Планът за реакция при киберинцидент е кратък документ, който казва предварително кой ръководи, какво се прави и кого уведомявате, когато нещо се обърка. В първите 72 часа целта е проста: ограничавате щетата, запазвате данните и следите, уведомявате правилните хора и започвате възстановяване. Компаниите, които се справят спокойно, не са тези с най-скъпите инструменти, а тези, които са написали плана, докато всичко е било наред. Разликата между един лош ден и седмици престой често е именно в тези първи, добре подготвени часове.
Защо планът се пише преди инцидента, не по време?
По време на инцидент никой не разсъждава ясно. Телефоните звънят, системите не работят, всеки пита „кой отговаря за това“. Ако отговорите се измислят в този момент, губите най-ценните часове в паника и импровизация. Предварително написаният план превръща хаоса в списък от стъпки: кой взема решенията, кой говори с клиентите, кой със законовите органи, откъде се възстановяват данните.
Планът не е дебел документ. За среден бизнес една-две страници стигат — важното е да са ясни и достъпни дори когато основните системи са недостъпни. Разпечатайте го и го дайте на ключовите хора, защото планът в имейл кутия, до която нямате достъп по време на атака, е безполезен.
И още нещо, което повечето фирми пропускат: планът трябва да се тества, а не само да се напише. Веднъж годишно съберете ключовите хора и изиграйте измислен сценарий на маса — „открихме криптовирус в петък вечер, какво прави всеки“. Половин час такова упражнение показва къде контактите са остарели, кой не знае ролята си и къде резервните копия всъщност не се възстановяват толкова лесно, колкото сте мислили. По-добре да го откриете на масата, отколкото в реалната криза.
Кой какво прави в първите 72 часа?
Час 0–2 — ограничаване. Изолирайте засегнатите системи от мрежата, за да спрете разпространението, но без да унищожавате следи. Определеният ръководител на реакцията поема координацията.
Час 2–24 — оценка. Какво точно е засегнато, кои данни, откъде е влязъл атакуващият. Тук помага да знаете предварително кой има достъп до какво — затова Одит на достъпите: кой какво вижда във вашите системи е основа, а не лукс.
Час 24–72 — уведомяване и възстановяване. Уведомявате когото трябва и започвате да връщате работата от чисти резервни копия. Ако инцидентът е криптовирус, качеството на архивите ви решава всичко — разгледали сме го в Ransomware и резервни копия: планът, който спасява бизнеса.
Не изключвайте панически всичко. Изолирайте, документирайте, възстановявайте от проверени копия. Всяко действие през първите часове трябва да е предвидено в плана, а не измислено в движение.
Кого уведомявате и какво документирате?
Списъкът със засегнати страни зависи от инцидента, но обикновено включва ръководството, засегнатите клиенти или партньори, а при изтичане на лични данни — и надзорния орган в предвидените от закона срокове. За фирмите в обхвата на новите изисквания задълженията за докладване стават по-строги — измененията в Закона за киберсигурност са в сила от 17 февруари 2026 г., а какво означава това на практика описваме в NIS2 съответствие: пълният checklist за 2026.
Документирайте всичко от първата минута: кога сте забелязали, какво сте видели, какви действия сте предприели и кога. Този дневник е нужен и за разследването, и за уведомяванията, и за да не повторите същата грешка. Ако искате някой да напише и тества плана заедно с вас, това е част от услугата Киберсигурност.
Често задавани въпроси
Трябва ли малка фирма изобщо да има план за реакция?
Да. Планът не зависи от размера, а от факта, че разчитате на дигитални системи и данни. За малка фирма планът е кратък — една-две страници с роли, контакти и стъпки — но именно тя най-трудно понася дни престой без него.
Първо да изключим ли заразения компютър при инцидент?
Изолирайте го от мрежата, но не бързайте да го изключвате напълно — изключването може да унищожи следи, полезни за разследването. Планът трябва предварително да казва кой взема това решение и как се запазват доказателствата.