Кратко и по делу — разделю рекомендации по ролям: администрация школы, родители, государственные органы.
Администрация школы
- Сразу (локализация): изолировать скомпрометированные системы, отключить утерянные учётные записи, сменить ключи/сертификаты, заблокировать доступ злоумышленникам — первоочередно, в течение $24$ часов.
- Сохранение доказательств: зафиксировать и сохранить логи, образы дисков, почтовые сообщения и т. п. для судебно‑технической экспертизы (не производить произвольные очистки).
- Форензика и оценка объёма: срочно привлечь внутреннюю команду или внешних специалистов по ИБ/инцидент‑ответу для оценки, какие данные утекли и как (рекомендуется начать в течение $48$ часов).
- Уведомления: подготовить официальные уведомления для пострадавших (родителей, учеников), сотрудников и регуляторов в соответствии с местным законом (например, по GDPR — в течение $72$ часов от обнаружения), указав, какие данные скомпрометированы и какие меры принимаются.
- Коммуникация и FAQ: назначить единую контактную линию/адрес для вопросов, выпустить понятное сообщение (что случилось, какие данные, какие шаги, советы для родителей) и обновлять информацию регулярно.
- Временные меры защиты: принудительная смена паролей, включение многофакторной аутентификации (MFA), усиление контроля доступа (минимальные права), проверка резервных копий и их целостности.
- Компенсация и поддержка: при серьёзной утечке предложить пострадавшим мониторинг кредитной активности/услуги защиты личности на срок $12\text{–}24$ месяцев и психологическую/информационную поддержку.
- Правовые и страховые вопросы: уведомить юриста, страховую компанию (если есть полис киберстрахования), подготовиться к возможным искам.
- Постинцидентные меры: провести аудит ИБ, обновить политику безопасности, регулярные тренинги по фишингу для персонала и учащихся, внедрить сегментацию сети, шифрование данных, управление патчами и мониторинг угроз.
Родители (и учащиеся)
- Немедленные действия: сменить пароли учительских/ученических учётных записей и всех аккаунтов, где использовались те же пароли; включить MFA там, где доступно.
- Проверка и мониторинг: следить за финансовыми и учётными записями детей (банковские операции, письма с требованиями денег, подозрительные звонки), при необходимости подключить услуги мониторинга/оповещений.
- Защита личности: при риске кражи личности рассмотреть заморозку кредитного отчёта/фрод‑оповещений в соответствии с местными процедурами; сохранить все подозрительные сообщения/скрины.
- Общение с школой: использовать указанный администрацией канал для вопросов и не реагировать на сообщения, которые выглядят как повторный фишинг (проверять адрес отправителя напрямую).
- Правовая поддержка: при повреждениях репутации или финансовых потерях консультироваться с юристом; требовать у школы разъяснений и подтверждений предпринятых мер.
Государственные органы и регуляторы
- Поддержка и координация: оперативно подключить национальный/региональный CERT или киберполицию для расследования и координации с образовательной организацией.
- Контроль и обязательства: обеспечить, чтобы школы соблюдали обязательства по уведомлению пострадавших и регуляторов; при необходимости инициировать проверку соответствия требованиям по защите персональных данных.
- Методическая помощь и финансирование: предоставить шаблоны уведомлений, чек‑листы инцидент‑реагирования, готовые учебные программы по кибербезопасности и субсидии/гранты для обновления ИТ‑инфраструктуры сельских школ.
- Регулирование и стандарты: разработать минимальные требования (MFA, шифрование, резервное копирование, тесты на фишинг, аудит поставщиков) и обеспечить их исполнение через проверки/сертификации.
- Просвещение населения: обеспечить кампании обучения родителей и педагогов по распознаванию фишинга и базовым правилам цифровой гигиены.
- Правоприменение: при доказанной халатности или умышленном нарушении привлекать к ответственности по закону и помогать пострадавшим в юридических процессах.
Короткий список первоочередных шагов (чтобы не потерять из вида)
1. Изоляция и смена учётных данных — в течение $24$ часов.
2. Форензика и оценка — начать в течение $48$ часов.
3. Уведомление пострадавших и регуляторов — в соответствии с законом (например, $72$ часа при GDPR).
4. Включение MFA, аудит безопасности, план восстановления и обучение — в ближайшие недели.
Если нужно, могу подготовить образец уведомления родителям/шаблон пресс‑релиза или чек‑лист на русский язык.