К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего броузера.

Управление неизбежностью: что делать до и после кибератаки

Фото Getty Images
Фото Getty Images
В реалиях киберпространства 2024 года разговор о взломе IT-инфраструктуры, утечке данных или DDoS-атаке может зайти даже в высоких кабинетах тех, кто еще совсем недавно посчитал бы подобные вопросы исключительно операционными. Новости о масштабных кибератаках и сбоях в работе веб-сервисов еще несколько лет назад публиковались только на профильных ресурсах и интересовали исключительно директоров по IT и информбезопасности (ИБ). Но наступила новая реальность. Генеральный директор Security Vision Руслан Рахметов рассуждает о том, как подготовиться к киберинциденту и что нужно делать, когда он уже случился

Кибератаки — примета эпохи

Сегодня масштаб цифровизации и степень зависимости от информтехнологий практически любого крупного бизнеса столь высоки, что киберустойчивость информационной инфраструктуры является ключевым условием для функционирования большинства бизнес-процессов. Значительно возросло количество кибератак, повысилась неоднородность IT-инфраструктур из-за эффекта пандемии, санкционных ограничений, ускорившегося импортозамещения, использования атакующими все более совершенных методов и технологий, включая системы ИИ, а также из-за фактически открытого противостояния между государствами в киберпространстве.

Telegram-канал Forbes.Russia
Канал о бизнесе, финансах, экономике и стиле жизни
Подписаться

Эти объективные факторы означают: даже самая продвинутая компания, уделяющая значительное внимание кибербезопасности, рано или поздно столкнется с кибератакой и ее последствиями. В ситуации, когда разумнее задавать вопрос не «Взломают ли нас?», а «Когда и как это произойдет?», следует заранее подготовиться к такому исходу и продумать способы реагирования на успешно проведенную кибератаку.

Политика управления киберинцидентами должна учитывать различные сценарии реагирования на релевантные для компании типы киберугроз. В зависимости от типа инцидента необходимо описать действия, например, при DDoS-атаке, утечке данных, заражении вирусом-шифровальщиком, выходе из строя информационной системы из-за аппаратного сбоя или некорректно установленного обновления и т. д. Перечень актуальных киберугроз уникален для каждой организации и зависит от сектора экономики, масштаба бизнеса, специфики деятельности, используемых технологий, риск-аппетита компании. В сценариях реагирования следует описать действия для выявления, анализа, локализации и устранения киберинцидента, восстановления и выполнения постинцидентных действий, включая детальный разбор случившегося, формирование отчетности и актуализацию сценариев реагирования на основе «выученных уроков».

 

В зависимости от квалификации атакующих и качества выстроенной корпоративной системы ИБ киберинцидент может быть или не выявлен вовсе, или зафиксирован уже постфактум, в том числе когда его последствия стали достоянием общественности. Последствия некоторых типов атак сразу становятся очевидными для большого количества клиентов компании: это касается недоступности сайта и сервисов компании в результате DDoS, взлома или сбоя в инфраструктуре, дефейса (изменения внешнего вида веб-страниц с добавлением посторонних логотипов или лозунгов), распространения в соцсетях или мессенджерах мошеннических или дезинформационных сообщений якобы от имени первого лица компании, создаваемых с помощью технологии дипфейк.

Финансово мотивированные злоумышленники в последнее время все чаще применяют продвинутые схемы вымогательства у компаний — жертв нападения. Атакующие требуют выкуп за нераспространение похищенной корпоративной информации, а в случае отказа платить размещают украденные данные на своих сайтах, сопровождая это пиар-кампанией по распространению новости об утечке. Политически мотивированные хактивисты могут опубликовать похищенную информацию сразу же, без требования выкупа, стараясь придать утечке широкую огласку в соцсетях для дестабилизации обстановки и нанесения максимального репутационного ущерба. Также следует учитывать, что во многих случаях публикуемая информация о якобы утечке или взломе при проверке оказывается фейком, и тогда компании следует выпустить официальное опровержение.

 

Что делать

В общем случае рекомендуется заранее разработать и согласовать план действий, которому нужно будет следовать, если кибератака не была своевременно выявлена и инцидент уже произошел, а компания столкнулась с негативными последствиями. Можно предусмотреть следующие шаги:

  • Оцените масштаб инцидента: что именно произошло, в каких системах, какие активы и данные пострадали, насколько работоспособны затронутые инцидентом бизнес-процессы (снижение производительности или полная остановка).
  • Выясните причину инцидента: кибератака (т. е. целенаправленное вредоносное воздействие атакующих) или сбой/неисправность аппаратного или программного обеспечения.
  • Если это кибератака, выясните, находятся ли атакующие в инфраструктуре до сих пор и продолжается ли кибератака, какие данные оказались в руках злоумышленников. Если атака продолжается, основное внимание должно быть сосредоточено на ее скорейшем устранении.
  • Постарайтесь выяснить, кто именно напал и чего они хотят: например, при атаках вирусов-вымогателей злоумышленники оставляют на взломанных системах «записки» с перечислением своих требований, а перед DDoS-атакой компаниям могут поступать недвусмысленные угрозы.
  • Оцените последствия произошедшего киберинцидента для клиентов, сотрудников, партнеров. За утечкой данных клиентов и сотрудников может последовать волна фишинга и мошеннических звонков, взлом инфраструктуры электронной почты может обернуться рассылкой вирусов по компаниям-партнерам, а получение исходных кодов ПО грозит эксплуатацией найденных уязвимостей в софте, разрабатываемом атакованной компанией.
  • Выполните законодательные требования: направьте первичное уведомление о выявлении инцидента, затрагивающего персональные данные, в Роскомнадзор в течение 24 часов, а затем в течение 72 часов — уведомление о результатах внутреннего расследования. Кроме того, если инцидент произошел на объекте критической информационной инфраструктуры (КИИ), необходимо уведомить Национальный координационный центр по компьютерным инцидентам (НКЦКИ) через систему ГосСОПКА в течение трех часов с момента обнаружения инцидента на значимом объекте КИИ или в течение 24 часов — на ином объекте КИИ.

Политика извещения

Важнейшая составляющая реагирования на кибератаку — публичная коммуникация об инциденте по заранее разработанному пиар-плану. В него можно включить следующие шаги.

  1. В сценариях реагирования укажите условия запуска PR-плана: целесообразно начать коммуникацию, когда результаты анализа инцидента подтверждают, что затронуты интересы клиентов, сотрудников, партнеров (например, недоступны какие-либо сервисы, утекли данные, скомпрометированы системы обмена информацией и т. д.).
  2. Заранее сформируйте команду для пиар-сопровождения инцидента, назначьте ее руководителя и распределите роли среди сотрудников пиар-службы (ответственные за взаимодействие со СМИ, пресс-секретарь, SMM-специалисты), юридического блока, GR-отдела, а также среди топ-менеджмента для координации действий между подразделениями.
  3. Определите целевую аудиторию коммуникаций и способы взаимодействия: если киберинцидент затрагивает интересы сотрудников (например, вирус заразил несколько серверов, которые используются только внутри компании), то подойдет сообщение на внутреннем веб-портале компании и email-рассылка работникам. Если же произошел сбой в работе сервисов, которыми пользуются миллионы клиентов ежедневно, то в качестве способа коммуникации можно выбрать официальные страницы компании в соцсетях, уведомление на главной странице сайта, push-уведомление для мобильного приложения, а также записанное IVR-оповещение для всех входящих звонков по телефонам горячей линии компании. Кроме того, налаженные контакты с ведущими СМИ позволят быстро транслировать официальное заявление компании, не дожидаясь распространения слухов и вольной трактовки произошедшего.
  4. Для каждого типа целевой аудитории и способа взаимодействия разработайте шаблоны сообщений о статусе инцидента, в которые нужно будет лишь вписать конкретику, — это существенно сэкономит время.
  5. Выделите ответственного от IT/ИБ-подразделения, который сможет сообщать статус работ руководителю команды пиар-сопровождения инцидента и выступать «переводчиком» между пиар-специалистами и IT/ИБ-командой. Сотрудники кол-центра и менеджеры по работе с клиентами должны получать актуальную краткую информацию о статусе инцидента от команды пиар-сопровождения. Работники, которым могут поступать вопросы извне о состоянии дел в компании, должны переадресовывать все запросы членам пиар-команды.
  6. Сообщение о статусе инцидента может включать в себя краткое описание того, что произошло и какое влияние оказало, предполагаемые причины инцидента, краткий перечень предпринимаемых мер, а также ориентировочный срок устранения инцидента. В сообщении также будет корректно принести извинения, а также проинформировать о том, что статус инцидента будет обновляться, а претензии клиентов — рассмотрены. Используйте разработанные ранее шаблоны сообщений и согласованные каналы коммуникации, в тексте старайтесь избегать сложных технических терминов и профессиональных IT-жаргонизмов. Не бойтесь признавать факт кибератаки — следует стать первоисточником информации, не допуская распространения слухов и домыслов из-за отсутствия честной и оперативной коммуникации от компании.
  7. При изменении статуса инцидента обновляйте сообщения, включая в них краткое описание того, какие работы проводятся и каков ориентировочный срок восстановления. Даже если никаких новостей нет, все равно имеет смысл периодически (раз в несколько часов) обновлять сообщение, указывая, что работы по устранению еще ведутся.
  8. Команда пиар-сопровождения должна быть готова к тому, что СМИ будут обращаться с различными вопросами, поэтому следует подготовиться к наиболее вероятным и острым из них.
  9. После завершения расследования и восстановления всех сервисов IT/ИБ-команда реагирования на инцидент, как правило, готовит отчет о произошедшем. Выдержки из данного отчета, не содержащие конфиденциальной и технической информации, можно использовать для внешней коммуникации: в итоговом сообщении о результатах расследования следует объяснить, что и почему произошло, какие последствия атака может иметь для целевой аудитории, какие действия следует выполнить затронутым лицам (например, сменить пароль, подключить двухфакторную аутентификацию, просканировать инфраструктуру на наличие определенных киберугроз и т. д.). Также в итоговом сообщении правильно будет принести извинения и описать, какие меры компания планирует реализовать для недопущения подобного в будущем.
  10. По итогам расследования анализируется корректность и оперативность действий IT/ИБ-команды и команды PR-сопровождения. К сожалению, инцидент вряд ли будет последним, поэтому целесообразно учесть этот опыт и при необходимости скорректировать план работы по реагированию.

Мнение редакции может не совпадать с точкой зрения автора

 

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

иконка маруси

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+