1. Wprowadzenie

Ransomware to dziś najpoważniejsze zagrożenie operacyjne dla firm, bez względu na branżę czy skalę działalności. Ataki szyfrujące dane stały się przemysłem – za kampaniami stoją zorganizowane grupy cyberprzestępcze, które działają w modelu RaaS (Ransomware-as-a-Service) i oferują swoje „usługi” innym podmiotom. W efekcie każda organizacja, która posiada dane o wartości biznesowej, może być potencjalnym celem.

Konsekwencje incydentu ransomware wykraczają daleko poza obszar IT. To nie tylko utrata dostępu do systemów i danych, ale także przerwanie ciągłości działania, utrata reputacji, konsekwencje regulacyjne (RODO, NIS2, DORA), a w wielu przypadkach również bezpośrednie straty finansowe wynikające z zapłaty okupu czy utraconych przychodów.

Dlatego każda organizacja powinna mieć jasny, przećwiczony i udokumentowany plan reagowania na ransomware. Nie wystarczy technologia – potrzebne są procedury, zespół, komunikacja i gotowość do podejmowania trudnych decyzji w warunkach presji czasu i chaosu operacyjnego.

Celem tego artykułu jest przedstawienie kroku po kroku planu reagowania na incydent ransomware – od przygotowania, przez detekcję i izolację, aż po odzyskiwanie, komunikację kryzysową i analizę powłamaniową. To swoisty playbook dla CIO, CISO i zespołów SOC, którzy muszą być gotowi na moment, w którym „to się wydarzy”.

2. Anatomia ataku ransomware

Żeby skutecznie reagować na ransomware, trzeba najpierw rozumieć jak działa atak w praktyce. Wbrew pozorom szyfrowanie danych to dopiero ostatni etap. Zanim do niego dojdzie, cyberprzestępcy spędzają dni, a nawet tygodnie na rekonesansie i przygotowaniach.

Najczęstsze wektory wejścia

1. Phishing i spear-phishing – wiadomości e-mail podszywające się pod faktury, dokumenty czy komunikację wewnętrzną. Kliknięcie w link lub otwarcie załącznika uruchamia malware, które instaluje „stager” w systemie.
2. Słabe lub skompromitowane poświadczenia RDP/VPN – atakujący wykorzystują brute force, wycieki haseł lub luki w systemach zdalnego dostępu.
3. Eksploity zero-day i n-day – podatności w urządzeniach perymetrycznych (firewalle, serwery e-mail) często stają się bramą wejściową.
4. Infostealery i malware-as-a-service – zainstalowane wcześniej na stacjach roboczych kradną tokeny, ciasteczka i hasła, które później są używane do ruchu lateralnego.

Typowy przebieg ataku (kill chain)

1. Rekonesans i dostęp początkowy – atakujący badają infrastrukturę i szukają ścieżki wejścia.
2. Eskalacja uprawnień – zdobycie praw administratora lokalnego lub domeny.
3. Lateral movement – przemieszczanie się po sieci, instalacja backdoorów, kompromitacja kolejnych kont.
4. Eksfiltracja danych – zanim nastąpi szyfrowanie, dane są kopiowane do chmury lub infrastruktury przestępców (double extortion).
5. Szyfrowanie i żądanie okupu – ostatni etap, który paraliżuje firmę i zmusza do decyzji o negocjacjach.

Wniosek: ransomware to proces wieloetapowy, a nie jednorazowy atak. Im szybciej organizacja zidentyfikuje pierwsze symptomy (rekonesans, anomalia w logowaniach, eskalacja uprawnień), tym większa szansa na zatrzymanie ataku zanim dane zostaną wykradzione i zaszyfrowane.

3. Przygotowanie przed incydentem (Readiness)

Skuteczna reakcja na ransomware zaczyna się na długo przed atakiem. Organizacje, które mają jasno zdefiniowane procedury, odpowiednie narzędzia i przeszkolone zespoły, są w stanie ograniczyć skutki incydentu i szybciej wrócić do normalnego działania.

1. Struktura organizacyjna i odpowiedzialności

• Zdefiniowanie ról i obowiązków (RACI) – kto odpowiada za decyzje techniczne, biznesowe, komunikacyjne i prawne.
• Utworzenie zespołu kryzysowego (war room) z przedstawicielami IT, Security, PR, HR, Legal i zarządu.
• Przygotowanie runbooków i przeprowadzanie ćwiczeń table-top, aby przetestować procedury w warunkach symulacji.

2. Infrastruktura i technologia

• Kopie zapasowe 3-2-1 (3 kopie, na 2 różnych nośnikach, 1 offline/immutable). Regularne testy odtwarzania to warunek konieczny.
• Segmentacja sieci i mikrosegmentacja – ograniczenie lateral movement w przypadku kompromitacji.
• Wdrożenie EDR/XDR z możliwością izolacji hostów.
• Wymuszenie MFA dla wszystkich użytkowników, zwłaszcza administratorów i dostępu zdalnego.

3. Partnerzy i wsparcie zewnętrzne

• Umowy z firmami DFIR (Digital Forensics & Incident Response), które w razie incydentu pomogą w analizie i reagowaniu.
• Włączenie działu PR i kancelarii prawnej w plan komunikacji kryzysowej.
• Weryfikacja polisy cyber – co obejmuje, jakie procedury trzeba spełnić, jakie są wymagania wobec zgłoszeń.
• Przygotowanie kontaktów do organów ścigania (CERT, policja, prokuratura) w trybie awaryjnym.

Wniosek: organizacja, która przygotuje się na incydent ransomware, zanim on nastąpi, zyskuje przewagę – zamiast działać w chaosie, realizuje gotowy scenariusz. To klucz do minimalizacji strat finansowych, prawnych i reputacyjnych.

4. Detekcja i triage (MTTD/MTTC)

Najważniejszym czynnikiem w reagowaniu na ransomware jest czas. Im szybciej wykryjemy pierwsze symptomy ataku, tym większa szansa na zatrzymanie go przed fazą eksfiltracji i szyfrowania. Tu kluczowe są dwa wskaźniki:

• MTTD (Mean Time to Detect) – średni czas od pojawienia się incydentu do jego wykrycia.
• MTTC (Mean Time to Classify) – czas potrzebny na potwierdzenie, że zdarzenie jest rzeczywiście incydentem bezpieczeństwa wymagającym reakcji.

1. Sygnały wczesnego ostrzegania

• Nietypowe logowania (np. wiele nieudanych prób logowania do RDP, logowania z nowych lokalizacji).
• Wzmożona aktywność procesów systemowych (np. masowe otwieranie/zmiana plików).
• Próby komunikacji z adresami IP/domenu znanymi jako serwery C2.
• Niespodziewane skanowanie sieci przez endpointy użytkowników.

2. Korelacja w SIEM/XDR

• Dane z EDR, firewalli, proxy i systemów DLP muszą być korelowane w jednym miejscu.
• Automatyczne reguły korelacji w SIEM/XDR pomagają wyłapać anomalię na wczesnym etapie (np. wzrost ruchu SMB z jednej stacji roboczej).
• Integracja z threat intelligence umożliwia szybkie sprawdzenie, czy widziane IOC są związane z aktywnymi kampaniami ransomware.

3. Klasyfikacja i eskalacja

• Incydenty muszą być oceniane według zdefiniowanych kryteriów (np. skala, potencjalny wpływ na systemy krytyczne).
• Jeśli istnieje podejrzenie, że to ransomware, natychmiast aktywowany jest plan IR – bez czekania na pełne potwierdzenie.
• Decyzja o eskalacji musi być szybka i opierać się na playbooku, a nie na dyskusjach w trakcie incydentu.

Wniosek: szybka detekcja i właściwy triage to najważniejsze elementy obrony. Organizacja, która skróci MTTD i MTTC do minut zamiast godzin, ma realną szansę zatrzymać atak zanim dane zostaną zaszyfrowane.

5. Izolacja i powstrzymanie (Containment)

Kiedy incydent ransomware zostanie potwierdzony, czas działa na korzyść atakującego. Każda minuta zwłoki zwiększa ryzyko utraty danych i rozprzestrzenienia się złośliwego oprogramowania w całym środowisku. Dlatego priorytetem jest szybka izolacja zagrożenia i powstrzymanie propagacji ataku.

1. Quarantine hostów

• Natychmiastowa izolacja zainfekowanych stacji roboczych i serwerów z sieci (funkcje EDR/XDR lub ręczne odcięcie).
• Zabezpieczenie obrazu systemu przed reinstalacją – potrzebny będzie do analizy forensics.
• Wstrzymanie wszystkich procesów szyfrowania, jeśli jest to możliwe.

2. Blokada komunikacji z C2

• Zablokowanie podejrzanych domen i adresów IP w firewallach i proxy.
• Wyłączenie usług VPN/RDP, jeśli istnieje podejrzenie, że były wektorem wejścia.
• Reset sesji i unieważnienie tokenów w środowiskach chmurowych (Azure AD, M365).

3. Rotacja i blokada poświadczeń

• Reset haseł kont administratorów i użytkowników, które mogły zostać skompromitowane.
• Unieważnienie aktywnych sesji w systemach IdP (Identity Provider).
• Wdrożenie natychmiastowego wymogu MFA, jeśli wcześniej nie był aktywny.

4. Zatrzymanie propagacji w sieci i chmurze

• Segmentacja awaryjna – odcięcie newralgicznych systemów od reszty środowiska.
• Zablokowanie dostępu do udziałów plikowych (SMB/NFS), które ransomware najczęściej szyfruje w pierwszej kolejności.
• Monitorowanie logów chmurowych (CloudTrail, Defender for Cloud, GCP Audit Logs) w celu wykrycia prób eskalacji.

Wniosek: containment to etap, w którym liczy się szybkość i automatyzacja. Organizacje, które mają zdefiniowane playbooki i narzędzia EDR/XDR z funkcją izolacji, są w stanie powstrzymać atak zanim zaszyfruje on całą infrastrukturę.

6. Analiza, usunięcie i zabezpieczenie dowodów (Eradication & Forensics)

Po zatrzymaniu rozprzestrzeniania się ransomware kluczowe jest zrozumienie przebiegu ataku i usunięcie wszystkich elementów złośliwego oprogramowania z infrastruktury. Bez tego ryzyko ponownej infekcji po przywróceniu systemów jest bardzo wysokie.

1. Zabezpieczenie dowodów

• Wykonanie pełnych obrazów zainfekowanych hostów i serwerów (disk & memory imaging).
• Zachowanie logów z SIEM, EDR/XDR, firewalli i systemów chmurowych – najlepiej w trybie „read-only”.
• Dokumentacja łańcucha dowodowego (chain of custody), aby wyniki analizy były użyteczne prawnie i regulacyjnie.

2. Analiza forensics i timeline zdarzeń

• Identyfikacja szczepu ransomware oraz powiązanych IOC (Indicators of Compromise) i IOA (Indicators of Attack).
• Analiza wektorów wejścia – phishing, luki w VPN, skradzione poświadczenia, exploity.
• Odtworzenie chronologii działań atakującego: pierwsze logowanie, eskalacja uprawnień, lateral movement, eksfiltracja, szyfrowanie.

3. Usunięcie implantów i backdoorów

• Likwidacja kont utworzonych przez atakujących.
• Czyszczenie narzędzi użytych do lateral movement (np. Mimikatz, Cobalt Strike beacons).
• Usunięcie dodatkowych backdoorów i malware, które mogły zostać zainstalowane równolegle z ransomware.

4. Wzmocnienie środowiska po incydencie

• Zastosowanie poprawek bezpieczeństwa na wszystkich systemach, które zostały wskazane jako podatne.
• Hardening konfiguracji – m.in. wyłączenie zbędnych usług, ograniczenie uprawnień, wprowadzenie zasad least privilege.
• Aktualizacja reguł w SIEM/XDR i wzbogacenie systemu o nowe IOC/IOA z incydentu.

Wniosek: skuteczna faza Eradication & Forensics to gwarancja, że incydent nie powtórzy się zaraz po przywróceniu systemów. Organizacja zyskuje nie tylko czyste środowisko, ale też cenną wiedzę o technikach i narzędziach atakujących.

7. Odzyskiwanie i przywracanie (Recovery)

Po izolacji i usunięciu zagrożenia przychodzi najtrudniejszy etap – powrót do normalnego działania. Decyzje podjęte w tej fazie mają kluczowe znaczenie dla ciągłości biznesowej, reputacji firmy i długofalowej odporności na kolejne ataki.

1. Decyzja: backup czy inne metody odzysku

• Przywracanie z kopii zapasowych – jeśli kopie są nienaruszone i przetestowane, to najbezpieczniejsza opcja.
• Narzędzia deszyfrujące – w niektórych przypadkach dostępne są publiczne decryptery (np. NoMoreRansom).
• Płatność okupu – decyzja absolutnie ostateczna, wiążąca się z ryzykiem prawnym i reputacyjnym.

2. Testy integralności i „clean room”

• Odzyskane systemy powinny być przywracane w izolowanym środowisku testowym.
• Konieczna jest walidacja integralności danych oraz sprawdzenie, czy backup nie zawierał malware.
• Dopiero po pełnej weryfikacji środowisko wraca do produkcji.

3. Hardening po przywróceniu

• Natychmiastowe wdrożenie poprawek bezpieczeństwa i konfiguracji zgodnych z najlepszymi praktykami.
• Reset haseł i wdrożenie MFA na wszystkich poziomach dostępu.
• Dodatkowa segmentacja i monitoring, by utrudnić kolejne próby ataku.

4. Kryteria wznowienia usług

• Systemy biznesowo krytyczne uruchamiane w pierwszej kolejności (ERP, CRM, systemy produkcyjne).
• Kryteria wznowienia muszą być jasno określone w planie DR/BCP (Disaster Recovery / Business Continuity Plan).
• SOC monitoruje środowisko 24/7 po przywróceniu, aby wykryć ewentualne próby ponownej infekcji.

Wniosek: recovery nie może być chaotycznym „odpaleniem serwerów”, lecz kontrolowanym procesem z testami, walidacją i hardeningiem. Tylko tak organizacja odzyska operacyjność bez ryzyka powtórnego incydentu.

8. Komunikacja i zarządzanie kryzysem

Atak ransomware to nie tylko wyzwanie techniczne – to również sytuacja kryzysowa dla całej organizacji. Sposób, w jaki firma komunikuje się w trakcie incydentu, może ograniczyć straty reputacyjne albo je zwielokrotnić. Dlatego komunikacja powinna być elementem planu reagowania, a nie improwizacją w środku kryzysu.

1. Komunikacja wewnętrzna

• Zarząd i kadra kierownicza muszą otrzymywać szybkie, klarowne i regularne informacje o stanie sytuacji, decyzjach i ryzykach.
• Pracownicy powinni wiedzieć, jakie systemy są niedostępne, jak mają pracować w trybie awaryjnym oraz jak zgłaszać podejrzane zdarzenia.
• Jasny przekaz ogranicza panikę i plotki, które w czasie kryzysu są równie groźne jak sam atak.

2. Komunikacja z klientami i partnerami

• Transparentność jest kluczowa – lepiej poinformować klientów o problemie, niż pozwolić, by dowiedzieli się z mediów.
• Należy podawać fakty i unikać spekulacji („analizujemy skalę incydentu, wdrożyliśmy plan reagowania”).
• Ważne jest pokazanie, że organizacja działa zgodnie z procedurami i dba o ochronę interesów klientów.

3. Komunikacja z mediami (PR)

• Przygotowanie gotowych szablonów komunikatów jeszcze przed incydentem.
• Wystąpienia medialne powinny być prowadzone przez wyznaczoną osobę (np. rzecznika prasowego, członka zarządu).
• Kluczowe: spójność przekazu, brak sprzecznych informacji i unikanie obietnic, których firma nie jest w stanie spełnić.

4. Współpraca z podmiotami zewnętrznymi

• CERT/CSIRT – zgłaszanie incydentu w celu uzyskania wsparcia i wymiany informacji o zagrożeniu.
• Organy ścigania – współpraca z policją/prokuraturą w zakresie postępowania karnego.
• Dostawcy technologii – wsparcie w zakresie przywracania systemów i dodatkowych zabezpieczeń.

Wniosek: skuteczna komunikacja kryzysowa pozwala organizacji utrzymać zaufanie klientów, partnerów i opinii publicznej, a jednocześnie zapewnia, że działania techniczne mogą być prowadzone w uporządkowany sposób bez dodatkowej presji chaosu informacyjnego.

9. Aspekty prawne, regulacyjne i ubezpieczeniowe

Atak ransomware to nie tylko kwestia techniczna i operacyjna – to również obszar o ogromnym ciężarze prawnym i regulacyjnym. Sposób, w jaki organizacja zareaguje, może zadecydować o wysokości kar finansowych, konsekwencjach prawnych oraz o tym, czy polisa cyber faktycznie pokryje koszty incydentu.

1. Zgłoszenia regulacyjne (RODO, NIS2, DORA)

• RODO: jeśli doszło do wycieku danych osobowych, incydent należy zgłosić do organu nadzorczego w ciągu 72 godzin. Brak zgłoszenia lub opóźnienia mogą skutkować milionowymi karami.
• NIS2: wymaga raportowania poważnych incydentów bezpieczeństwa w sektorach kluczowych i istotnych – zarówno do organów krajowych, jak i CSIRT.
• DORA (dla sektora finansowego): nakłada dodatkowe obowiązki w zakresie raportowania incydentów ICT i ciągłości działania.

2. Retencja i archiwizacja dowodów

• Wszystkie logi, obrazy dysków i inne dowody cyfrowe muszą być zabezpieczone w sposób zgodny z wymogami postępowań prawnych.
• Dokumentacja łańcucha dowodowego (chain of custody) jest kluczowa, aby materiał mógł być wykorzystany w sądzie.
• Retencja obejmuje również komunikację kryzysową i decyzje zarządu – mogą być wymagane przez regulatora.

3. Ryzyka związane z płatnością okupu

• Płatność okupu jest obarczona ryzykiem naruszenia sankcji międzynarodowych (OFAC, UE) – jeśli grupa atakująca jest na liście sankcyjnej, zapłata może oznaczać złamanie prawa.
• Dodatkowo nie ma gwarancji, że po zapłaceniu atakujący faktycznie odszyfrują dane lub nie opublikują wykradzionych informacji.
• Decyzja o negocjacjach musi być podejmowana na poziomie zarządu, przy wsparciu prawników i ubezpieczyciela.

4. Rola polisy cyber

• Wiele polis pokrywa koszty reakcji na incydent, takie jak DFIR, PR kryzysowe, obsługa prawna czy negocjacje.
• Część ubezpieczycieli wymaga spełnienia określonych warunków (np. wdrożone MFA, testy backupów) – ich niespełnienie może unieważnić wypłatę.
• Warto znać procedurę zgłaszania incydentu do ubezpieczyciela i mieć ją w playbooku IR.

Wniosek: aspekty regulacyjne i ubezpieczeniowe są równie ważne jak działania techniczne. Brak zgłoszeń, niepełna dokumentacja czy niezgodna z prawem płatność okupu mogą zwiększyć konsekwencje incydentu wielokrotnie.

10. Decyzja o negocjacjach i płatności okupu – ramy decyzyjne

Decyzja o podjęciu negocjacji z cyberprzestępcami i ewentualnej zapłacie okupu to jeden z najbardziej kontrowersyjnych i trudnych momentów w planie reagowania na ransomware. Błąd w tym obszarze może oznaczać nie tylko straty finansowe, ale także poważne konsekwencje prawne i reputacyjne.

1. Kiedy w ogóle rozważać negocjacje?

• Brak działających backupów lub ich pełna kompromitacja.
• Utrata danych krytycznych dla biznesu, których odtworzenie jest niemożliwe lub zajmie zbyt dużo czasu.
• Groźba publikacji danych (model double/triple extortion) – szczególnie w przypadku danych osobowych klientów lub własności intelektualnej.
• Sytuacje, w których koszt utraty operacyjności przewyższa ryzyko prawne i reputacyjne zapłaty.

2. Kto podejmuje decyzję?

• Decyzja należy wyłącznie do zarządu, a nie do zespołów IT/SOC.
• W proces decyzyjny powinni być włączeni: dział prawny, ubezpieczyciel, CISO, CFO i ewentualnie partnerzy zewnętrzni (DFIR, kancelaria).
• SOC/IT dostarczają dane techniczne, ale nie ponoszą odpowiedzialności biznesowej.

3. Kryteria decyzyjne

• Czy grupa atakująca znajduje się na liście sankcyjnej (OFAC, UE)? Jeśli tak – płatność może oznaczać złamanie prawa.
• Jakie są gwarancje od atakujących (np. udowodnienie, że posiadają klucze deszyfrujące)?
• Czy negocjacje mogą zyskać czas na odzyskiwanie systemów z backupów?
• Czy ubezpieczyciel pokrywa koszty negocjacji i płatności?

4. Jak prowadzić negocjacje?

• Zawsze przez wyspecjalizowanych partnerów (DFIR, negocjatorów cyber), a nie bezpośrednio przez firmę.
• Dokumentować wszystkie kroki – mogą być wymagane przez regulatorów lub ubezpieczyciela.
• Negocjacje mogą obniżyć wysokość okupu albo zyskać dodatkowy czas, ale nie dają 100% pewności odzyskania danych.

Wniosek: decyzja o zapłacie okupu to ostateczność i wymaga jasnych ram decyzyjnych. To zarząd, a nie zespół techniczny, bierze odpowiedzialność za taki krok – w oparciu o analizę ryzyka, konsekwencji prawnych i kosztów biznesowych.

11. Powrót do BAU i wnioski (Lessons Learned)

Kiedy organizacja odzyska kontrolę nad systemami i przywróci operacyjność, incydent ransomware nie kończy się – dopiero wtedy zaczyna się etap analizy i wyciągania wniosków. Celem jest nie tylko powrót do BAU (Business As Usual), ale przede wszystkim zwiększenie odporności organizacji na przyszłość.

1. Post-incident review

• Organizacja powinna przeprowadzić formalne spotkanie podsumowujące incydent (tzw. after-action review).
• Zespół IR, IT, SOC, zarząd, PR i Legal analizują: co zadziałało, co nie zadziałało, gdzie były opóźnienia, gdzie zabrakło procedur.
• Dokumentacja powinna zawierać zarówno sukcesy, jak i błędy – bez obwiniania, w duchu „lessons learned”.

2. Aktualizacja planów i procedur

• Uzupełnienie runbooków IR o nowe scenariusze i doświadczenia.
• Modyfikacja RACI – jeśli podczas incydentu pojawiły się niejasności co do odpowiedzialności.
• Udoskonalenie komunikacji – np. gotowe szablony wiadomości dla klientów czy pracowników.

3. Wzmocnienie kontroli technicznych

• Aktualizacja polityk patch management i kontroli dostępu.
• Dalsze wdrażanie segmentacji, MFA, EDR/XDR i DLP.
• Rozważenie dodatkowych mechanizmów: CASB, PAM, continuous validation (BAS).

4. Ćwiczenia i purple teaming

• Regularne testy tabletops oraz symulacje ataków (red vs. blue / purple teaming).
• Sprawdzenie, czy MTTD, MTTC i MTTR skracają się w praktyce po usprawnieniach.
• Wprowadzenie cyklicznych raportów do zarządu i rady nadzorczej.

5. KPI i metryki do monitorowania

• MTTD (Mean Time to Detect) – jak szybko wykrywamy ataki.
• MTTC (Mean Time to Classify) – jak szybko potwierdzamy incydent.
• MTTR (Mean Time to Respond/Recover) – ile czasu potrzeba na pełne odzyskanie operacyjności.
• Dwell time – ile czasu atakujący przebywał w sieci przed wykryciem.

Wniosek: ransomware nie powinno być traktowane jako „jednorazowa katastrofa”, ale jako punkt zwrotny w podejściu do bezpieczeństwa. Organizacje, które wyciągają lekcje i wdrażają usprawnienia, zwiększają swoją cyberodporność i skracają czas reakcji na przyszłe incydenty.

12. Załączniki operacyjne

Ostatnim elementem planu reagowania na ransomware powinny być praktyczne narzędzia operacyjne, które zespoły mogą wykorzystać w czasie realnego incydentu. To właśnie checklisty, matryce decyzyjne i gotowe szablony komunikacji sprawiają, że reakcja przebiega szybciej i z mniejszym chaosem.

1. Checklista „pierwszych 24 godzin”

Techniczne działania:

• Izoluj zainfekowane hosty i serwery.
• Zabezpiecz logi, obrazy dysków i dowody (forensics).
• Zidentyfikuj wektor wejścia (phishing, RDP, luka w VPN itp.).
• Wyłącz dostęp zdalny, zresetuj hasła i unieważnij sesje.
• Sprawdź, czy kopie zapasowe są dostępne i nienaruszone.

Organizacyjne działania:

• Aktywuj plan IR i powołaj war room.
• Poinformuj zarząd i kadrę kierowniczą o incydencie.
• Ustal kanały komunikacji awaryjnej (poza zainfekowaną infrastrukturą).
• Skontaktuj się z DFIR/partnerem zewnętrznym i ubezpieczycielem.
• Przygotuj wstępny komunikat do pracowników i regulatorów (jeśli dotyczy).

2. Szablony komunikatów

• Dla pracowników:
  „Wykryliśmy incydent bezpieczeństwa, który wpływa na działanie systemów firmowych. Zespół IT i Security pracuje nad rozwiązaniem problemu. Prosimy o nieotwieranie podejrzanych e-maili i zgłaszanie wszelkich nietypowych zdarzeń do SOC.”
• Dla klientów:
  „Nasza firma doświadczyła incydentu bezpieczeństwa typu ransomware. Podjęliśmy działania naprawcze i współpracujemy z ekspertami, aby ograniczyć skutki. O postępach będziemy informować w sposób transparentny.”

3. Matryca eskalacji

• SOC / IT Ops: inicjują izolację systemów i eskalują do CISO.
• CISO: decyduje o aktywacji pełnego planu IR, powiadamia zarząd.
• Zarząd: decyduje o komunikacji zewnętrznej, ewentualnych negocjacjach i płatności.
• Legal / Compliance: ocenia obowiązki regulacyjne (RODO, NIS2, DORA).
• PR: przygotowuje i publikuje komunikaty wewnętrzne i zewnętrzne.

4. Mapy decyzji (decision trees)

• Czy dane zostały wykradzione?
  • Tak → natychmiastowe zgłoszenie regulatorom i komunikacja do klientów.
  • Nie → monitoruj, ale przygotuj się na scenariusz double extortion.
• Czy backupy są dostępne i czyste?
  • Tak → rozpocznij proces recovery.
  • Nie → ocena ryzyka negocjacji / płatności okupu.

Wniosek: operacyjne załączniki są tym, co różni dobrze przygotowaną organizację od tej, która działa w chaosie. Gotowe checklisty i szablony pozwalają oszczędzić godziny – a w przypadku ransomware każda minuta jest na wagę złota.