Кібербезпека 6 хв читання

Incident response: перші 24 години після інциденту та вимоги регулятора

Як збалансувати технічну локалізацію кібератаки та жорсткі вимоги комплаєнсу щодо звітування у критичне вікно першої доби після виявлення загрози.

Перші 24 години після виявлення компрометації — це період найвищої напруги для будь-якої організації. Коли критичні сервіси виходять з ладу, а на екранах моніторів з'являються ознаки несанкціонованого втручання, ІТ-команда природно прагне якомога швидше «погасити пожежу»: перезапустити сервери, відновити дані з бекапів та повернутися до звичного ритму роботи. Проте сьогодні такий підхід, орієнтований виключно на швидке технічне відновлення, є не просто застарілим — він став небезпечним для виживання бізнесу.

Сучасне реагування на інциденти (Incident Response) нерозривно пов'язане з регуляторними вимогами. Спроба негайно стерти сліди присутності зловмисника призводить до руйнування цифрових доказів (forensics), ускладнює розслідування та унеможливлює вчасне інформування регуляторів. У цьому матеріалі ми розберемо, як синхронізувати заходи локалізації загрози із жорсткими вимогами комплаєнсу в першу, найбільш критичну добу після зламу.

Анатомія першої доби: чому технічний респонс без комплаєнсу є фінансовим ризиком

Коли стається інцидент, виникає глибокий внутрішній конфлікт між ІТ-департаментом та юридичною службою. Інженери хочуть мінімізувати RTO (Recovery Time Objective) і часто діють за найпростішим сценарієм: перевстановити операційну систему чи розгорнути бекап. З погляду комплаєнсу такий підхід є катастрофічним. Знищуються логи у тимчасовій пам'яті (volatile data), де могли міститися унікальні артефакти атаки. Крім того, без детального аналізу root cause зловмисник може скористатися тією ж вразливістю вже за кілька годин.

Згідно зі звітом ENISA Threat Landscape 2025, який охопив 4,875 інцидентів, есенціальні організації (Essential entities) під дією директиви NIS2 становлять 53.7% усіх постраждалих структур. Це означає, що понад половина інцидентів припадає на компанії критичної інфраструктури та есенціальних послуг, де діють суворі правила звітування. Порушення термінів інформування регулятора загрожує компаніям великими штрафами та призупиненням ліцензій.

Саме тому перші 24 години вимагають чіткої координації технічного стримування (Containment) з юридичними процедурами фіксації доказів.

Локалізація без руйнування доказів: застосування NIST CSF 2.0 'Respond'

Оновлений фреймворк NIST CSF 2.0 офіційно впроваджує функцію 'Govern', яка підкреслює, що управління кіберризиками є невід'ємною частиною загального корпоративного врядування. Під час активації функції 'Respond' (Реагування) першочерговим завданням стає не повне відновлення, а стримування загрози та мінімізація впливу.

Щоб локалізувати атаку без шкоди для розслідування, IR-команда повинна діяти за структурованим протоколом:

  • Логічна ізоляція замість фізичного вимкнення: Вимкнення живлення серверів призводить до втрати вмісту оперативної пам'яті, де зберігаються ключі шифрування та активні мережеві з'єднання. Натомість слід застосовувати мережеву ізоляцію на рівні EDR або брандмауера.
  • Зняття образів пам'яті (Memory Dumping): До будь-яких деструктивних дій необхідно створити forensic-копію оперативної пам'яті скомпрометованих хостів.
  • Аналіз ідентифікацій (Identity Intelligence): Оцінка готовності до кіберзагроз, згідно з Cisco Cybersecurity Readiness Index 2025, базується на п'яти стовпах, ключовими з яких є Identity Intelligence та Network Resilience. Під час інциденту важливо миттєво з'ясувати, які облікові записи були скомпрометовані, і заблокувати їх. Якщо атакуючий отримав легітимні облікові дані, проста ізоляція одного сервера його не зупинить.

Мапування атаки за MITRE ATT&CK: швидка оцінка масштабу

Для прийняття зважених рішень у перші години IR-команді потрібна єдина мова опису загрози. Матриця MITRE ATT&CK структурує поведінку зловмисників у вигляді тактик і технік. Вона не є юридичним комплаєнс-законом, але слугує незамінним інструментом для швидкого мапування алертів.

Якщо SOC фіксує техніку T1078 (Valid Accounts) у поєднанні з T1021 (Remote Services), стає зрозуміло, що атакуючий перебуває на стадії горизонтального переміщення (lateral movement). Це дозволяє діяти проактивно: блокувати скомпрометовані сесії на рівні домену та обмежувати доступи між сегментами, а не просто перевіряти окремі ПК на віруси.

Таке мапування допомагає чітко відповідати на запити регулятора щодо постраждалих систем і векторів атаки, оперуючи стандартизованими поняттями MITRE.

Вимоги NIS2 та звіт за 24 години: що слід повідомити

Директива NIS2 встановлює жорсткі рамки для есенціальних організацій. Однією з головних вимог є подання первинного звіту (early warning) протягом 24 годин з моменту виявлення значного інциденту. Хоча це правило не поширюється на абсолютно всі компанії світу без урахування юрисдикції, для європейської критичної інфраструктури воно є обов'язковим.

У первинному сповіщенні регулятор не очікує фінального розслідування (root cause). Звіт має містити:

  • Факт виявлення інциденту та час початку.
  • Попередній характер події (наприклад, ransomware, DDoS, витік даних).
  • Підозру щодо протиправних дій (кібератаки).
  • Попередню оцінку транскордонного впливу на інші організації.

Щоб виконати цю вимогу, організація повинна мати заздалегідь підготовлений шаблон звіту та узгоджену матрицю комунікацій.

Побудова стійкої архітектури для запобігання хаосу

Найкращий спосіб пройти перші 24 години без паніки — закласти стійкість на рівні ІТ-архітектури (Security by Design). Консорціум Intecracy Group пропонує експертизу з моделювання загроз та побудови процесів реагування, спираючись на надійні технологічні платформи.

Для побудови стійких enterprise-систем використовується платформа UnityBase (спільна розробка компаній Intecracy Group; InBase є ключовим, але не єдиним розробником). Механізми платформи забезпечують критичні функції для інцидент-респонсу:

  • Журналювання аудиту (Audit Trail): Платформа автоматично фіксує дії користувачів та системних процесів, що дозволяє миттєво відтворити хронологію подій під час розслідування.
  • Контроль доступу (RBAC/RLS): Рольовий доступ і безпека на рівні рядків гарантують, що компрометація одного облікового запису не відкриє доступ до всієї бази даних.
  • Підвищена безпека в комерційних редакціях: Для проєктів із високими вимогами захисту офіційний сайт платформи рекомендує редакції Enterprise (EE) або Defence (DE), які підтримують інтеграцію з Active Directory, розширені можливості автентифікації та перевірку цілісності серверних модулів.

Водночас, компанія Softengi (член Intecracy Group), сертифікована за міжнародним стандартом управління штучним інтелектом ISO/IEC 42001:2023, розробляє кастомні рішення за принципом вбудованої безпеки, що мінімізує поверхню атаки під час інтеграцій.

Погодинний чек-лист реагування на інцидент у перші 24 години

Цей алгоритм дозволяє паралельно локалізувати загрозу та виконувати регуляторні вимоги:

  1. 0-2 години: Виявлення та верифікація. Активація IR-команди, логічна ізоляція перших скомпрометованих хостів без вимкнення живлення (збереження RAM). Запуск out-of-band каналу зв'язку.
  2. 2-6 годин: Мапування та оцінка масштабу. Визначення тактик за MITRE ATT&CK, локалізація точок входу, агрегація логів EDR. Виявлення скомпрометованих акаунтів.
  3. 6-12 годин: Стримування (Containment) та фіксація доказів. Блокування акаунтів, зміна ключів доступу, створення forensic-образів оперативної пам'яті та дисків.
  4. 12-18 годин: Категоризація та юридична оцінка. Визначення підпорядкованості інциденту вимогам NIS2/GDPR, оцінка впливу на бізнес-процеси.
  5. 18-24 години: Регуляторне сповіщення. Відправка первинного звіту (early warning) регулятору або CERT за затвердженим шаблоном, старт комунікації з клієнтами.

Поширені питання

Чи потрібно повідомляти регулятора про інцидент, якщо ми ще не з'ясували точну причину зламу?

Так. Згідно з вимогами NIS2, первинне сповіщення (early warning) має бути надіслане протягом 24 годин з моменту виявлення значного інциденту. На цьому етапі достатньо повідомити про сам факт події, її характер та попередньо оцінений вплив, а не надавати повний технічний звіт.

Як зберегти докази атаки (forensics) і одночасно якнайшвидше відновити роботу бізнес-процесів?

Ключовим підходом є логічна ізоляція скомпрометованого обладнання замість його фізичного вимкнення. Використовуйте EDR-системи для ізоляції хостів, робіть знімки оперативної пам'яті (memory dumps) та копії дисків перед розгортанням чистих бекапів. Це зберігає артефакти атаки та дозволяє паралельно запускати процеси відновлення.

Які саме організації підпадають під вимогу 24-годинного звітування згідно з директивою NIS2?

Під вимоги раннього звітування підпадають есенціальні (Essential) та важливі (Important) організації у критичних секторах (енергетика, транспорт, охорона здоров'я, цифрова інфраструктура, фінанси). Перелік остаточно регулюється національним законодавством країн, що імплементують директиву.

Джерела даних