Hlavní strana -> Zprávy
IT Security, Aktuality -> Analýzy - 8. 9. 2025

50 (v)tipů paní Teskové #4: Incident Response

Když už hoří, nestačí vědět, odkud šel kouř. Je třeba taky vědět, kam běžet s vodou.

-PR-

V minulém díle jsme si povídali o alertech – o tom, jak se z nich nestat klikací zombie a jak rozpoznat ty, které skutečně něco znamenají. Ale co když se z varování stane realita? Co když se z „možná problém” stane „sakra, už je to tady”? Pak nastupuje disciplína, která odděluje IT romantiky od krizových samurajů. Jmenuje se Incident Response – a je to vaše digitální hasičská jednotka.


Co to je Incident Response a proč by vás měl zajímat ještě předtím, než ho potřebujete? Incident Response je proces, díky kterému víte, co dělat, když se něco pokazí. A že se to jednou pokazí, o tom nepochybujte. To není pesimismus, to je IT.

Incident Response je plán. Ne “pocit”, ne “však nějak zareagujeme”. Je to konkrétní sada kroků, kontaktů, pravidel a scénářů. V ideálním případě má každá firma připravený Incident Response Playbook – nebo aspoň něco, co není napsané na ubrousku z firemního večírku.
Incident Response je plán, konkrétní sada kroků, kontaktů, pravidel a scénářů.

Incident, ne incidentek

Důležité je rozlišit mezi opravdovým bezpečnostním incidentem a tím, že uživatel omylem smaže ikonu z plochy. Incident je věc, která má dopad: na data, na provoz, na zákazníky. Je to ransomware, únik dat, průnik do systému.
A čím dřív ho identifikujete, tím méně budete hasit a tím víc zachráníte. Incident Response začíná detekcí a potvrzením incidentu – a tady se ukazuje, jestli máte logy, SIEM a alerty jen na parádu, nebo i na práci.
 

Incident Response v praxi – žádná panika, ale připravený proces

Jak by tedy měla vypadat základní reakce?  Zjednodušeně:
  • Detekce – všimli jsme si problému (děkujeme logy, SIEMe, alerty).
  • Analýza – co se vlastně děje? Jaký to má dopad?
  • Zabránění dalšímu šíření incidentu – zavřeme dveře dřív, než projde půlka útočníků.
  • Zvládnutí a odstranění – odstraníme problém, obnovíme systémy.
  • Poučení – zpětná analýza, vylepšení systému, sdílení uvnitř týmu.

A co si z toho odnést?

Když hoří, je pozdě vymýšlet evakuační plán. Ten musíte mít dávno v šuplíku. A v bezpečnosti platí to samé. Incident Response není náplast, je to choreografie pod tlakem. A kdo ji zná, tančí i v krizi.
 
V dalším díle se podíváme na téma Playbooků a dokumentaci (aneb jak nenechat incident response jen v hlavě admina).
 
A na závěr opět slibovaný vtip: 
„Dostali jsme podezřelý e-mail. Cizí jméno, divná formulace, podivné požadavky.“
– „Phishing?“
– „Ne. Nový ředitel.“