Ką daryti po kibernetinės atakos

Ką daryti po kibernetinės atakos: 12 žingsnių planas verslui ir asmenims

Autorius /

Ekranas užšąla. Failai užšifruoti. Banko sąskaitoje trūksta pinigų. Klientai praneša apie įtartinus el. laiškus jūsų vardu.

Kibernetinė ataka jau įvyko, ir pirmosios minutės po jos yra lemiamos.

Pagal „IBM” 2025 m. duomenis, vidutinė kibernetinės atakos kaina verslui siekia 4,88 mln. JAV dolerių. Tačiau organizacijos, kurios turėjo aiškų reagavimo planą, sumažino nuostolius vidutiniškai 1,49 mln. dolerių. Skirtumas milžiniškas, ir jis priklauso nuo to, ką darote per pirmąsias valandas.

Šiame straipsnyje rasite konkretų, praktišką veiksmų planą, kurį galite pritaikyti tiek versle, tiek asmeniniame gyvenime.

1. Neatidėliokite: pripažinkite, kad ataka įvyko

Daugelis žmonių ir organizacijų pirmiausia bando neigti situaciją. „Gal tai tik sistemos klaida”, „Gal savaime praeis”. Toks požiūris kainuoja brangiai.

Kuo greičiau pripažinsite, kad jūsų sistema, paskyra ar tinklas buvo pažeisti, tuo greičiau pradėsite valdyti padėtį.

Požymiai, kad patyrėte kibernetinę ataką:

  • Netikėtai pakeisti slaptažodžiai ar prisijungimo duomenys
  • Neatpažįstamos transakcijos banko sąskaitoje
  • Sistemos veikia neįprastai lėtai arba persikrauna savaime
  • Failai užšifruoti, o ekrane rodomas išpirkos reikalavimas
  • Darbuotojai ar klientai gauna el. laiškus, kurių jūs nesiuntėte
  • Antivirusinė programa rodo įspėjimus arba buvo išjungta be jūsų žinios

Jei matote bent vieną iš šių požymių, elkitės taip, lyg ataka patvirtinta. Geriau sureaguoti per greitai nei per lėtai.

2. Atjunkite pažeistus įrenginius nuo tinklo

Tai pirmasis techninis veiksmas, ir jis turi būti greitas.

Atjunkite užkrėstą kompiuterį, serverį ar įrenginį nuo interneto ir vidinio tinklo. Tai reiškia:

  • Ištraukite Ethernet kabelį
  • Išjunkite Wi-Fi ryšį
  • Atjunkite Bluetooth
  • Atjunkite VPN

Svarbu: neišjunkite paties įrenginio. Išjungus kompiuterį, galite prarasti vertingus duomenis apie ataką (operatyviosios atminties turinį, aktyvius procesus, prisijungimo žurnalus). Šie duomenys vėliau padės nustatyti, kaip ataka įvyko ir kas už jos stovi.

Jei ataka palietė kelis įrenginius, atjunkite visus, kurie rodo atakos požymius. Jei nesate tikri, kurie įrenginiai paveikti, atjunkite visą tinklo segmentą.

3. Suformuokite reagavimo komandą

Kibernetinė ataka nėra vieno žmogaus problema. Jums reikia komandos, kuri veiktų koordinuotai.

Verslo aplinkoje į reagavimo komandą turėtų įeiti:

  • IT skyriaus vadovas arba sistemų administratorius
  • Kibernetinio saugumo specialistas (vidinis arba išorinis)
  • Teisininkų atstovas
  • Komunikacijos / PR specialistas
  • Vadovybės atstovas, turintis sprendimų priėmimo teisę

Jei esate smulkus verslas arba asmuo:

  • Susisiekite su IT paslaugų teikėju
  • Pasikonsultuokite su kibernetinio saugumo specialistu (daugelis jų siūlo skubias konsultacijas)
  • Informuokite savo banką
  • Praneškite artimiausiems žmonėms, kad jūsų paskyros gali būti pažeistos

Paskirkite vieną asmenį, kuris koordinuos visus veiksmus. Chaotiška reakcija dažnai padaro daugiau žalos nei pati ataka.

4. Dokumentuokite viską nuo pirmos minutės

Nuo pat pirmojo momento fiksuokite kiekvieną detalę:

  • Kada pastebėjote ataką (data, laikas, laiko zona)
  • Kokie požymiai buvo pirmieji
  • Kurie įrenginiai ir sistemos paveikti
  • Kokius veiksmus jau atlikote
  • Kas turėjo prieigą prie pažeistų sistemų
  • Ekrano nuotraukos (screenshots) visko, ką matote

Ši dokumentacija bus reikalinga teisėsaugai, draudimo kompanijai (jei turite kibernetinio draudimo polisą), reguliavimo institucijoms ir jūsų pačių vidinei analizei.

Naudokite atskirą, nepažeistą įrenginį dokumentacijai. Nerašykite užrašų tame pačiame kompiuteryje, kuris buvo atakuotas.

5. Nustatykite atakos tipą ir mastą

Ne visos kibernetinės atakos vienodos, ir reakcija priklauso nuo to, su kuo susiduriate.

Dažniausi atakų tipai:

Ransomware (išpirkos reikalaujanti programa). Jūsų failai užšifruoti, o ekrane rodomas pranešimas su išpirkos reikalavimu. Tai viena agresyviausių atakų formų.

Phishing ataka. Kažkas apgaule gavo jūsų prisijungimo duomenis, dažniausiai per suklastotą el. laišką ar svetainę.

DDoS ataka. Jūsų svetainė ar paslauga nebepasiekiama, nes ją užtvindė milžiniškas srautas.

Duomenų vagystė. Įsilaužėliai pasiekė ir nukopijavo konfidencialius duomenis (klientų informaciją, finansinius dokumentus, intelektinę nuosavybę).

Vidinė grėsmė. Darbuotojas tyčia ar netyčia sukėlė saugumo pažeidimą.

Malware (kenkėjiška programa). Kompiuteryje veikia programa, kuri šnipinėja, vagia duomenis ar naudoja jūsų resursus.

Atakos tipo nustatymas padės pasirinkti tinkamą reagavimo strategiją. Ransomware atveju veiksmai skirsis nuo phishing atakos suvaldymo.

6. Suvaldykite žalą ir užkirskite kelią plitimui

Kai žinote, kokio tipo ataka įvyko, laikas ją sustabdyti.

Prie ransomware:

  • Neatjunkite užšifruotų diskų (juose gali būti šifravimo rakto pėdsakai)
  • Nemokėkite išpirkos (tai negarantuoja duomenų grąžinimo ir finansuoja nusikaltėlius)
  • Patikrinkite, ar yra atsarginės kopijos, kurios nebuvo paveiktos
  • Kreipkitės į specialistus, kurie gali turėti dešifravimo įrankius (pvz., „No More Ransom” projektas)

Prie phishing atakos:

  • Nedelsiant pakeiskite visus slaptažodžius, pradedant nuo el. pašto
  • Įjunkite dviejų veiksnių autentifikavimą (2FA) visose paskyrose
  • Patikrinkite, ar neatliktos neleistinos operacijos banko sąskaitose
  • Peržiūrėkite el. pašto persiuntimo taisykles (įsilaužėliai dažnai nustato automatinį laiškų persiuntimą)

Prie duomenų vagystės:

  • Nustatykite, kokie duomenys buvo pasiekti
  • Užblokuokite pažeistus prisijungimus
  • Pradėkite paveiktų asmenų (klientų, darbuotojų) informavimo procesą

7. Praneškite atitinkamoms institucijoms

Priklausomai nuo atakos masto ir jūsų veiklos pobūdžio, pranešimas institucijoms gali būti privalomas.

Lietuvoje pranešti galite ir turite:

  • Nacionaliniam kibernetinio saugumo centrui (NKSC) prie Krašto apsaugos ministerijos. Tai pagrindinė institucija, koordinuojanti kibernetinio saugumo incidentus Lietuvoje.
  • Valstybinei duomenų apsaugos inspekcijai (VDAI), jei nutekėjo asmens duomenys. Pagal BDAR reikalavimus, pranešti privalote per 72 valandas.
  • Policijai, ypač jei patyrėte finansinę žalą ar šantažą.
  • Lietuvos bankui, jei ataka susijusi su finansinėmis paslaugomis ar mokėjimais.

Nepamirškite: pagal Bendrąjį duomenų apsaugos reglamentą (BDAR), organizacijos privalo pranešti apie asmens duomenų pažeidimus per 72 valandas nuo jų aptikimo. Vėlavimas gali užtraukti baudą iki 20 mln. eurų arba 4 % metinės pasaulinės apyvartos.

8. Informuokite paveiktas šalis

Tai dalis, kurios daugelis bijo labiausiai. Bet skaidrumas šioje situacijoje yra jūsų stiprybė, ne silpnybė.

Ką ir kaip informuoti:

Klientams paruoškite aiškų, suprantamą pranešimą, kuriame nurodote:

  • Kas nutiko (bendrai, be techninių detalių)
  • Kokie duomenys galėjo būti paveikti
  • Ką jūs darote, kad situaciją suvaldytumėte
  • Ką klientai turėtų padaryti (pvz., pakeisti slaptažodžius)
  • Kaip su jumis susisiekti papildomais klausimais

Darbuotojams suteikite aiškias instrukcijas: ką daryti, ko nedaryti, su kuo bendrauti dėl klausimų.

Partneriams ir tiekėjams praneškite, jei ataka galėjo paveikti bendras sistemas ar duomenis.

Vengite perdėto „teisininkų kalbos”. Žmonės vertina sąžiningumą ir konkrečius veiksmus labiau nei formalius atsiprašymus.

9. Atkurkite sistemas ir duomenis

Kai ataka suvaldyta, pradėkite atkūrimo procesą. Tai gali užtrukti nuo kelių valandų iki kelių savaičių, priklausomai nuo žalos masto.

Atkūrimo eiliškumas:

  1. Patikrinkite atsargines kopijas. Ar turite švarią, nepaveiktą kopiją? Kada ji buvo padaryta? Ar joje nėra kenkėjiškos programos?
  2. Išvalykite pažeistas sistemas. Idealiu atveju, visiškai performatuokite ir iš naujo įdiekite operacinę sistemą. Paprastas virusų pašalinimas ne visada pakankamas, nes sudėtingesnės kenkėjiškos programos gali pasilikti giliai sistemoje.
  3. Atkurkite duomenis iš atsarginių kopijų. Pradėkite nuo svarbiausių sistemų, kurios reikalingos verslo veiklai tęsti.
  4. Atnaujinkite visą programinę įrangą. Įdiekite naujausius saugumo atnaujinimus (patches) visose sistemose prieš jas grąžindami į tinklą.
  5. Pakeiskite visus slaptažodžius. Ne tik pažeistose sistemose, o visus. Naudokite stiprius, unikalius slaptažodžius kiekvienai paskyrai.
  6. Grąžinkite sistemas į tinklą palaipsniui, stebėdami kiekvieną žingsnį.

10. Atlikite išsamią incidento analizę

Kai ugnis užgesinta, laikas suprasti, kas ją sukėlė.

Pagrindiniai klausimai, į kuriuos turite atsakyti:

  • Kaip atakuotojai pateko į sistemą? (pažeidžiamumas, pavogti prisijungimai, socialinė inžinerija)
  • Kada prasidėjo ataka? (dažnai ji vyksta savaites ar mėnesius prieš ją pastebint)
  • Kokius duomenis atakuotojai pasiekė, nukopijavo ar sunaikino?
  • Kokios sistemos buvo paveiktos?
  • Ar atakuotojai paliko „užpakalines duris” (backdoors), per kurias galėtų grįžti?
  • Kokie saugumo mechanizmai nesuveikė ir kodėl?

Šią analizę geriausia atlikti su profesionaliais kibernetinio saugumo ekspertais. Jie turi įrankius ir patirtį, kurių vidinė IT komanda gali neturėti.

Incidento analizės ataskaita taps pagrindu jūsų būsimam saugumo planui.

11. Sustiprinkite apsaugą: ko mokytis iš atakos

Kibernetinė ataka, nors ir skausminga, yra galingas mokymosi šaltinis. Organizacijos, kurios pasinaudoja šia patirtimi, tampa atsparesnės.

Techniniai patobulinimai:

  • Įdiekite daugiasluoksnę apsaugą. Vieno antiviruso nepakanka. Naudokite ugniasienę (firewall), įsilaužimo aptikimo sistemas (IDS/IPS), galutinių taškų apsaugą (EDR) ir tinklo stebėjimo įrankius.
  • Įjunkite dviejų veiksnių autentifikavimą (2FA) visose paskyrose, ypač el. pašte, debesijos paslaugose ir VPN.
  • Segmentuokite tinklą. Jei viena dalis pažeidžiama, ataka neturėtų automatiškai pasiekti visų kitų sistemų.
  • Automatizuokite saugumo atnaujinimus. Daugelis atakų išnaudoja žinomas spragas, kurioms pataisymai jau egzistuoja.
  • Šifruokite duomenis tiek saugomoje būsenoje, tiek perduodamus.

Žmogiškieji patobulinimai:

  • Reguliariai mokykite darbuotojus. 90 % kibernetinių atakų prasideda nuo žmogiškosios klaidos. Phishing simuliacijos, saugumo mokymai ir aiškios procedūros gali drastiškai sumažinti riziką.
  • Sukurkite „švaraus stalo” politiką. Darbuotojai neturi palikti prisijungimų duomenų ant popierėlių ar atrakintų kompiuterių.
  • Skatinkite pranešti apie įtartinus dalykus. Geriau gauti 100 klaidingų pranešimų nei praleisti vieną tikrą ataką.

12. Paruoškite reagavimo į incidentus planą ateičiai

Jei iki šiol neturėjote formalizuoto kibernetinio incidento reagavimo plano, dabar yra pats laikas jį sukurti.

Geras reagavimo planas apima:

  • Aiškiai apibrėžtas komandos narių roles ir atsakomybes
  • Kontaktų sąrašą (IT specialistai, teisininkai, draudimo kompanija, NKSC, policija)
  • Konkrečius veiksmus kiekvienam atakos tipui
  • Komunikacijos šablonus (klientams, darbuotojams, žiniasklaidai)
  • Atsarginių kopijų strategiją ir atkūrimo procedūras
  • Reguliarius plano testavimo grafikus (bent kartą per metus)

Atsarginių kopijų strategija „3-2-1″:

  • 3 duomenų kopijos
  • 2 skirtingose laikmenose (pvz., vietiniame serveryje ir debesyje)
  • 1 kopija laikoma fiziškai atskiroje vietoje (off-site)

Testuokite atsargines kopijas reguliariai. Kopija, kurios negalite atkurti, yra bevertė.

Ką daryti, jei esate eilinis vartotojas, ne verslas?

Kibernetinės atakos nutinka ne tik įmonėms. Štai trumpas veiksmų planas individualiems vartotojams:

Jei pavogė jūsų paskyrą:

  1. Pakeiskite slaptažodį (jei dar galite prisijungti)
  2. Jei negalite prisijungti, naudokite platformos „atkurti paskyrą” funkciją
  3. Įjunkite 2FA
  4. Patikrinkite, ar tas pats slaptažodis nebuvo naudojamas kitose paskyrose
  5. Informuokite kontaktus, kad jūsų paskyra buvo pažeista

Jei užšifravo failus (ransomware):

  1. Neatjunkite kompiuterio nuo maitinimo, bet atjunkite nuo interneto
  2. Nemokėkite išpirkos
  3. Kreipkitės į IT specialistą
  4. Patikrinkite „No More Ransom” projektą (nomoreransom.org), ar yra dešifravimo įrankis jūsų atveju

Jei nutekėjo asmeniniai duomenys:

  1. Pakeiskite slaptažodžius visuose susijusiuose servisuose
  2. Stebėkite banko sąskaitas dėl įtartinų operacijų
  3. Apsvarstykite kredito stebėjimo paslaugą
  4. Praneškite policijai, jei patyrėte finansinę žalą

Dažniausiai daromos klaidos po kibernetinės atakos

Žinoti, ko nedaryti, yra lygiai taip pat svarbu kaip žinoti teisingus veiksmus.

Neišjunkite kompiuterio. Operatyviojoje atmintyje gali būti įrodymų, kurie pradings išjungus.

Nemokėkite išpirkos. FBI, Europol ir NKSC vieningai rekomenduoja nemokėti. Mokėjimas negarantuoja duomenų grąžinimo, o 80 % sumokėjusių organizacijų sulaukia pakartotinės atakos.

Neslėpkite incidento. Bandymas nuslėpti duomenų pažeidimą gali užtraukti didžiules baudas pagal BDAR ir sugriauti pasitikėjimą ilgam laikui.

Neskubėkite grąžinti sistemų į darbą. Per greitai atkurtos sistemos gali vis dar turėti kenkėjiškos programos likučių.

Nepalikite visko IT skyriui. Kibernetinė ataka yra verslo problema, ne vien techninė. Vadovybė, teisininkų komanda ir komunikacijos specialistai turi būti įtraukti nuo pradžių.

Kibernetinio saugumo statistika, kurią verta žinoti

  • Vidutinis laikas aptikti kibernetinę ataką: 194 dienos (IBM, 2025)
  • 60 % smulkių įmonių po rimtos kibernetinės atakos nutraukia veiklą per 6 mėnesius
  • Phishing atakos sudaro apie 36 % visų duomenų pažeidimų
  • Ransomware atakų skaičius 2024–2025 m. augo 13 % kasmet
  • 95 % kibernetinio saugumo pažeidimų kyla dėl žmogiškosios klaidos

Šie skaičiai rodo vieną aiškią tendenciją: klausimas nėra „ar” jus atakuos, o „kada”.

Pabaigai: veiksmas svarbesnis už paniką

Kibernetinė ataka yra stresinis įvykis. Bet panika yra jūsų priešas. Turėdami aiškų planą, žinodami, kam skambinti, ir veikdami metodiškai, galite suvaldyti situaciją ir sumažinti žalą iki minimumo.

Peržiūrėkite šį straipsnį dar kartą, kai būsite ramus. Išsisaugokite jį. Pasidalinkite su kolegomis. Ir svarbiausia, nedelskite ruošti savo reagavimo plano. Geriausia ataka suvaldyti tą, kuri dar neįvyko.

Jūsų artimiausi žingsniai dabar:

  1. Patikrinkite, ar turite veikiančias atsargines kopijas
  2. Įjunkite 2FA visose svarbiose paskyrose
  3. Sukurkite (arba atnaujinkite) reagavimo į incidentus planą
  4. Suorganizuokite kibernetinio saugumo mokymus savo komandai
Į viršų