Кратко и по делу — приоритетные технические, правовые и организационные шаги для восстановления работы и защиты данных после кибератаки в федеральной больнице Великобритании.
1) Немедленные меры (первые часы)
- Изоляция: отключить скомпрометированные системы от сети (включая Wi‑Fi, VPN) — цель минимизировать распространение в первые $1-2$ часа.
- Включить план реагирования на инцидент и назначить команду (IR, ИТ, кибербезопасность, DPO, юристы, клинические лидеры).
- Сохранение доказательств: сделать целостные образы дисков и журналов, сохранять конфигурации и сетевые логи в режиме «только чтение». Не перезагружать/не изменять подозрительные машины до форензики.
- Экстренный доступ к пациентским данным: включить «крайний» безопасный доступ к критическим картам через отдельно защищённый канал/ручные процедуры, чтобы не остановить уход за пациентами.
2) Расследование и форензика
- Подробный анализ: определить вектор атаки, охват, наличие шифрования/утечки, индикаторы компрометации.
- Проверка на эксфильтрацию: выяснить, были ли данные скопированы или утекли за пределы сети.
- Взаимодействие с внешними экспертами (форензика, поставщики SOC/MDR) и правоохранительными органами (NCA/Cyber Unit).
3) Восстановление работы и данных
- Восстановление по проверенным резервным копиям: использовать только офлайн‑или неизменяемые бэкапы, предварительно проверить целостность и отсутствие вредоносного кода.
- Пошаговое возвращение в работу: сначала критические системы (A&E, ICU, лекарства, лаборатории), затем второстепенные. Целевой срок восстановления критики — в идеале в пределах $24-72$ часов, полное восстановление может занять больше времени.
- Ротация учётных данных, отзыв/перевыпуск скомпрометированных ключей и сертификатов, принудительная смена паролей и включение MFA.
4) Правовые и регуляторные действия
- Уведомление информационного комиссара (ICO): обязательное уведомление о нарушении персональных данных в течение $72$ часов после обнаружения, если нарушение может повлечь риск прав и свобод лиц. Подготовить DPIA/отчёт о нарушении.
- Сообщение NHS Digital, NHS England и, при необходимости, National Cyber Security Centre (NCSC) и полицейским структурам (NCA).
- Уведомление пострадавших пациентов «без неоправданной задержки», если утечка несёт высокий риск вреда. Координировать тексты уведомлений с юридическим отделом и DPO.
- Включить страховую компанию (киберстрахование) и подготовить документы для возможных претензий.
- Оценить применимые санкции/штрафы (GDPR): до €$20,000,000$ или $4\%$ годового мирового оборота, и подготовить правовую позицию.
5) Коммуникация и организационные меры
- Единый коммуникационный центр: подготовить шаблоны для пациентов, сотрудников и СМИ; открытая, честная и своевременная информация снижает репутационные риски.
- Обеспечить непрерывность ухода: временные ручные/бумажные процедуры, маршруты перенаправления пациентов, приоритет экстренной помощи.
- Поддержка персонала: инструкции по безопасности, точки доступа к альтернативным системам, горячая линия для вопросов персонала и пациентов.
- Обновление процедур доступа: минимизация прав доступа (least privilege), аудит привилегированных аккаунтов.
6) Тактика при вымогательстве (ransomware)
- Не давать универсального совета о выплате выкупа: решение принимается после консультации с правоохранительными органами, юристами, страховщиками; помним, что выплата не гарантирует восстановление и может поощрять преступников.
- Поиск технических декриптеров и работы с NCSC/NCSC‑советниками.
7) Долгосрочные меры и обучение
- Полный пост‑инцидентный разбор (lessons learned), обновление IR‑плана, резервных стратегий и тестирование резервных копий.
- Укрепление инфраструктуры: сегментация сети, EDR/MDR, SIEM, регулярное патч‑управление, 2FA/MFA, защита почты и фишинг‑тренинги.
- Регулярные учения и тесты восстановления (BC/DR) минимум раз в год или чаще в зависимости от риска.
8) Документация и соблюдение требований
- Вести детальный журнал действий, решений и временных меток для регуляторов, страховой и возможного судебного разбирательства.
- Подготовить отчёт о воздействии и план дальнейшего мониторинга пострадавших записей.
Коротко о приоритетах: безопасность пациентов (непрерывность ухода) → изоляция и сохранение доказательств → восстановление по чистым бэкапам → уведомления регуляторов и пострадавших → усиление защиты и обучение.
Если нужно, могу дать краткий чек‑лист действий в формате для печати или шаблон уведомления ICO/пациентам.