Aż 98% firm na świecie posiada plan działania na wypadek cyberataku (tzw. playbook), wynika z raportu Veeam Ransomware Trends and Proactive Strategies 2025. Jednak tylko 44% badanych przedsiębiorstw uwzględnia w playbooku konieczność regularnego testowania kopii zapasowych, a 32% wskazuje procedury izolacji systemów zagrożonych atakiem ransomware. Dodatkowo jedynie co trzeci respondent wie, kto podejmuje decyzje, gdy wystąpi incydent.
Mimo rosnącej świadomości i współpracy między zespołami IT i security, 69% firm padło ofiarą ransomware w ciągu ostatniego roku. Cyberprzestępcy zmieniają taktykę – coraz częściej kradną dane zamiast je szyfrować, a czas między włamaniem a atakiem skracają do kilku godzin. W takich warunkach nie ma miejsca na improwizację.
Playbook – instrukcja przetrwania
Dobrze zaprojektowany #playbook to nie tylko opis procedur, ale też jasno określony łańcuch decyzyjny, wytyczne techniczne i scenariusze izolacji zagrożonych systemów. Tymczasem raport Veeam ujawnia, że:
- tylko 44% firm regularnie testuje backupy,
- 37% posiada dostęp do alternatywnej infrastruktury,
- 32% przewiduje izolowanie zainfekowanych środowisk,
- 30% ma jasno zdefiniowany proces podejmowania decyzji.
Bez tych elementów plan reagowania łatwo staje się dokumentem „na półkę”, a nie realnym narzędziem obrony, uważa Tomasz Krajewski, dyrektor techniczny sprzedaży na Europę Wschodnią w firmie Veeam, który dzieli się kluczowymi wnioskami z raportu Veeam.
Nie tylko reakcja, ale też prewencja
Ekspert Veeam podkreśla, że „skuteczny playbook to narzędzie reakcji, a nie prewencji. Dlatego przygotowanie na zagrożenia cybernetyczne nie może sprowadzać się wyłącznie do stworzenia dokumentu wskazującego ‘co robić, gdy atak już się wydarzył’. Kluczowa jest kompleksowa strategia odporności organizacji i jej danych, na którą składają się nie tylko procedury działania w czasie incydentu cybernetycznego i bezpośrednio po nim, ale również dobre praktyki wdrażane wcześniej – na etapie zabezpieczania zasobów, planowania procesów i edukowania zespołów„.
Zwiększanie odporności
Jednym z najważniejszych filarów cyberodporności jest strategia tworzenia i odzyskiwania kopii zapasowych. Skuteczne podejście wymaga nie tylko regularnego wykonywania backupu, ale również jego izolacji od środowiska produkcyjnego i zabezpieczenia przed nieautoryzowanymi zmianami. Konieczne jest także regularne testowanie procedur przywracania backupu, aby mieć pewność, że w sytuacji kryzysowej kopie zapasowe są dostępne, aktualne i w pełni funkcjonalne, radzi ekspert Veeam. Dobrym punktem odniesienia jest zasada 3-2-1-1-0, zgodnie z którą firma powinna przechowywać trzy kopie danych na dwóch różnych nośnikach, z czego co najmniej jedna musi być niezmienna i znajdować się poza główną siedzibą firmy. Zero na końcu oznacza brak błędów wykrytych podczas testów odzyskiwania danych.
Równolegle firmy powinny inwestować w rozwiązania proaktywne, które pozwalają ograniczać prawdopodobieństwo wystąpienia ataku. Wśród nich warto wskazać m.in. architekturę zero trust oraz zarządzanie tożsamością i dostępem. Równie istotne są polityki i procesy zapewniające aktualność oprogramowania, a także narzędzia umożliwiające wykrywanie anomalii i podejrzanych zachowań w środowisku systemowym.
Uzupełnieniem działań technicznych powinny być regularne warsztaty edukacyjne obejmujące wszystkich pracowników – nie tylko szkolenia, ale także tzw. ćwiczenia z odporności. Pozwalają one sprawdzić procedury w praktyce, zidentyfikować luki w zabezpieczeniach i przygotować firmę na działanie pod realną presją.
(grafika tytułowa – źr. Pixabay)
