Ниже — сжатый, приоритетный план действий на первые $24$ часа после массовой кибератаки на госпиталь. Цель: немедленное обеспечение безопасности пациентов, локализация инцидента, сохранение доказательств и запуск восстановления критичных сервисов.
Общие принципы перед действиями:
- Пациент превыше всего — любые ИТ‑процедуры не должны ухудшать уход.
- Сохраняйте цепочку владения доказательствами (forensic images, логи).
- Разделяйте этапы: обнаружение → локализация/изоляция → временная работа вручную/резервные процедуры → восстановление с проверенных резервных копий.
Таймлайн и шаги
Немедленно (в течение первого часа — $0-1$ ч)
- Объявить инцидент и активировать команду реагирования (инф. безопасность, ИТ, клинический директор, управление рисками, PR, юристы).
- Обеспечить жизненно важные отделения (ОРИТ, реанимация, операционные): переключение на ручную документацию и мониторинг; использовать автономные или локальные медицинские приборы, не зависящие от сети.
- Изолировать поражённые сегменты: снять с сети заражённые хосты, отключить внешние подключения (VPN/RDP) в пострадавших сегментах; закрыть ненужные порты.
- Назначить «карту критичности» систем: список приоритетов (живые пациенты/приборы, ЕСМР/электронные карты, лаборатория, аптека, радиология).
Быстрая диагностика и сохранение следов (в течение $1-4$ ч)
- Сделать forensics‑снапшоты/образы пострадавших систем перед отключением/перезапуском. Логи сетевых устройств и SIEM — собрать немедленно.
- Определить вектор атаки и масштаб (локальные машины, домен, сетевые устройства, резервные копии).
- Оценить состояние резервных копий: доступны ли offline/cold‑копии, есть ли признаки компрометации.
Обеспечение безопасности пациентов и операций (параллельно, $1-6$ ч)
- Внедрить ручные流程ы: бумажные карты, ручные назначения лекарств с двойной проверкой, устный/радио/телефонный обмен критичной информацией.
- Организовать приоритетную маршрутизацию пациентов: временно приоритизировать/перенаправлять плановые операции, сохранить ресурсы для экстренных.
Короткое восстановление критичных сервисов (начало в $4-12$ ч)
- Восстановление критичных систем только из проверенных чистых резервных копий (offline/cold) или развёрнутых «gold» образов. Перед возвращением в сеть системы — проверка на вредоносный код.
- По возможности развернуть временную изолированную сеть (air‑gapped или сегментированную VLAN) для критичных сервисов.
- Восстановить доступ к жизненно важным данным через read‑only интерфейсы, если это безопасно.
Координация, уведомления и документация (весь период, особенно $0-24$ ч)
- Уведомить правоохранительные органы и регуляторов согласно требованиям (в т.ч. требования к защите персональных данных).
- Информировать персонал и пациентов: краткие инструкции для сотрудников; публичные сообщения по мере необходимости, чтобы снизить панику.
- Вести подробный журнал действий и временных меток для последующего разбора и отчётности.
Контрмеры безопасности и предотвращение распространения (в течение $12-24$ ч)
- Блокировать обнаруженные IOC (IP, домены, хэши) на периметре и в EDR.
- Выполнить смену/отзыв привилегированных учётных данных после того, как скомпрометированные хосты изолированы и образованы копии (не менять пароли до сбора доказательств на тех системах, где это помешает расследованию).
- Включить усиленный мониторинг: SIEM, IDS/IPS, EDR с оповещениями.
- Начать проверку и план очистки/переустановки затронутых систем (rebuild с чистых образов).
Критичные действия до конца $24$ часа
- Принять решение о переводе на более долгосрочные резервные процессы или переводе некоторых пациентов в другие учреждения если риск для жизни остаётся.
- Начать восстановление наиболее важных сервисов в сегментированной/контролируемой среде, тестировать перед вводом в эксплуатацию.
- Подготовить план последующих 72 часов (углублённый форензик, полноценный recovery, коммуникации с пациентами/СМИ).
Короткие рекомендации по предотвращению повторного инцидента (после первых $24$ ч)
- Внедрить MFA для администрационных доступов, сегментировать сеть, обновить/патчить критичные устройства, усилить бэкап‑политику (offline/cold копии), настроить регулярные тесты восстановления.
- Обучать персонал фишинг‑гигиене и процедурам при отключении ИТ.
Если нужно, могу дать шаблоны сообщений для персонала/пациентов, чек‑лист для forensic‑съёмки или приоритетный список систем для восстановления.