Ниже — практический набор оперативных и стратегических мер, которые должны принять руководство больницы и государственные органы при массовой атаке программой‑вымогателем на сеть медицинских учреждений. Сфокусирован на немедленной защите жизни пациентов и на снижении долгосрочной уязвимости.

Ключевой принцип: сначала — безопасность пациентов. Затем — сохранение доказательств и восстановление систем максимально безопасным способом.

1) Немедленные оперативные действия $первыечасы$

Активировать кризисный план и команду реагирования
Созвать клинический кризисный штаб $руководительбольницы,главныйврач,заведующиепрофилями,ИТ‑директор/CISO,юрист,пресс‑служба,представительEMS$.Назначить единого ответственного за клиническую непрерывность и за ИТ‑ответы.Изоляция и сдерживание
Сегментировать/отключить поражённые сети и узлы $включаяWi‑Fi$ — быстро изолировать инфицированные машины от остальных.Отключить удалённый доступ и VPN до проверки безопасности.Обеспечение работы критических клинических служб
Перевести критические отделения $реанимации,операционные,роды,гемодиализ$ на автономные/ручные режимы работы. Использовать бумажные журналы и ручные протоколы при необходимости.Остановить плановые и немедленно перенести электратные операции/процедуры, если нельзя гарантировать безопасность.Координировать с EMS и соседними больницами маршрутизацию пациентов: направлять экстренных пациентов в работоспособные учреждения.Безопасность медицинского оборудования
Проверить и при необходимости отключить сетевые медицинские устройства $инфузионныенасосы,мониторы,томографы$, если есть риск вмешательства ПО.Согласовать с производителями устройств инструкции по безопасной работе в офлайне.Сохранение доказательств
Сделать форензические снимки поражённых систем, сохранить логи, журналы и сетевой трафик. Организовать цепочку хранения доказательств.Внешняя помощь
Немедленно связаться с национальным CERT, профильной государственной структурой по кибербезопасности и правоохранительными органами.Привлечь авторизованные профессиональные команды по реагированию на инциденты $MSSP/IR$.Коммуникация
Оперативно оповестить персонал $чтопроизошло,чтоделать,какиеальтернативныепроцессы$.Запустить горячую линию/контакты для пациентов и родственников, давать честную, сдержанную и частую информацию.Сообщить регуляторам $всоответствиисзаконодательствомозащитеданныхиздравоохранении$.

2) Первые 24–72 часа — клиническая непрерывность и расследование

Приоритизация жизненно важных процессов
Определить критические системы с RTO $времявосстановления$ и RPO $приемлемаяпотеряданных$ для клиники: EHR, системы вызова врачей, лаборатория, радиология, аптека, ББ, учет крови, мониторинг в ICU.Восстановить только те системы, которые необходимы и безопасны.Организация ручных/резервных процессов
Подготовить и печатать медицинские формы, направления, листы назначения медикаментов, протоколы переливания и т.д.Пересмотреть процесс выдачи лекарств — временно использовать контролируемые запасники/аптеки.Управление данными пациентов и приватностью
Оценить степень утечки данных. Если данные пациентов эксфильтрованы — начать закономерные уведомления пострадавших и регуляторов.Решение по выкупу
Не принимать поспешных решений. Общая рекомендация правоохранителей и многих экспертов — не платить выкуп $нетгарантиивосстановления/непоощряетепреступников$. Однако решение принимается на уровне руководства с участием государства, правоохранительных органов и юридического сопровождения. Если рассматривается платёж, делать это только координировано с правоохранительными органами и с учётом юридических ограничений $санкции,финансированиетерроризма$.Форензика и устранение угрозы
Провести глубокое сканирование, удалить «задние двери», реализовать очистку систем до восстановления из надёжных бэкапов.Не восстанавливать из бэкапов, если они тоже могли быть компрометированы — проверить их целостность.

3) Обеспечение безопасности пациентов $оперативныеклиническиерешения$

Триаж и маршрутизация пациентов
Ввести временные правила приоритизации: неотложные и жизнеугрожающие случаи принимаются в полную силу; плановые — переносятся; те, кто может быть перенаправлен, — направляются в соседние учреждения.Организация межбольничной координации
Государство/регионы обеспечивают централизованную координацию переводов, освобождают койки в других госпиталях, координируют транспорт $включаявертолёты$.Поддержка жизненно важных ресурсов
Назначить запасы медикаментов, крови и расходных материалов для покрывания повышенной нагрузки.Отдельный контроль за безопасностью критических медицинских устройств и систем жизнеобеспечения.Этические и юридические аспекты
Ввести временные клинические протоколы и критерии для отмены/переноса процедур, согласованные с этическим комитетом и юристами.

4) Краткосрочное восстановление $1–8недель$

Восстановление с проверенных источников
Восстанавливать ИТ‑системы только после подтверждения чистоты бэкапов и устранения уязвимостей.Внедрять мониторинг и усиленную проверку после восстановления.Коммуникации и доверие
Регулярные публичные отчёты для пациентов и сотрудников о ходе восстановления и мерах защиты.Проверки и аудит
Провести независимый аудит безопасности и клинического воздействия инцидента.Поддержка персонала
Психологическая и юридическая помощь пациентам и сотрудникам; обучение новым временным процедурам.

5) Стратегические меры $3–36месяцев$ — снижение уязвимости в будущем

Архитектура и инфраструктура
Сегментировать сеть $сильнаялогическая/физическаясегментацияIT/OT/медицинскихустройств$.Внедрить концепцию N‑+1 критических систем и геораспределённых резервов.Обеспечить «air‑gapped» $физическиотсоединённые$ и неизменяемые $immutable$ резервные копии, регулярно тестируемые.Технические меры
MFA для всех учетных записей, управление привилегиями $PAM$, централизованное управление патчами.Endpoint Detection and Response $EDR$, SIEM/логирование с долговременным хранением, Network Detection and Response $NDR$.Шифрование данных, защита каналов связи, мониторинг целостности.Стандартизация устройств: требования к безопасности при закупке медоборудования.Управление рисками и процессы
Внедрить NIST CSF / CIS Controls / ISO 27001 как основу для управления кибербезопасностью.Регулярные тесты $пентесты,redteam$, учения $tabletopиfullscale$, сценарии с клинической составляющей.Обновление и тестирование планов непрерывности бизнеса $BCP$ и аварийных протоколов для клиники и ИТ.Кадры и обучение
Создать или усилить роль CISO в каждой крупной больнице и централизованную координацию на уровне региона/государства.Обучение персонала по кибергигиене, фишингу и реакциям на инциденты.Создание национального пула экспертов для экстренной помощи $MIRT$.Государственная политика и координация
Обязательное уведомление о киберинцидентах и единые требования к отчётности.Создание централизованной, финансируемой SOC/SOCaaS для критической здравоохранительной инфраструктуры и обмена разведданными $ISAC/ISAO$.Стандарты закупок медицинских IT/IoT устройств с требованиями безопасности и гарантиями от производителей.Финансирование модернизации и субсидии для мелких/сельских госпиталей.Юридические механизмы для оперативной межрегиональной координации $переводыпациентов,обменданными$.Финансовые инструменты
Киберстрахование с обязательными требованиями к мерам безопасности.Резервные бюджеты на экстренное восстановление и контракт с внешними IR-командами.

6) Коммуникация и прозрачность

Шаблоны сообщений
Для персонала: список действий, контакты, где искать бумажные формы, как регистрировать пациентов.Для пациентов/публичности: простое сообщение о воздействии, что делается для безопасности, где получить помощь, как будут информировать.Частые обновления с конкретикой $какиеотделенияработают,кудаобращаться$ — это снижает паники и паникующие обращения в скорую.

7) Что делать с выкупом $практическаярекомендация$

Не платить ровно по идеологическим соображениям сложно, но:
Решение о платеже принимается совместно с правоохранительными органами и юристами.Платеж не гарантирует полного восстановления/удаления утекших данных и поддерживает преступные сети.В ряде стран существуют юридические запреты или требования по согласованию платежей.Лучше инвестировать в резервные копии, IR‑услуги и восстановление, чем в выкуп.

8) Контрольные метрики при восстановлении

Время восстановления критических сервисов $EHR,ICUмониторинг,лаборатория$Количество переведённых/отменённых операцийУровень инцидентов, связанных с безопасностью пациентовПроцент систем, восстановленных из проверенных бэкаповКоличество выявленных компрометаций и устранённых бэкдоров

Короткая сводка — приоритеты руководства и государства прямо сейчас

Сохранить жизни: обеспечить резервные клинические процессы, перенаправление пациентов и работу критических отделений.Изолировать инцидент и привлечь экспертов $CERT,правоохранители,IR$.Сохранить доказательства и оценить утечку данных; уведомить регуляторы и пациентов.Восстановить только безопасные системы из проверенных бэкапов.Параллельно запускать средне/долгосрочные инвестиции в инфраструктуру, стандарты и кадры.

Если хотите, могу:

Составить конкретный пошаговый чек‑лист действий для штаба больницы на первые 24 часа.Подготовить шаблон сообщения для пациентов и сотрудников.Предложить набор KPI и план восстановления по приоритетам систем $EHR,Лаб,Рентген,Аптека,ICUит.д.$.