Инструктаж по DDoS-атакам. Что должны знать сотрудники

Когда компания сталкивается с DDoS-атакой, жертвами часто становятся сотрудники. Во многих случаях они остаются без доступа к корпоративным онлайн-ресурсам, начинают паниковать и совершать досадные ошибки. В итоге их действия только усугубляют проблему. 

Как правильно подготовить сотрудников к возможным DDoS-атакам? Ответы — далее. 

Какие ошибки встречаются чаще всего

Многие DDoS-атаки приводят к остановке бизнес-процессов в компании. Если удар был направлен на корпоративную сеть жертвы, то сотрудники зачастую не могут войти в привычные системы для обмена документами, бухгалтерского учёта, работы с клиентами и т.д. 

В итоге по офису прокатывается волна паники. Не разобравшись в сути происходящего, сотрудники начинают перезагружать компьютеры и многократно пытаться подключиться к корпоративным системам. В этот момент они не осознают, что тем самым только увеличивают нагрузку на инфраструктуру, которая уже не справляется с легитимными запросами из-за DDoS-атаки. 

Ещё одна типичная ошибка персонала — делиться собственным видением ситуации с внешним миром. Не понимая, что происходит на самом деле, сотрудник способен случайно дезинформировать клиентов или партнёров. Они могут сделать ошибочные выводы, отказаться от покупки товара, прекратить текущее сотрудничество или озаботиться поиском других вариантов на рынке.

Как сообщить сотрудникам о начале DDoS-атаки 

Оповестить об инциденте можно по электронной почте, в мессенджере или по SMS. Однако на самом деле способ связи не так важен, как скорость доставки сообщения и его содержимое. 

Желательно не только оповестить персонал об атаке, но и напомнить, как себя вести в такой ситуации. Например, техподдержке стоит указать, где находятся подходящие скрипты для общения с недовольными клиентами. А если о ситуации стало известно журналистам, то у PR-специалистов перед глазами должны быть заранее подготовленные формулировки для ответа. 

В любом случае главное — чтобы каждый сотрудник понимал свою роль в кризисной ситуации и действовал по заранее утверждённому плану.

Как минимизировать риски

В идеале ваши сотрудники должны:

1. Сохранять спокойствие. Это основа любых действий в кризисной ситуации. Паника ведёт к ошибкам и новым проблемам. 
2. Ждать дальнейших указаний. Как только ситуация стабилизируется, сотрудников оповестят о том, что можно вернуться в прежний рабочий режим. А пока нет доступа к ресурсам компании, можно переключиться на офлайн-задачи. 

Минимизировать риски зачастую помогает обучение сотрудников базовым правилам информационной безопасности. Оно не должно быть сложным и заумным — в инструктаже достаточно учесть три момента:

• что такое DDoS-атака и как она влияет на бизнес,
• какие действия можно и нельзя предпринимать, если есть подозрения, что компания атакована,
• от кого и по каким каналам связи ждать дальнейших инструкций.

Алгоритм действий для персонала лучше оформить в формате чек-листа. При DDoS-атаке, как и в любой другой чрезвычайной ситуации, разбираться с многостраничными инструкциями сможет далеко не каждый сотрудник.

К слову, пошаговые действия при DDoS-атаках часто описываются в более сложном и масштабном плане восстановления после инцидентов (Disaster Recovery Plan). Обычно документ распространяется на деятельность служб ИТ и ИБ, а также подрядчиков по этим направлениям. Но на практике встречается немало примеров, когда в реагировании на DDoS-атаку участвует намного больше лиц. Например, если из-за инцидента из строя выходит приложение или сайт крупного маркетплейса, то алгоритм чётких действий также должен быть у техподдержки, отдела по работе с партнёрами и PR-подразделения.

И наконец, иммунитет формируется благодаря тренировкам. Если у вас есть возможность проводить практические ИБ-учения, то рекомендуем делать это хотя бы раз в квартал. Так сотрудникам будет проще сориентироваться в случае реальной DDoS-атаки. Уровень хаоса при чрезвычайной ситуации будет ниже, а масштабы последствий — меньше.