Nawet najbardziej ostrożni i świadomi pracownicy mogą paść ofiarą cyberataku. Cyberprzestępcy są coraz sprytniejsi, a ich metody – coraz trudniejsze do wykrycia. Dlatego tak ważne jest, by każdy pracownik wiedział, jak postępować w sytuacji, gdy coś poszło nie tak. Szybka i właściwa reakcja może znacząco ograniczyć szkody i pomóc w przywróceniu bezpieczeństwa firmie:
- zachowaj spokój – poczucie winy, panika czy ukrywanie błędu nie pomagają. W sytuacji zagrożenia najważniejsze jest trzeźwe myślenie i szybkie działanie. Pamiętaj – każdy może popełnić błąd, ale to reakcja na incydent decyduje o jego skutkach
- odłącz się od sieci – jeśli podejrzewasz, że komputer został zainfekowany (np. po kliknięciu w podejrzany link lub otwarciu zainfekowanego pliku), natychmiast odłącz urządzenie od Internetu
i sieci firmowej. Możesz to zrobić fizycznie (wyciągając kabel) lub programowo (rozłączając Wi-Fi). Dzięki temu ograniczysz możliwość dalszego rozprzestrzeniania się zagrożenia - nie kasuj, nie zamykaj, nie resetuj – wielu pracowników w odruchu chce natychmiast „posprzątać” – zamknąć podejrzaną stronę, usunąć wiadomość, zrestartować komputer. To błąd. Te działania mogą zatrzeć ślady, które pomogą działowi IT w analizie incydentu i zrozumieniu, co się wydarzyło. Zachowaj wszystko w takim stanie, w jakim było po incydencie
- wykonaj zrzuty ekranu – jeśli to możliwe, zrób zrzuty ekranu wiadomości, stron internetowych, komunikatów czy innych podejrzanych elementów. Może to być kluczowe dla dalszej analizy. Zapisz datę i godzinę incydentu oraz wszelkie okoliczności towarzyszące
- skontaktuj się z działem IT lub osobą odpowiedzialną za bezpieczeństwo – nie próbuj samodzielnie naprawiać sytuacji, jeśli nie masz odpowiednich kompetencji. Zgłoś incydent zgodnie z firmową procedurą – najlepiej jak najszybciej. Im wcześniej specjaliści dowiedzą się o zagrożeniu, tym skuteczniej będą mogli zareagować
- nie rozpowiadaj niepotrzebnie – nie udostępniaj informacji o incydencie współpracownikom lub osobom spoza firmy, jeśli nie jesteś do tego upoważniony. Plotki i domysły mogą wywołać panikę lub spowodować rozpowszechnienie nieprawdziwych informacji
- ucz się na błędach – każdy incydent to okazja do nauki. Po jego zakończeniu warto przeanalizować sytuację: co się wydarzyło, dlaczego, jakie były skutki i jak można zapobiec podobnym incydentom w przyszłości. Organizacje powinny dzielić się wnioskami z pracownikami i wprowadzać poprawki do procedur lub szkoleń
- zapewnij wsparcie psychologiczne (jeśli to konieczne) – niektóre ataki – np. z wykorzystaniem szantażu lub manipulacji – mogą być obciążające emocjonalnie. Firma powinna zadbać o to, by pracownik miał możliwość rozmowy z przełożonym, psychologiem lub specjalistą ds. bezpieczeństwa. Ważne jest budowanie kultury otwartości i zaufania.
- zapamiętaj i stosuj firmowe procedury – każda organizacja powinna posiadać formalny plan reagowania na incydenty. Pracownicy powinni znać jego główne elementy, wiedzieć, komu zgłaszać incydenty, jakie dane zbierać i czego nie robić. Regularne przypominanie tych procedur zwiększa gotowość organizacji do działania.
Podsumowując: najgorsze, co można zrobić po zauważeniu incydentu, to milczeć lub udawać, że nic się nie stało. Reakcja powinna być szybka, przemyślana i zgodna z procedurami. Cyberbezpieczeństwo nie polega na unikaniu każdego zagrożenia, ale na umiejętności reagowania, gdy coś pójdzie nie tak.
