Blog

Plan incydentu w firmie. Pierwsze 24 godziny - krok po kroku

Cyberbezpieczeństwo
avatar

Łukasz Ozimek

Dyrektor operacyjny

Udostępnij
Lead image

Plan incydentu w firmie. Pierwsze 24 godziny - krok po kroku

Cyberatak zazwyczaj paraliżuje firmę w najmniej oczekiwanym momencie. Wtedy chaos i brak decyzji kosztują więcej niż sam atak hakerów. Zamiast dyskutować „co robić?", uruchom gotowy plan. Zobacz jak nasze wsparcie w zakresie cyberbezpieczeństwa przeprowadzi Cię przez ten kryzys.

Godzina 0-1 - tamowanie krwotoku i izolacja

Często po wykryciu anomalii pracownicy odruchowo chcą wyłączyć zasilanie. To błąd. Jeśli wyciągniesz wtyczkę, zniszczysz zawartość pamięci RAM, a wraz z nią bezcenne ślady cyfrowe potrzebne do późniejszej analizy (forensic). Skoro więc nie wtyczka, to co?

Trzeba natychmiast odciąć zainfekowane zasoby od reszty sieci, więc fizycznie wypnij kable lub zablokuj ruch na firewallu i wyłącz połączenia VPN. Dzięki temu złośliwe oprogramowanie nie zainfekuje kolejnych systemów. W tym samym czasie zbierz Sztab Kryzysowy. Decydenci IT, prawnik oraz zarząd muszą natychmiast znaleźć się w jednym pokoju (lub na szyfrowanym kanale).

Wyznacz jedną osobę decyzyjną - Crisis Commandera, która weźmie odpowiedzialność i w razie potrzeby będzie wyłączać kolejne usługi.

Godzina 1-4 - diagnoza i ocena strat

Systemy są odizolowane, więc sytuacja przestała się pogarszać. Teraz trzeba zrozumieć, z czym walczysz. Czy to ransomware szyfrujący dyski, czy cichy wyciek danych? Przy rozległej infrastukturze ręczne przeglądanie logów trwałoby zbyt długo, dlatego warto polegać na automatyzacji.

Przydadzą Ci się narzędzia takie jak Exea SIRP (Security Incident Response Platform), które automatycznie zbierają i konsolidują alerty z wielu źródeł. Dzięki nim zamiast tysiąca niezrozumiałych komunikatów, zespół otrzymuje priorytetyzowane informacje o wektorze ataku. Najważniejszy jest czas reakcji - widać to na przykładzie opisanym w naszym artykule „Cyberatak na firmę Scania Polska". Im szybciej znajdziesz lukę, tym mniejsze będą straty wizerunkowe i operacyjne.

Jednak samo narzędzie nie wystarczy - ktoś musi te dane zinterpretować. Jeśli nie masz własnego zespołu zdolnego do analizy cyberbezpieczeństwa 24/7, wsparcie zewnętrznego SOC (Security Operations Center) działa jak najlepsza polisa. Eksperci L1 i L2 będą walczyć z intruzem, a Ty zajmiesz się firmą.

Godzina 4-12 - strategia komunikacji

Wiedza techniczna to za mało, gdy zaczynają dzwonić telefony w dziale obsługi klienta. Pamiętaj, że milczenie rodzi nieufność i plotki, które w mediach społecznościowych rozchodzą się szybciej niż wirus w sieci.

Przygotuj komunikat dla trzech grup odbiorców:

  • pracownicy - „mamy awarię, nie włączajcie komputerów, pracujemy nad tym";
  • klienci - poinformuj ich o utrudnieniach, ale nie składaj obietnic bez pokrycia;
  • media/partnerzy - jeśli wyciek jest duży, wydaj oświadczenie, zanim zrobi to ktoś inny.

Przykładowy komunikat kryzysowy mógłby wyglądać tak:

„W dniu [DATA] odnotowaliśmy incydent, przez który nasze usługi mogą nie działać. Uruchomiliśmy procedury awaryjne i odizolowaliśmy zagrożenie. Bezpieczeństwo danych jest naszym priorytetem. O postępach prac będziemy informować na bieżąco".

Unikaj spekulacji - lepiej powiedzieć mniej, ale opierać się na faktach dostarczonych przez zespół IT lub zewnętrznych audytorów.

Godzina 12-24 - obowiązki prawne i ścieżka powrotu

Teraz do gry wchodzą regulacje prawne. Incydent trzeba zgłosić odpowiednim organom - masz na to zazwyczaj określony czas (np. 72 godziny w przypadku RODO), ale warto zacząć przygotowywać dokumentację wcześniej.

Co i gdzie zgłosić?

  • CSIRT (NASK, GOV lub MON) - wypełnij formularz incydentu. To obowiązek dla operatorów najważniejszych usług, ale dobra praktyka dla każdego.
  • UODO - jeśli istnieje ryzyko naruszenia praw lub wolności osób fizycznych (wyciek danych osobowych).
  • Policja/Prokuratura - zawiadom prokuraturę o podejrzeniu popełnienia przestępstwa.

Podczas gdy trwają dziaania prawne, technicy muszą zacząć przywracać środowisko. Tu sprawdza się stara prawda: backup to jedyna metoda na ransomware, która działa w 100%. Jeśli korzystasz z rozwiązań Exea Data Center, gdy odtworzysz dane z bezpiecznych kopii zapasowych, wznowisz pracę na czystej infrastrukturze. Pamiętaj, by przed przywróceniem danych załatać lukę, którą weszli napastnicy. Wykorzystaj do tego gotowe raporty z usługi Vulnerability Management.

Pierwsza doba przesądza o tym, czy firma wyjdzie z ataku poobijana, czy zniszczona. Mając u boku partnera technologicznego i sprawdzony plan, nie masz powodu do paniki - wystarczy postępować zgodnie z procedurami.

Wydrukuj listę kontaktów i powieś ją w pokoju zarządu.

Podobne artykuły

  • Lead image

    Microsoft 365 w firmie - 12 ustawień bezpieczeństwa do włączenia teraz

  • Lead image

    Ćwiczenia incydentowe w firmie: scenariusz 90 minut dla zarządu

  • Lead image

    Backup niemodyfikowalny w firmie – kiedy ratuje przed okupem?

  • Lead image

    Menedżer haseł: czy warto mieć w firmie i go jak wdrożyć bez oporu?

  • Lead image

    Aktualizacje i „łatki” – dlaczego „później” bywa najdroższe?

Skontaktuj się z nami

Exea Data Center
ul. Włocławska 167
87-100 Toruń
Polska

Oferta usług
+48 690 870 906
biznes@exea.pl

Wsparcie
Zaloguj się
Baza wiedzy

Logo
Logo
Logo
Logo
Logo
Social media iconSocial media iconSocial media icon
EXEA Sp. z o.o. © copyright 2026, wszystkie prawa zastrzeżone NIP 956-229-55-31, KRS 0000394866, BDO 000456614, Kapitał zakładowy 32 330 000,00 PLN
designed & developed by: fabricstudio.pl