко)

Не паникуйте; сосредоточьтесь на безопасности пациентов.Не платите выкуп без полного понимания последствий и консультаций с правоохранительными и юристами.Привлекайте внешних экспертов по форензике и коммуникациям.Документируйте каждое действие — это важно для регуляторов и страховых выплат.

Если хотите, могу:

подготовить готовые шаблоны уведомлений для пациентов и персонала на русском языке;составить контрольный лист действий для IT-персонала и клинических отделений;помочь спланировать план восстановления приоритетных ИТ-сервисов (приоритетная матрица).