Poniższy scenariusz to złożenie typowych przypadków, z którymi spotykamy się w praktyce. Pokazuje, jak wygląda audyt śledczy po incydencie i dlaczego pierwsze godziny są tak istotne.

Sytuacja wyjściowa

Pracownik działu księgowości otrzymał wiadomość udającą fakturę od stałego kontrahenta. Załącznik uruchomił złośliwe oprogramowanie, które po kilku dniach rozpoczęło szyfrowanie plików na współdzielonych zasobach. Firma zauważyła problem dopiero, gdy część dokumentów stała się niedostępna.

Krok 1: zabezpieczenie śladów

Zamiast natychmiast „czyścić" maszyny, zabezpieczyliśmy materiał dowodowy: obrazy dysków, pamięć ulotną i logi. Każde nieprzemyślane działanie na tym etapie może bezpowrotnie zniszczyć dowody i utrudnić ustalenie zakresu naruszenia.

Integralność dowodu cyfrowego decyduje o jego wartości — zarówno w postępowaniu, jak i przy ocenie skali wycieku.

Krok 2: analiza logów i oś czasu

Z logów poczty, stacji roboczych i serwerów odtworzyliśmy oś czasu: moment otwarcia załącznika, pierwsze połączenia do serwera kontrolującego atak (C2), próby rozprzestrzenienia się w sieci oraz start szyfrowania. Taka rekonstrukcja odpowiada na kluczowe pytania: kiedy, którędy i jak daleko sięgnął atak.

Krok 3: ocena zakresu danych

Ustaliliśmy, do jakich danych napastnik mógł uzyskać dostęp i czy doszło do ich wycieku. To informacja niezbędna m.in. do oceny obowiązków wobec organów i osób, których dane dotyczą.

Krok 4: raport dla zarządu i działu prawnego

Wyniki ujęliśmy w dwóch warstwach: technicznej (dla zespołu IT) oraz zarządczej (dla kierownictwa i prawników). Raport zawierał przebieg zdarzeń, zakres naruszenia, ocenę przyczyn źródłowych oraz rekomendacje naprawcze.

Wnioski

  • Brak MFA i segmentacji sieci pozwolił atakowi rozlać się szerzej, niż było to konieczne.
  • Kopie zapasowe istniały, ale nie były regularnie testowane — przywracanie zajęło więcej czasu, niż zakładano.
  • Najszybszą poprawę bezpieczeństwa dało wdrożenie MFA, segmentacji i procedury zgłaszania incydentów.

Incydent zawsze jest kosztowny — ale dobrze przeprowadzony audyt śledczy zamienia go w konkretną wiedzę, która realnie podnosi odporność organizacji.