przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Biznesu
  3. Cyberbezpieczeństwo
  4. Atak ransomware na firmę – co dalej?

Atak ransomware na firmę – co dalej?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Na celowniku cyberprzestępców może być każde przedsiębiorstwo – zarówno giganci, jak i jednoosobowe działalności gospodarcze. Zaszyfrowanie danych, kradzież plików oraz ich ewentualna publikacja to bardzo często spotykany schemat działania grup ransomware, które w ciągu ostatnich lat wielokrotnie atakowały polskie firmy. Jakie kroki powinniśmy podjąć na gruncie RODO oraz funkcjonowania infrastruktury informatycznej, gdy nastąpi atak ransomware na firmę?

Ofiarami działań cyberprzestępców padają zarówno duże polskie przedsiębiorstwa (np. Smyk w marcu 2025 roku), jak i szereg małych i średnich firm. Ataki często wiążą się z naruszeniami ochrony danych osobowych oraz wystąpieniem żądania okupu za niepublikowanie danych.

Atak ransomware na firmę a naruszenie ochrony danych osobowych

Atak ransomware zazwyczaj wiąże się z kradzieżą oraz zaszyfrowaniem plików. Należy przy tym pamiętać, że naruszenie ochrony danych osobowych to nie tylko upublicznienie danych – art. 4 pkt 12 RODO stwierdza, że jest nim również m.in. nieuprawnione zniszczenie, zmodyfikowanie czy utracenie informacji.

Zgodnie z art. 32 RODO administrator danych osobowych jest zobowiązany do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów. W przypadku stwierdzenia ryzyka naruszenia praw i wolności osób fizycznych mamy 72 godziny na zgłoszenie go do Urzędu Ochrony Danych Osobowych, co stwierdza art. 33 RODO.

Artykuł 34 RODO zobowiązuje administratora do niezwłocznego zawiadomienia osób, których dotyczy naruszenie. Jeśli bezpośrednie poinformowanie wymaga „niewspółmiernie dużego wysiłku”, możliwe jest wydanie publicznego komunikatu.

Zidentyfikuj zaatakowane urządzenia

W poradniku CERT Polska (pełniącego obowiązki CSIRT NASK) dot. ataków ransomware pierwszym krokiem działań naprawczych jest „izolacja zainfekowanej maszyny”. Co ważne – nie powinniśmy odruchowo odłączać urządzenie od zasilania, ponieważ może to utrudnić późniejszą analizę incydentu. Odcięcie komputera od prądu sprawia, że wszystkie dane pamięci RAM (nazywanej również pamięcią ulotną) zostają usunięte. 

Jeśli to możliwe, powinniśmy zadbać przede wszystkim o odcięcie urządzeń od sieci, a urządzenia wyłączać dopiero w sytuacji, kiedy jest to nieuniknione. W poradniku CSIRT KNF z 2024 roku podkreślono, aby w pierwszej kolejności skupić się na systemach „krytycznych dla funkcjonowania organizacji”.

Departament Cyberbezpieczeństwa Ministerstwa Cyfryzacji określa podtrzymywanie działania komputerów jako „maksymalizację szans odzyskania danych”. W tym celu można również przełączyć urządzenie do stanu hibernacji.

W niektórych przypadkach może być konieczne ręczne odłączenie urządzenia od sieci Wi-Fi, czego nie wolno pominąć.

CERT Polska zaleca również sporządzenie kopii zapasowej zaszyfrowanych plików – regularnie upubliczniane są nowe dekryptory, czyli narzędzia służące do odszyfrowania danych.

W ramach naszych możliwości lub współpracy z zewnętrznymi podmiotami powinniśmy przeanalizować dostępne logi (cyfrowe zapisy informacji) oraz ustalić źródło infekcji.

Należy pamiętać o tym, że odpowiedni CSIRT może nam znacząco pomóc podczas ataku ransomware. W przypadku przedsiębiorstw właściwym podmiotem jest CERT Polska, do którego warto się niezwłocznie zgłosić. Rekomenduje się również załączenie wszelkich możliwych dowodów ataku.

W celu zidentyfikowania rodziny ransomware zaleca się witrynę NoMoreRansom, wspieraną m.in. przez Europol. Witryna zawiera wiele dekryptorów, co może pomóc w odzyskaniu plików.

Okup dla cyberprzestępców

Kontrowersyjnym tematem bywa kwestia płacenia okupu dla cyberprzestępców. Raport Sophos z 2023 roku pokazał, że 38% zaatakowanych polskich przedsiębiorstw płaci okup cyberprzestępcom. Jednocześnie 31% przedsiębiorstw miało odtworzyć pliki z kopii zapasowych.

Płacenie okupu grupom ransomware nie jest zalecane. Patrząc jedynie z perspektywy funkcjonowania przedsiębiorstwa – przekazując środki cyberprzestępcom, nigdy nie mamy pewności, że odzyskamy dostęp do plików oraz wykradzione dane nie ujrzą światła dziennego.

Kluczowe wątpliwości dotyczą przede wszystkim aspektów moralnych i prawnych. Przekazywanie pieniędzy grupom ransomware jest widziane jako nieetyczne, ponieważ wspiera ich działalność. Dodatkowo możemy narazić się na sankcje karne związane z finansowaniem przestępczości czy praniem brudnych pieniędzy.

Komunikacja i zgłoszenie incydentu

Zaufanie klientów to ważny aspekt dla zdecydowanej większości przedsiębiorstw. Atak ransomware może znacznie wpłynąć na to, jak odbierana jest dana firma w przestrzeni publicznej. To właśnie dlatego tak ważna jest odpowiedzialna komunikacja zewnętrzna.

CSIRT KNF zaleca, aby formułowany przekaz był wyważony oraz „nie budził niepotrzebnego chaosu i poczucia niepokoju”. Jednocześnie wszystkie przekazywane informacje powinny być zgodne z prawdą.

Ważne jest również poinstruowanie pracowników o tym, jakich informacji nie powinni udzielać osobom spoza organizacji. Osoby odpowiedzialne za relacje zewnętrzne powinny być jasno określone – najlepiej przed wystąpieniem incydentu.

KNF podkreśla również, że zgłoszenie incydentu powinno być szyfrowane. W tym celu CSIRT-y udostępniają klucze PGP na swoich stronach. Dokument Komisji zaznacza również, że zgłoszenia powinny dokonywać inne osoby niż zaangażowane w działania techniczne.

W przypadku zainteresowania medialnego incydentem nie warto zwlekać z odpowiedziami – może to powodować wrażenie, że organizacja ma coś do ukrycia. Jednocześnie przekazywane komunikaty muszą być spójne i nie ujawniać wrażliwych informacji. Zdecydowanie lepiej poinformować dziennikarzy, że specjaliści pracują nad danym zagadnieniem, niż milczeć.

Incydent krok po kroku

Wśród innych ważnych działań w przypadku ataku ransomware należy wyróżnić m.in.:

  • sporządzanie notatek w celu dowodowym i raportowania,
  • komunikacja incydentu wewnątrz organizacji,
  • ostrożne podejście do odłączania zasilania oraz formatowania dysków (przed zebraniem dowodów),
  • powiadomienie Centralnego Biura Zwalczania Cyberprzestępczości o zdarzeniu.

Odtwarzanie danych i ludzkie podejście

Kiedy wszystkie cenne informacje zostaną zarchiwizowane, możemy przejść do odtwarzania danych z kopii zapasowych. Co ważne – musimy mieć na uwadze to, czy integralność kopii zapasowych nie została naruszona wskutek ataku ransomware. W tym celu warto mieć backupy, które nie są widoczne z poziomu sieci.

Podczas odtwarzania kopii zapasowych warto również upewnić się, że nie mogą być ponownie zaszyfrowane. Odzyskiwane środowisko powinno być odizolowane od tego, które padło ofiarą ataku.

Kolejnym krokiem powinna być aktualizacja systemów oraz zmiana haseł dostępowych. Jeśli organizacja dotychczas nie monitorowała zdarzeń w sieci – powinna niezwłocznie wdrożyć takie rozwiązanie. Można to zrobić niskim lub zerowym kosztem, wykorzystując narzędzia open-source. Zaleca się również analizę uprawnień użytkowników oraz wdrożenie dwuetapowego uwierzytelniania.

Patrząc na ludzki aspekt ataków ransomware, konieczne może być zapewnienie wsparcia osobom odpowiedzialnym za reagowanie na incydenty. Takie sytuacje mogą znacznie rzutować na kondycję psychiczną osób, które często poza godzinami swojej pracy próbują zażegnać skutki ataków.

Nauka

Obserwacje poczynione podczas ataków ransomware nie powinny pozostać niezauważone. W tym celu zaleca się sporządzenie raportu, który m.in. opisze działania firmy podczas incydentu, co pozwoli na wdrożenie odpowiednich zmian w celu zwiększenia poziomu bezpieczeństwa.

Warto również rozważyć przeprowadzenie zewnętrznego audytu oraz testów penetracyjnych, aby uniknąć podobnych incydentów w przyszłości. Dzięki takim działaniom możemy wyeliminować potencjalne wektory ataku. Zaleca się również rozważenie wdrożenia programu szkoleń dla pracowników, który powinien być dostosowany do poziomu kompetencji cyfrowych.

Polecamy:

KSeF, czyli Krajowy System e-Faktur

Jak można monitorować i dbać o bezpieczeństwo dany...
Wrzesień 2025
18
Czwartek
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Bezpieczna praca zdalna - jak zrobić to dobrze?
  2. Cyberataki a naruszenie ochrony danych osobowych. Co pokazują zawiadomienia?
  3. Jak można monitorować i dbać o bezpieczeństwo danych w firmie?
  4. Atak ransomware na firmę – co dalej?
  5. Jak założyć żłobek lub klub dziecięcy? - wszystko co warto wiedzieć
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Cyberbezpieczeństwo

Jak można monitorować i dbać o bezpieczeństwo danych w firmie?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

„Cyfrowy Księgowy 2.0” – sprawdź z SKwP, jak cyfryzacja zmienia rachunkowość i podatki
KSIĘGOWOŚĆ & KADRY BEZ GRANIC
AI TASK FORCE IN DIALOGUE: Odpowiedzialna, godna zaufania sztuczna inteligencja w praktyce
meetbenefit 2025 – bądź zawsze na bieżąco z tematem benefitów pracowniczych!
semWAW#4: Pasjonaci marketingu internetowego ponownie w Google for Startups Campus! Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów