Управление неизбежностью: что делать до и после кибератаки

Кибератаки — примета эпохи

Сегодня масштаб цифровизации и степень зависимости от информтехнологий практически любого крупного бизнеса столь высоки, что киберустойчивость информационной инфраструктуры является ключевым условием для функционирования большинства бизнес-процессов. Значительно возросло количество кибератак, повысилась неоднородность IT-инфраструктур из-за эффекта пандемии, санкционных ограничений, ускорившегося импортозамещения, использования атакующими все более совершенных методов и технологий, включая системы ИИ, а также из-за фактически открытого противостояния между государствами в киберпространстве.

Эти объективные факторы означают: даже самая продвинутая компания, уделяющая значительное внимание кибербезопасности, рано или поздно столкнется с кибератакой и ее последствиями. В ситуации, когда разумнее задавать вопрос не «Взломают ли нас?», а «Когда и как это произойдет?», следует заранее подготовиться к такому исходу и продумать способы реагирования на успешно проведенную кибератаку.

Политика управления киберинцидентами должна учитывать различные сценарии реагирования на релевантные для компании типы киберугроз. В зависимости от типа инцидента необходимо описать действия, например, при DDoS-атаке, утечке данных, заражении вирусом-шифровальщиком, выходе из строя информационной системы из-за аппаратного сбоя или некорректно установленного обновления и т. д. Перечень актуальных киберугроз уникален для каждой организации и зависит от сектора экономики, масштаба бизнеса, специфики деятельности, используемых технологий, риск-аппетита компании. В сценариях реагирования следует описать действия для выявления, анализа, локализации и устранения киберинцидента, восстановления и выполнения постинцидентных действий, включая детальный разбор случившегося, формирование отчетности и актуализацию сценариев реагирования на основе «выученных уроков».

В зависимости от квалификации атакующих и качества выстроенной корпоративной системы ИБ киберинцидент может быть или не выявлен вовсе, или зафиксирован уже постфактум, в том числе когда его последствия стали достоянием общественности. Последствия некоторых типов атак сразу становятся очевидными для большого количества клиентов компании: это касается недоступности сайта и сервисов компании в результате DDoS, взлома или сбоя в инфраструктуре, дефейса (изменения внешнего вида веб-страниц с добавлением посторонних логотипов или лозунгов), распространения в соцсетях или мессенджерах мошеннических или дезинформационных сообщений якобы от имени первого лица компании, создаваемых с помощью технологии дипфейк.

Финансово мотивированные злоумышленники в последнее время все чаще применяют продвинутые схемы вымогательства у компаний — жертв нападения. Атакующие требуют выкуп за нераспространение похищенной корпоративной информации, а в случае отказа платить размещают украденные данные на своих сайтах, сопровождая это пиар-кампанией по распространению новости об утечке. Политически мотивированные хактивисты могут опубликовать похищенную информацию сразу же, без требования выкупа, стараясь придать утечке широкую огласку в соцсетях для дестабилизации обстановки и нанесения максимального репутационного ущерба. Также следует учитывать, что во многих случаях публикуемая информация о якобы утечке или взломе при проверке оказывается фейком, и тогда компании следует выпустить официальное опровержение.

Что делать

В общем случае рекомендуется заранее разработать и согласовать план действий, которому нужно будет следовать, если кибератака не была своевременно выявлена и инцидент уже произошел, а компания столкнулась с негативными последствиями. Можно предусмотреть следующие шаги:

• Оцените масштаб инцидента: что именно произошло, в каких системах, какие активы и данные пострадали, насколько работоспособны затронутые инцидентом бизнес-процессы (снижение производительности или полная остановка).

• Выясните причину инцидента: кибератака (т. е. целенаправленное вредоносное воздействие атакующих) или сбой/неисправность аппаратного или программного обеспечения.

• Если это кибератака, выясните, находятся ли атакующие в инфраструктуре до сих пор и продолжается ли кибератака, какие данные оказались в руках злоумышленников. Если атака продолжается, основное внимание должно быть сосредоточено на ее скорейшем устранении.
• Постарайтесь выяснить, кто именно напал и чего они хотят: например, при атаках вирусов-вымогателей злоумышленники оставляют на взломанных системах «записки» с перечислением своих требований, а перед DDoS-атакой компаниям могут поступать недвусмысленные угрозы.
• Оцените последствия произошедшего киберинцидента для клиентов, сотрудников, партнеров. За утечкой данных клиентов и сотрудников может последовать волна фишинга и мошеннических звонков, взлом инфраструктуры электронной почты может обернуться рассылкой вирусов по компаниям-партнерам, а получение исходных кодов ПО грозит эксплуатацией найденных уязвимостей в софте, разрабатываемом атакованной компанией.
• Выполните законодательные требования: направьте первичное уведомление о выявлении инцидента, затрагивающего персональные данные, в Роскомнадзор в течение 24 часов, а затем в течение 72 часов — уведомление о результатах внутреннего расследования. Кроме того, если инцидент произошел на объекте критической информационной инфраструктуры (КИИ), необходимо уведомить Национальный координационный центр по компьютерным инцидентам (НКЦКИ) через систему ГосСОПКА в течение трех часов с момента обнаружения инцидента на значимом объекте КИИ или в течение 24 часов — на ином объекте КИИ.

Политика извещения

Важнейшая составляющая реагирования на кибератаку — публичная коммуникация об инциденте по заранее разработанному пиар-плану. В него можно включить следующие шаги.

1. В сценариях реагирования укажите условия запуска PR-плана: целесообразно начать коммуникацию, когда результаты анализа инцидента подтверждают, что затронуты интересы клиентов, сотрудников, партнеров (например, недоступны какие-либо сервисы, утекли данные, скомпрометированы системы обмена информацией и т. д.).
2. Заранее сформируйте команду для пиар-сопровождения инцидента, назначьте ее руководителя и распределите роли среди сотрудников пиар-службы (ответственные за взаимодействие со СМИ, пресс-секретарь, SMM-специалисты), юридического блока, GR-отдела, а также среди топ-менеджмента для координации действий между подразделениями.
   
3. Определите целевую аудиторию коммуникаций и способы взаимодействия: если киберинцидент затрагивает интересы сотрудников (например, вирус заразил несколько серверов, которые используются только внутри компании), то подойдет сообщение на внутреннем веб-портале компании и email-рассылка работникам. Если же произошел сбой в работе сервисов, которыми пользуются миллионы клиентов ежедневно, то в качестве способа коммуникации можно выбрать официальные страницы компании в соцсетях, уведомление на главной странице сайта, push-уведомление для мобильного приложения, а также записанное IVR-оповещение для всех входящих звонков по телефонам горячей линии компании. Кроме того, налаженные контакты с ведущими СМИ позволят быстро транслировать официальное заявление компании, не дожидаясь распространения слухов и вольной трактовки произошедшего.
   
4. Для каждого типа целевой аудитории и способа взаимодействия разработайте шаблоны сообщений о статусе инцидента, в которые нужно будет лишь вписать конкретику, — это существенно сэкономит время.
   
5. Выделите ответственного от IT/ИБ-подразделения, который сможет сообщать статус работ руководителю команды пиар-сопровождения инцидента и выступать «переводчиком» между пиар-специалистами и IT/ИБ-командой. Сотрудники кол-центра и менеджеры по работе с клиентами должны получать актуальную краткую информацию о статусе инцидента от команды пиар-сопровождения. Работники, которым могут поступать вопросы извне о состоянии дел в компании, должны переадресовывать все запросы членам пиар-команды.
   
6. Сообщение о статусе инцидента может включать в себя краткое описание того, что произошло и какое влияние оказало, предполагаемые причины инцидента, краткий перечень предпринимаемых мер, а также ориентировочный срок устранения инцидента. В сообщении также будет корректно принести извинения, а также проинформировать о том, что статус инцидента будет обновляться, а претензии клиентов — рассмотрены. Используйте разработанные ранее шаблоны сообщений и согласованные каналы коммуникации, в тексте старайтесь избегать сложных технических терминов и профессиональных IT-жаргонизмов. Не бойтесь признавать факт кибератаки — следует стать первоисточником информации, не допуская распространения слухов и домыслов из-за отсутствия честной и оперативной коммуникации от компании.
   
7. При изменении статуса инцидента обновляйте сообщения, включая в них краткое описание того, какие работы проводятся и каков ориентировочный срок восстановления. Даже если никаких новостей нет, все равно имеет смысл периодически (раз в несколько часов) обновлять сообщение, указывая, что работы по устранению еще ведутся.
   
8. Команда пиар-сопровождения должна быть готова к тому, что СМИ будут обращаться с различными вопросами, поэтому следует подготовиться к наиболее вероятным и острым из них.
   
9. После завершения расследования и восстановления всех сервисов IT/ИБ-команда реагирования на инцидент, как правило, готовит отчет о произошедшем. Выдержки из данного отчета, не содержащие конфиденциальной и технической информации, можно использовать для внешней коммуникации: в итоговом сообщении о результатах расследования следует объяснить, что и почему произошло, какие последствия атака может иметь для целевой аудитории, какие действия следует выполнить затронутым лицам (например, сменить пароль, подключить двухфакторную аутентификацию, просканировать инфраструктуру на наличие определенных киберугроз и т. д.). Также в итоговом сообщении правильно будет принести извинения и описать, какие меры компания планирует реализовать для недопущения подобного в будущем.
   
10. По итогам расследования анализируется корректность и оперативность действий IT/ИБ-команды и команды PR-сопровождения. К сожалению, инцидент вряд ли будет последним, поэтому целесообразно учесть этот опыт и при необходимости скорректировать план работы по реагированию.
    

Мнение редакции может не совпадать с точкой зрения автора