Plán reakce na bezpečnostní incidenty pro jednotlivce: 48hodinový postup

Dalimil

Proč mít osobní plán „incident response“ a kdy ho použít

Incident response pro jednotlivce je soubor kroků, které snižují škody při narušení účtu, krádeži identity, napadení zařízení, ztrátě telefonu či úniku citlivých dat. Cílem je rychlá izolace (zastavit šíření), stabilizace (obnovit přístup k důležitým službám), forenzní minimum (zaznamenat důkazy) a obnova s následným posílením obrany. Tento 48hodinový plán je časově řízený a škálovatelný – přizpůsobte ho závažnosti incidentu a dostupným zdrojům.

Signály incidentu: co považujeme za „spouštěč“

  • Neočekávaná upozornění o přihlášení, změnách hesel nebo 2FA, která jste neprovedli vy.
  • Podivné zprávy od vašich kontaktů z vašich účtů, zablokované přístupy, prázdné cloudové složky.
  • Náhlé zpomalení zařízení, vyskakovací okna, přesměrování, podezřelá rozšíření prohlížeče.
  • Transakce, předplatné nebo objednávky, které jste neschválili.
  • Informace o úniku údajů z používaných služeb, která se vás může dotýkat (e-mail, hesla, karty).

Model hrozeb a priority: co chránit jako první

  • Kritická komunikace: primární e-mail (obnova hesel), telefonní číslo (SIM swap), autentifikátory (2FA, passkeys).
  • Finance: bankovní a platební účty, karty, kryptopeněženky.
  • Identita a přístupy: občanský průkaz/pas (při ztrátě), cloudové účty, sociální sítě (reputace).
  • Zařízení a síť: mobil, notebook, domácí router (Wi-Fi), zálohy a úložiště.

0–2 hodiny: izolace, zastavení škod, deník incidentu

  1. Zapněte „letecký režim“ na napadeném zařízení, případně odpojte od Wi-Fi; pokud potřebujete internet pro obnovu účtů, použijte jiné důvěryhodné zařízení.
  2. Spusťte deník incidentu: zaznamenejte čas, kdy jste incident zaznamenali, názvy služeb, e-maily/SMS (včetně čísel odesílatelů), screenshoty. Pojmenujte například „IR-YYYYMMDD“.
  3. Primární e-mail a telefon: na bezpečném zařízení zkontrolujte poslední přihlášení a okamžitě změňte heslo, odstraňte neznámé recovery e-maily a telefonní čísla, zkontrolujte app passwords, přeposílání a filtry.
  4. Vypněte relace a odhlaste všechna zařízení ve vašich účtech (Google, Apple, Microsoft, Facebook apod.).
  5. Finance: zablokujte podezřelé karty v bankovní aplikaci; nastavte temporary freeze nebo denní limit; kontaktujte banku přes oficiální kanály.
  6. SIM a operátor: pokud hrozí SIM swap, ihned kontaktujte operátora, aktivujte ochranné heslo k účtu a požádejte o záznam podezřelé aktivity.

2–6 hodin: záchranná hesla, MFA a kontrola obnovy

  1. Správce hesel: nastavte nové hlavní heslo (passphrase), aktivujte 2FA, exportujte/zálohujte emergency kit do offline úložiště.
  2. Rotace hesel dle kritičnosti: primární e-mail → banky → cloud → sociální sítě → e-shopy. Používejte unikátní a náhodná hesla.
  3. MFA/2FA: přepněte z SMS ověřování na autentifikační aplikaci nebo passkeys; odstraňte stará MFA zařízení a recovery kódy uložte offline.
  4. Prohlížeč a rozšíření: odeberte podezřelá rozšíření, vymažte cookies a service workers; zkontrolujte domovskou stránku a proxy nastavení.
  5. Cloud a sdílení: zrušte podezřelá sdílení složek/odkazů, zkontrolujte pravidla automatizací (IFTTT, Zapier), webhooky a API tokeny.

6–12 hodin: zařízení, síť, zálohy a forenzní minimum

  1. Antivirový/EDR sken na všech noteboocích a mobilních zařízeních; ověřte integritu systémových aktualizací a zapněte automatické aktualizace.
  2. Domácí síť: přihlaste se do routeru, změňte administrátorské heslo, aktualizujte firmware, deaktivujte WPS, přepněte na WPA3, změňte heslo k Wi-Fi.
  3. Zálohy: připojujte pouze důvěryhodné zálohy, ověřte data a integritu; vytvořte čerstvou offline zálohu čistého stavu.
  4. Forenzní konzervace: exportujte přihlášení (pokud platforma umožňuje), stahujte faktury a záznamy transakcí, ukládejte logy a screenshoty do zabezpečeného archivu.

12–24 hodin: právní a provozní kroky, kontaktování třetích stran

  • Banka a platby: formálně reklamujte neoprávněné transakce, požádejte o chargeback, uchovejte referenční čísla případů ve svém deníku.
  • Operátor: potvrďte blokaci duplikátní SIM a nastavte port-out PIN.
  • Platformy: nahlaste kompromitaci účtů (Facebook/Instagram/Twitter/Google/Apple) a požadujte uzamčení/odemknutí dle potřeby.
  • Policie/kyberkriminalita: při finanční škodě, vydírání (sextortion) nebo krádeži identity podáte trestní oznámení; přiložte deník incidentu.
  • Známým a kolegům pošlete upozornění, že z vašeho účtu mohly přijít podvodné zprávy; doporučte ignorování a nahlášení.

24–36 hodin: audit přístupů, relací a automatizací

  1. Bezpečnostní přehledy účtů: prohlédněte poslední přihlášení, ověřená zařízení, povolené aplikace třetích stran; odvolejte všechno neznámé.
  2. E-mailové filtry a přesměrování: odstraňte pravidla, která přesměrovávají/mažou zprávy od platforem (běžná taktika útočníků).
  3. Obnova účtu: zkontrolujte recovery e-maily/telefony a bezpečnostní otázky; odstraňte ty, které jste nenastavili vy.
  4. Cloudové fotografie a dokumenty: zkontrolujte neobvyklé přesuny a smazání; prohlédněte „koš“ a historii verzí.

36–48 hodin: obnova důvěry a posílení

  • Bezpečnostní baseline: všechny kritické účty zabezpečené 2FA/passkeys, správce hesel s novým master heslem, rotace sdílených tajemství (API, SSH klíče).
  • Segregace rizika: oddělené e-maily pro banky, sociální sítě a registrace; vyhraďte si „spalovací“ e-mail pro nízce důvěryhodné služby.
  • Ochrana identity: nastavte monitoring úniků (notifikace při zjištění e-mailu/hesla v dump souborech), aktivujte upozornění na kreditní zprávy, pokud jsou dostupné.
  • Vzdělávání sebe a rodiny: projděte zásady proti phishingu, falešným kurýrům, QR a „support call“ podvodům.

Specifické playbooky: kompromitovaný e-mail

  1. Změňte heslo a ukončete relace; aktivujte 2FA.
  2. Zkontrolujte přesměrování, filtry, delegace a propojené aliasy.
  3. Projděte historii přihlášení a neznámé aplikace (OAuth) – zrušte přístup.
  4. Upozorněte kontakty a nastavte auto-reply s krátkým varováním na 24–48 h (bez detailů, jen doporučení ignorovat podezřelé zprávy).

Specifické playbooky: SIM swap a telefon

  • Okamžitě kontaktujte operátora, zablokujte stávající SIM a nastavte silné ověření k účtu.
  • Převeďte 2FA z SMS na aplikaci nebo bezpečnostní klíč; aktualizujte recovery čísla ve všech službách.
  • Pokud je telefon ztracený/ukradený: použijte „Find My“/„Find My Device“ k zamknutí/smazání; změňte hesla k aplikacím s přímým přístupem (banky, pošta, zprávy).

Specifické playbooky: sociální sítě a reputace

  • Zabezpečte účet (heslo, 2FA), odstraňte podezřelé administrátory/editory stránek, zkontrolujte propojené aplikace.
  • Projděte publikace posledních dní; skryjte/smažte nežádoucí obsah; zvažte dočasné uzamčení profilu.
  • Komunikace: krátký status, že účet byl kompromitován a nyní je zabezpečen; požádejte o hlášení falešných profilů.

Specifické playbooky: finance a kryptoměny

  • Bankovní účty: dočasná blokace, reklamace transakcí, změna přístupů, nové karty.
  • Krypto: přesun prostředků z hot wallet do nové peněženky s novou seed frází; seed uchovávejte offline; aktivujte whitelisting výběrových adres a zpožděné výběry, pokud burza podporuje.

Komunikační šablony: stručně a účinně

  • Bance: „Nahlašuji neoprávněné transakce na účtu č. … ze dne … v částce … Můj účet byl kompromitován. Žádám okamžitou blokaci karty, dočasné zmrazení a zahájení reklamačního řízení.“
  • Operátorovi: „Žádám prověřit a zablokovat neautorizovanou výměnu SIM/port-out. Prosím nastavte port-out PIN a poznámku o nutnosti osobního ověření.“
  • Platformě: „Můj účet byl kompromitován (ID: …). Žádám reset relací, kontrolu neautorizovaných změn a obnovení přístupu.“
  • Kontaktům: „Pokud jste obdrželi zvláštní zprávy z mého účtu, prosím ignorujte je a smažte. Účet jsem zabezpečil(a).“

Forenzní minimum pro jednotlivce: co uchovat

  • Screenshoty upozornění, transakcí, bezpečnostních panelů.
  • Časovou osu kroků, s kým jste komunikovali (jméno, čas, referenční číslo).
  • Exporty přihlášení a logů (je-li dostupné), potvrzení o změnách hesel/2FA.

Prevence po incidentu: nové standardy

  • Passkeys a FIDO2 pro klíčové účty; minimalizujte SMS 2FA.
  • Správce hesel s politikou unikátních hesel pro každý účet a pravidelnou rotací pouze při signálech rizika.
  • Sandbox pro rizikové aktivity: samostatný prohlížeč/profil pro testování a nákupy; privacy kontejnery.
  • Zálohovací strategie 3-2-1: tři kopie, na dvou médiích, jedna offline/immutable.

Checklist „hotovo“ po 48 hodinách

  • Primární e-mail, telefon a správce hesel jsou zabezpečeny (nové heslo, 2FA/passkeys).
  • Všechny kritické účty jsou otáčené, relace zrušené, OAuth aplikace prověřené.
  • Banka a operátor kontaktováni, reklamace/žádosti podány, karty a SIM zabezpečeny.
  • Router a Wi-Fi obnoveny s novými hesly a aktuálním firmwarem.
  • Forenzní podklady uloženy a incident zdokumentován.
  • Zálohy ověřeny, rizikové návyky upraveny, školení absolvováno.

Kdy eskalovat nad rámec 48 hodin

Pokud škoda přesahuje vaše možnosti (významné finanční ztráty, systematické pronásledování, vydírání, únik dokladů totožnosti), pokračujte právními kroky, aktivujte podporu od banky/pojišťovny (pojištění kybernetických rizik, pokud je k dispozici) a zvažte konzultaci s odborníkem na digitální forenziku. Při krádeži dokladů sledujte pokyny příslušných úřadů k zneplatnění a vydání nových dokladů.

Shrnutí: rychlost, pořadí, důkazy

Úspěšný osobní incident response stojí na třech pilířích: rychlá izolace (zastavit krvácení), správné pořadí (chránit primární e-mail, telefon a finance jako první) a dokumentace (deník a důkazy). Po 48 hodinách by měly být klíčové účty a zařízení stabilizovány, škody omezeny a obrana posílena tak, aby se podobný incident obtížněji opakoval.

Súvisiace články

Bonus-malus v pojištění automobilů

Systém bonus-malus v pojištění automobilů upravuje cenu pojistného podle škodové historie řidiče, odměňuje bezškodní průběh slevami a penalizuje škodové události přirážkami. U PZP a havarijního pojištění funguje nezávisle, přičemž převod bo