У разі виявлення кібератаки або кіберінциденту дуже важливо діяти оперативно та злагоджено, щоб зменшити шкоду, не допустити поширення загрози та зберегти докази. Можна діяти так
1. Ізолюйте систему або пристрій
- Відключіть заражене обладнання від мережі Інтернет і локальної мережі (LAN, Wi-Fi), якщо це можливо без втрати доказів.
- Не вимикайте пристрій повністю, щоб не знищити потенційно важливі лог-файли.
2. Повідомте відповідальних осіб
- Негайно інформуйте:
— ІТ-відділ або адміністратора системи.
— Внутрішню службу інформаційної безпеки (якщо є).
— Вище керівництво.
- Якщо ви працюєте у державній чи критично важливій установі, повідомте CERT-UA: https://cert.gov.ua
3. Зафіксуйте інцидент
Зробіть скріншоти, випишіть:
- підозрілі процеси або повідомлення;
- IP-адреси, час, дії користувачів;
- незвичну активність (незаплановані перезапуски, шифрування файлів, дивні листи, втрата доступу тощо).
4. Не проводьте глибоких дій самостійно
Не намагайтеся: видалити файли, запускати антивіруси або «чистити» систему, спілкуватися з кіберзловмисниками (наприклад, якщо вимагали викуп).
Це може знищити докази або активувати шкідливий код.
5. Проведіть технічну оцінку та реагування
Цим мають займатися відповідальні фахівці, які:
- Визначають джерело та масштаби інциденту.
- Розробляють план відновлення роботи систем.
- Повідомляють про інцидент компетентні органи, якщо потрібно.
6. Повідомте зацікавлених осіб (за потреби)
Якщо внаслідок атаки витекли дані клієнтів або користувачів — прозоро проінформуйте їх відповідно до вимог законодавства (наприклад, GDPR або українського ЗУ «Про захист персональних даних»).
Після усунення інциденту здійсніть аналіз причин, змініть паролі, оновіть системи безпеки, а також навчіть працівників діям попередження схожих атак у майбутньому.
Пам’ятка «Як діяти під час виявлення кібератаки або кіберінциденту»
Джерела: журнал «Охорона праці і пожежна безпека», пресслужба проєкту «Охорона праці і пожежна безпека»
