Cyberatak? Spokojnie, przetrwasz!

sty 12, 2025 | 0 komentarzy

Co zrobić, gdy zostaniesz zhakowany? Plan działania krok po kroku

Telefon wibruje. Powiadomienie z banku: „Transakcja na 4 500 zł”. Ty niczego nie kupowałeś. Albo otwierasz komputer w firmie i widzisz komunikat: „Twoje pliki zostały zaszyfrowane. Zapłać 50 000 USD w Bitcoinach.”

To nie scenariusz filmu. To poniedziałkowy poranek wielu polskich przedsiębiorców i osób prywatnych. I w tym momencie liczy się każda minuta.

Przez 15 lat w cyberbezpieczeństwie pomagałam firmom wychodzić z takich sytuacji. Wiem jedno: ci, którzy mieli plan, tracili mniej. Ten artykuł to Twój plan – na wypadek, gdyby najgorsze się wydarzyło.

Dlaczego pierwsze minuty po ataku są najważniejsze?

Cyberatak to nie moment, w którym możesz „się zastanowić”. To pożar. Im dłużej zwlekasz, tym więcej stracisz.

„Widziałam firmy, które przez 2 godziny debatowały, czy na pewno to atak. W tym czasie ransomware zaszyfrował kolejne 400 GB danych, włącznie z backupami.” – to jedna z historii, które opowiadam na szkoleniach, żeby pokazać, jak kosztowne bywa wahanie.

Przykład z życia: Średniej wielkości firma produkcyjna z Wielkopolski wykryła atak w piątek o 16:00. Zarząd zdecydował, że „zajmą się tym w poniedziałek”. Przez weekend ransomware rozprzestrzenił się na systemy księgowe, produkcyjne i archiwum. Koszt odtworzenia danych i przestoju: ponad 800 000 zł. Gdyby zareagowali w ciągu pierwszej godziny? Szacunkowa strata: 40 000 zł.

7 kroków, które musisz wykonać po cyberataku

1. Zbierz dowody – zanim cokolwiek usuniesz

Pierwsza reakcja to często panika i chęć „naprawienia” sytuacji. Nie kasuj niczego. Nie restartuj komputera. Nie „czyść” systemu.

Co zrobić:

  • Zrób zrzuty ekranu wszystkiego: podejrzanych maili, komunikatów, nietypowych transakcji.
  • Zapisz godziny i daty, kiedy zauważyłeś anomalie.
  • Jeśli możesz – skopiuj logi systemowe.

Ta dokumentacja będzie bezcenna dla specjalistów IT, ubezpieczyciela i policji.

2. Izoluj zagrożenie – odetnij pożar od tlenu

Wyobraź sobie, że w jednym pokoju wybucha pożar. Co robisz? Zamykasz drzwi, żeby ogień się nie rozprzestrzenił.

W praktyce oznacza to:

  • Odłącz zainfekowane urządzenie od sieci (wyciągnij kabel, wyłącz WiFi).
  • Nie wyłączaj komputera całkowicie – w pamięci RAM mogą być ślady, które pomogą w analizie.
  • Jeśli atak dotyczy firmy – odizoluj cały segment sieci.

„Odłączenie od sieci to nie przesada – to standard. Widziałam przypadki, gdzie jedno zainfekowane stanowisko w 40 minut zaszyfrowało serwery w trzech lokalizacjach.”

3. Przeskanuj wszystkie urządzenia

Uruchom skanowanie antywirusowe, ale miej świadomość jego ograniczeń. Standardowy antywirus może nie wykryć zaawansowanego zagrożenia.

Rekomendacja: Jeśli to poważny incydent w firmie – nie polegaj tylko na wbudowanym oprogramowaniu. Rozważ kontakt z firmą specjalizującą się w reagowaniu na incydenty (tzw. Incident Response). W Polsce działa kilka takich zespołów, a CERT Polska może wskazać odpowiednie zasoby.

4. Zmień wszystkie hasła – ale mądrze

Zmiana haseł to konieczność, ale ważna jest kolejność:

  • Najpierw: konta administratorów i systemy krytyczne.
  • Potem: konta email (często służą do resetowania innych haseł).
  • Na końcu: pozostałe konta pracowników/domowników.

Ważne: Zmieniaj hasła z innego, czystego urządzenia. Jeśli wpiszesz nowe hasło na zainfekowanym komputerze – przestępca je przechwyci.

Włącz uwierzytelnianie dwuskładnikowe (2FA) wszędzie, gdzie to możliwe. To jedna zmiana, która blokuje 99% ataków na konta.

5. Skontaktuj się z bankiem – natychmiast

Jeśli atak mógł naruszyć Twoje finanse:

  • Zadzwoń na infolinię banku i zgłoś incydent.
  • Poproś o tymczasową blokadę kart i dostępu online.
  • Sprawdź historię transakcji z ostatnich dni.

Przykład z życia: Właścicielka sklepu internetowego zauważyła, że ktoś zmienił numer konta do przelewów w jej systemie fakturowania. Przez 3 tygodnie klienci płacili oszustom. Strata: 67 000 zł. Gdyby regularnie weryfikowała dane bankowe w systemie – wykryłaby zmianę pierwszego dnia.

6. Zgłoś incydent – to nie wstyd, to obowiązek

Cyberatak to przestępstwo. Zgłaszając go, pomagasz nie tylko sobie:

Gdzie zgłosić:

  • CERT Polska (cert.pl) – przyjmują zgłoszenia online, pomagają w analizie.
  • Policja – złóż zawiadomienie o możliwości popełnienia przestępstwa.
  • UODO – jeśli doszło do wycieku danych osobowych, masz 72 godziny na zgłoszenie.

„Firmy często boją się zgłaszać incydenty, bo myślą, że to przyznanie się do porażki. Prawda jest taka, że atakują wszystkich – od jednoosobowych działalności po korporacje z budżetami na IT większymi niż PKB małych krajów.”

7. Poinformuj pracowników, klientów, rodzinę

Transparentność buduje zaufanie. Ukrywanie incydentu – je niszczy.

W firmie:

  • Poinformuj pracowników, co się stało i czego nie wolno robić (np. nie otwierać załączników, nie logować się z prywatnych urządzeń).
  • Jeśli wyciekły dane klientów – powiadom ich. Lepiej, żeby usłyszeli od Ciebie niż z mediów.

Prywatnie:

  • Uprzedź rodzinę i znajomych, że ktoś może podszywać się pod Ciebie.
  • Poproś, żeby weryfikowali telefonicznie wszelkie nietypowe prośby o pieniądze czy dane.

Cyberbezpieczeństwo to proces, nie produkt

Jednorazowa reakcja na atak to za mało. Prawdziwe bezpieczeństwo wymaga ciągłości.

Co wdrożyć po incydencie (i przed następnym):

  • Szkolenia dla ludzi – 85% incydentów zaczyna się od błędu człowieka. Regularnie przypominaj zespołowi, jak rozpoznawać phishing.
  • Aktualizacje oprogramowania – to darmowa ochrona, którą większość ignoruje. Ustaw automatyczne aktualizacje.
  • Polityki bezpieczeństwa – jasne zasady dotyczące haseł, backupów, korzystania z prywatnych urządzeń.
  • Monitoring systemów – wczesne wykrycie anomalii to różnica między incydentem a katastrofą.
  • Testowane backupy – backup, którego nie testujesz, to tylko nadzieja. Sprawdzaj regularnie, czy da się z niego odtworzyć dane.

Dlaczego warto czytać właśnie ten blog?

Nie jestem teoretykiem. Pracuję z firmami, które przeszły przez ataki – od ransomware po wycieki danych klientów. Prowadzę podcast „Cyberbezpieczeństwo po ludzku” i audycję w Polskim Radiu, bo wierzę, że o bezpieczeństwie można mówić bez żargonu i straszenia.

Ten artykuł to esencja tego, co przekazuję zarządom i zespołom IT. Konkretne kroki, realne przykłady, zero lania wody.

Co zapamiętać z tego artykułu?

  • Pierwsze minuty po ataku decydują o skali strat – reaguj natychmiast, nie czekaj „do poniedziałku”.
  • Dokumentuj wszystko przed naprawianiem – dowody będą potrzebne.
  • Izolacja zagrożenia to priorytet – odetnij zainfekowane urządzenia od sieci.
  • Zgłoś incydent do CERT Polska i policji – to przestępstwo, nie Twój wstyd.
  • Transparentność wobec pracowników i klientów buduje zaufanie.
  • Cyberbezpieczeństwo to proces – wdrażaj szkolenia, aktualizacje i monitoring na stałe.

Wolisz słuchać? Pełny odcinek o tym, co zrobić gdy zostaniesz zhakowany, znajdziesz na moim kanale  Youtube i Spotify.

Potrzebujesz pomocy z planem reagowania dla swojej firmy? Napisz przez formularz kontaktowy – porozmawiajmy, zanim będzie za późno.

0 komentarzy

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Joanna Wziątek
Powered by  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.