В первые часы говорить коротко и по делу
Пока компания готовит официальное заявление, новости о сбое уже могут попасть в Сеть. В этот момент важно подтвердить сам факт и показать, что работа по восстановлению идет.
Скорость публикации первого комментария определяет тон последующих обсуждений. Если известно, что инцидент связан с кибератакой, не следует скрывать этот факт. Открытое заявление снижает градус напряжения, особенно если сразу уточнить, что сервисы изолированы и данные пользователей под защитой.
Параллельно нужно оценить масштаб происшествия: какие системы затронуты, какие данные могли пострадать, нарушена ли работа ключевых сервисов. Это помогает корректно выстраивать дальнейшую коммуникацию.
Если подтверждается, что это кибератака, важно определить, продолжаются ли действия злоумышленников. Иногда хакеры все еще находятся в инфраструктуре или требуют выкуп — такие случаи относятся к инцидентам повышенной опасности.
Какие меры принять далее
Следующий шаг — оценка последствий для клиентов и партнеров. Если есть вероятность утечки данных, нужно предупредить о возможных рисках фишинга или мошеннических звонков.
Отдельно стоит выполнить законодательные требования. Согласно постановлению Правительства № 1119 и методическим рекомендациям Роскомнадзора, оператор персональных данных обязан:
- направить первичное уведомление о выявлении инцидента в Роскомнадзор в первые сутки после обнаружения факта утечки;
- в течение 72 часов предоставить результаты внутреннего расследования;
- в течение трех часов уведомить Национальный координационный центр по компьютерным инцидентам через систему ГосСОПКА, если инцидент произошел на объекте критической информационной инфраструктуры.
Эти шаги фиксируют соблюдение закона и показывают, что компания контролирует ситуацию не только технически, но и юридически.
В течение суток нужно обновлять информацию и отвечать на вопросы. Сообщения с промежуточными результатами показывают, что компания работает над устранением сбоя. Хорошая практика — закрепить пост о статусе работ на главной странице сайта или в корпоративных соцсетях.
Стоит заранее назначить ответственного за обратную связь — человека, который сможет давать короткие и согласованные комментарии прессе или клиентам.
Действия после устранения инцидента
Когда сервисы возвращаются к нормальной работе, важно не просто сообщить, что все исправлено, а кратко описать, какие меры приняты. Это помогает закрыть тему корректно и показать, что выводы сделаны.
Последовательные обновления информации и финальное заявление о принятых мерах помогают удержать внимание пользователей и снизить репутационные риски. Чем быстрее компания говорит открыто и понятно, тем выше шанс сохранить доверие и спокойно вернуться к нормальной работе.