Первые $24$ часа:
- Обеспечить безопасность пациентов прежде всего:
- Активировать план непрерывности клинической помощи и назначить ответственного (incident commander).
- Немедленно переключить критические отделения (реанимация, операционные, ЭД/скорую помощь) на ручные/офлайн‑процедуры мониторинга и документооборота; обеспечить бумажные шаблоны и резервные каналы связи.
- При необходимости перенаправлять неэкстренные поступления и плановые операции; оставить в работе лишь жизнеобеспечивающие процедуры.
- Локализация и остановка распространения:
- Физически или логически изолировать скомпрометированные узлы и сегменты сети (выключить сетевые интерфейсы, отключить Wi‑Fi на устройствах), но не выключать жизнеобеспечивающее оборудование.
- Заблокировать внешние и внутренние каналы распространения (SMB, RDP, VPN по правилам), отключить учётные записи, которые явно скомпрометированы.
- Собрать и сохранить доказательства:
- Зафиксировать и сохранить логи, делать образ дисков/памяти (disk/memory images) перед восстановлением; метаданные и временные метки.
- Не применять ненужные перезагрузки и чистки до создания образов, чтобы не потерять артефакты атаки.
- Экспертная помощь и уведомления:
- Вызвать внутреннюю IR‑команду и внешних специалистов (forensics, EDR), срочно связаться с CERT/аналогом, правоохранительными органами и страховщиком.
- При возможности определить требование злоумышленников (шифрование/утечка) и наличие дешифратора у известных поставщиков.
- Временные меры восстановления доступа:
- Если есть надёжные офлайн‑резервные копии, подготовить план их внедрения; не подключать бекапы к сети до проверки.
- Обеспечить временные альтернативные процедуры для доступа к критической информации (бумага, защищённые переносные устройства).
- Внутренняя и внешняя коммуникация:
- Операционное уведомление для персонала с чёткими инструкциями по безопасности и процедурам.
- Создать горячую линию для пациентов/родственников и подготовить краткое публичное сообщение — прозрачность по факту инцидента без гипотез о причинах.
- Юридическое и регуляторное:
- Консультация с юридическим отделом по обязанностям уведомления пациентов/регуляторов; фиксирование всех действий для аудита и страховых требований.
В последующие $30$ дней:
- Приоритетное восстановление сервисов:
- Составить и выполнить приоритетный план восстановления: жизнеобеспечение → отделения неотложной помощи → лаборатории/радиологию → ЭМК/аптеки → административные системы.
- Восстанавливать только проверенные и чистые образы из бекапов; проверять целостность и отсутствие вредоносного ПО перед подключением к сети.
- Полный форензик‑анализ и root cause:
- Завершить анализ вектора атаки, точек входа, механизмов латерального движения и возможной утечки данных; документировать временную шкалу события.
- Проверить наличие exfiltration — если данные утекли, подготовить уведомления пациентов и регуляторов в соответствии с требованиями.
- Усиление защитных мер:
- Полный цикл патч‑менеджмента всех систем, внедрение многофакторной аутентификации на критичных сервисах, сегментация сети, принцип минимальных привилегий.
- Развертывание/настройка EDR/SIEM, постоянный мониторинг, ретроспективный поиск индикаторов компрометации (IOCs).
- Обеспечить изолированные, офлайн или immutable резервные копии (air‑gapped / WORM).
- Оценка и замена компрометированного ПО/инфраструктуры:
- При необходимости переустановить доменные контроллеры, обменные серверы, критичные хосты «с нуля» с проверкой доверенности.
- Обучение и процедурные изменения:
- Провести тренинги персонала, пересмотреть процессы доступа, резервного копирования и реакции; проводить регулярные учения/таблетоп‑упражнения.
- Коммуникация и управление репутацией:
- Подготовить прозрачную, последовательную внешнюю коммуникацию: что случилось, какие меры приняты, как это влияет на пациентов и что предлагается (хотлайн, помощь).
- Предложить конкретную помощь пострадавшим пациентам (например, консультации, сопроводительную поддержку медицинских услуг), фиксировать ответы.
- Поддерживать регулярные обновления для СМИ и пациентов в течение восстановления.
- Юридическая и финансовая проработка:
- Завершить уведомления регуляторов и пациентов, взаимодействовать со страховщиком и правоохранительными органами; подготовить комплект документов для возможных претензий.
- Пост‑инцидентный разбор и улучшение:
- Провести ретроспективу ("lessons learned"), обновить ИБ‑политику и DR‑план, утвердить бюджет и сроки на реализацию улучшений.
- Контроль остаточной угрозы:
- Непрерывный мониторинг на предмет повторных атак в течение минимум $30$ дней после восстановления; расширить период при обнаружении признаков персистенции.
Краткие ориентиры по срокам: краткосрочно — первоочередная стабилизация в первые $24$ часа; восстановление критичных сервисов в первые $7$–$14$ дней; полная ремедиация и усиление защиты в рамки $30$ дней и далее с постоянным мониторингом.