Главная/Материалы/Действия при кибератаке
Кибербезопасность и непрерывность

Что делать в первые часы после кибератаки: план действий

Первые часы после атаки решают, потеряете вы день или неделю. Разбираем пошаговый план реагирования и то, что нужно подготовить заранее, чтобы команда не теряла время.

Обновлено: 28 июня 2026 г. · Автор: Евгений Теленков · ≈ 7 мин чтения
Что делать в первые часы после кибератаки: план действий

Первые часы: пошагово

  1. Изолируйте. Отключите зараженные системы от сети, чтобы остановить распространение. Не выключайте технику бездумно — это может уничтожить улики.
  2. Соберите команду реагирования. Заранее назначенные роли: кто руководит, кто по ИТ, кто по коммуникациям.
  3. Оцените масштаб. Что затронуто, какие процессы встали, есть ли утечка данных.
  4. Включите план непрерывности. Переведите критичные процессы на резервные варианты (см. BCP).
  5. Коммуникации. Согласованные сообщения для клиентов, партнеров, сотрудников; при необходимости — уведомление регулятора.
  6. Восстановление. Поднимайте системы из изолированных резервных копий по приоритету (см. DRP).
  7. Разбор после инцидента. Причины, уроки, исправления — чтобы не повторилось.
Чего не делать: не платить вымогателям на эмоциях (нет гарантий, поощряет атаки), не «заметать» инцидент без разбора причин и не молчать там, где уведомление обязательно. Почему сокрытие дорого — в статье «Почему компании скрывают кибератаки».

Что подготовить заранее

Узнайте, насколько устойчив ваш бизнес

13 вопросов, 5 минут, бесплатно — результат сразу на экране и на почту.

Пройти диагностику бесплатно → Записаться на разбор · 4 900 ₽ Курс по непрерывности →

Частые вопросы

Что сделать в самую первую очередь при атаке?

Изолировать зараженные системы от сети, чтобы остановить распространение, и собрать заранее назначенную команду реагирования. Технику не выключать бездумно — можно уничтожить улики.

Платить ли вымогателям за расшифровку?

Как правило, нет: оплата не гарантирует восстановление и поощряет новые атаки. Опирайтесь на изолированные резервные копии и план восстановления.

Нужно ли сообщать об атаке?

Для ряда организаций и данных уведомление регулятора обязательно по закону. Даже когда формально можно молчать, разбор причин важнее сокрытия.

Евгений Теленков
Евгений Теленков
Директор по рискам · к.э.н. · «Лучший риск-менеджер России 2020»
20 лет в управлении рисками. Возглавлял риск-менеджмент в Билайн, Норникеле, Роснефти и EY. Разрабатывал планы непрерывности бизнеса для Норникеля, Ростеха, НРД и АСВ. Обучил 300+ специалистов по рискам и BCM.
Все курсы и услуги — на risk-place.ru →
Читайте также
7 дней простоя: урок кибератаки →
Реальный кейс атаки шифровальщика на крупного страховщика: 7 дней простоя, неработающие сайт и приложение. Как
BCM, BCP, DRP — отличия →
Чем отличаются BCM, BCP, DRP и риск-менеджмент простыми словами. Понятная схема уровней, таблица сравнения и п
Диагностика за 5 минут →
Уровень устойчивости, три главных риска и первые шаги. Бесплатно.