«Многие готовят примитивные инструкции на случай сбоя, но катастрофа наступает там, где ломается взаимодействие между людьми. План коммуникаций, это не просто список телефонов; это сценарий на случай полного хаоса, когда эмоции мешают принимать решения, а времени на раздумья нет.»
Зачем вам план коммуникаций, если вы и так всё держите в голове
В момент сбоя — будь то DDoS-атака на критический сервис, утечка базы данных клиентов или физическое повреждение дата-центра — включается паника. Скорость мысли падает, а объём информации, которую нужно обработать, возрастает. В этот момент невозможно одновременно: анализировать инцидент, принимать решения, координировать действия команды и общаться с третьими лицами. План коммуникаций снимает с вас одну из самых ресурсоёмких задач: что, кому и когда говорить.
Без такого плана возникает эффект хаотичной коммуникации: разные сотрудники дают противоречивую информацию заказчикам, руководство получает отрывочные и неточные данные для принятия решений, а СМИ или регуляторы могут сформировать негативный нарратив на основе первых неточных сообщений. Последствия — от утраты доверия до административных штрафов по 152-ФЗ за несвоевременное уведомление Роскомнадзора об утечке персональных данных.
Что такое «самый страшный сценарий» для вашей компании
Не общее «кибератака», а конкретная и максимально болезненная ситуация. Для неё нужны нестандартные, но заранее продуманные действия. Примеры:
- Для SaaS-провайдера: Полное разрушение основного дата-центра в результате техногенной катастрофы. Бэкапы есть, но физический доступ к оборудованию невозможен неделю. Клиенты, включая госзаказчиков, не могут пользоваться сервисом.
- Для IT-интегратора: Критическая уязвимость (например, в библиотеке журналирования Log4j) обнаружена во всех поставленных заказчикам решениях. Вредоносный код уже активно эксплуатируется. Нужно одновременно ставить заплаты десяткам систем у разных клиентов.
- Для fintech: Успешная атака на процессинг, приводящая к несанкционированным транзакциям на крупные суммы. Одновременно блокируются расчётные счета регулятором.
Цель — не запугать, а зафиксировать тот случай, на который у вашей текущей инструкции по реагированию (IRP) нет ответа.
Архитектура плана: три контура коммуникации
План делится на три логических блока, которые запускаются практически параллельно, но разными людьми.
Внутренний контур (команда и руководство)
Первая задача — собрать «военный совет». В плане должен быть актуальный список ответственных с ролями: технический лидер (принимает решения по исправлению), менеджер инцидента (координирует процесс), юрист, PR-специалист. Для каждого указывается минимум два способа связи (например, телефон + Telegram/Signal), включая резервный на случай недоступности основного.
Заранее создайте секретный чат или канал для управления кризисом. Правила: только факты, все решения фиксируются, каждый час — короткий стэндап. Это предотвратит поток паничных сообщений в общих рабочих чатах.
Оперативный контур (заказчики, партнёры, хостинг-провайдеры)
Здесь важна скорость и точность. Подготовьте шаблоны первых сообщений для разных типов инцидентов. Они должны содержать:
- Факт инцидента (что произошло, в какое время).
- Текущий статус (расследуем, устраняем, частичная деградация).
- Ожидаемое время следующего обновления информации (например, «сообщим через 2 часа»).
- Контакт для экстренных вопросов (не общая почта, а выделенный номер/ник).
Для ключевых заказчиков, особенно госсектора, может потребоваться звонок лично техническому директору или ответственному по договору. Эти контакты и порядок действий также должны быть в плане.
Внешний контур (СМИ, регуляторы, общественность)
Самая формализованная часть. По 152-ФЗ (ст. 22) оператор персональных данных обязан уведомить Роскомнадзор об утечке в срок, как правило, не позднее 72 часов с момента обнаружения. Ваш план должен включать готовый черновик такого уведомления с полями, которые нужно будет быстро заполнить: характер нарушенной безопасности, категория и объём данных, предполагаемые последствия, принятые меры.
Для взаимодействия со СМИ назначается один уполномоченный спикер. Его задача — не давать технических деталей, а транслировать ключевое сообщение: ситуация под контролем, клиентам оказана помощь, проводится расследование. Любые заявления должны согласовываться с юристом.
Практика: создаём шаблоны сообщений
В стрессовой ситуации некогда писать тексты с нуля. Заранее подготовленные шаблоны экономят время и снижают риск ошибки.
Шаблон первичного внутреннего оповещения
Тема: [КРИТИЧЕСКИЙ] Инициация плана реагирования на инцидент [Название сценария, например, «Утрата ДЦ-1»]
Текст для группового чата/рассылки:
«Внимание всем участникам Crisis Team. Иницирован сценарий [Название сценария]. Время обнаружения: [время].
Сбор уполномоченных лиц в секретном канале [ссылка] через 15 минут.
До сбора всем остальным сотрудникам: воздержаться от публичных комментариев, перенаправлять запросы от клиентов на [специальный номер/почту]. Всю не относящуюся к инциденту работу приостановить.»
Шаблон уведомления ключевого заказчика
Тема: Важное сообщение от [Название вашей компании] относительно инцидента
Текст:
«Уважаемый [Имя Отчество]!
Информируем вас о техническом инциденте, затрагивающем услуги, предоставляемые вашей организации. [Краткое описание: например, «В настоящее время наблюдается полная недоступность основного сервиса из-за аварии на стороне инфраструктурного провайдера»].
Наши специалисты уже работают над восстановлением. Следующее обновление статуса будет направлено вам не позднее [время].
Для экстренных вопросов используйте прямой канал связи: [контакт].
Приносим извинения за доставленные неудобства.»
Черновик уведомления для Роскомнадзора (152-ФЗ)
Оформите как таблицу в отдельном документе, чтобы быстро заполнить поля:
| Поле | Пример заполнения / комментарий |
|---|---|
| Дата и время обнаружения инцидента | [Автоматически подставляется из системы мониторинга] |
| Характер нарушения безопасности ПДн | Например: «Несанкционированный доступ к информационной системе, содержащей персональные данные» |
| Категории персональных данных | Указываются согласно классификации (ФИО, паспортные данные, биометрические и т.д.) |
| Количество субъектов ПДн | Оценочное количество (например, «более 1000») |
| Предполагаемые последствия для субъектов ПДн | «Риск мошеннических действий, спам-рассылки» |
| Принятые и планируемые меры | «Доступ заблокирован, ведутся внутреннее расследование и смена учётных данных, уведомляются субъекты ПДн» |
| Контактное лицо оператора | [Должность, ФИО, телефон ответственного по 152-ФЗ] |
Симуляция и пересмотр: план, который не устаревает
Написанный и забытый план бесполезен. Его нужно регулярно «прогонять» на учениях.
Проведите настольную игру: объявите команде о начале инцидента по одному из страшных сценариев. Засеките время, за которое:
- Соберётся кризисная команда.
- Будет составлено и отправлено первое внешнее сообщение (хотя бы в тестовый чат).
- Будет заполнен черновик уведомления для регулятора.
Результаты учений покажут узкие места: неактуальные контакты, отсутствие доступа к шаблонам, непонимание ролей. После каждой симуляции план необходимо актуализировать.
Важная деталь: после реального инцидента обязательно проведите разбор полётов и внесите правки в план на основе полученного опыта. Угрозы и команды меняются, и план коммуникаций должен эволюционировать вместе с ними.
Заключение: план как инструмент, а не отчёт
План коммуникаций при инциденте, это не документ для галочки перед аудитором ФСТЭК. Это практический инструмент, который в момент хаоса заменит панику и суету на чёткий порядок действий. Его наличие позволяет техническим специалистам сосредоточиться на устранении проблемы, а руководителям — на управлении репутационными и регуляторными рисками. Начните с определения своего «самого страшного сценария», затем пропишите три контура общения и создайте шаблоны ключевых сообщений. После этого регулярно проверяйте план в действии. В конечном итоге, это не просто домашнее задание по безопасности, а инвестиция в устойчивость вашего бизнеса перед лицом реальных угроз.