Informatyka śledcza w praktyce: czego nie robić po incydencie

Pierwsze godziny po wykryciu incydentu decydują o tym, czy uda się ustalić jego przebieg i zakres. Niestety, to właśnie wtedy popełnianych jest najwięcej błędów — często z dobrych intencji.

Czego NIE robić

• Nie wyłączaj i nie restartuj zaatakowanej maszyny pochopnie — w pamięci ulotnej (RAM) mogą znajdować się kluczowe dowody, które znikną po odłączeniu zasilania.
• Nie „czyść" systemu i nie usuwaj podejrzanych plików. Niszczysz w ten sposób ślady, które pozwoliłyby zrozumieć atak.
• Nie instaluj nowych narzędzi na zaatakowanej maszynie — każda zmiana nadpisuje dane i zmniejsza wiarygodność analizy.
• Nie loguj się rutynowo na konta, które mogły zostać przejęte — możesz ostrzec napastnika lub zatrzeć ślady.
• Nie komunikuj szczegółów incydentu kanałami, które mogą być pod kontrolą atakującego.

Co zrobić zamiast tego

• Izoluj zaatakowane systemy od sieci, ale w miarę możliwości pozostaw je włączone do czasu zabezpieczenia.
• Zabezpiecz logi — z poczty, serwerów, zapór i stacji roboczych, zanim zostaną nadpisane.
• Udokumentuj każdy wykonany krok i godzinę — to część łańcucha dowodowego.
• Skontaktuj się ze specjalistą od informatyki śledczej, zanim zaczniesz przywracać dane.

Przywrócenie działania i zabezpieczenie dowodów to dwa różne cele. Da się je pogodzić — ale tylko wtedy, gdy zadbasz o dowody, zanim zaczniesz „naprawiać".

Dlaczego to ważne

Dobrze zabezpieczony materiał pozwala ustalić przyczynę źródłową, ocenić zakres wycieku danych i — jeśli to konieczne — przygotować ekspertyzę na potrzeby postępowania. Pochopne działania potrafią bezpowrotnie zamknąć tę drogę.

Jeśli masz wątpliwości, jak postąpić po incydencie — zadzwoń, zanim podejmiesz nieodwracalne kroki. Konsultacja zajmuje chwilę, a może uratować całe dochodzenie.