Ниже — практический план немедленного реагирования на атаку программой-шифровальщиком (ransomware) в крупной городской больнице. Цель плана — обеспечить безопасность пациентов и персонала, быстро и упорядоченно ограничить ущерб, восстановить критические услуги, сохранить доказательства, соблюсти правовые требования и корректно информировать население.

Ключевые принципы

Пациентоцентричность: приоритет — жизнь и здоровье пациентов.Быстрое и контролируемое ограничение распространения инфекции.Сохранение доказательств для расследования/правоохранительных органов.Прозрачная, но управляемая коммуникация.Координация с правоохранительными органами, регуляторами и внешними экспертами.

1) Немедленные действия (0–4 часа)

Активировать план реагирования на инциденты и кризисный штаб. Назначить Incident Commander (ответственный руководитель), клинического офицера по безопасности пациентов, IT-лид, юридического советника, руководителя по связям с общественностью и ответственного за взаимодействие с правоохранительными органами.Обеспечить безопасность пациентов:
Оценить критические пациенты/отделения (операционные, реанимация, диспансер, прямая жизнеобеспечивающая техника).При необходимости немедленно приостановить плановые процедуры, перенаправить неэкстренные поступления, организовать перевод/эвакуацию наиболее уязвимых пациентов в соседние учреждения.Изолировать заражённые системы:
Отключить от сети инфицированные и подозрительные устройства (физически или на сетевом уровне).Отключить/ограничить удалённый доступ (VPN, RDP), но сохранить журналы доступа.Не выключать устройства силой и не перезагружать критические медицинские приборы без согласования с клиниками и техникой.Обеспечить резервные коммуникации (радиосвязь, мобильные телефоны, бумажные журналы, курьеры) для координации внутри больницы.Зафиксировать и сохранить доказательства: отключать устройства аккуратно, делать снимки экрана и фото-контексты, не удалять логи. (Детальную цифровую криминалистику выполняют специалисты).Уведомить ключевых внутренних и внешних участников: руководителей отделений, внешнего поставщика EHR/ЛИС/медоборудования, страховую, юридический отдел.

2) Краткосрочные меры по обеспечению работы (4–48 часов)
Приоритезация восстановления услуг (в порядке приоритета)

Жизнеобеспечивающие отделения: реанимация/ICU, операционные залы (текущие операции), неотложная помощь (ER).
Обходные действия: перевод пациентов, ручная запись параметров, автономные мониторы, если требуется — временный перенос в другие учреждения.Аптека и выдача лекарств, включая хранилище и контроль дозировок.
Организовать ручные протоколы отпуска; задействовать фармацевтов для двойной верификации.Лаборатории для критических тестов (кровь, коагулограмма, газовый обмен).
Перенаправить срочные анализы в партнерские лаборатории; использовать экспресс-методы при необходимости.Банки крови и трансфузионная служба.Системы жизнеобеспечения и медицинское оборудование, подключенное к ИТ.
Взаимодействовать с производителями оборудования.Электронная медицинская карта (EHR) — обеспечить доступ к критичным данным (аллергии, текущие назначения).
Включить доступ к резервным/офлайн копиям или организовать бумажные карточки.Клинико-диагностическое и лучевое оборудование (КТ, МРТ) — критично для неотложных случаев.Административные и плановые сервисы (регистратура, плановые операции).

Для каждой приоритетной группы:

Определите временные обходные процедуры (manual workflows).Назначьте ответственных лиц и ресурсы.Организуйте логистику для передачи образцов/документов и маршрутизации пациентов.

3) Форензика и взаимодействие с внешними экспертами (параллельно с восстановлением)

Один контактный канал для всех взаимодействий с внешними подрядчиками и правоохранительными органами.Немедленно подключить сертифицированную экспертизу по кибербезопасности/цифровой криминалистике.Согласовать и задокументировать процедуру сбора и амниструрования доказательств (имиджирование дисков, сбор сетевых логов, временные метки). Соблюдать цепочку хранения доказательств (chain of custody).Сохранить журналы и логи (сетевые устройства, SIEM, firewalls, DHCP, Domain Controllers, EDR) в отдельном безопасном хранилище.Не проводить самостоятельную «чистку» реестра/файлов без специалистов — это может уничтожить важные доказательства.

4) Взаимодействие с правоохранительными органами и регуляторами

Немедленно уведомить:
Национальный CERT/киберцентр и/или профильное подразделение МВД/прокуратуры (в вашей юрисдикции).Регулятора здравоохранения и/или орган по надзору за медицинскими учреждениями.Регулятора по защите персональных данных (если есть утечка ПДн).Координировать дальнейшие действия с правоохранительными органами — особенно по части сбора доказательств, возможных правовых последствий и рекомендаций по выплатам.Уведомить страховую компанию (киберстрахование) и юридических консультантов.Не вступать в переговоры с нападавшими без юридической и правоохранительной поддержки; документировать все попытки связи.

5) Политика по выплате выкупа

Решения о выплате выкупа принимаются на уровне правления/юридического отдела в связке с правоохранительными органами и экспертами.Взвешивание факторов: гарантия получения дешифратора отсутствует, финансирование преступной деятельности, возможные правовые/регуляторные последствия, риск дальнейших атак.Рекомендация по умолчанию — рассмотреть восстановление из проверенных резервных копий и сотрудничество с правоохранительными органами; выплата выкупа — крайняя мера и требует тщательного правового анализа.

6) Среднесрочное восстановление (2–14 дней)

Применить стратегию восстановления по частям: поднятие изолированных чистых систем, валидация целостности, постепенное подключение к сети.Восстановление из офлайн-резервных копий: проверка целостности и соответствия, тестирование перед вводом в эксплуатацию.Сегментация сети, усиление контроля доступа, временное ограничение внешних подключений.Верификация и тестирование всех критичных рабочих процессов в клинической среде перед возобновлением нормальной работы.Подключение производителей медицинского оборудования по вопросам совместимости и безопасности.

7) Коммуникация с населением, пациентами и СМИ
Принципы коммуникации:

Быстро и регулярно информировать — люди ожидают подтверждения факта и информации о безопасности.Честность + не раскрывать техдеталей, которые могут помочь злоумышленникам.Фокус на том, что делается для безопасности пациентов и восстановления работы.Назначить официального спикера и единый канал для публичных сообщений.

Короткие шаблоны сообщений

Для пациентов/посетителей:
«Сегодня [дата] больница столкнулась с кибератакой, которая повлияла на работу части информационных систем. Пациенты в критическом состоянии получают всю необходимую помощь. Плановые приёмы и операции могут быть отложены. Для срочных случаев звоните [контакт/тел.]. Мы работаем с профильными службами и правоохранительными органами для скорейшего восстановления. Следующее обновление — в [время].»

Для персонала:
«Активирован режим ЧС. Все сотрудники остаются на рабочих местах/придите в [время]. Используем временные рабочие инструкции: [ссылки/памятки]. Запрещено подключение личных устройств к рабочей сети. Любая подозрительная активность — немедленно на IT-горячую линию [тел.].»

Для СМИ:
Кратко: факт инцидента, подтверждение мер по обеспечению безопасности пациентов, ссылка на официальные каналы для обновлений, просьба не разглашать непроверенную информацию.

Вопросы, которые нужно заранее продумать в FAQ:

Затронуты ли медицинские данные пациентов?Как поступить пациентам с запланированными визитами?Контакты для экстренной помощи и альтернативные маршруты.Как будут уведомлены пациенты о возможной утрате/компрометации данных?

8) Пост-инцидентные мероприятия (после стабилизации)

Полный анализ корневой причины (root cause analysis) с участием внешних экспертов.Юридическое исполнение требований о уведомлении пострадавших (если требуется).Обновление политики резервного копирования: регулярные офлайн/immutable бэкапы, тесты восстановления.Усиление контроля доступа: MFA, сегментация сети, управление привилегиями, обновление патчей.Обучение персонала (фишинг, реагирование), регулярные учения/таблетопы.Пересмотр контрактов с поставщиками и производителями оборудования, включение требований по кибербезопасности.Мониторинг и сопровождение повышенной безопасности в течение нескольких месяцев.Компенсация пострадавшим, психологическая поддержка персоналу, управление репутацией.

9) Контрольный чек-лист для первых 24 часов

[ ] Активирован кризисный штаб и назначены ответственные.[ ] Изолированы подозрительные системы.[ ] Оценено состояние критических пациентов и организованы обходные маршруты.[ ] Подключена внешняя криминалистическая поддержка и уведомлены правоохранительные органы.[ ] Сохранены журналы и собраны первичные доказательства.[ ] Оповещены ключевые поставщики (EHR, лаборатория, поставщики медоборудования).[ ] Выпущено первое официальное сообщение для персонала и общественности.[ ] Организована горячая линия для пациентов/родственников.

10) Контакты и ресурсы

Национальный CERT/киберцентр (в вашей стране).Профильные подразделения МВД/прокуратуры/национальные органы по кибербезопасности.Релевантный регулятор здравоохранения и орган по защите персональных данных.Зарекомендованные поставщики цифровой криминалистической экспертизы и EDR/ресонансные вендоры.
(Составьте список с номерами и контактами заранее в рамках плана непрерывности бизнеса.)

Заключение
Своевременное, организованное и клиентоориентированное реагирование может существенно снизить риск для пациентов и репутационные/финансовые потери. При планировании действий сочетайте клинические приоритеты (жизнеобеспечение) с цифровой криминалистикой, строгой координацией с правоохранителями и прозрачной коммуникацией с населением.

Если хотите, могу:

Подготовить готовые шаблоны информирования для СМИ/пациентов/персонала.Составить пошаговый план восстановления для конкретных систем (EHR/ЛИС/файловые шарынги/AD) без раскрытия технических уязвимостей.Помочь сформировать структуру кризисного штаба и роли с готовыми должностными инструкциями.