Оперативные шаги (немедленно)
- $1$ Изолировать инцидент: отключить/ограничить доступ скомпрометированных почтовых ящиков и сервисов, поставить в карантин фишинговые письма и домены. Объяснение: предотвращает дальнейшую утечку и рассылку вредоносных сообщений.
- $2$ Сохранить и собрать доказательства: экспортировать логи почты, прокси, VPN, серверов, копии фишинговых писем и заголовков. Объяснение: нужно для расследования и при необходимости правоохранительных действий.
- $3$ Оценить масштаб и вектор: определить, какие данные утекли (финреквизиты, адреса, другие персональные данные), какие учётные записи скомпрометированы. Объяснение: приоритеты реагирования зависят от объёма и типа данных.
- $4$ Снизить риск мошенничества с финансами: временно приостановить подозрительные платежи, связаться с бухгалтерией и банками, изменить/отозвать скомпрометированные платёжные реквизиты. Объяснение: защитит студентов и вуз от финансовых потерь.
- $5$ Уведомление пострадавших и регуляторов: отправить корректное и своевременное уведомление студентам, сотрудникам; проверить сроки уведомления по законодательству (например, при GDPR — уведомление в течение $72$ часов). Объяснение: обязательства по защите данных и снижение репутационных рисков.
- $6$ Вызвать/подключить специалистов: ИБ-команду, внешних форензиков и, при необходимости, правоохранительные органы и CERT. Объяснение: профессиональная экспертиза ускорит расследование и восстановление.
Технические шаги (коротко- и среднесрочно)
- $1$ Сброс и защита учётных записей: принудительно сбросить пароли скомпрометированных аккаунтов, принудительное включение многофакторной аутентификации (MFA) для всех критических учётных записей. Объяснение: уменьшает риск повторного доступа.
- $2$ Ревокация сессий и токенов: аннулировать активные сессии, OAuth-токены и API-ключи, которые могли быть захвачены. Объяснение: предотвращает доступ по устаревшим токенам.
- $3$ Усилить фильтрацию почты: настроить/обновить SPF, DKIM, DMARC; блокировать фишинговые домены; включить карантин/сканирование вложений и ссылок. Объяснение: снизит доставку фишинга.
- $4$ Проанализировать логи и путь атаки: определить начальную точку, временные метки, используемые IP/домены, и список скомпрометированных адресов. Объяснение: позволит закрыть уязвимость и улучшить детекцию.
- $5$ Исправить уязвимости: обновить ПО, патчить уязвимые сервисы, проверить конфигурации публичных сервисов (DNS, веб-формы, базы данных). Объяснение: устранение вектора вмешательства.
- $6$ Контролировать внешние интеграции: проверить сторонние сервисы и партнёров (платёжные шлюзы, CRM) на предмет утечек и заменить ключи/реквизиты при необходимости.
- $7$ Восстановление и мониторинг: постепенно возвращать сервисы в работу с усиленным мониторингом и настройкой оповещений по аномалиям.
Административные и правовые шаги
- $1$ Назначить ответственное лицо (CISO/риско-менеджер) и команду инцидента; зафиксировать план действий и коммуникаций. Объяснение: централизованное управление ускоряет реагирование.
- $2$ Подготовить официальные уведомления: короткое, прозрачное сообщение с указанием что произошло, какие данные затронуты, какие меры предприняты и рекомендованные шаги для студентов (смена пароля, проверка банковских операций). Объяснение: уменьшает панику и риск вторичных мошенничеств.
- $3$ Выполнить требования регуляторов и контрактов: проверить сроки и форму уведомлений, при необходимости привлечь юридический отдел. Объяснение: соблюдение закона и минимизация штрафов.
- $4$ Предложить помощь пострадавшим: бесплатный период мониторинга кредитных историй, горячая линия поддержки, помощь в обращении в банк и полицию.
Воспитательные и профилактические шаги (долгосрочно)
- $1$ Обязательное обучение по фишингу: регулярные тренинги и фишинг-учения для студентов и сотрудников (имитации и разбор ошибок). Объяснение: формирует устойчивость к социальному инжинирингу.
- $2$ Внедрить и коммуницировать политики безопасности: правила работы с персональными и финансовыми данными, регламенты для преподавателей по передаче реквизитов и списков. Объяснение: уменьшает человеческий фактор.
- $3$ Технические меры по умолчанию: MFA для всех, принцип наименьших привилегий, шифрование ПДн, защищённые формы оплаты и порталы для передачи реквизитов (не по email). Объяснение: системное снижение рисков.
- $4$ Регулярный тестинг и аудит: внешние пен-тесты, аудит конфигураций почты и облачных сервисов, проверка поставщиков. Объяснение: своевременное обнаружение слабых мест.
- $5$ Коммуникация и культура безопасности: регулярные рассылки с реальными примерами фишинга, простые инструкции как распознать и куда сообщать подозрительные письма.
Краткие рекомендации для преподавателей
- Немедленно проинформировать студентов о происшествии коротким сообщением и ссылкой на официальную страницу поддержки.
- Не передавать финансовые реквизиты и списки студентов по обычной почте; использовать защищённые сервисы.
- Попросить студентов сменить пароли и включить MFA, если доступно.
- Сообщать об обнаруженных подозрительных письмах в IT-службу и не открывать вложения/ссылки.
Пример краткого текста уведомления студентам (шаблон)
- «Университет выявил фишинговую кампанию, затронуты финансовые реквизиты и адреса. Мы выполняем расследование и приняли меры по защите. Рекомендуем немедленно сменить пароль, включить MFA (если возможно) и проверить банковские операции. Подробности и помощь — на странице поддержки: [ссылка].»
Если нужно, могу подготовить: шаблон уведомления, чек-лист инцидент-рееспонса или план учебного тренинга по фишингу.