Incident response pre jednotlivca

Prečo potrebujete 48-hodinový incident response plán

Pri úniku hesiel, podozrení na malware, prevzatí účtu či podvode s platbou rozhodujú prvé hodiny. Plán na 48 hodín vám dá jasné kroky, poradie priorít a kontrolné zoznamy, aby ste minimalizovali škody, uchovali dôkazy a obnovili kontrolu nad identitou a zariadeniami. Tento článok ponúka praktický, časovo fázovaný postup pre jednotlivca a rodinu.

Signály, že sa práve deje incident

• Nezvyčajné prihlásenia, zmeny hesla alebo 2FA, ktoré ste neurobili.
• Nové zariadenia alebo aplikácie pripojené k účtu bez vášho vedomia.
• Neúspešné pokusy o prihlásenie vo vlnách, SMS kódy, ktoré ste nevyžiadali.
• Neautorizované platby, zmeny kontaktných údajov v banke či u operátora.
• Náhle spomalenie zariadenia, podozrivé procesy, presmerovania prehliadača.
• Phishingový e-mail/SMS, na ktorý ste klikli alebo zadali údaje.

Princípy rozhodovania: čo riešiť ako prvé

1. Bezpečnosť a peniaze: bankové účty, platobné karty, mobilný operátor (SIM swap), primárny e-mail.
2. Kontrolné body identity: heslá, 2FA, resetovacie e-maily a telefónne čísla.
3. Izolácia techniky: odpojiť kompromitované zariadenia, vyhnúť sa ďalšiemu zadávaniu hesiel na napadnutom systéme.
4. Zachovanie dôkazov: nevymazávať správy, robiť snímky obrazovky, zapisovať časy a sumy.

0–30 minút: okamžité kroky

1. Odpojte podozrivé zariadenie od internetu (Wi-Fi vypnúť, vytiahnuť kábel). Ak potrebujete komunikovať, použite iné dôveryhodné zariadenie (rezervný notebook/telefón).
2. Uchovajte dôkazy: urobte snímky obrazovky e-mailov, SMS, transakcií a chybových hlásení. Zapíšte dátum/čas a URL.
3. Zabezpečte financie:
   • V bankovej aplikácii dočasne zamknite karty alebo znížte limity.
   • Ak vidíte podvodnú platbu, okamžite ju reklamujte a požiadajte o blokáciu ďalších transakcií.
4. Skontrolujte operátora: ak nefunguje sieť alebo miznú SMS kódy, volajte operátorovi a overte zmenu SIM/eSIM. Dajte zámok na SIM (PIN) a nastavte zákaz zmien bez osobnej verifikácie.

30–120 minút: stabilizácia účtov a 2FA

1. Primárny e-mail (ten, ktorý používate na „Zabudnuté heslo“):
   • Zmeňte heslo na dlhé jedinečné (správca hesiel).
   • Skontrolujte obnovovacie e-maily/telefón, odhláste všetky relácie, zrušte app-passwords a prepojené aplikácie.
   • Zapnite 2FA (aplikácia alebo hardvérový kľúč, nie SMS, ak to ide).
2. Správca hesiel (ak ho používate):
   • Zmeňte master heslo, zapnite 2FA a revokujte relácie.
   • Spustite kontrolu únikov a označte účty na výmenu hesiel.
3. Kritické účty podľa priority:
   • Banky, platobné brány, nákupné účty s kartou.
   • Operátor, cloud úložiská, hlavné sociálne siete.
   • Účty s prístupom k dokumentom/rodinným fotkám.

   Pri každom účte: odhlásiť všetky relácie → zmeniť heslo → skontrolovať 2FA → zrušiť neznáme zariadenia a tokeny.

2–6 hodín: kontrola zariadení a sieťí

1. Bezpečná diagnostika:
   • Na dôveryhodnom zariadení stiahnite offline inštalátor reputovaného antimalware nástroja na USB.
   • V podozrivom zariadení spustite plnú kontrolu (ideálne v safe mode).
2. Aktualizácie: operačný systém, prehliadač, plug-iny, kancelárske balíky, firmvér routera.
3. Prehliadač: odinštalujte podozrivé rozšírenia, resetujte nastavenia, vymažte cookies/úložisko (po výmene hesiel).
4. Router: zmeňte admin heslo, vypnite vzdialenú správu, overte DNS nastavenia.

6–12 hodín: oznámenia, zmeny kľúčov a rodinná koordinácia

• Informujte dotknuté kontakty: krátka správa, že váš účet mohol posielať spam/phishing; neotvárať podozrivé odkazy.
• Obnovte alebo premapujte 2FA:
  • Prejdite na authenticator app alebo hardvérový kľúč (FIDO2).
  • Zálohujte recovery kódy offline (papier/trezor).
• Rodinné účty: skontrolujte rodičovské účty, zdieľané schránky a cloud priečinky; zosúlaďte pravidlá hesiel a 2FA.

12–24 hodín: audit prístupov a zmluvných prepojení

1. OAuth a prepojené aplikácie: v Google/Microsoft/Apple/Facebook kontách zrušte prístup appiek a služieb, ktoré nepotrebujete.
2. E-mailové filtre a preposielanie: hľadajte skryté pravidlá (presuny, preposielanie na cudzie adresy) a zmažte ich.
3. Fakturácie a predplatné: prejdite aktívne predplatné, odpojte napadnuté karty, nastavte upozornenia na platby.
4. Archívy mesačných výpisov: prejdite aspoň posledné 3 mesiace na nezvyčajné platby a mikrotransakcie.

24–48 hodín: obnova, hlásenia a dlhodobé opatrenia

1. Kompletné zálohovanie: vytvorte offline zálohu dôležitých súborov zo zdravého systému.
2. Čistá inštalácia (ak bol nález malware alebo pretrvávajú príznaky): reset do továrenských nastavení alebo nový OS, následne obnova dát zo známej dobrej zálohy.
3. Formálne hlásenia:
   • Banke (podvod, chargeback, reklamácia).
   • Operátorovi (SIM swap, zneužitie čísla).
   • Platformám (napadnutý účet, zneužitie identity, doxxing).
   • Ak došlo k finančnej škode alebo vydieraniu, zvážte oznámenie polícii – priložte dôkazy.
4. Rotácia hesiel pre všetky účty s opätovným použitím hesla alebo s vysokou hodnotou (mail, cloud, banky, sociálne siete, e-shopy).
5. Monitorovanie: nastavte notifikácie o prihláseniach, zmenách hesiel, nových zariadeniach, transakciách.

Špeciálne scenáre a extra kroky

• Phishing – zadali ste údaje: okamžite zmeňte heslo a odvolajte relácie. Skontrolujte preposielanie e-mailov a filtre.
• SIM swap: operátor zablokuje cudziu SIM, znovuvydá vašu; dočasne nepoužívajte SMS 2FA, prepnite na aplikáciu/kľúč.
• Prevzatý sociálny účet: využite „Účet napadnutý“/„Hacked“ flow, overenie identity, obnovu prístupu a oznámenie kontaktom.
• Únik dokumentov (občiansky, pas): kontaktujte príslušný úrad pre blokáciu a znovuvydanie; sledujte podozrivé úvery/účty.
• Doxxing alebo vydieranie: nerokujte; uložte dôkazy, nahláste platforme a polícii, uveďte, čo bolo zverejnené.

Incident notebook: čo zapisovať pre dôkazy a kontinuitu

• Časová os: kedy sa čo stalo (SMS, e-maily, prihlásenia, transakcie).
• Artefakty: snímky obrazovky, PDF výpisov, hlavičky e-mailov, URL.
• Kontaktované subjekty: mená, dátumy, čísla tiketov, výsledok.
• Prijaté opatrenia: zmenené heslá, zapnuté 2FA, zrušené prístupy.

Prevencia po incidente: posilnenie odolnosti

• Správca hesiel + jedinečné heslá dlhšie než 14 znakov.
• 2FA všade, kde je to možné; preferujte authenticator alebo hardvérový kľúč.
• Oddelené e-maily: primárny (osobný), verejný (registrácie), finančný (banky) – znižuje koreláciu.
• Sandbox pre nákupy a experimenty: sekundárny prehliadač/profil bez prístupu k hlavným účtom.
• Bezpečné zálohy: 3-2-1 stratégia (3 kópie, 2 médiá, 1 mimo domova/offline).
• Bezpečné návyky: aktualizácie, kontrola rozšírení, opatrnosť pri prílohách a makrách, neverejné zdieľanie citlivých fotiek/dokumentov.

Rýchly checklist na 48 hodín

• 0–30 min: odpojiť zariadenie, zamknúť karty, overiť SIM, zachovať dôkazy.
• 30–120 min: zabezpečiť primárny e-mail, správcu hesiel, rotovať heslá kritických účtov, zapnúť 2FA.
• 2–6 h: sken malware, aktualizácie, prehliadač, router.
• 6–12 h: oznámiť kontaktom, migrovať 2FA, zdieľané rodinné účty.
• 12–24 h: audit OAuth, filtre e-mailu, fakturácie a predplatné.
• 24–48 h: čistá inštalácia (ak treba), formálne hlásenia, dlhodobé monitorovanie.

Minimalistická výbava na krízové situácie

• Rezervné dôveryhodné zariadenie (alebo live USB).
• Správca hesiel s offline exportom recovery kódov.
• Hardvérové 2FA kľúče (aspoň 2 ks) a papierové recovery kódy.
• Kontakty na banku, operátora a podporu platforiem uložené offline.

Zhrnutie

Úspešný incident response jednotlivca stojí na prioritizácii (peniaze, identita, zariadenia), izolácii (nevstupovať do účtov zo zranených systémov), rotácii prístupov (heslá, 2FA, tokeny), uchovaní dôkazov a koordinačných hláseniach bankám, operátorom a platformám. Po stabilizácii implementujte trvalé opatrenia: správca hesiel, 2FA, segmentácia účtov a pravidelné zálohy. S pripraveným 48-hodinovým plánom zvládnete krízovú situáciu rýchlejšie a s menšími škodami.