Кратко — приоритеты: немедленное восстановление критичных клинических сервисов, защита персональных данных и полноценное расследование инцидента с мерами, препятствующими повторению.
Рекомендуемые действия (с пояснениями):
- Немедленное реагирование и локализация
- Изолировать инфицированные узлы от сети (физически или на уровне VLAN) — остановить распространение.
- Отключить/блокировать сервисы, использованные в атаке (например, SMB/порт $445$ при WannaCry) до восстановления.
- Активировать план непрерывности бизнеса (BCP) и аварийные процедуры для критичных отделений (реанимация, операционные, лаборатория, аптечный выпуск).
- Приоритизация восстановлений
- Определить критические сервисы и последовательность восстановления (EHR, мониторинг пациентов, лаборатории, аптека, рентген).
- Установить целевые метрики RTO/RPO: для критичных систем RTO $\le 4$ часов, RPO $\le 1$ час; для некритичных RTO $\le 24\text{–}72$ часов, RPO $\le 24$ часов.
- Восстановление систем
- Восстанавливать только с проверенных, чистых бэкапов; при сомнении — полная переустановка ОС и приложений с последующим восстановлением данных.
- Использовать «чистые» образы и тестировать систему в сегрегированной среде перед подключением к сети.
- Не платить выкуп без консультации с правоохранительными органами и экспертами (оплатой не гарантируется и это стимулирует преступников).
- Сбор и исследование доказательств
- Зафиксировать состояние систем, сохранить логи, дампы памяти и образ дисков (цепочка владения).
- Привлечь профильную DFIR-команду и/или национальный CERT; уведомить правоохранительные органы.
- Провести корневой анализ причин (вектор проникновения, уязвимости, утечки учетных данных).
- Уведомления и защита персональных данных
- Быстро оценить объем и характер затронутых персональных данных пациентов.
- Выполнить обязательные уведомления по законодательству (например, при GDPR — уведомление регулятора в течение $\le 72$ часов после обнаружения нарушения).
- Организовать информирование пострадавших пациентов и рекомендации (смена паролей, мониторинг кредитных/медицинских записей) при подтверждённой утечке.
- Краткосрочные технические меры (после локализации)
- Применить все критические патчи и обновления ОС/ПО (особенно исправления, закрывающие эксплуатируемые уязвимости).
- Отключить устаревшие протоколы (например, SMBv1), закрыть ненужные порты.
- Внедрить или усилить EDR/MDR, антивирусы и поведенческий мониторинг.
- Долгосрочные меры по предотвращению
- Сегментация сети (клинические/административные/гостевые сети), принцип наименьших привилегий.
- Многофакторная аутентификация (MFA) для удалённого доступа и привилегированных аккаунтов.
- Управление привилегиями и PAM (Privileged Access Management).
- Регулярные, проверяемые, неизменяемые (immutable/air‑gapped) бэкапы с политикой резервных хранилищ и тестовыми восстановениями (тест восстановления минимум каждые $30$–$90$ дней).
- Централизованный логинг и SIEM, мониторинг ИБ и регулярный анализ инцидентов.
- Управление уязвимостями и инвентаризация активов (сканирование и исправление в течение SLA).
- Application whitelisting и жесткая конфигурация медицинского оборудования.
- Организационные и кадровые меры
- Актуализировать и отрепетировать план реагирования (таблет-тесты) минимум раз в год.
- Обязательное обучение персонала по фишингу и безопасным рабочим практикам; регулярные имитации атак.
- Назначить ответственных за инцидент (CISO/команда реагирования) и координатора по взаимодействию с клиниками.
- Обеспечить контракт с внешним провайдером DFIR и/или MDR для быстрого привлечения.
- Юридика, аудит и коммуникации
- Согласовать сообщения для властей, пациентов и СМИ; поддерживать прозрачность, но избегать раскрытия оперативных деталей, которые могут помочь злоумышленникам.
- Провести правовой аудит и пересмотреть договоры с поставщиками (SLA/ответственность).
- Провести последующий независимый аудит безопасности и сертификацию процессов.
Контрольные показатели и план инвестиций
- Установить KPI: время обнаружения (MTTD) и время реагирования (MTTR), целевые значения MTTD $\le$ несколько часов, MTTR для критичных систем — согласно RTO выше.
- Инвестировать в безопасность согласно стратегическим оценкам; типичная рекомендация IT‑безопасности — порядка $\sim 5\%\text{–}10\%$ IT‑бюджета для зрелых организаций (ориентир, не универсальная норма).
Краткий чек‑лист руководства (первые $24$ часа)
- Изоляция инфицированных систем.
- Активация BCP для критичных отделений.
- Привлечение DFIR/CERT/правоохранителей.
- Начать восстановление из проверенных бэкапов для приоритетных систем.
- Оценить степень компрометации данных и подготовить уведомления.
Эти шаги обеспечат быстрое возвращение базовой клинической работы, минимизацию риска утечки данных и создание устойчивой защиты от повторных атак.