Ниже — сжатый пошаговый план действий с пояснениями. Нумерация — приоритеты.
Немедленные приоритеты (жизнеобеспечение пациентов)
$1$ Изолировать поражённые сегменты сети — отключить от сети серверы и рабочие станции, где заметна активность шифровальщика; при этом не выключать жизненно важное оборудование без оценки последствий.
$2$ Обеспечить работу критических медицинских систем вручную или через резервные каналы: реанимация, ИВЛ, насосы инфузионные, клинические мониторинги, система вызова врача, лаборатория — перевести на автономный/ручной режим и бумажную документацию, назначить ответственных.
$3$ Активировать план непрерывности бизнеса (BC/CP) и кризисный штаб: медицины, ИТ, безопасность, юридический отдел, связь, закупки; назначить единую точку принятия решений и контакт с отделением (incident commander).
$4$ Перенаправление приёма пациентов/скорая помощь — если ИТ критично нарушено, координировать с региональными службами здравоохранения и соседними больницами.
Технические первоочередные действия по реагированию
$1$ Зафиксировать инцидент: сохранить снимки памяти (RAM), логи, сетевые дампы, образ дисков — до рестарта/перезагрузки; привлечь DFIR-специалистов.
$2$ Отключить поражённые хосты от сети, но не форматировать и не перезаписывать диски до создания forensic-образов.
$3$ Сбор и анализ логов: SIEM, EDR, сетевые устройства, VPN/Firewall, прокси, Active Directory — определить вектор входа и индикаторы компрометации (IoC).
$4$ Прекратить распространение: блокировать IoC на периметре (IP, домены, hash), отключить учетные записи/ключи, которые скомпрометированы; при необходимости сменить креденшлы на безопасных контроллерах.
$5$ Оценить наличие и целостность бэкапов; подготовить план восстановления по приоритету бизнес-сервисов.
$6$ Восстановление: чистая среда (rebuild) из проверенных, незатронутых бэкапов; последовательное подключение сервисов с мониторингом на повторную компрометацию.
Организационные/юридические и коммуникационные шаги
$1$ Уведомить регуляторов и CERT/CSIRT страны/региона; в ЕС учесть обязательство уведомления о нарушении персональных данных — в течение $72$ часов при утечке персональных данных (GDPR).
$2$ Сообщить правоохранительным органам и страховым компаниям; привлечь внешних специалистов (forensics, юридические консультанты, PR).
$3$ Внутренние и внешние коммуникации: единый спикер, прозрачные инструкции для персонала (как работать), информирование пациентов и родственников по необходимости.
$4$ Документировать каждое действие для последующего расследования и страховых/юридических требований.
План восстановления и усиление безопасности (после первоначального реагирования)
$1$ Восстановить сервисы в порядке критичности: жизнеобеспечение → лаборатория/аптека → EHR/EMR → PACS/образная диагностика → вспомогательные сервисы.
$2$ Провести полномасштабную очистку и ребилд: не восстанавливать из заражённых образов; применять обновления и патчи перед вводом в эксплуатацию.
$3$ Усилить защиту: сегментация сети (OT/medical devices отдельно), принцип наименьших привилегий, MFA для доступа к админ-аккаунтам, EDR/NGAV, SIEM, мониторинг целостности.
$4$ Резервное копирование по принципу $3$-$2$-$1$ с неизменяемыми/immutable и оффлайн/air‑gapped копиями.
$5$ Политики доступа и управление учетными записями: ротация паролей, ограничение локальных админов, контроль служебных учётных записей.
$6$ Обучение персонала и регулярные Tabletop-упражнения; проверка плана восстановления.
Что категорически не делать
$1$ Не платить выкуп как первое действие без консультации (оплата не гарантирует восстановление/убирает угрозу), при этом сохранять юридические сведения для правоохранительных органов.
$2$ Не перезапускать/не форматировать системы до снятия forensic-образов, если нужно собрать доказательства.
$3$ Не подключать восстановленные машины обратно в продуктивную сеть без полной проверки.
Краткая сводка критичных контактов и документов
$1$ Кризисный штаб, contact list для внутренних служб.
$2$ Контакты CERT/CSIRT, полиции, вендоров ЭМР/медоборудования.
$3$ Доступ к актуальным бэкапам и процедурам восстановления.
Если нужно, могу прислать чек‑лист действий в виде распечатуемого плана (короткая версия для медперсонала и техническая для ИТ/дляensic).