План коммуникаций как инструмент управления во время кибератаки

от

«План коммуникаций при атаке, это инструмент сохранения управления. Это не про то, чтобы потом выглядеть хорошо, а про то, чтобы не потерять всё прямо в процессе. Он превращает хаотичную реакцию «всех на всех» в чёткую процедуру, где каждый знает свою роль. Без него даже самая эффективная техническая команда проигрывает — её заглушает шум паники и противоречивых сигналов.»

Для чего нужен план коммуникаций, если уже есть план реагирования на инциденты?

План реагирования на инциденты ИБ фокусируется на технических действиях: локализация угрозы, сбор логов, восстановление сервисов. Однако параллельно с этим в компании запускается другой, менее заметный процесс — коммуникационный кризис. Технические специалисты погружены в расследование и замолкают. Руководство получает панические звонки от партнёров, но не имеет данных для ответа. Сотрудники узнают о проблеме из слухов. Возникает вакуум информации, который мгновенно заполняется домыслами, страхом и недоверием.

План коммуникаций, это документ, который регламентирует потоки информации внутри и вовне компании во время киберинцидента. Его цель — не красивые публичные заявления, а сохранение управляемости. Он отвечает на вопросы: кто, кому, что, когда и через какой канал говорит. Это позволяет технической команде работать, не отвлекаясь на бесконечные запросы, а руководству — принимать решения на основе единой, проверенной картины. Отсутствие такого плана гарантирует, что драгоценное время в первые часы атаки будет потрачено не на решение проблемы, а на выяснение отношений и полномочий.

Ключевые элементы работающего плана

Эффективный план, это не том на сотню страниц. Это живой, доступный документ с прямыми инструкциями. Его ядро составляют несколько обязательных компонентов.

1. Роли, ответственность и матрица RACI

Главная проблема в кризисе — неопределённость, кто за что отвечает. План должен это устранить, назначив чёткие роли:

  • Координатор коммуникаций (Comms Lead). Ключевая роль. Это один человек (часто из службы безопасности, PR или аппарата руководства), который становится единственным утверждающим центром для всей внешней и массовой внутренней информации. Он не придумывает содержание, а управляет его согласованием и распространением.
  • Технический спикер. Член группы реагирования (CSIRT), который переводит сырые технические факты в понятную для непрофессионала форму и своевременно передаёт их координатору.
  • Юридический советник. Оценивает каждое планируемое сообщение на предмет правовых рисков, особенно в контексте требований к защите персональных данных.
  • Утверждающее лицо. Тот, кто имеет окончательное право подписи на публичных заявлениях. Обычно это генеральный или технический директор. Важно, чтобы таких лиц было не более двух и процедура их оповещения была прописана.

Соотношение ролей и типов коммуникаций наглядно отображает матрица RACI.

Тип коммуникации Ответственный (Accountable) Консультируемый (Consulted) Информируемый (Informed)
Внутреннее оповещение всех сотрудников Координатор коммуникаций Юрист, Технический спикер Все сотрудники
Уведомление ключевого клиента Координатор коммуникаций Юрист, Аккаунт-менеджер Руководство отдела продаж
Подготовка уведомления для регулятора (Роскомнадзор, ФСТЭК) Юрист / Compliance Технический спикер, Координатор коммуникаций Генеральный директор
Ответ на запрос СМИ Координатор коммуникаций Юрист, Утверждающее лицо PR-отдел

2. Каналы связи и резервные пути

План должен учитывать, что основные корпоративные каналы (почта, чаты) могут быть первыми жертвами атаки. Поэтому определяется иерархия каналов:

  • Основной для группы реагирования: выделенная, защищённая комната в корпоративном мессенджере.
  • Экстренный для оповещения руководства: телефонный звонок или SMS по заранее согласованным номерам. Email для этой цели не подходит.
  • Для массового информирования сотрудников: корпоративный портал или рассылка с чётким маркером в теме, например, [КРИТИЧЕСКОЕ] Инцидент ИБ.
  • Резервный канал: инструменты, работающие вне корпоративной сети (личные телефоны ключевых лиц, предварительно согласованные внешние сервисы). Контакты для экстренной связи должны быть распечатаны и храниться у ответственных лиц — «красная папка».

3. Классификация инцидентов и триггеры для действий

Не каждый инцидент требует всеобщей мобилизации. План должен быть привязан к уровням серьёзности, которые синхронизированы с общей классификацией ИБ-инцидентов в компании. Например:

  • Уровень 1 (Низкий): Локальная проблема, не затрагивающая данные или ключевые сервисы. Коммуникация ограничивается технической командой.
  • Уровень 2 (Средний): Затронуты несколько систем, есть подозрение на утечку неключевых данных. Оповещаются руководители ИБ и заинтересованных департаментов.
  • Уровень 3 (Критический): Подтверждена компрометация, угроза критическим услугам, утечка персональных или коммерчески значимых данных. Запускается полный план коммуникаций с активацией координатора, оповещением топ-менеджмента и подготовкой заявлений.

4. Шаблоны сообщений и единый источник правды

В состоянии стресса сложно формулировать грамотные и взвешенные тексты. Заранее подготовленные шаблоны экономят время и снижают риски ошибок.

  • Шаблон внутреннего письма для сотрудников. Нейтральный тон, минимум технических деталей, чёткие инструкции: что делать (сменить пароль), чего избегать (не комментировать в соцсетях), куда обращаться за разъяснениями.
  • Шаблон письма ключевому партнёру. Акцент на том, как инцидент влияет конкретно на него, какие меры принимаются для защиты его интересов, контакт для связи.
  • Каркас публичного заявления. Структура, которую можно быстро наполнить актуальными фактами. Критически важно, чтобы в нём не было непроверенных допущений и невыполнимых обещаний.
  • Факт-лист. Одностраничный документ, который ведёт технический спикер. Сюда вносятся только подтверждённые данные: что произошло, время обнаружения, затронутые системы, текущий статус работ. Этот факт-лист и является единым источником правды для всех последующих коммуникаций.

Интеграция с требованиями регуляторов: 152-ФЗ и ФСТЭК

В российской практике план коммуникаций перестаёт быть рекомендацией и становится частью выполнения обязательных требований. Федеральный закон № 152-ФЗ «О персональных данных» обязывает оператора при утечке ПДн уведомить Роскомнадзор, а в ряде случаев — и самих субъектов данных. План должен чётко прописывать эту процедуру:

  1. Процедура принятия решения об утечке ПДн. Кто (технический специалист + юрист) и на основании каких критериев подтверждает факт инцидента, подпадающего под закон.
  2. Подготовка уведомления для Роскомнадзора. Определить ответственного, сроки и использовать заранее подготовленный шаблон, соответствующий установленной форме.
  3. Порядок информирования субъектов ПДн. Это наиболее чувствительный этап, требующий юридически выверенных формулировок. Процесс нельзя импровизировать.
  4. Взаимодействие с ФСТЭК России. Для операторов критической информационной инфраструктуры (КИИ) существуют отдельные, более жёсткие регламенты и сроки уведомления. План коммуникаций должен содержать ссылки на эти внутренние процедуры.

Отсутствие прописанных шагов здесь ведёт не только к административным штрафам, но и к потере времени, когда регулятор уже ожидает объяснений.

Типичные ошибки и чего в плане быть не должно

  • Размытые формулировки. Фразы вроде «обеспечить информирование заинтересованных сторон» бесполезны. Вместо них: «В течение 2 часов после подтверждения инцидента уровня 3 координатор коммуникаций отправляет шаблонное письмо №2 списку ключевых клиентов из приложения А».
  • Зависимость от одного человека. Если координатор коммуникаций недоступен, должен быть заранее назначенный и известный всем заместитель. Это касается и других ключевых ролей.
  • Отсутствие проверки на реалистичность. План должен регулярно тестироваться. Проведите учебную тревогу в нерабочее время: сработают ли резервные каналы, соберётся ли виртуальная комната командования, будут ли у людей под рукой нужные контакты.
  • Жёсткая привязка к конкретным людям. В плане должны быть указаны функции («представитель CSIRT», «руководитель юридической службы»), а не фамилии. Должности меняются, функциональные обязанности — остаются.

Практические шаги по созданию плана

  1. Сформируйте рабочую группу. В неё должны войти представитель службы ИБ, юрист, руководитель PR или корпоративных коммуникаций, а также помощник первого руководителя (кто знает, как оперативно с ним связаться).
  2. Согласуйте классификацию инцидентов. Без чётких уровней серьёзности невозможно определить триггеры для коммуникаций.
  3. Назначьте роли по матрице RACI и закрепите это внутренним распоряжением.
  4. Составьте перечень всех сторон, которых может коснуться инцидент: внутренние (сотрудники, совет директоров), внешние (ключевые клиенты, партнёры, регуляторы, СМИ).
  5. Разработайте шаблоны сообщений для каждой группы. Краткие, на 3–5 предложений, с местами для подстановки актуальных фактов.
  6. Определите и задокументируйте каналы связи. Создайте и распечатайте «красную папку» с экстренными контактами для ключевых лиц.
  7. Интегрируйте требования регуляторов. Пропишите конкретные шаги и ответственных для уведомления Роскомнадзора и ФСТЭК в соответствии с законом.
  8. Проведите тренировку. Без этого план останется теорией. Сымитируйте инцидент с утечкой данных и пройдите весь путь от обнаружения до подготовки фиктивного уведомления регулятору. Это вскроет все нестыковки и покажет, насколько план работоспособен в условиях, приближенных к реальным.

План коммуникаций при кибератаке, это инструмент сохранения управления в момент, когда всё идёт не так. Он не предотвращает атаку, но предотвращает хаос в ответ на неё. Его наличие свидетельствует о зрелости подходов компании к безопасности, где понимают, что окончательный ущерб определяется не только сбоем в системах, но и катастрофическим сбоем в доверии.

Оставьте комментарий