У разі виявлення кібератаки або кіберінциденту дуже важливо діяти оперативно та злагоджено, щоб зменшити шкоду, не допустити поширення загрози та зберегти докази. Можна діяти так.
1. Ізолюйте систему або пристрій
Відключіть заражене обладнання від мережі Інтернет і локальної мережі (LAN, Wi-Fi), якщо це можливо без втрати доказів.
Не вимикайте пристрій повністю, щоб не знищити потенційно важливі лог-файли.
2. Повідомте відповідальних осіб
Негайно інформуйте:
— ІТ-відділ або адміністратора системи.
— Внутрішню службу інформаційної безпеки (якщо є).
— Вище керівництво.
Якщо ви працюєте у державній чи критично важливій установі, повідомте CERT-UA: https://cert.gov.ua
3. Зафіксуйте інцидент
Зробіть скріншоти, випишіть:
- підозрілі процеси або повідомлення;
- IP-адреси, час, дії користувачів;
- незвичну активність (незаплановані перезапуски, шифрування файлів, дивні листи, втрата доступу тощо).
4. Не проводьте глибоких дій самостійно
Не намагайтеся: видалити файли, запускати антивіруси або «чистити» систему, спілкуватися з кіберзловмисниками (наприклад, якщо вимагали викуп).
Це може знищити докази або активувати шкідливий код.
5. Проведіть технічну оцінку та реагування
Цим мають займатися відповідальні фахівці, які:
Визначають джерело та масштаби інциденту.
Розробляють план відновлення роботи систем.
Повідомляють про інцидент компетентні органи, якщо потрібно.
6. Повідомте зацікавлених осіб (за потреби)
Якщо внаслідок атаки витекли дані клієнтів або користувачів — прозоро проінформуйте їх відповідно до вимог законодавства (наприклад, GDPR або українського ЗУ «Про захист персональних даних»).
Після усунення інциденту здійсніть аналіз причин, змініть паролі, оновіть системи безпеки, а також навчіть працівників діям попередження схожих атак у майбутньому.
Джерело: oppb.com.ua
