Управление неизбежностью: что делать до и после кибератаки

В реалиях киберпространства 2024 года разговор о взломе ИT-инфраструктуры, утечке данных или DDoS-атаке может зайти даже в высоких кабинетах тех, кто еще совсем недавно посчитал бы подобные вопросы исключительно операционными.

Новости о масштабных кибератаках и сбоях в работе веб-сервисов еще несколько лет назад публиковались только на профильных ресурсах и интересовали исключительно директоров по ИT и информбезопасности (ИБ). Но наступила новая реальность. Генеральный директор Security Vision Руслан Рахметов рассуждает о том, как подготовиться к киберинциденту и что нужно делать, когда он уже случился

Кибератаки — примета эпохи

Сегодня масштаб цифровизации и степень зависимости от информтехнологий практически любого крупного бизнеса столь высоки, что киберустойчивость информационной инфраструктуры является ключевым условием для функционирования большинства бизнес-процессов. Значительно возросло количество кибератак, повысилась неоднородность IT-инфраструктур из-за эффекта пандемии, санкционных ограничений, ускорившегося импортозамещения, использования атакующими все более совершенных методов и технологий, включая системы ИИ, а также из-за фактически открытого противостояния между государствами в киберпространстве.

Эти объективные факторы означают: даже самая продвинутая компания, уделяющая значительное внимание кибербезопасности, рано или поздно столкнется с кибератакой и ее последствиями. В ситуации, когда разумнее задавать вопрос не "Взломают ли нас?", а "Когда и как это произойдет?", следует заранее подготовиться к такому исходу и продумать способы реагирования на успешно проведенную кибератаку.

Политика управления киберинцидентами должна учитывать различные сценарии реагирования на релевантные для компании типы киберугроз. В зависимости от типа инцидента необходимо описать действия, например, при DDoS-атаке, утечке данных, заражении вирусом-шифровальщиком, выходе из строя информационной системы из-за аппаратного сбоя или некорректно установленного обновления и т. д. Перечень актуальных киберугроз уникален для каждой организации и зависит от сектора экономики, масштаба бизнеса, специфики деятельности, используемых технологий, риск-аппетита компании. В сценариях реагирования следует описать действия для выявления, анализа, локализации и устранения киберинцидента, восстановления и выполнения постинцидентных действий, включая детальный разбор случившегося, формирование отчетности и актуализацию сценариев реагирования на основе "выученных уроков".

В зависимости от квалификации атакующих и качества выстроенной корпоративной системы ИБ киберинцидент может быть или не выявлен вовсе, или зафиксирован уже постфактум, в том числе когда его последствия стали достоянием общественности. Последствия некоторых типов атак сразу становятся очевидными для большого количества клиентов компании: это касается недоступности сайта и сервисов компании в результате DDoS, взлома или сбоя в инфраструктуре, дефейса (изменения внешнего вида веб-страниц с добавлением посторонних логотипов или лозунгов), распространения в соцсетях или мессенджерах мошеннических или дезинформационных сообщений якобы от имени первого лица компании, создаваемых с помощью технологии дипфейк.

Финансово мотивированные злоумышленники в последнее время все чаще применяют продвинутые схемы вымогательства у компаний — жертв нападения. Атакующие требуют выкуп за нераспространение похищенной корпоративной информации, а в случае отказа платить размещают украденные данные на своих сайтах, сопровождая это пиар-кампанией по распространению новости об утечке. Политически мотивированные хактивисты могут опубликовать похищенную информацию сразу же, без требования выкупа, стараясь придать утечке широкую огласку в соцсетях для дестабилизации обстановки и нанесения максимального репутационного ущерба. Также следует учитывать, что во многих случаях публикуемая информация о якобы утечке или взломе при проверке оказывается фейком, и тогда компании следует выпустить официальное опровержение.

Что делать

В общем случае рекомендуется заранее разработать и согласовать план действий, которому нужно будет следовать, если кибератака не была своевременно выявлена и инцидент уже произошел, а компания столкнулась с негативными последствиями. Можно предусмотреть следующие шаги.

Оцените масштаб инцидента: что именно произошло, в каких системах, какие активы и данные пострадали, насколько работоспособны затронутые инцидентом бизнес-процессы (снижение производительности или полная остановка).
Выясните причину инцидента: кибератака (т. е. целенаправленное вредоносное воздействие атакующих) или сбой/неисправность аппаратного или программного обеспечения.

Если это кибератака, выясните, находятся ли атакующие в инфраструктуре до сих пор и продолжается ли кибератака, какие данные оказались в руках злоумышленников. Если атака продолжается, основное внимание должно быть сосредоточено на ее скорейшем устранении.
Постарайтесь выяснить, кто именно напал и чего они хотят: например, при атаках вирусов-вымогателей злоумышленники оставляют на взломанных системах "записки" с перечислением своих требований, а перед DDoS-атакой компаниям могут поступать недвусмысленные угрозы.

Оцените последствия произошедшего киберинцидента для клиентов, сотрудников, партнеров. За утечкой данных клиентов и сотрудников может последовать волна фишинга и мошеннических звонков, взлом инфраструктуры электронной почты может обернуться рассылкой вирусов по компаниям-партнерам, а получение исходных кодов ПО грозит эксплуатацией найденных уязвимостей в софте, разрабатываемом атакованной компанией.

Выполните законодательные требования: направьте первичное уведомление о выявлении инцидента, затрагивающего персональные данные, в Роскомнадзор в течение 24 часов, а затем в течение 72 часов — уведомление о результатах внутреннего расследования. Кроме того, если инцидент произошел на объекте критической информационной инфраструктуры (КИИ), необходимо уведомить Национальный координационный центр по компьютерным инцидентам (НКЦКИ) через систему ГосСОПКА в течение трех часов с момента обнаружения инцидента на значимом объекте КИИ или в течение 24 часов — на ином объекте КИИ.

Политика извещения

Важнейшая составляющая реагирования на кибератаку — публичная коммуникация об инциденте по заранее разработанному пиар-плану. В него можно включить следующие шаги.

В сценариях реагирования укажите условия запуска PR-плана: целесообразно начать коммуникацию, когда результаты анализа инцидента подтверждают, что затронуты интересы клиентов, сотрудников, партнеров (например, недоступны какие-либо сервисы, утекли данные, скомпрометированы системы обмена информацией и т. д.).
Заранее сформируйте команду для пиар-сопровождения инцидента, назначьте ее руководителя и распределите роли среди сотрудников пиар-службы (ответственные за взаимодействие со СМИ, пресс-секретарь, SMM-специалисты), юридического блока, GR-отдела, а также среди топ-менеджмента для координации действий между подразделениями.

Определите целевую аудиторию коммуникаций и способы взаимодействия: если киберинцидент затрагивает интересы сотрудников (например, вирус заразил несколько серверов, которые используются только внутри компании), то подойдет сообщение на внутреннем веб-портале компании и email-рассылка работникам. Если же произошел сбой в работе сервисов, которыми пользуются миллионы клиентов ежедневно, то в качестве способа коммуникации можно выбрать официальные страницы компании в соцсетях, уведомление на главной странице сайта, push-уведомление для мобильного приложения, а также записанное IVR-оповещение для всех входящих звонков по телефонам горячей линии компании. Кроме того, налаженные контакты с ведущими СМИ позволят быстро транслировать официальное заявление компании, не дожидаясь распространения слухов и вольной трактовки произошедшего.

Для каждого типа целевой аудитории и способа взаимодействия разработайте шаблоны сообщений о статусе инцидента, в которые нужно будет лишь вписать конкретику, — это существенно сэкономит время.
Выделите ответственного от ИT/ИБ-подразделения, который сможет сообщать статус работ руководителю команды пиар-сопровождения инцидента и выступать "переводчиком" между пиар-специалистами и ИT/ИБ-командой. Сотрудники кол-центра и менеджеры по работе с клиентами должны получать актуальную краткую информацию о статусе инцидента от команды пиар-сопровождения. Работники, которым могут поступать вопросы извне о состоянии дел в компании, должны переадресовывать все запросы членам пиар-команды.
Сообщение о статусе инцидента может включать в себя краткое описание того, что произошло и какое влияние оказало, предполагаемые причины инцидента, краткий перечень предпринимаемых мер, а также ориентировочный срок устранения инцидента. В сообщении также будет корректно принести извинения, а также проинформировать о том, что статус инцидента будет обновляться, а претензии клиентов — рассмотрены. Используйте разработанные ранее шаблоны сообщений и согласованные каналы коммуникации, в тексте старайтесь избегать сложных технических терминов и профессиональных ИT-жаргонизмов. Не бойтесь признавать факт кибератаки — следует стать первоисточником информации, не допуская распространения слухов и домыслов из-за отсутствия честной и оперативной коммуникации от компании.

При изменении статуса инцидента обновляйте сообщения, включая в них краткое описание того, какие работы проводятся и каков ориентировочный срок восстановления. Даже если никаких новостей нет, все равно имеет смысл периодически (раз в несколько часов) обновлять сообщение, указывая, что работы по устранению еще ведутся.

Команда пиар-сопровождения должна быть готова к тому, что СМИ будут обращаться с различными вопросами, поэтому следует подготовиться к наиболее вероятным и острым из них.

После завершения расследования и восстановления всех сервисов ИT/ИБ-команда реагирования на инцидент, как правило, готовит отчет о произошедшем. Выдержки из данного отчета, не содержащие конфиденциальной и технической информации, можно использовать для внешней коммуникации: в итоговом сообщении о результатах расследования следует объяснить, что и почему произошло, какие последствия атака может иметь для целевой аудитории, какие действия следует выполнить затронутым лицам (например, сменить пароль, подключить двухфакторную аутентификацию, просканировать инфраструктуру на наличие определенных киберугроз и т. д.). Также в итоговом сообщении правильно будет принести извинения и описать, какие меры компания планирует реализовать для недопущения подобного в будущем.

По итогам расследования анализируется корректность и оперативность действий ИT/ИБ-команды и команды PR-сопровождения. К сожалению, инцидент вряд ли будет последним, поэтому целесообразно учесть этот опыт и при необходимости скорректировать план работы по реагированию.