Кратко и по ролям — действия в первые $48\text{часов}$ после утечки персональных данных клиентов в результате фишинга.
Общее (сразу)
- Активировать кризисную группу (CIRT) и «war room» — привлечение руководства, ИБ, юристов, PR, операционного отдела.
- Приоритизировать безопасность людей и сохранность доказательств (логи, образы, почтовые ящики).
- Включить внешних экспертов (форензика, юридические и PR‑консультанты) и уведомить правоохранительные органы при необходимости.
Руководство (CEO/CISO/дирекция)
- Принять решение о создании центра координации инцидента и назначить единого ответственного (incident commander).
- Обеспечить ресурсы (персонал, бюджет, внешняя помощь) и быстрый доступ к руководителям бизнес‑единиц.
- Утвердить стратегию раскрытия информации (когда, кому и в каком объёме) совместно с юристами и PR.
- Информировать совет директоров/владельцев в течение $24\text{часов}$ о масштабах инцидента и планируемых шагах.
- Проверить юридические обязательства по уведомлению регуляторов и пострадавших (например, GDPR — уведомление регулятору в течение $72\text{часа}$, если есть риск прав/свобод лиц).
Служба безопасности и ИТ (CIRT / SOC / IR‑команда)
Фаза $0\text{–}2\text{часа}$:
- Изолировать источник компрометации: заблокировать скомпрометированные учетные записи, прокси/сессии, домены и IP.
- Сохранить все логи, почтовые сообщения, образы систем и дампы памяти; начать процедуру chain‑of‑custody.
- Отключить доступ удалённых злоумышленников и закрыть обнаруженные C2‑каналы.
- Принять экстренные меры по недопущению дальнейшей утечки (блок правил в почтовом шлюзе, всплывающий баннер для служебных почт).
Фаза $2\text{–}24\text{часа}$:
- Оценить объем и тип утекших данных (PII: ФИО, электронная почта, паспорта, платежные данные и т.п.).
- Оценить число пострадавших и определить критерии риск‑класса (высокий/средний/низкий).
- Начать форензик‑расследование: вектор фишинга, метод эскалации прав, скорость и объём эксфильтрации.
- Сменить/отозвать скомпрометированные ключи, сертификаты и токены; при необходимости форсированный сброс паролей и переиздание MFA.
- Начать мониторинг мошенничества по платежам и доступам.
Фаза $24\text{–}48\text{часов}$:
- Подготовить промежуточный технический отчёт для руководства и регуляторов (scope, показатели, мер по containment).
- Внедрить дополнительные защиты (фильтрация почты, усиленная аутентификация, правило блокировки доменов).
- План действий по восстановлению, тестированию и предотвращению повторов.
Коммуникации и PR (внутренняя и внешняя)
Фаза $0\text{–}24\text{часа}$:
- Подготовить «holding statement» для публикации в течение $24\text{часов}$: что мы знаем, что делаем, обещание дальнейших обновлений, контакт‑центр. Не спекулировать о точном объёме утечки до первичной верификации.
- Оповестить внутреннюю аудиторию (сотрудников) с инструкциями: не разглашать информацию, как отвечать клиентам, какие действия предпринять (смена паролей, не переходить по подозрительным ссылкам).
- Настроить горячую линию/специализированный почтовый адрес и FAQ для пострадавших.
Фаза $24\text{–}48\text{часов}$:
- Выпустить развернутое уведомление клиентам, если требуется по закону или по риску: что скомпрометировано, рекомендации по действиям (смена пароля, мониторинг транзакций, подача жалобы), контакты для поддержки.
- Если уместно — предложить меры смягчения (например, кредитный мониторинг, услуга защиты от кражи идентичности) для пострадавших.
- Мониторить СМИ и соцсети, корректировать месседжи, готовить регулярные апдейты (ежесуточно или по мере появления значимых фактов).
- Координировать сообщения с юридическим отделом, чтобы не нарушить расследование или регуляторные сроки.
Юридическое и регуляторное
- Оценить обязательства по уведомлениям (регуляторы, отраслевые организации, банковские партнёры) и подготовить заявления.
- Подготовить документы для возможных иски/запросов от пострадавших и регуляторов.
- Сохранить доказательства и логировать все действия по реагированию.
Клиенты и операционные рекомендации (что сообщать клиентам)
- Кратко: что произошло, какие данные могли быть затронуты, что компания делает, что должен сделать клиент (сменить пароли, включить MFA, следить за выписками).
- Предложить каналы связи и чёткие сроки для следующего обновления (например, обновление статуса каждые $24\text{часа}$ до стабилизации).
Короткий чек‑лист приоритетов (первые $48\text{часов}$)
1. Изоляция и сохранение доказательств.
2. Оценка масштаба и классификация данных.
3. Обеспечение ресурсов и назначение ответственного.
4. Первичное уведомление руководства, регуляторов и сотрудников.
5. Выпуск holding statement и развернутого уведомления клиентам по мере подтверждения фактов.
6. Форензика и план ремедиации.
Важно: прозрачность и скорость критичны, но сообщения должны быть верифицированы юристами и фактическими данными форензики. После первых $48\text{часов}$ — детальный отчёт о причинах, масштабах, мерах исправления и план мониторинга/улучшений.