Ćwiczenia symulacyjne TableTop

Czym są Ćwiczenia symulacyjne tabletop?

Ćwiczenia symulacyjne tabletop to warsztaty dyskusyjne symulujące incydent bezpieczeństwa (ransomware, wyciek danych, atak APT) w celu przetestowania procedur, ról i zdolności decyzyjnych zespołu.

Atrybut	Wartość
Format	Warsztat 4-8 godzin
Scenariusze	Ransomware, data breach, APT
Uczestnicy	IT, security, zarząd, komunikacja
Deliverable	Raport z obserwacjami i rekomendacjami
Cena	od 15 000 PLN (stan na 2026)

nFlo oferuje ćwiczenia symulacyjne tabletop dla firm w Polsce, zapewniając profesjonalne wsparcie i zgodność z najlepszymi praktykami branżowymi.

Maersk - mieli plan IR, ale nie testowali go. Ransomware = 10 dni przestoju

W 2017 NotPetya zatrzymał globalnego giganta logistycznego Maersk. Mieli plan reagowania na incydent. Problem? Nigdy go nie przetestowali. Podczas prawdziwego ataku chaos trwał 10 dni - nikt nie wiedział kto co ma robić, jak komunikować się z klientami, czy płacić okup. Straty: 300 mln USD.

Bez testowania planów IR:

• Plan w szufladzie nie jest tym samym co przygotowany zespół
• Podczas stresu (prawdziwy incydent) ludzie nie wiedzą co robić
• Chaos komunikacyjny - IT vs zarząd vs PR vs legal
• Luki w procedurach wychodzą dopiero podczas ataku (za późno)
• Decyzje ad-hoc zamiast sprawdzonego procesu
• Nie spełniasz NIS2 (wymóg testowania planów)

Symulacja incydentu z Twoim zespołem przy stole

TableTop Exercise to warsztat - zespół siedzi przy stole (stąd nazwa), my prezentujemy scenariusz incydentu etapami, zespół dyskutuje i podejmuje decyzje. Nie ma kodu, nie ma serwerów - to ćwiczenie planowania i komunikacji.

Co dostajesz:

• Scenariusz incydentu dopasowany do Twojej firmy (ransomware, data breach, DDoS, sabotaż, etc.)
• 2-4h warsztatu z Twoim zespołem (IT, OT, zarząd, PR, legal)
• Facilitację - prowadzimy ćwiczenie, zadajemy pytania, obserwujemy
• Symulację w etapach - incydent eskaluje, zespół reaguje
• Testowanie procedur - czy działają w praktyce?
• Testowanie komunikacji - kto komu raportuje, kto podejmuje decyzje
• Identyfikację luk - czego brakuje w planie
• Raport z obserwacji i rekomendacjami
• Plan działań naprawczych

Dla kogo?

Ta usługa jest dla Ciebie, jeśli:

• Masz plan reagowania na incydent ale nigdy go nie testowałeś
• Chcesz spełnić NIS2 (wymóg regularnych ćwiczeń IR)
• Zmienił się zespół lub procedury - chcesz sprawdzić czy działają
• Przeszedłeś transformację (cloud, OT+IT) - nowa architektura = nowe ryzyka
• Widzisz ataki w branży i chcesz być przygotowany

Typowe scenariusze

Ransomware

Faza 1: Wykrycie

• “Poniedziałek 7:00 - monitoring zgłasza szyfrowanie plików na file serverze”
• Pytania: Kto dostaje alert? Jak szybko eskaluje? Kto podejmuje decyzje?

Faza 2: Ocena zakresu

• “Ransomware rozprzestrzenia się - 50 workstacji zaszyfrowanych”
• Pytania: Czy odcinamy sieć? Jak komunikujemy się z pracownikami? Kto informuje zarząd?

Faza 3: Containment

• “IT chce wyłączyć całą sieć. Produkcja protestuje - przestój to 500k/dzień”
• Pytania: Kto ma ostatnie słowo? Czy OT jest bezpieczne? Jak chronić backup?

Faza 4: Żądanie okupu

• “Atakujący żądają 2 mln USD w Bitcoin. Masz 48h”
• Pytania: Czy płacić? Kto decyduje? Czy zgłaszać policji? Jak komunikować z klientami?

Faza 5: Recovery

• “Backup działa ale recovery zajmie 72h”
• Pytania: Co przywracać najpierw? Jak weryfikować że ransomware nie wraca?

Faza 6: Post-incident

• “Media pytają o incydent. GIODO wymaga raportowania”
• Pytania: Co mówić publicznie? Jak zgłosić do regulatora?

Data Breach

Scenario: Wyciek danych osobowych klientów

• Etap 1: Wykrycie anomalii w bazie danych
• Etap 2: Potwierdzenie wycieku (100k rekordów z PII)
• Etap 3: Obowiązek zgłoszenia (72h do GIODO)
• Etap 4: Komunikacja z klientami
• Etap 5: Forensics i root cause

DDoS Attack

Scenario: Atak DDoS na infrastrukturę online

• Etap 1: Witryna/API nie odpowiada
• Etap 2: Potwierdzenie DDoS (volumetric attack)
• Etap 3: Mitigacja (Cloudflare? Zmiana DNS?)
• Etap 4: Decyzja o komunikacji (czy mówić klientom?)
• Etap 5: Recovery i post-mortem

Insider Threat

Scenario: Zwolniony admin sabotuje systemy

• Etap 1: Wykrycie zmian w produkcji (usuniete backupy)
• Etap 2: Identyfikacja sprawcy (były pracownik?)
• Etap 3: Zawiadomienie prawne
• Etap 4: Recovery i audit dostępów

Supply Chain Attack

Scenario: Dostawca software został zhackowany

• Etap 1: Informacja o compromised vendor
• Etap 2: Ocena ryzyka (czy używamy tego software?)
• Etap 3: Izolacja systemów z vendor software
• Etap 4: Patching i monitoring

Jak przebiega ćwiczenie

Typowy TableTop 3h

Przygotowanie (przed warsztatem):

• Zbieramy info o Twojej firmie (architektura, procesy, zespół)
• Projektujemy scenariusz dopasowany do Twoich ryzyk
• Przygotowujemy materiały (slide deck z etapami incydentu)

Agenda warsztatu:

0:00-0:15: Wprowadzenie

• Przedstawienie zasad
• Przypomnienie planu IR
• Role uczestników

0:15-0:30: Faza 1 - Wykrycie

• Prezentujemy pierwszy etap incydentu
• Pytania: Co robicie? Kto komu raportuje?
• Dyskusja zespołu
• Obserwacja i notatki

0:30-1:00: Faza 2-3 - Ocena i Containment

• Incydent eskaluje
• Nowe informacje (rozprzestrzenianie, dodatkowe systemy dotknięte)
• Zespół podejmuje decyzje
• Testujemy procedury

1:00-1:15: Przerwa

1:15-2:00: Faza 4-5 - Eradication i Recovery

• Kryzysowe decyzje (płacić okup? wyłączyć produkcję?)
• Komunikacja zewnętrzna (klienci, media, regulator)
• Plan recovery

2:00-2:30: Faza 6 - Post-incident

• Lessons learned
• Co poszło dobrze, co źle
• Luki w procedurach

2:30-3:00: Podsumowanie

• Nasze obserwacje
• Top 5 findings
• Rekomendacje quick wins

Co oceniamy

Kryteria obserwacji

Komunikacja:

• Czy wszyscy wiedzą kto komu raportuje?
• Czy jest jasna struktura dowodzenia?
• Czy informacje docierają do właściwych osób?
• Czy komunikacja zewnętrzna jest spójna?

Procedury:

• Czy zespół zna plan IR?
• Czy procedury są aktualne i kompletne?
• Czy role są jasno zdefiniowane?
• Czy są luki w procesach?

Decyzje:

• Kto podejmuje kluczowe decyzje?
• Czy decyzje są szybkie vs przemyślane?
• Czy uwzględniany jest wpływ biznesowy?
• Czy legal/compliance są włączeni?

Techniczne:

• Czy zespół IT wie jak izolować incydent?
• Czy backupy są dostępne i testowane?
• Czy forensics jest możliwy?
• Czy monitoring wystarczy do wykrycia?

Kultura:

• Czy zespół współpracuje vs obwinia?
• Czy są konflikty IT vs OT vs biznes?
• Czy jest blame culture vs learn culture?

Format raportu

Co dostajesz po ćwiczeniu

Executive Summary (2-3 strony):

• Ocena ogólna gotowości zespołu
• Top 5 findings (co wymaga pilnej poprawy)
• Top 5 strong points (co działa dobrze)

Detailed Observations (10-15 stron):

• Analiza każdej fazy ćwiczenia
• Obserwacje komunikacji i decyzji
• Luki w procedurach
• Przykłady dialogu i decyzji

Recommendations (5-7 stron):

• Konkretne działania naprawcze
• Priorytetyzacja (quick wins vs długoterminowe)
• Szacowany effort dla każdej rekomendacji

Action Plan:

• Lista zadań do wdrożenia
• Owners i timeline
• Metryki sukcesu