Wyobraź sobie klasyczny, piątkowy scenariusz. Jest godzina 15:30. Zespół powoli myśli o weekendzie, gdy nagle na ekranach komputerów w dziale księgowości pojawia się czerwony komunikat z żądaniem okupu. Telefony zaczynają dzwonić jeden po drugim, a serwer plików przestaje odpowiadać. W firmie wybucha panika.
W świecie IT mawia się, że firmy dzielą się na te, które zaliczyły wyciek danych lub cyberatak, i na te, które dopiero go zaliczą.
Kiedy nagle orientujesz się, że systemy leżą, w głowie pojawia się tylko jedna myśl: panika. To całkowicie naturalne. Jednak w cyberbezpieczeństwie najgorsze, co można wtedy zrobić, to działać pod wpływem emocji. Pierwsza doba po wykryciu ataku to tzw. „złote godziny”. Każdy ruch, który teraz wykonasz (lub którego zaniechasz), zadecyduje o tym, czy za kilka dni Wasz biznes wróci na tory, czy utkniecie w bagnie kar administracyjnych, strat finansowych i wizerunkowego kryzysu.
Nie musisz jednak improwizować. Przygotowaliśmy dla Ciebie praktyczny plan działania na pierwsze 24 godziny po ataku hakerskim. Oparliśmy go na twardych standardach NIST oraz nowych unijnych wymogach NIS2 – podajemy go w prostej, życiowej formie, bez zbędnego zadęcia i żargonu.
🛡️ Godziny 1–2: Szybka selekcja i odcięcie zagrożenia.
Wyobraź sobie, że jesteś ratownikiem medycznym na miejscu wypadku. Nie zaczynasz od wypełniania dokumentów ani mycia ambulansu – najpierw musisz po prostu zatamować krwotok. W świecie IT jest dokładnie tak samo. Twoim pierwszym zadaniem jest natychmiastowe odcięcie napastnika od reszty systemów, zanim narobi jeszcze większych szkód.
Czego absolutnie NIE robić w odruchu paniki?
- Nie wyłączaj komputerów z gniazdka i nie restartuj serwerów! To najczęstszy błąd, który popełniamy, gdy puszczają nam nerwy. Wyłączając sprzęt, bezpowrotnie kasujesz pamięć RAM. A to właśnie tam kryją się kluczowe dowody dla ekspertów od informatyki śledczej (np. aktywne procesy złośliwego oprogramowania czy klucze szyfrujące ransomware). Wyciągnięcie wtyczki z kontaktu to jak zmycie odcisków palców z miejsca przestępstwa.
Co należy zrobić natychmiast?
- Odłącz zainfekowane urządzenia od sieci: Odłącz kable sieciowe (Ethernet) i wyłącz Wi-Fi w maszynach, które wykazują anomalie. Jeśli to możliwe, odizoluj zaatakowany segment sieci na poziomie przełączników (VLAN).
- Zablokuj konta użytkowników: Jeśli podejrzewasz, że wektorem ataku było przejęcie poświadczeń (np. phishing), natychmiast zresetuj hasła i sesje podejrzanych użytkowników w Active Directory / Entra ID.
- Wstrzymaj automatyczne kopie zapasowe: Jeśli systemy backupu działają w trybie ciągłym, natychmiast je zapauzuj. Nie chcesz, aby zaszyfrowane lub zainfekowane pliki nadpisały Twoje czyste kopie zapasowe.
Wskazówka praktyczna: Reakcja na incydent cyberbezpieczeństwo wymaga zimnej krwi. Zamiast biegać od biurka do biurka, wyznacz jedną osobę koordynującą i zacznij prowadzić szczegółowy dziennik zdarzeń (logbook). Zapisuj każdą decyzję, godzinę jej podjęcia i osoby zaangażowane. Te notatki będą bezcenne podczas audytu i postępowań prawnych.
🛡️ Godziny 2–6: Aktywacja Planu (IR Plan firma) i powołanie sztabu kryzysowego.
Próba gaszenia pożaru w pojedynkę to prosta droga do katastrofy. Do godziny trzeciej od wykrycia incydentu musi zacząć działać Twój IR plan (firma).
Kto powinien wejść w skład Sztabu Kryzysowego (Incident Response Team)?
Profesjonalne incident response procedury zakładają, że w skład zespołu wchodzą nie tylko specjaliści IT:
- Dowódca Incydentu (Incident Commander): Osoba decyzyjna (np. CISO, Dyrektor IT), która zarządza operacją i ma uprawnienia do wyłączania kluczowych systemów biznesowych.
- Zespół Techniczny (SecOps / SysAdmins): Osoby odpowiedzialne za analizę techniczną i łagodzenie skutków.
- Dział Prawny / Inspektor Ochrony Danych (IOD): Kluczowy gracz w kontekście analizy wycieku danych osobowych (RODO) oraz obowiązków raportowania.
- Dział PR / Komunikacji: Osoba odpowiedzialna za przygotowanie komunikatów wewnętrznych i zewnętrznych.
Bezpieczna komunikacja „Out-of-Band”
Hakerzy, którzy spędzili w Twojej sieci tygodnie przed uruchomieniem ataku, mogą kontrolować Twoją pocztę e-mail, Teamsy czy Slacka. Zakładanie sztabu kryzysowego na firmowym komunikatorze to zaproszenie napastnika do pierwszego rzędu widowni.
Uruchom kanał komunikacji pozapasmowej (out-of-band). Wykorzystaj prywatne telefony, szyfrowane komunikatory typu Signal lub dedykowane, czyste środowisko chmurowe, do którego napastnik nie miał dostępu.
🛡️ Godziny 6–12: Analiza, zachowanie dowodów i zegar legislacyjny.
Gdy sytuacja jest względnie opanowana (atak nie rozprzestrzenia się dalej), czas na ustalenie: co właściwie się stało? oraz jakie obowiązki prawne na nas ciążą?.
[ WYKRYCIE INCYDENTU ]
│
▼
┌───────────────────────────┐
│ Pierwsze 24h: │ ──► Zgłoszenie NIS2 (Wczesne Ostrzeżenie)
│ Izolacja i Analiza │
└───────────────────────────┘
│
▼
┌───────────────────────────┐
│ Do 72h: │ ──► Zgłoszenie RODO (UODO) i pełny raport NIS2
│ Zgłoszenia i PR │
└───────────────────────────┘
Zabezpieczenie dowodów (Forensics)
Wszystkie działania analityczne powinny być prowadzone na kopiach posektorowych dysków (tzw. forensic image), a nie na żywych, zainfekowanych systemach. Naruszenie integralności dowodów może uniemożliwić późniejsze pociągnięcie sprawców do odpowiedzialności lub ubieganie się o wypłatę odszkodowania z polisy cyber-insurance.
Zegar tyka: NIS2 i RODO
To faza, w której kluczową rolę odgrywają ramy prawne. Jeśli Twoja organizacja kwalifikuje się jako podmiot kluczowy lub ważny w myśl unijnej dyrektywy NIS2, musisz pamiętać o rygorystycznych terminach:
- Zgłoszenie incydentu NIS2 (w ciągu 24 godzin): Zgodnie z art. 23 dyrektywy NIS2, podmioty mają obowiązek przedłożyć właściwemu organowi (w Polsce np. odpowiedniemu CSIRT MON, NASK lub GOV) wczesne ostrzeżenie (early warning). Powinno ono wskazywać, czy incydent został wywołany działaniem bezprawnym oraz czy ma charakter transgraniczny.
- Zgłoszenie RODO (w ciągu 72 godzin): Jeśli doszło do naruszenia poufności danych osobowych, masz maksymalnie 72 godziny na zgłoszenie incydentu do Urzędu Ochrony Danych Osobowych (UODO).
| Regulacja | Termin zgłoszenia | Do kogo? | Co zgłaszamy w pierwszym kroku? |
| NIS2 | 24 godziny | Właściwy CSIRT | Wczesne ostrzeżenie o poważnym incydencie |
| RODO | 72 godziny | UODO | Zgłoszenie naruszenia ochrony danych osobowych |
🛡️ Godziny 12–24: Opanowanie sytuacji, planowanie odtwarzania i pierwsza komunikacja.
Druga połowa pierwszej doby to czas na przejście od defensywy do kontrataku (rozumianego jako eliminacja zagrożenia) oraz opanowanie chaosu informacyjnego.
Eliminacja zagrożenia (Eradication)
Nie możesz po prostu przywrócić systemów z kopii zapasowej, dopóki nie dowiesz się, jak haker wszedł do sieci. Jeśli nie załatasz luki (np. podatności w VPN czy serwerze pocztowym), napastnik po odtworzeniu systemów zaszyfruje je ponownie w ciągu kilku minut.
- Zidentyfikuj „pacjenta zero” i wektor wejścia.
- Usuń złośliwe oprogramowanie, zamknij podatne porty, zablokuj zidentyfikowane adresy IP (IoC – Indicators of Compromise).
- Zweryfikuj integralność backupów: Upewnij się, że kopie zapasowe nie zostały zmodyfikowane przez ransomware.
Komunikacja kryzysowa
Do końca 24. godziny powinieneś mieć przygotowany pierwszy, spójny komunikat dla pracowników oraz – jeśli sytuacja tego wymaga – dla klientów i mediów.
Zasada złotej przejrzystości: Nie kłam. Jeśli dane wyciekły, nie mów, że „trwają prace konserwacyjne”. Prawda zawsze wychodzi na jaw, a próby tuszowania incydentów niszczą reputację firmy bezpowrotnie. Informuj o tym, co się stało, co robisz, aby rozwiązać problem i jakie kroki powinni podjąć poszkodowani (np. zmiana haseł).
🛡️ Dlaczego Security Awareness to najlepszy element Twojego IR Planu?
Analizując powyższy scenariusz, łatwo dojść do wniosku, że działania reaktywne są piekielnie drogie, stresujące i obarczone ryzykiem błędu ludzkiego. Statystyki są nieubłagane: ponad 80% incydentów cyberbezpieczeństwa ma swój początek w czynniku ludzkim (phishing, socjotechnika, słabe hasła).
Nawet najbardziej zaawansowane procedury IR nie pomogą, jeśli pracownicy nie będą wiedzieli, co robić po ataku hakerskim. Budowanie kultury bezpieczeństwa (Security Awareness) w organizacji to inwestycja, która drastycznie skraca czas reakcji na incydent. Dobrze przeszkolony pracownik:
- Nie kliknie w podejrzany link, a jeśli to zrobi – natychmiast zgłosi ten fakt do działu IT, zamiast go ukrywać ze strachu przed karą.
- Będzie wiedział, jak odróżnić rutynowe działania administratora od próby wyłudzenia danych.
- W krytycznym momencie nie podejmie samodzielnych prób „naprawiania” systemu, które mogłyby zatrzeć dowody cyfrowe.
Systematyczne szkolenia z zakresu cyberbezpieczeństwa oraz symulacje ataków phishingowych powinny być integralną częścią strategii obronnej każdej firmy, która aspiruje do zgodności z NIS2.
🛡️ Checklist: Twoje pierwsze 24 godziny (Ściągawka kryzysowa).
Zapisz tę listę i miej ją pod ręką. W momencie ataku nie będziesz mieć czasu na ponowne czytanie artykułów.
- [0–2h] Odizolowano zainfekowane hosty od sieci (bez wyłączania z prądu!).
- [0–2h] Rozpoczęto prowadzenie szczegółowego logbooka incydentu.
- [2–6h] Powołano Sztab Kryzysowego i wyznaczono Incident Commandera.
- [2–6h] Przeniesiono komunikację sztabu na bezpieczny kanał pozapasmowy.
- [6–12h] Zabezpieczono dowody cyfrowe (kopie RAM, obrazy dysków, logi z firewalli).
- [6–12h] Dokonano oceny prawnej pod kątem RODO i NIS2.
- [12–24h] Wysłano wczesne ostrzeżenie do właściwego CSIRT (wymóg NIS2 – 24h!).
- [12–24h] Zidentyfikowano wektor ataku i rozpoczęto eliminację luk.
- [12–24h] Przygotowano i wdrożono plan komunikacji wewnętrznej i zewnętrznej.
Wykonaj darmowy audyt Security Check I Know IT dla swojej firmy 👉 tutaj.
Cyberbezpieczeństwo to nie stan statyczny, ale ciągły proces. Przygotowanie planu Incident Response oraz regularne edukowanie zespołu w ramach Security Awareness to jedyna tarcza, która pozwoli Twojej firmie przetrwać najtrudniejszą dobę w jej historii. Czy Twój zespół jest gotowy na godzinę zero?
Masz pytania? Skontaktuj się z nami – pomożemy dobrać szkolenie do Twoich potrzeb.
Zespół I know IT – Eksperci Cybersecurity | Doradztwo | Szkolenia
