Кратко: приоритеты — обеспечить непрерывность и безопасность лечения, защитить данные пациентов, провести форензику и восстановление системы с минимальным риском повторного инцидента.
Больницы (администрация, ИТ, клиники)
- Немедленно (содержать и изолировать): отключить поражённые сегменты сети, блокировать доступ внешних соединений, переключить критические службы на изолированные резервные ресурсы. Срок начальных действий — в пределах $24$ часов.
- Активировать план реагирования на инциденты и кризисный штаб; сохранять журналы и образы устройств для судебной экспертизы.
- Переключиться на резервные/ручные рабочие процессы: бумажные карты, печатные списки лекарств, стандартный протокол приёма и выписок; назначить ответственных за ведение журналов лечения и назначений.
- Приоритизация пациентов: экстренные и критические случаи — первыми, отсрочиваемые вмешательства — переносить; использовать медицинскую триаж‑схему.
- Взаимодействие с поставщиками EHR/ЛИС: запрашивать индикацию разрушения данных и доступность резервных копий; не подключать резерв до проверки целостности.
- Уведомление и прозрачность: проинформировать персонал, пациентов и поставщиков услуг о сбое и ожидаемых действиях; вести FAQ и контакт‑линию.
- Не платить выкуп без консультации с правоохранительными органами и специалистами; принимать решение с учётом правовых и практических последствий.
- Восстановление: сначала восстанавливать из проверенных оффлайн‑резервных копий, тестировать на изолированной среде, проверять целостность и пользовательские учётные записи перед вводом в эксплуатацию.
- После инцидента — разбор, исправление уязвимостей, обновление планов, обучение персонала и проведение учений.
Государство и регуляторы
- Координация: создать единый оперативный центр помощи медучреждениям, обеспечить обмен информацией и централизованную техническую помощь.
- Правоохранительные и форензик‑услуги: привлечь к расследованию спецслужбы/киберполк; сохранять доказательства и вести уголовное преследование.
- Техническая поддержка: предоставить проверенные ИТ‑ресурсы, резервные хранилища, инструменты восстановления и список сертифицированных подрядчиков.
- Финансовая и нормативная поддержка: временно снять бюрократические барьеры на доступ к резервам, выделить средства на восстановление и усиление киберзащиты.
- Обязательное уведомление: требовать от учреждений отчётности по инциденту в сроки, предусмотренные законодательством (если применимо — в течение $72$ часов).
- Коммуникация с населением: централизованные инструкции, горячие линии, разъяснения по доступности услуг и защите персональных данных.
- Долгосрочно: обязательные стандарты кибербезопасности для медицины, аудит, сертификация поставщиков EHR, субсидии на модернизацию.
Пациенты
- Соблюдать инструкции лечебного учреждения: звонить в горячую линию, приходить на приём только по согласованию, иметь при себе список заболеваний, лекарств, аллергию, контактных лиц.
- При экстренной ситуации — вызывать скорую как обычно; не полагаться на онлайн‑запись пока система не восстановлена.
- Оставаться бдительными к фишингу: не кликать по подозрительным письмам/ссылкам, не пересылать личные данные по незашифрованным каналам.
- После инцидента: менять пароли на связанных сервисах, включить многофакторную аутентификацию, запросить у клиники подтверждение восстановленных записей и копии своих медицинских данных.
- При сомнениях о нарушении конфиденциальности — обратиться к регулятору по защите данных и/или подать заявление.
Короткий чек‑лист приоритетов (очередность)
1) Обеспечить лечение и безопасность пациентов.
2) Содержать инцидент и сохранить доказательства.
3) Переключиться на ручные/резервные процессы.
4) Уведомить органы и пациентов.
5) Восстановить систему из проверенных бэкапов и провести пост‑инцидентный аудит.
Если нужно — могу дать краткий шаблон срочных сообщений для пациентов или пошаговый план восстановления ИТ (например, порядок проверки резервных копий и валидации целостности).