Jakie są pierwsze kroki po wykryciu cyberataku?

Natychmiast izoluj zainfekowane systemy od sieci (odłącz kabel, wyłącz Wi-Fi, ale NIE wyłączaj komputerów — pamięć RAM zawiera dowody). Powiadom zespół IR lub zewnętrznego dostawcę incident response. Uruchom plan reagowania na incydenty. Zabezpiecz logi systemowe i dowody cyfrowe.

Czy po cyberataku trzeba zgłosić incydent do CSIRT?

Tak — zgodnie z ustawą o KSC (NIS2) podmioty kluczowe i ważne muszą zgłosić poważny incydent do właściwego CSIRT w ciągu 24 godzin od wykrycia (wstępne powiadomienie) i przekazać pełny raport w ciągu 72 godzin. Za brak zgłoszenia grożą kary do 10 mln EUR.

Ile kosztuje reakcja na cyberatak?

Średni koszt obsługi incydentu ransomware w Polsce to 150 000–500 000 PLN (containment, forensics, recovery). Do tego dochodzą koszty przestoju — średnio 300 000 PLN dziennie. Umowa retainer IR (8 000–15 000 PLN/mies.) gwarantuje reakcję w 2-4 godziny i znacząco obniża całkowity koszt incydentu.

Czy po ataku ransomware płacić okup?

Eksperci i organy ścigania jednoznacznie odradzają płacenie okupu. Powody: brak gwarancji odzyskania danych (30% firm nie odzyskuje mimo zapłaty), finansowanie przestępczości, ryzyko ponownego ataku (80% firm które zapłaciły zostaje zaatakowanych ponownie). Zamiast tego — skontaktuj się z zespołem IR, który może odzyskać dane bez płacenia.

Jak długo trwa powrót do normalnego działania po cyberataku?

Średni czas recovery po poważnym cyberataku to 23 dni (według IBM Cost of a Data Breach 2025). Firmy z planem IR i retainerem skracają ten czas do 5-7 dni. Kluczowe czynniki: szybkość izolacji, dostępność backupów, posiadanie planu reagowania i dostęp do zespołu forensic.

Co robić po cyberataku? Przewodnik reagowania krok po kroku

Cyberatak na firmę — co teraz?

Właśnie odkryłeś, że Twoja firma padła ofiarą cyberataku. Systemy nie działają, dane mogą być zaszyfrowane, a Ty nie wiesz od czego zacząć. To normalna reakcja — 73% firm przyznaje, że w momencie ataku nie wiedziało, jakie kroki podjąć.

Ten przewodnik prowadzi Cię przez dokładną procedurę reakcji — od pierwszych minut po wykryciu incydentu, przez zabezpieczenie dowodów, po odbudowę systemów i wyciąganie wniosków.

Ważne: Każda minuta zwłoki zwiększa skalę strat. Średni koszt przestoju to 300 000 PLN dziennie. Im szybciej zareagujesz, tym mniej stracisz.

Krok 1: Izolacja — powstrzymaj rozprzestrzenianie (pierwsze minuty)

Pierwszym i najważniejszym krokiem jest izolacja zainfekowanych systemów. Celem jest powstrzymanie atakującego przed dalszym rozprzestrzenianiem się w sieci.

Co robić:

Odłącz zainfekowane systemy od sieci — wyciągnij kabel Ethernet, wyłącz Wi-Fi
NIE wyłączaj komputerów — pamięć RAM zawiera kluczowe dowody (procesy, połączenia sieciowe, klucze szyfrowania), które znikną po restarcie
Odizoluj segmenty sieci — jeśli masz segmentację, zamknij komunikację między VLAN-ami
Zmień hasła do kont administracyjnych — natychmiast, z innego, czystego urządzenia
Zablokuj podejrzane konta w Active Directory/IAM

Czego NIE robić:

Nie formatuj dysków — zniszczysz dowody
Nie próbuj sam usuwać złośliwego oprogramowania
Nie komunikuj się z atakującym (szczególnie przy ransomware)
Nie używaj zainfekowanych urządzeń do komunikacji

Krok 2: Powiadomienie zespołu reagowania (pierwsza godzina)

Atak wymaga natychmiastowej mobilizacji odpowiednich osób. Kogo powiadomić i w jakiej kolejności:

Wewnętrznie:

Zespół IT/Security — natychmiast
Zarząd/C-level — w ciągu 30 minut (mają osobistą odpowiedzialność wg NIS2)
Dział prawny — w ciągu godziny (RODO, NIS2, obowiązki raportowania)
Dział PR/komunikacji — przygotowanie komunikatu kryzysowego

Zewnętrznie:

Zespół Incident Response — jeśli nie masz własnego, skontaktuj się z profesjonalnym dostawcą IR
Ubezpieczyciel — jeśli masz cyber insurance, powiadom natychmiast (wiele polis wymaga zgłoszenia w 24-48h)
CSIRT — obowiązek ustawowy (więcej w Kroku 5)

Wskazówka: Jeśli masz umowę retainer IR, Twój dostawca reaguje w gwarantowanym czasie (2-4 godziny). Bez retainera czas oczekiwania na zespół IR wynosi zazwyczaj 24-72 godziny.

Krok 3: Zabezpieczenie dowodów cyfrowych (pierwsze godziny)

Dowody cyfrowe są kluczowe zarówno dla ustalenia co się stało, jak i dla potencjalnego postępowania prawnego. Prawidłowe zabezpieczenie dowodów to zadanie dla specjalistów digital forensics.

Co zabezpieczyć:

Logi systemowe — Windows Event Log, syslog, logi firewalla, IDS/IPS
Zrzuty pamięci RAM — przed wyłączeniem systemów (narzędzia: FTK Imager, WinPmem)
Obrazy dysków — bitowa kopia (nie zwykłe kopiowanie plików)
Logi sieciowe — NetFlow, PCAP, logi proxy
Logi aplikacji — bazy danych, serwery webowe, VPN
Nagrania z monitoringu — jeśli podejrzewasz element fizyczny

Zasada łańcucha dowodowego:

Dokumentuj kto, kiedy i jak zabezpieczył każdy dowód. Brak łańcucha dowodowego może unieważnić materiał w postępowaniu prawnym.

Krok 4: Analiza i containment (pierwsze 24 godziny)

Zespół IR przeprowadza szczegółową analizę, aby odpowiedzieć na kluczowe pytania:

Co się stało? — wektor ataku, wykorzystane podatności
Kiedy się zaczęło? — timeline ataku (często atak trwa tygodnie przed wykryciem)
Co zostało skompromitowane? — dane, systemy, konta
Czy atak nadal trwa? — atakujący może mieć backdoor

Containment obejmuje:

Pełną identyfikację zainfekowanych systemów
Likwidację punktów dostępu atakującego (backdoory, webshelle)
Weryfikację integralności backupów (czy nie są zainfekowane)
Ustalenie czy doszło do wycieku danych (data exfiltration)

Krok 5: Zgłoszenia regulacyjne (24-72 godziny)

Zgodnie z ustawą o KSC (implementującą NIS2) i RODO, masz ustawowe obowiązki raportowania:

Ustawa o KSC (NIS2):

24 godziny — wstępne powiadomienie do właściwego CSIRT (CSIRT GOV, CSIRT NASK lub CSIRT MON)
72 godziny — pełny raport z oceną zagrożenia
1 miesiąc — raport końcowy z analizą przyczyn i podjętymi działaniami

RODO (jeśli doszło do wycieku danych osobowych):

72 godziny — zgłoszenie do UODO (Urzędu Ochrony Danych Osobowych)
Bez zbędnej zwłoki — powiadomienie osób, których dane dotyczą (jeśli wyciek stwarza wysokie ryzyko)

Kary za brak zgłoszenia:

KSC/NIS2: do 10 000 000 EUR lub 2% rocznego obrotu
RODO: do 20 000 000 EUR lub 4% rocznego obrotu

Krok 6: Eradykacja i recovery (dni–tygodnie)

Po pełnym zrozumieniu ataku i zabezpieczeniu dowodów, przystępujesz do usuwania zagrożenia i odbudowy:

Eradykacja:

Usunięcie złośliwego oprogramowania ze wszystkich systemów
Eliminacja backdoorów i persystencji atakującego
Resetowanie wszystkich skompromitowanych poświadczeń
Aktualizacja (patching) wykorzystanych podatności

Recovery:

Odbudowa systemów z czystych backupów (po weryfikacji integralności)
Stopniowe przywracanie usług — od krytycznych do mniej ważnych
Monitoring wzmocniony przez 30-90 dni (atakujący często wracają)
Testowanie odbudowanych systemów przed udostępnieniem użytkownikom

Kluczowe: Średni czas pełnego recovery to 23 dni. Z profesjonalnym zespołem IR i aktualnym planem reagowania można go skrócić do 5-7 dni.

Krok 7: Lessons learned i wzmocnienie (po incydencie)

Najważniejszy krok, który 60% firm pomija. Bez niego kolejny atak zakończy się tak samo.

Analiza post-incydentu:

Root cause analysis — co dokładnie zawiodło i dlaczego
Timeline reconstruction — pełna chronologia ataku
Gap analysis — które kontrole zawiodły, które zadziałały
Rekomendacje — priorytetyzowane działania naprawcze

Działania wzmacniające:

Aktualizacja planu reagowania na incydenty
Wdrożenie brakujących kontroli bezpieczeństwa
Szkolenia pracowników (świadomość zagrożeń)
Rozważenie SOC as a service lub MDR do ciągłego monitoringu
Regularne testy penetracyjne weryfikujące skuteczność poprawek

Scenariusze — co robić w konkretnych typach ataków

Ransomware

NIE płać okupu — 30% firm nie odzyskuje danych mimo zapłaty
Izoluj, zabezpiecz dowody, skontaktuj się z zespołem IR
Sprawdź No More Ransom — mogą istnieć dekryptory
Odbuduj z backupów (po weryfikacji, że nie są zainfekowane)

Wyciek danych (data breach)

Ustal zakres wycieku — jakie dane, ile rekordów, kogo dotyczą
Zgłoś do UODO w ciągu 72h
Powiadom osoby, których dane wyciekły
Skontaktuj się z ubezpieczycielem i prawnikiem

Atak DDoS

Aktywuj ochronę anty-DDoS (CDN, WAF, scrubbing center)
Skontaktuj się z ISP
Monitoruj czy DDoS nie jest przykrywką dla innego ataku
Analizuj wzorce — DDoS może być wstępem do wymuszenia

Jak się przygotować zanim atak nastąpi

Najlepsza reakcja na cyberatak to reakcja zaplanowana. Przygotuj się:

Plan reagowania na incydenty — dokument z procedurami, rolami i kontaktami
Umowa retainer IR — gwarantowany czas reakcji ekspertów
Testy penetracyjne — znajdź luki zanim zrobi to atakujący
Audyt bezpieczeństwa — niezależna ocena stanu zabezpieczeń
Backup 3-2-1 — 3 kopie, 2 nośniki, 1 offsite (testuj regularnie!)
Ćwiczenia tabletop — symulacja incydentu z kluczowymi osobami

Twoja firma doświadcza cyberataku? Skontaktuj się z zespołem Incident Response nFlo — reagujemy w 15 minut, 24/7.

Tematy powiązane

Zobacz również:

Co robić po cyberataku? Praktyczny przewodnik krok po kroku