Przejdź do treści
Cyberbezpieczeństwo

Ćwiczenia symulacyjne TableTop

Masz plan reagowania na incydent w szufladzie? Przetestuj go zanim będzie prawdziwy atak. Symulujemy ransomware, data breach, DDoS - identyfikujesz luki w procedurach i szkolisz zespół. NIS2 wymaga takich ćwiczeń.

Umów bezpłatną konsultację Zobacz szczegóły
Opiekun handlowy
Grzegorz Gnych

Grzegorz Gnych

Opiekun handlowy

+48 664 003 003grzegorz.gnych@nflo.pl

Czym są ćwiczenia symulacyjne TableTop?

Ćwiczenia TableTop to warsztaty dyskusyjne, podczas których zespół (IT, zarząd, PR, legal) reaguje na symulowany incydent – ransomware, wyciek danych lub DDoS – bez żadnego wpływu na działające systemy. nFlo projektuje scenariusz dopasowany do Twojej firmy, prowadzi 3–4-godzinne ćwiczenie i dostarcza raport z lukami oraz plan naprawczy; cena od 15 000 PLN.

Sprawdzony zespół
IT, OT, zarząd razem
Bez ryzyka
Symulacja nie wpływa na biznes
Zgodność z NIS2
Wymóg testowania planów IR

Plan w szufladzie to nie to samo co przygotowany zespół

73% firm nie testuje regularnie planów reagowania na incydenty

Realistyczne ćwiczenia w kontrolowanym środowisku

Scenariusz

Realistyczny incydent dopasowany do firmy

Facilitation

Prowadzimy dyskusję i obserwujemy reakcje

Lessons learned

Raport z lukami i rekomendacjami

Czym są Ćwiczenia symulacyjne tabletop?

Ćwiczenia symulacyjne tabletop to warsztaty dyskusyjne symulujące incydent bezpieczeństwa (ransomware, wyciek danych, atak APT) w celu przetestowania procedur, ról i zdolności decyzyjnych zespołu.

AtrybutWartość
FormatWarsztat 4-8 godzin
ScenariuszeRansomware, data breach, APT
UczestnicyIT, security, zarząd, komunikacja
DeliverableRaport z obserwacjami i rekomendacjami
Cenaod 15 000 PLN (stan na 2026)

Maersk - mieli plan IR, ale nie testowali go. Ransomware = 10 dni przestoju

W 2017 NotPetya zatrzymał globalnego giganta logistycznego Maersk. Mieli plan reagowania na incydent. Problem? Nigdy go nie przetestowali. Podczas prawdziwego ataku chaos trwał 10 dni - nikt nie wiedział kto co ma robić, jak komunikować się z klientami, czy płacić okup. Straty: 300 mln USD.

Bez testowania planów IR:

  • Plan w szufladzie nie jest tym samym co przygotowany zespół
  • Podczas stresu (prawdziwy incydent) ludzie nie wiedzą co robić
  • Chaos komunikacyjny - IT vs zarząd vs PR vs legal
  • Luki w procedurach wychodzą dopiero podczas ataku (za późno)
  • Decyzje ad-hoc zamiast sprawdzonego procesu
  • Nie spełniasz NIS2 (wymóg testowania planów)

Symulacja incydentu z Twoim zespołem przy stole

TableTop Exercise to warsztat - zespół siedzi przy stole (stąd nazwa), my prezentujemy scenariusz incydentu etapami, zespół dyskutuje i podejmuje decyzje. Nie ma kodu, nie ma serwerów - to ćwiczenie planowania i komunikacji.

Co dostajesz:

  • Scenariusz incydentu dopasowany do Twojej firmy (ransomware, data breach, DDoS, sabotaż, etc.)
  • 2-4h warsztatu z Twoim zespołem (IT, OT, zarząd, PR, legal)
  • Facilitację - prowadzimy ćwiczenie, zadajemy pytania, obserwujemy
  • Symulację w etapach - incydent eskaluje, zespół reaguje
  • Testowanie procedur - czy działają w praktyce?
  • Testowanie komunikacji - kto komu raportuje, kto podejmuje decyzje
  • Identyfikację luk - czego brakuje w planie
  • Raport z obserwacji i rekomendacjami
  • Plan działań naprawczych

Dla kogo?

Ta usługa jest dla Ciebie, jeśli:

  • Masz plan reagowania na incydent ale nigdy go nie testowałeś
  • Chcesz spełnić NIS2 (wymóg regularnych ćwiczeń IR)
  • Zmienił się zespół lub procedury - chcesz sprawdzić czy działają
  • Przeszedłeś transformację (cloud, OT+IT) - nowa architektura = nowe ryzyka
  • Widzisz ataki w branży i chcesz być przygotowany

Typowe scenariusze

Ransomware

Faza 1: Wykrycie

  • “Poniedziałek 7:00 - monitoring zgłasza szyfrowanie plików na file serverze”
  • Pytania: Kto dostaje alert? Jak szybko eskaluje? Kto podejmuje decyzje?

Faza 2: Ocena zakresu

  • “Ransomware rozprzestrzenia się - 50 workstacji zaszyfrowanych”
  • Pytania: Czy odcinamy sieć? Jak komunikujemy się z pracownikami? Kto informuje zarząd?

Faza 3: Containment

  • “IT chce wyłączyć całą sieć. Produkcja protestuje - przestój to 500k/dzień”
  • Pytania: Kto ma ostatnie słowo? Czy OT jest bezpieczne? Jak chronić backup?

Faza 4: Żądanie okupu

  • “Atakujący żądają 2 mln USD w Bitcoin. Masz 48h”
  • Pytania: Czy płacić? Kto decyduje? Czy zgłaszać policji? Jak komunikować z klientami?

Faza 5: Recovery

  • “Backup działa ale recovery zajmie 72h”
  • Pytania: Co przywracać najpierw? Jak weryfikować że ransomware nie wraca?

Faza 6: Post-incident

  • “Media pytają o incydent. GIODO wymaga raportowania”
  • Pytania: Co mówić publicznie? Jak zgłosić do regulatora?

Data Breach

Scenario: Wyciek danych osobowych klientów

  • Etap 1: Wykrycie anomalii w bazie danych
  • Etap 2: Potwierdzenie wycieku (100k rekordów z PII)
  • Etap 3: Obowiązek zgłoszenia (72h do GIODO)
  • Etap 4: Komunikacja z klientami
  • Etap 5: Forensics i root cause

DDoS Attack

Scenario: Atak DDoS na infrastrukturę online

  • Etap 1: Witryna/API nie odpowiada
  • Etap 2: Potwierdzenie DDoS (volumetric attack)
  • Etap 3: Mitigacja (Cloudflare? Zmiana DNS?)
  • Etap 4: Decyzja o komunikacji (czy mówić klientom?)
  • Etap 5: Recovery i post-mortem

Insider Threat

Scenario: Zwolniony admin sabotuje systemy

  • Etap 1: Wykrycie zmian w produkcji (usuniete backupy)
  • Etap 2: Identyfikacja sprawcy (były pracownik?)
  • Etap 3: Zawiadomienie prawne
  • Etap 4: Recovery i audit dostępów

Supply Chain Attack

Scenario: Dostawca software został zhackowany

  • Etap 1: Informacja o compromised vendor
  • Etap 2: Ocena ryzyka (czy używamy tego software?)
  • Etap 3: Izolacja systemów z vendor software
  • Etap 4: Patching i monitoring

Jak przebiega ćwiczenie

Typowy TableTop 3h

Przygotowanie (przed warsztatem):

  • Zbieramy info o Twojej firmie (architektura, procesy, zespół)
  • Projektujemy scenariusz dopasowany do Twoich ryzyk
  • Przygotowujemy materiały (slide deck z etapami incydentu)

Agenda warsztatu:

0:00-0:15: Wprowadzenie

  • Przedstawienie zasad
  • Przypomnienie planu IR
  • Role uczestników

0:15-0:30: Faza 1 - Wykrycie

  • Prezentujemy pierwszy etap incydentu
  • Pytania: Co robicie? Kto komu raportuje?
  • Dyskusja zespołu
  • Obserwacja i notatki

0:30-1:00: Faza 2-3 - Ocena i Containment

  • Incydent eskaluje
  • Nowe informacje (rozprzestrzenianie, dodatkowe systemy dotknięte)
  • Zespół podejmuje decyzje
  • Testujemy procedury

1:00-1:15: Przerwa

1:15-2:00: Faza 4-5 - Eradication i Recovery

  • Kryzysowe decyzje (płacić okup? wyłączyć produkcję?)
  • Komunikacja zewnętrzna (klienci, media, regulator)
  • Plan recovery

2:00-2:30: Faza 6 - Post-incident

  • Lessons learned
  • Co poszło dobrze, co źle
  • Luki w procedurach

2:30-3:00: Podsumowanie

  • Nasze obserwacje
  • Top 5 findings
  • Rekomendacje quick wins

Co oceniamy

Kryteria obserwacji

Komunikacja:

  • Czy wszyscy wiedzą kto komu raportuje?
  • Czy jest jasna struktura dowodzenia?
  • Czy informacje docierają do właściwych osób?
  • Czy komunikacja zewnętrzna jest spójna?

Procedury:

  • Czy zespół zna plan IR?
  • Czy procedury są aktualne i kompletne?
  • Czy role są jasno zdefiniowane?
  • Czy są luki w procesach?

Decyzje:

  • Kto podejmuje kluczowe decyzje?
  • Czy decyzje są szybkie vs przemyślane?
  • Czy uwzględniany jest wpływ biznesowy?
  • Czy legal/compliance są włączeni?

Techniczne:

  • Czy zespół IT wie jak izolować incydent?
  • Czy backupy są dostępne i testowane?
  • Czy forensics jest możliwy?
  • Czy monitoring wystarczy do wykrycia?

Kultura:

  • Czy zespół współpracuje vs obwinia?
  • Czy są konflikty IT vs OT vs biznes?
  • Czy jest blame culture vs learn culture?

Format raportu

Co dostajesz po ćwiczeniu

Executive Summary (2-3 strony):

  • Ocena ogólna gotowości zespołu
  • Top 5 findings (co wymaga pilnej poprawy)
  • Top 5 strong points (co działa dobrze)

Detailed Observations (10-15 stron):

  • Analiza każdej fazy ćwiczenia
  • Obserwacje komunikacji i decyzji
  • Luki w procedurach
  • Przykłady dialogu i decyzji

Recommendations (5-7 stron):

  • Konkretne działania naprawcze
  • Priorytetyzacja (quick wins vs długoterminowe)
  • Szacowany effort dla każdej rekomendacji

Action Plan:

  • Lista zadań do wdrożenia
  • Owners i timeline
  • Metryki sukcesu

Powiązane pojęcia

Dowiedz się więcej o kluczowych pojęciach związanych z tą usługą:

Skontaktuj się z opiekunem

Porozmawiaj o Ćwiczenia symulacyjne TableTop z dedykowanym opiekunem handlowym.

Opiekun handlowy
Grzegorz Gnych

Grzegorz Gnych

Opiekun handlowy

+48 664 003 003grzegorz.gnych@nflo.pl
Odpowiedz w ciagu 24 godzin
Bezplatna konsultacja
Indywidualna wycena

Podanie numeru telefonu przyspieszy kontakt.

Jak pracujemy

Sprawdzony proces realizacji usługi.

01

Projektowanie scenariusza

Incydent dopasowany do Twojej firmy

02

Ćwiczenie TableTop

2-4h warsztatu z zespołem

03

Analiza reakcji

Obserwacja decyzji i komunikacji

04

Raport

Luki w procedurach i plan naprawy

Korzyści dla Twojej firmy

Co zyskujesz wybierając tę usługę.

Szybsza reakcja

Zespół wie co robić - nie improwizuje

Lepsza komunikacja

IT, zarząd, PR - wszyscy wiedzą kto co robi

Zgodność z NIS2

Wymóg testowania planów reagowania

Znajdź luki teraz

Zanim będzie prawdziwy incydent

Powiązane artykuły

Pogłęb swoją wiedzę z naszej bazy wiedzy.

Baza wiedzy

Co robić po cyberataku? Praktyczny przewodnik krok po kroku

Cyberatak na Twoją firmę to kwestia czasu. Gdy nastąpi, pierwsze 60 minut decyduje o skali strat. Ten przewodnik prowadzi krok po kroku przez reakcję na incydent — od izolacji, przez forensics, po odbudowę i wnioski.

Czytaj więcej →
Baza wiedzy

Cyber resilience (cyberodporność) — jak zbudować odporną organizację na cyberataki

Cyber resilience to zdolność organizacji do zapobiegania, przeciwstawiania się i odzyskiwania sprawności po incydentach cyberbezpieczeństwa. Poznaj frameworki, narzędzia i strategię wdrożenia.

Czytaj więcej →
Baza wiedzy

Zarządzanie incydentami — czym jest incident management i jak wdrożyć?

Zarządzanie incydentami to kluczowy proces cyberbezpieczeństwa obejmujący wykrywanie, analizę, powstrzymywanie i eliminowanie zagrożeń. Poznaj fazy, role, narzędzia i najlepsze praktyki incident management.

Czytaj więcej →

Najczęściej zadawane pytania

Odpowiedzi na pytania dotyczące Ćwiczenia symulacyjne TableTop.

Ile trwa ćwiczenie TableTop i kto powinien uczestniczyć?

Standardowe ćwiczenie trwa 3-4 godziny. Powinni uczestniczyć: zespół IT/security, przedstawiciele zarządu, dział komunikacji/PR, dział prawny. Optymalna grupa to 8-15 osób.

Czy ćwiczenie wpływa na działanie systemów produkcyjnych?

Nie. TableTop to warsztat dyskusyjny - zespół siedzi przy stole i omawia scenariusz incydentu. Nie dotykamy systemów, nie uruchamiamy żadnego kodu. To ćwiczenie planowania i komunikacji, nie test techniczny.

Jakie scenariusze incydentów oferujecie?

Projektujemy scenariusze dopasowane do Twojej firmy: ransomware, data breach, DDoS, insider threat, supply chain attack. Scenariusz uwzględnia Twoją branżę, architekturę IT i realne zagrożenia.

Co dostajemy po zakończeniu ćwiczenia?

Raport zawiera: executive summary (2-3 strony), szczegółowe obserwacje z każdej fazy (10-15 stron), rekomendacje z priorytetyzacją (5-7 stron) oraz action plan z ownerami i timeline. Dostarczamy go w ciągu 5 dni roboczych.

Czy ćwiczenia TableTop spełniają wymogi NIS2?

Tak. NIS2 wymaga regularnego testowania planów reagowania na incydenty. Ćwiczenia TableTop są uznaną metodą spełnienia tego wymogu. Po ćwiczeniu dostarczamy dokumentację potwierdzającą przeprowadzenie testu.

Chcesz obniżyć ryzyko i koszty IT?

Umów bezpłatną konsultację - odpowiemy w ciągu 24h

Odpowiedź w 24h Bezpłatna wycena Bez zobowiązań
Umów rozmowę +48 22 487 86 36

Lub pobierz bezpłatny przewodnik:

Pobierz checklistę NIS2