Антикризисный план ИБ: 30 дней на спасение после утечки

Крупный инцидент или утечка данных — это не просто техническая проблема, а настоящий кризис, который может подорвать репутацию компании, привести к финансовым потерям и юридическим рискам. Для службы информационной безопасности (ИБ) первые 30 дней после такого события становятся решающими: именно в этот период закладывается основа для минимизации ущерба, восстановления операций и предотвращения повторений. Антикризисный план должен быть структурированным, с четким распределением ролей, приоритетами и measurable целями. Он фокусируется на трех ключевых аспектах: containment (локализация), eradication (устранение угрозы) и recovery (восстановление), как рекомендуют стандарты NIST и ISO 27001. В этой статье мы разберем пошаговый план действий, опираясь на проверенные практики из реальных кейсов, таких как атаки ransomware на Colonial Pipeline или утечки в SolarWinds, где оперативные меры помогли сократить downtime с недель до дней.

День 1-3: Немедленная локализация и активация кризисного штаба

Первые часы и дни — это время хаоса, когда скорость реакции определяет масштаб ущерба. Начните с активации кризисного штаба — компактной группы из 5-7 человек: руководителя ИБ, представителя IT-операций, юриста, PR-специалиста и топ-менеджера. Назначьте владельца инцидента (Incident Owner), который координирует все действия и принимает финальные решения. По опыту компаний вроде Microsoft, это снижает время на принятие решений на 40-50%. Соберите единый источник достоверных данных — используйте инструменты вроде Microsoft Teams, Slack или专用 платформу типа PagerDuty для кризисных уведомлений. Создайте кризисный канал коммуникации с четкими правилами: критичные обновления — каждые 2 часа, остальные — раз в 4-6 часов. Изолируйте затронутые системы: отключите от сети подозрительные серверы, заблокируйте IP-адреса атакующих (используйте firewall rules или EDR-инструменты вроде CrowdStrike). Проведите форензику: зафиксируйте логи, дампы памяти и сетевой трафик с помощью Wireshark или Volatility, не стирая их. Практический совет: составьте список из 7-10 самых опасных операций (например, платежи свыше 300 тыс. руб., доступ к бэкапам, изменение ACL). Для каждой назначьте исполнителя и контролера — это предотвратит эскалацию. В реальном кейсе Equifax утечка 147 млн записей произошла из-за задержки в изоляции уязвимого сервера; не повторяйте эту ошибку. Оцените RTO (Recovery Time Objective) и RPO (Recovery Point Objective): для критических систем RTO должно быть менее 4 часов, RPO — не более 15 минут. Если бэкапы заражены, подготовьте чистые образы из оффлайн-хранилищ. Не забудьте о коммуникации с заинтересованными сторонами: уведомите регуляторов (Роскомнадзор в РФ в течение 24 часов по 152-ФЗ), если затронута персональная информация. Внутренне — mass-notify через Opsgenie, чтобы избежать паники. Психологическая поддержка команды критична: организуйте брифинг, где подчеркнете, что фокус на фактах, а не на поиске виноватых.

День 4-7: Анализ инцидента, оценка ущерба и коммуникация

На этой неделе переходите к глубокому анализу root cause. Соберите данные: прогон сканера уязвимостей (Nessus или Qualys) по всем активам, проанализируйте логи VPN, почты и endpoint'ов за 30 дней до инцидента. Ищите признаки: подозрительные логины из редких стран, аномальный трафик или неавторизованные скрипты. Используйте MITRE ATT&CK framework для классификации тактик атакующих — это поможет понять, была ли это phishing, supply-chain атака или insider threat. Оцените ущерб: рассчитайте финансовые потери (downtime * hourly revenue), репутационные риски (опрос клиентов) и юридические (штрафы до 75 млн руб. по GDPR-подобным нормам). Создайте реестр критических активов с новой графикой "Роль доступа" и "Дата чистки". Пример: в компании с 500 сотрудниками сократите admin-прав с 100 до 10 человек за неделю — это уменьшит риски внутренних угроз в 5-10 раз. Введите правило: новый сотрудник по умолчанию в группу "Только почта и интернет"; доступ к данным — только по заявке владельца актива. Коммуникация выходит на первый план. Подготовьте антикризисный PR-план: сценарии сообщений для СМИ, клиентов и партнеров. Будьте прозрачны, но не детализируйте тактики хакеров — это правило "no surprises". Пример из кейса Uber (2016): быстрая публикация отчета о взломе восстановила доверие быстрее, чем молчание. Разошлите уведомления клиентам с инструкциями (сменить пароли, мониторить аккаунты). Организуйте "красную команду" — внутренний пентест для поиска оставшихся уязвимостей. Практические шаги: - Проверьте и заблокируйте подозрительные учетки (уволенные, переведенные). - Тестируйте восстановление одной бэкап-копии. - Внедрите MFA (multi-factor authentication) на все критические системы, если ее не было.

День 8-14: Восстановление операций и начальная стабилизация

Теперь фокус на recovery: последовательно восстанавливайте системы по приоритету (RTO/RPO). Начните с core business functions: CRM, платежные шлюзы, затем периферия. Используйте clean images из immutable storage (например, AWS S3 Glacier). Мониторьте восстановленные системы с SIEM (Splunk или ELK Stack) на предмет рецидивов. Усильте доступы и привилегии: внедрите принцип least privilege через IAM-роли (Azure AD или Okta). Автоматизируйте чистку: скрипты для ревью прав каждые 30 дней. Проведите аудит поставщиков — в 40% инцидентов (по Verizon DBIR) атака идет через third-party. Обучите команду: 10-минутный разбор кейса на общем собрании (например, Log4Shell). Внедрите async-протокол: критичные инциденты — ответ в 15 мин, остальные — в 4 часа. Психологическая устойчивость: ограничьте новости до 1-2 раз в день, обеспечьте сон (7-8 часов) лидерам — исследования показывают, что дефицит сна снижает качество решений на 30%. Пример: после атаки на Maersk (NotPetya, 2017) компания восстановила 45 тыс. ПК за 10 дней, внедрив zero-trust модель. В вашей службе ИБ создайте playbook для похожих сценариев: шаблоны апдейтов, триггеры эскалации.

День 15-21: Углубленный пост-анализ и улучшение процессов

Перейдите к lessons learned: соберите штаб на ретроспективу. Задайте вопросы: какие сигналы пропустили? Что сломалось в процессах? Зафиксируйте 5-10 улучшений — от "резервный канал связи" до "учения по ransomware". Обновите Incident Response Plan (IRP) по NIST SP 800-61. Проведите кабинетные учения: симулируйте утечку на бумаге, затем тактические — с красной командой. Тестируйте бэкапы еженедельно. Внедрите автоматизацию: SOAR-платформы (Phantom или Demisto) для оркестрации ответов. Юридический трек: подготовьте отчет для регуляторов, оцените иски. Финансово: подайте страховые претензии (cyber insurance покрывает до 80% в среднем). Репутационно: запустите кампанию "Мы вернулись сильнее" с кейсами улучшений. Практика: еженедельно сканируйте уязвимости, блокируйте подозрительные страны в VPN. Для HR — чистка учеток уволенных в 24 часа.

День 22-30: Финализация плана и переход к устойчивости

Завершите полное восстановление: 100% систем онлайн, мониторинг на 200%. Создайте roadmap на квартал: повторяющиеся задачи вроде прогонки сканеров, теста бэкапов и разбора свежих кейсов (например, MOVEit breach 2023). Разработайте антикризисный план на год: горизонт 1-3 месяца с ежемесячным ревью, затем ежеквартальным. Интегрируйте ИБ с бизнес-целями: KPI вроде MTTD (Mean Time to Detect) <1 час, MTTR <4 часа. Оцените команду: feedback-сессии с фокусом на психологическую безопасность. Наградите ключевых игроков — это повышает retention на 25%. Финальный аудит: внешний пентест для подтверждения readiness. Внедрение такого плана не только закроет текущий кризис, но и превратит службу ИБ в стратегический актив. Компании, прошедшие через инциденты с четким 30-дневным планом, снижают риски повторений на 60-70%, как показывают отчеты Ponemon Institute. Регулярные учения и дисциплина обеспечат устойчивость: от локализации угрозы к proactive defense. Это не конец, а начало эры повышенной зрелости вашей ИБ-службы.