Plán reakce na bezpečnostní incident pro jednotlivce: klíčové kroky a akční plán na 48 hodin

Proč potřebujete 48hodinový incident response plán

Při úniku hesel, podezření na malware, převzetí účtu či podvodu s platbou rozhodují první hodiny. Plán na 48 hodin vám poskytne jasné kroky, pořadí priorit a kontrolní seznamy, abyste minimalizovali škody, uchovali důkazy a obnovili kontrolu nad identitou a zařízeními. Tento článek nabízí praktický, časově fázovaný postup pro jednotlivce a rodinu.

Signály, že právě dochází k incidentu

• Neobvyklá přihlášení, změny hesel nebo 2FA, které jste neprovedli.
• Nová zařízení nebo aplikace připojené k účtu bez vašeho vědomí.
• Neúspěšné pokusy o přihlášení ve vlnách, SMS kódy, o které jste nežádali.
• Neautorizované platby, změny kontaktních údajů v bance či u operátora.
• Náhlé zpomalení zařízení, podezřelé procesy, přesměrování prohlížeče.
• Phishingový e-mail/SMS, na který jste klikli nebo zadali údaje.

Principy rozhodování: co řešit jako první

1. Bezpečnost a finance: bankovní účty, platební karty, mobilní operátor (SIM swap), primární e-mail.
2. Kontrolní body identity: hesla, 2FA, resetovací e-maily a telefonní čísla.
3. Izolace techniky: odpojit kompromitovaná zařízení, vyhnout se dalšímu zadávání hesel na napadeném systému.
4. Zachování důkazů: nevymazávat zprávy, pořizovat snímky obrazovky, zapisovat časy a částky.

0–30 minut: okamžité kroky

1. Odpojte podezřelé zařízení od internetu (vypnout Wi-Fi, vytáhnout kabel). Pokud potřebujete komunikovat, použijte jiné důvěryhodné zařízení (záložní notebook/telefon).
2. Uchovejte důkazy: udělejte snímky obrazovky e-mailů, SMS, transakcí a chybových hlášení. Zaznamenejte datum/čas a URL.
3. Zabezpečte finance:
   • V bankovní aplikaci dočasně uzamkněte karty nebo snižte limity.
   • Pokud zaznamenáte podvodnou platbu, ihned ji reklamujte a požádejte o blokaci dalších transakcí.
4. Zkontrolujte operátora: pokud nefunguje síť nebo mizí SMS kódy, volejte operátorovi a ověřte změnu SIM/eSIM. Nastavte zámek na SIM (PIN) a zákaz změn bez osobní verifikace.

30–120 minut: stabilizace účtů a 2FA

1. Primární e-mail (který používáte k „Zapomenutému heslu“):
   • Změňte heslo na dlouhé a jedinečné (pomocí správce hesel).
   • Zkontrolujte obnovovací e-maily/telefon, odhlaste všechny relace, zrušte aplikační hesla a propojené aplikace.
   • Zapněte 2FA (autentizátor nebo hardwarový klíč, ne SMS, pokud je to možné).
2. Správce hesel (pokud ho používáte):
   • Změňte hlavní heslo, zapněte 2FA a zrušte aktivní relace.
   • Proveďte kontrolu úniků a označte účty vhodné ke změně hesel.
3. Kritické účty podle priority:
   • Banky, platební brány, nákupní účty s kartou.
   • Operátor, cloudová úložiště, hlavní sociální sítě.
   • Účty s přístupem k dokumentům/rodinným fotografiím.

   Při každém účtu: odhlásit všechny relace → změnit heslo → zkontrolovat 2FA → zrušit neznámá zařízení a tokeny.

2–6 hodin: kontrola zařízení a sítí

1. Bezpečná diagnostika:
   • Na důvěryhodném zařízení stáhněte offline instalátor renomovaného antimalware nástroje na USB.
   • Na podezřelém zařízení spusťte plnou kontrolu (ideálně v bezpečném režimu).
2. Aktualizace: operační systém, prohlížeč, pluginy, kancelářské balíky, firmware routeru.
3. Prohlížeč: odinstalujte podezřelé rozšíření, resetujte nastavení, vymažte cookies/úložiště (po změně hesel).
4. Router: změňte administrační heslo, vypněte vzdálenou správu, ověřte nastavení DNS.

6–12 hodin: oznamování, změny klíčů a rodinná koordinace

• Informujte dotčené kontakty: krátká zpráva, že váš účet mohl odesílat spam/phishing; neotvírat podezřelé odkazy.
• Obnovte nebo přemapujte 2FA:
  • Přejděte na aplikaci autentizátoru nebo hardwarový klíč (FIDO2).
  • Zálohujte recovery kódy offline (papír, trezor).
• Rodinné účty: zkontrolujte rodičovské účty, sdílené schránky a cloudové složky; sjednoťte pravidla hesel a 2FA.

12–24 hodin: audit přístupů a smluvních propojení

1. OAuth a propojené aplikace: ve Google/Microsoft/Apple/Facebook účtech odeberte přístup aplikacím a službám, které nepotřebujete.
2. Emailové filtry a přeposílání: hledejte skrytá pravidla (přesuny, přeposílání na cizí adresy) a odstraňte je.
3. Fakturace a předplatné: projděte aktivní předplatné, odpojte napadené karty, nastavte upozornění na platby.
4. Archivy měsíčních výpisů: projděte alespoň poslední 3 měsíce na neobvyklé platby a mikrotransakce.

24–48 hodin: obnova, hlášení a dlouhodobá opatření

1. Kompletní záloha: vytvořte offline zálohu důležitých souborů ze zdravého systému.
2. Čistá instalace (pokud byl nalezen malware nebo přetrvávají příznaky): reset do továrního nastavení nebo nový OS, následně obnova dat ze známé dobré zálohy.
3. Formální hlášení:
   • Bance (podvod, chargeback, reklamace).
   • Operátorovi (SIM swap, zneužití čísla).
   • Platformám (napadený účet, zneužití identity, doxxing).
   • Pokud došlo k finanční škodě nebo vydírání, zvažte ohlášení policii – přiložte důkazy.
4. Rotace hesel pro všechny účty s opakovaným použitím hesla nebo s vysokou hodnotou (mail, cloud, banky, sociální sítě, e-shopy).
5. Monitorování: nastavte notifikace o přihlášeních, změnách hesel, nových zařízeních, transakcích.

Speciální scénáře a další kroky

• Phishing – zadali jste údaje: okamžitě změňte heslo a odvolejte relace. Zkontrolujte přeposílání e-mailů a filtry.
• SIM swap: operátor zablokuje cizí SIM, znovu vydá vaši; dočasně nepoužívejte SMS 2FA, přepněte na aplikaci/klíč.
• Převzatý sociální účet: využijte průvodce „Účet napaden“/„Hacked“, ověření identity, obnovu přístupu a oznámení kontaktům.
• Únik dokumentů (občanský průkaz, pas): kontaktujte příslušný úřad pro blokaci a nové vydání; sledujte podezřelé úvěry/účty.
• Doxxing nebo vydírání: nevyjednávejte; uložte důkazy, nahlaste platformě a policii, uveďte, co bylo zveřejněno.

Incident notebook: co zapisovat pro důkazy a kontinuitu

• Časová osa: kdy se co stalo (SMS, e-maily, přihlášení, transakce).
• Artefakty: snímky obrazovky, PDF výpisů, hlavičky e-mailů, URL.
• Kontaktované subjekty: jména, data, čísla tiketů, výsledky.
• Provedená opatření: změněná hesla, zapnuté 2FA, zrušené přístupy.

Prevence po incidentu: posílení odolnosti

• Správce hesel + jedinečná hesla delší než 14 znaků.
• 2FA všude, kde je to možné; preferujte autentizátor nebo hardwarový klíč.
• Oddělené e-maily: primární (osobní), veřejný (registrace), finanční (banky) – snižuje korelaci účtů.
• Sandbox pro nákupy a experimenty: sekundární prohlížeč/profil bez přístupu k hlavním účtům.
• Bezpečné zálohy: strategie 3-2-1 (3 kopie, 2 média, 1 mimo domov/offline).
• Bezpečné návyky: aktualizace, kontrola rozšíření, opatrnost při přílohách a makrech, neveřejné sdílení citlivých fotek/dokumentů.

Rychlý checklist na 48 hodin

• 0–30 min: odpojit zařízení, zamknout karty, ověřit SIM, zachovat důkazy.
• 30–120 min: zabezpečit primární e-mail, správce hesel, rotovat hesla kritických účtů, zapnout 2FA.
• 2–6 h: sken malware, aktualizace, prohlížeč, router.
• 6–12 h: oznámit kontaktům, migrovat 2FA, sdílené rodinné účty.
• 12–24 h: audit OAuth, e-mailové filtry, fakturace a předplatné.
• 24–48 h: čistá instalace (pokud je třeba), formální hlášení, dlouhodobé monitorování.

Minimalistická výbava pro krizové situace

• Záložní důvěryhodné zařízení (nebo live USB).
• Správce hesel s offline exportem recovery kódů.
• Hardwarové 2FA klíče (alespoň 2 ks) a papírové recovery kódy.
• Kontakty na banku, operátora a podporu platforem uložené offline.

Shrnutí

Úspěšný incident response jednotlivce stojí na prioritizaci (finance, identita, zařízení), izolaci (nevstupovat do účtů ze zraněných systémů), rotaci přístupů (hesla, 2FA, tokeny), uchování důkazů a koordinačních hlášeních bankám, operátorům a platformám. Po stabilizaci implementujte trvalá opatření: správce hesel, 2FA, segmentace účtů a pravidelné zálohy. S připraveným 48hodinovým plánem zvládnete krizovou situaci rychleji a s menšími škodami.