Что делать при кибератаке: первые шаги и кому звонить
Кибератака — это стресс и цейтнот, и большинство фатальных ошибок совершаются в первые часы: систему поспешно выключают, переустанавливают, «чистят» антивирусом — и вместе с вредоносом стирают улики, без которых нельзя понять масштаб и закрыть точку входа. Главный принцип первых шагов прямо противоположный: не паниковать, не уничтожать следы, **изолировать, а не выключать**, зафиксировать факты и быстро собрать команду. **Если коротко:** отключите заражённые узлы от сети (но не от питания), зафиксируйте время и признаки, соберите ответственных (ИБ, ИТ, руководство, юристы, PR), включите план реагирования — а если своей команды форензики нет, подключите внешнего IR-провайдера. Для объектов критической информационной инфраструктуры (КИИ) добавляется обязанность уведомить НКЦКИ в установленные сроки. Ниже — порядок действий по часам, экстренный чек-лист, типовые меры по видам инцидентов и кому звонить. Сравнить и заранее выбрать команду реагирования можно в [рейтинге Incident Response и форензики](/rating/incident-response-forensics).
Визуальный контекст исследования
Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.
Рейтинги подрядчиков по теме исследования
Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.
Как проверять выводы исследования
Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.
Авторы и проверка материала
У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.
Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.
В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.
Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.
Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.
Первые минуты: не навредить
Атака уже идёт — и теперь важнее всего не ухудшить ситуацию своими руками. Типичная ошибка — действовать «по интуиции»: выдернуть питание, удалить «подозрительные» файлы, переустановить ОС, сменить все пароли разом. Каждое из этих действий может уничтожить улики, спугнуть атакующего (он перейдёт к более разрушительному сценарию) или спровоцировать срабатывание логической бомбы.
Правильная логика первых минут — **сдержать и сохранить**. Сдержать: изолировать поражённые узлы от сети, чтобы вредонос и атакующий не распространялись дальше. Сохранить: оставить системы в том состоянии, в котором их застали, чтобы специалисты по форензике смогли восстановить картину. Память запущенной системы, активные сетевые соединения, временные файлы — всё это исчезает при выключении, а именно там часто находятся ключевые артефакты.
- **Изолируйте, а не выключайте.** Отсоедините сетевой кабель или отключите Wi-Fi/порт на коммутаторе. Питание по возможности не трогайте — содержимое оперативной памяти ценно. - **Зафиксируйте время и признаки.** Когда заметили, что именно увидели (баннер шифровальщика, всплеск трафика, заблокированные учётки), кто и что уже успел сделать. - **Не уничтожайте следы.** Не удаляйте файлы, не переустанавливайте систему, не «чистите» антивирусом до решения о порядке сбора данных. - **Соберите команду.** Оповестите ИБ/ИТ, руководство, при необходимости — юристов и PR. - **Решите, кому звонить.** Своя команда форензики или внешний IR-провайдер; для КИИ — уведомление НКЦКИ.
Первые шаги при кибератаке: коротко
Не выключать питание — память хранит улики
Время, признаки, кто что сделал
ИБ, ИТ, руководство, юристы, PR
Если своей форензики нет
Сроки и порядок — в установленном порядке
Что делать в первые часы: порядок действий
-
01
Обнаружение и фиксация (0–30 минут)
Зафиксируйте время и признаки инцидента, не трогая системы. Сделайте фотографии экранов с сообщениями (баннер шифровальщика, ошибки), запишите, кто первым заметил и что успел предпринять.
-
02
Изоляция (первые 30–60 минут)
Отключите поражённые узлы от сети, но не от питания. Если затронут сегмент — изолируйте сегмент на уровне коммутатора/межсетевого экрана, а не отдельные машины поодиночке.
-
03
Сбор команды (первый час)
Оповестите ответственных по заранее известной схеме: ИБ, ИТ, руководство, при необходимости — юристы и PR. Назначьте одного координатора инцидента, чтобы решения не дублировались и не противоречили друг другу.
-
04
Подключение форензики (первые часы)
Своя команда или внешний IR-провайдер начинает сбор и сохранение улик в правильном порядке: образы памяти и дисков, логи, сетевые артефакты. До этого момента — ничего не удалять и не переустанавливать.
-
05
Оценка масштаба (первые часы)
Определите, какие системы и данные затронуты, есть ли признаки кражи данных, остаётся ли у атакующего доступ. Это вход для решения о приоритете восстановления.
-
06
Уведомления и коммуникации (по регламенту)
Для объектов КИИ — уведомление НКЦКИ в установленном порядке и сроки. Параллельно — согласованная внутренняя и, при необходимости, внешняя коммуникация, чтобы не было разнобоя в сообщениях.
-
07
Сдерживание и восстановление
После того как точка входа понята, а доступ атакующего перекрыт — поэтапное восстановление из доверенных резервных копий и устранение уязвимости, через которую вошли.
Цена ошибок в первые часы (редакционная оценка)
Редакционная оценка того, насколько типичные поспешные действия вредят расследованию и восстановлению (0–100, выше — хуже). Это не статистика инцидентов, а ориентир для приоритезации.
Экстренный чек-лист первых действий
Тип инцидента → первые меры
Первые шаги имеют общий каркас, но детали зависят от характера атаки. Таблица ниже — не исчерпывающая инструкция, а ориентир, чтобы быстрее понять, на чём сосредоточиться в первые часы. В сложных случаях решение о порядке действий лучше принимать вместе со специалистами по реагированию.
| Тип инцидента | Первые меры | Чего НЕ делать |
|---|---|---|
| Шифровальщик (ransomware) | Изолировать заражённые узлы и сегменты, отключить общие сетевые папки, сохранить образец и записку с требованием | Не платить выкуп с ходу, не удалять зашифрованные файлы, не переустанавливать систему |
| Утечка / кража данных | Зафиксировать объём и тип данных, перекрыть канал утечки, сохранить логи доступа | Не «заметать» инцидент, не уничтожать журналы, не тянуть с уведомлениями там, где они обязательны |
| Компрометация учётной записи | Заблокировать/сбросить затронутые учётки, проверить почтовые правила и токены, включить MFA | Не менять разом все пароли до сбора логов, не игнорировать признаки бокового перемещения |
| DDoS-атака | Включить защиту от DDoS, перераспределить трафик, уведомить провайдера/хостинг | Не отключать всё подряд, не считать DDoS «прикрытием» несуществующим — проверьте параллельные события |
| Фишинг / БЭК (компрометация почты) | Изолировать скомпрометированный ящик, отозвать сессии, предупредить сотрудников и контрагентов | Не отвечать на письма атакующего, не переводить средства по «новым реквизитам» без проверки |
Кому звонить: своя команда, IR-провайдер, НКЦКИ
Когда инцидент подтверждён, важно быстро понять, кто принимает решения и у кого хватает компетенций. Если в компании есть собственная команда реагирования и форензики — действует она по внутреннему плану. Если такой команды нет или масштаб превышает её возможности — подключают внешнего IR-провайдера: договор на экстренное реагирование (IR-retainer), заключённый заранее, экономит критичные часы, потому что не приходится искать подрядчика в разгар атаки.
Для значимых объектов критической информационной инфраструктуры добавляется регуляторная обязанность: о компьютерных инцидентах уведомляют НКЦКИ (Национальный координационный центр по компьютерным инцидентам) в установленном порядке и сроки. Конкретные формы и сроки уведомления стоит сверять с действующими нормативными требованиями и внутренними регламентами, а не полагаться на память — поэтому порядок уведомления лучше зафиксировать в плане реагирования заранее. О том, зачем нужен договор на экстренное реагирование, подробнее в материале [IR-retainer: зачем нужен договор на экстренное реагирование](/research/ir-retainer-zachem-nuzhen).
Как мы оцениваем команды реагирования
cyber-index.ru не продаёт места в рейтинге. Поставщики услуг Incident Response и форензики сравниваются по проверяемым сигналам: подтверждённые кейсы реагирования, наличие собственной лаборатории форензики, скорость подключения, отзывы и интервью клиентов, внешняя репутация, специализация и прозрачность данных. Поэтому статью стоит читать в связке с [рейтингом IR и форензики](/rating/incident-response-forensics): здесь — порядок действий, там — сравнение конкретных команд по подтверждённым фактам.
Следующий шаг
Лучшее время выбрать команду реагирования — до инцидента, а не во время него. Сравните поставщиков по подтверждённым сигналам: **[рейтинг команд Incident Response и форензики →](/rating/incident-response-forensics)**. Полезно прочитать рядом: [IR-retainer: зачем нужен договор на экстренное реагирование](/research/ir-retainer-zachem-nuzhen), [рейтинг команд Incident Response 2026](/research/rejting-incident-response-2026) и [как происходит расследование атаки шифровальщика](/research/rassledovanie-ataki-shifrovalshchika).
Частые вопросы
Нужно ли сразу выключать заражённый компьютер?
Как правило, нет. Выключение стирает содержимое оперативной памяти и активные соединения — а именно там часто находятся ключевые улики. Правильнее изолировать узел от сети (отсоединить кабель, отключить Wi-Fi или порт на коммутаторе), оставив питание, и дождаться специалистов по форензике. Полное выключение оправдано лишь в исключительных случаях, например при явной угрозе физического разрушения данных.
Платить ли выкуп вымогателям?
Решение нельзя принимать с ходу. Оплата не гарантирует расшифровку, поощряет новые атаки и может нести юридические риски. До любого решения нужно изолировать заражение, сохранить образец и записку с требованием, оценить наличие резервных копий и подключить команду реагирования — часто восстановление возможно без выкупа.
Кому звонить в первую очередь?
Сначала — внутренней команде по заранее известной схеме: ИБ, ИТ, руководство, при необходимости юристы и PR. Если своей форензики нет — внешнему IR-провайдеру. Для значимых объектов КИИ дополнительно обязательно уведомление НКЦКИ в установленном порядке.
Что нельзя делать в первые часы?
Нельзя уничтожать улики: переустанавливать ОС, удалять файлы вручную, «чистить» систему антивирусом, форматировать диски и менять разом все пароли до сбора логов. Также не стоит давать разрозненные публичные комментарии и платить выкуп без анализа ситуации.
Когда уведомлять регуляторов?
Для объектов КИИ уведомление НКЦКИ обязательно в установленные нормативными требованиями сроки и порядок. Точные формы и сроки нужно сверять с действующим законодательством и внутренними регламентами — поэтому порядок уведомления стоит заранее зафиксировать в плане реагирования.
Как подготовиться к инциденту заранее?
Иметь план реагирования и схему оповещения, регулярные доверенные резервные копии, включённое логирование и заранее выбранную команду реагирования (свою или по IR-retainer). Тогда первые часы пройдут по сценарию, а не в панике.
Источники и метод проверки
Кибератака — это стресс и цейтнот, и большинство фатальных ошибок совершаются в первые часы: систему поспешно выключают, переустанавливают, «чистят» антивирусом — и вместе с вредоносом стирают улики, без которых нельзя понять масштаб и закрыть точку входа. Главный принцип первых шагов прямо противоположный: не паниковать, не уничтожать следы, **изолировать, а не выключать**, зафиксировать факты и быстро собрать команду. **Если коротко:** отключите заражённые узлы от сети (но не от питания), зафиксируйте время и признаки, соберите ответственных (ИБ, ИТ, руководство, юристы, PR), включите план реагирования — а если своей команды форензики нет, подключите внешнего IR-провайдера. Для объектов критической информационной инфраструктуры (КИИ) добавляется обязанность уведомить НКЦКИ в установленные сроки. Ниже — порядок действий по часам, экстренный чек-лист, типовые меры по видам инцидентов и кому звонить. Сравнить и заранее выбрать команду реагирования можно в [рейтинге Incident Response и форензики](/rating/incident-response-forensics).