Новости о масштабных кибернетических атаках и сбоях в работе веб-сервисов несколько лет назад публиковались только на профильных ресурсах и интересовали исключительно менеджеров информационных технологий и безопасности.
Сегодня масштаб цифровизации и степень зависимости от информационных технологий и безопасности практически любого бизнеса столь высоки, что кибернетическая устойчивость информационной инфраструктуры является ключевым условием для функционирования большинства бизнес-процессов.
Даже самая продвинутая компания, уделяющая значительное внимание кибербезопасности, рано или поздно столкнется с кибератакой и ее последствиями. Политика управления кибернетическими инцидентами должна учитывать различные сценарии реагирования на релевантные для компании типы кибернетических угроз.
Если кибернетическая атака не была своевременно выявлена и инцидент все-таки произошел, а компания столкнулась с негативными последствиями, нужно предусмотреть следующие шаги:
1. Оцените масштаб инцидента: что именно произошло, в каких системах, какие активы и данные пострадали, насколько работоспособны затронутые инцидентом бизнес-процессы (снижение производительности или полная остановка).
2. Выясните причину инцидента: кибернетическая атака или сбой/неисправность аппаратного или программного обеспечения.
3. Если это кибератака, выясните, находятся ли атакующие в инфраструктуре до сих пор и продолжается ли кибератака, какие данные оказались в руках злоумышленников. Если атака продолжается, все должно быть сосредоточено на ее быстром устранении.
4. Постарайтесь выяснить, кто именно напал и чего они хотят: при атаках вирусов-вымогателей злоумышленники оставляют на взломанных системах «записки» с перечислением своих требований, а перед DDoS-атакой поступают прямые угрозы.
5. Оцените последствия произошедшего кибернетического инцидента для клиентов, сотрудников, партнеров.
6. Выполните законодательные требования: направьте первичное уведомление о выявлении кибернетического инцидента, затрагивающего персональные данные, в Роскомнадзор в течение 24 часов, а затем в течение 72 часов – уведомление о результатах внутреннего расследования.