Reakce na bezpečnostní incident

Tomáš Hudák

Proč mít osobní „incident response“ plán a kdy ho použít

Incident response pro jednotlivce je soubor kroků, které snižují škody při narušení účtu, krádeži identity, napadení zařízení, ztrátě telefonu či úniku citlivých dat. Cílem je rychlá izolace (zastavit šíření), stabilizace (obnovit přístup k důležitým službám), forenzní minimum (zaznamenat důkazy) a obnova s následným posílením obrany. Tento 48hodinový plán je časově řízený a škálovatelný – přizpůsobte ho závažnosti a dostupným zdrojům.

Signály incidentu: co považujeme za „spouštěč“

  • Neočekávaná upozornění o přihlášení, změnách hesel nebo 2FA, která jste neprovedli vy.
  • Podezřelé zprávy od vašich kontaktů z vašich účtů, zablokované přístupy, prázdné cloudové složky.
  • Náhlé zpomalení zařízení, vyskakovací okna, přesměrování, podivná rozšíření prohlížeče.
  • Transakce, předplatné nebo objednávky, které jste neschválili.
  • Informace o úniku dat z používaných služeb, které se vás mohou týkat (e-mail, hesla, karty).

Model hrozeb a priority: co chránit jako první

  • Kritická komunikace: primární e-mail (obnova hesel), telefonní číslo (SIM swap), autentifikátory (2FA, passkeys).
  • Finance: bankovní a platební účty, karty, kryptopeněženky.
  • Identita a přístupy: občanský průkaz/pas (při ztrátě), účty do cloudu, sociální sítě (reputace).
  • Zařízení a síť: mobil, notebook, domácí router (Wi-Fi), zálohy a úložiště.

0–2 hodiny: izolace, zastavení škod, deník incidentu

  1. Zapněte „letecký režim“ na napadeném zařízení, případně odpojte z Wi-Fi; pokud potřebujete internet na obnovu účtů, použijte jiné důvěryhodné zařízení.
  2. Spusťte deník incidentu: zaznamenejte čas, kdy jste incident zaznamenali, názvy služeb, e-maily/SMS (včetně čísel odesílatelů), screenshoty. Pojmenujte například „IR-YYYYMMDD“.
  3. Primární e-mail a telefon: na bezpečném zařízení zkontrolujte poslední přihlášení a okamžitě změňte heslo, odstraňte neznámé recovery e-maily a telefonní čísla, zkontrolujte app passwords, přesměrování a filtry.
  4. Vypněte relace a odhlaste všechna zařízení v účtech (Google, Apple, Microsoft, Facebook apod.).
  5. Finance: zablokujte podezřelé karty v bankovní aplikaci; nastavte temporary freeze nebo denní limit; kontaktujte banku přes oficiální telefonní číslo.
  6. SIM a operátor: pokud hrozí SIM swap, zavolejte operátorovi, aktivujte ochranné heslo k účtu a požádejte o záznam podezřelé aktivity.

2–6 hodin: záchranná hesla, MFA a kontrola obnovy

  1. Správce hesel: nastavte nové hlavní heslo (passphrase), zapněte 2FA, proveďte export/zálohu emergency kitu do offline úschovy.
  2. Rotace hesel podle kritičnosti: primární e-mail → banky → cloud → sociální sítě → e-shopy. Použijte unikátní náhodná hesla.
  3. MFA/2FA: přepněte z SMS na autentifikační aplikaci nebo passkeys; odstraňte stará MFA zařízení a recovery kódy uložte offline.
  4. Prohlížeč a rozšíření: odinstalujte podezřelé pluginy, vymažte cookies a service workers; zkontrolujte domovskou stránku a proxy nastavení.
  5. Cloud a sdílení: zrušte podezřelé sdílené složky/odkazy, zkontrolujte pravidla automatizací (IFTTT, Zapier), webhooky a API tokeny.

6–12 hodin: zařízení, síť, zálohy a forenzní minimum

  1. Antivirový/EDR sken na všech počítačích a mobilech; ověřte integritu systémových aktualizací a zapněte automatické aktualizace.
  2. Domácí síť: přihlaste se do routeru, změňte admin heslo, aktualizujte firmware, vypněte WPS, přepněte na WPA3, změňte Wi-Fi heslo.
  3. Zálohy: připojte pouze důvěryhodné zálohy, zkontrolujte data a integritu; vytvořte čerstvou offline zálohu čistého stavu.
  4. Forenzní konzervace: zachovejte export přihlášení (pokud platforma umožňuje), stahujte faktury a transakční záznamy, uložte logy a screenshoty do zabezpečeného archivu.

12–24 hodin: právní a provozní kroky, kontaktování třetích stran

  • Banky a platby: formálně reklamujte neoprávněné transakce, požádejte o chargeback, uložte referenční čísla případů do svého deníku.
  • Operátor: potvrďte blokace duplicitní SIM a nastavte port-out PIN.
  • Platformy: nahlaste kompromitaci účtů (Facebook/Instagram/Twitter/Google/Apple) a požadujte uzamčení/odblokování dle potřeby.
  • Policie/kyberkriminalita: při finanční škodě, vydírání (sextortion) nebo krádeži identity podejte trestní oznámení; přiložte deník incidentu.
  • Známým a kolegům zašlete upozornění, že z vašeho účtu mohly přijít podvodné zprávy; doporučte ignorovat a nahlásit je.

24–36 hodin: audit přístupů, relací a automatizací

  1. Bezpečnostní přehledy účtů: zkontrolujte poslední přihlášení, ověřená zařízení, povolené aplikace třetích stran; odvolejte vše neznámé.
  2. E-mailové filtry a přesměrování: odstraňte pravidla, která přesouvají/mažou zprávy od platforem (běžná taktika útočníků).
  3. Obnova účtu: zkontrolujte recovery e-maily/telefon a bezpečnostní otázky; odstraňte ty, které jste nenastavili vy.
  4. Cloudové fotky a dokumenty: zkontrolujte neobvyklé přesuny a odstranění; podívejte se do „koše“ a historie verzí.

36–48 hodin: obnova důvěry a posílení obrany

  • Bezpečnostní baseline: všechny kritické účty s 2FA/passkeys, správce hesel s novým master heslem, sdílená tajemství rotována (API, SSH, klíče).
  • Segregace rizika: oddělené e-maily pro banky, sociální sítě a registrace; vyhraďte si „pálící“ e-mail pro nízkodůvěryhodné služby.
  • Ochrana identity: nastavte monitoring úniků (notifikace při zjištění e-mailu/hesla ve veřejných dumpch), aktivujte upozornění na kreditní zprávy, pokud jsou dostupné.
  • Školení sebe a rodiny: projděte zásady proti phishingu, falešným kurýrům, QR a „support call“ podvodům.

Specifické playbooky: kompromitovaný e-mail

  1. Změňte heslo a ukončete relace; aktivujte 2FA.
  2. Zkontrolujte přesměrování, filtry, delegace a propojené aliasy.
  3. Projděte historii přihlášení a neznámé aplikace (OAuth) – zrušte přístup.
  4. Upozorněte kontakty a nastavte auto-reply s krátkou výstrahou na 24–48 hodin (neuveďte detaily, pouze doporučení ignorovat podezřelé zprávy).

Specifické playbooky: SIM swap a telefon

  • Okamžitě kontaktujte operátora, zablokujte současnou SIM a nastavte silné ověření na účtu.
  • Převeďte 2FA z SMS na aplikaci nebo bezpečnostní klíč; aktualizujte recovery čísla ve všech službách.
  • Pokud je telefon ztracený/ukradený: použijte „Find My“/„Find My Device“ k uzamčení/smazání; změňte hesla u aplikací s přímým přístupem (banky, pošta, zprávy).

Specifické playbooky: sociální sítě a reputace

  • Zabezpečte účet (heslo, 2FA), odstraňte podezřelé administrátory/editor stránky, zkontrolujte propojené aplikace.
  • Projděte příspěvky z posledních dnů; skryjte/smažte nežádoucí obsah; zvažte dočasné uzamčení profilu.
  • Komunikace: krátký status, že účet byl kompromitován a již je zabezpečen; požádejte o nahlášení falešných profilů.

Specifické playbooky: finance a kryptoměny

  • Bankovní účty: dočasná blokace, reklamace transakcí, změna přístupů, nové karty.
  • Krypto: přesuňte prostředky z hot wallet do nové peněženky s novou seed frází; seed uchovávejte offline; zapněte whitelisting výběrových adres a časově zpožděné výběry, pokud burza tuto možnost podporuje.

Komunikační šablony: stručně a účinně

  • Bance: „Oznamuji neoprávněné transakce na účtu č. … ze dne … v částce … Můj účet byl kompromitován. Žádám okamžitou blokaci karty, dočasné zmrazení a zahájení reklamačního procesu.“
  • Operátorovi: „Žádám prověření a zablokování neautorizované výměny SIM/port-out. Nastavte prosím port-out PIN a poznámku o nutnosti osobního ověření.“
  • Platformě: „Můj účet byl kompromitován (ID: …). Žádám reset relací, kontrolu neautorizovaných změn a obnovení přístupu.“
  • Kontakům: „Pokud jste obdrželi zvláštní zprávy z mého účtu, prosím ignorujte je a smažte. Účet jsem zabezpečil(a).“

Forenzní minimum pro jednotlivce: co uschovat

  • Screenshoty upozornění, transakcí, bezpečnostních panelů.
  • Časová osa kroků, s kým jste komunikovali (jméno, čas, referenční číslo).
  • Exporty přihlášení a logů (pokud jsou k dispozici), potvrzení o změnách hesel/2FA.

Prevence po incidentu: nové standardy

  • Passkeys a FIDO2 pro klíčové účty; minimalizovat SMS 2FA.
  • Správce hesel s politikou unikátního hesla na účet a pravidelnou rotací pouze při signálech rizika.
  • Sandbox pro rizikové aktivity: samostatný prohlížeč/profil pro experimentální testy a nákupy; privacy kontejnery.
  • Zálohovací strategie 3-2-1: tři kopie, na dvou médiích, jedna offline/immutable.

Checklist „hotovo“ po 48 hodinách

  • Primární e-mail, telefon a správce hesel jsou zabezpečeny (nové heslo, 2FA/passkeys).
  • Všechny kritické účty jsou rotovány, relace zrušeny, OAuth aplikace prověřeny.
  • Banka a operátor kontaktováni, reklamace/žádosti podány, karty a SIM zabezpečeny.
  • Router a Wi-Fi obnoveny s novými hesly a aktuálním firmwarem.
  • Forenzní podklady uloženy a incident zdokumentován.
  • Zálohy ověřeny, rizikové návyky upraveny, školení absolvováno.

Kdy eskalovat nad rámec 48 hodin

Pokud škoda přesahuje vaše možnosti (významné finanční ztráty, systematické pronásledování, vydírání, únik dokladů totožnosti), pokračujte právními kroky, aktivujte podporu od banky/pojišťovny (pojištění kybernetických rizik, pokud existuje) a zvažte konzultaci s odborníkem na digitální forenziku. Při krádeži dokladů sledujte pokyny příslušných úřadů k zneplatnění a vydání nových dokladů.

Shrnutí: rychlost, pořadí, důkazy

Úspěšný osobní incident response stojí na třech pilířích: rychlé izolaci (zastavit krvácení), správném pořadí (chránit primární e-mail, telefon a finance jako první) a dokumentaci (deník a důkazy). Po 48 hodinách by měly být klíčové účty a zařízení stabilizované, škody omezené a obrana posílena tak, aby se podobný incident obtížněji zopakoval.

Súvisiace články