# Gestionarea incidentelor de securitate cibernetică

## Ce este un incident de securitate?

Un incident de securitate este orice eveniment care compromite:
– Confidențialitatea datelor
– Integritatea sistemelor
– Disponibilitatea serviciilor
– Conformitatea cu reglementările

### Exemple de incidente:
– Malware/ransomware detectat
– Cont compromis
– Data breach/scurgere de date
– Atac DDoS
– Phishing reușit
– Acces neautorizat
– Pierdere/furt dispozitiv
– Website defacement

## Plan de răspuns la incidente – 6 faze

### 1️⃣ PREGĂTIRE (înainte de incident)

#### Echipa de răspuns:
– **Incident Commander** – Coordonează răspunsul
– **Technical Lead** – Analiză tehnică
– **Communications** – Comunicare internă/externă
– **Legal/HR** – Aspecte legale și personal
– **Management** – Decizii strategice

#### Documentație necesară:
– Contact list 24/7
– Proceduri pas-cu-pas
– Template-uri comunicare
– Forensic tools ready
– Backup și recovery plans

### 2️⃣ IDENTIFICARE (detectare și analiză)

#### Întrebări critice:
– **CE** s-a întâmplat exact?
– **CÂND** a început incidentul?
– **CINE** este afectat?
– **UNDE** în infrastructură?
– **CUM** s-a produs?
– **DE CE** (root cause)?

#### Clasificare severitate:

**🟢 LOW** – Impact minim
– Un utilizator afectat
– Date publice
– Servicii non-critice

**🟡 MEDIUM** – Impact moderat
– Departament afectat
– Date interne
– Servicii importante

**🔴 HIGH** – Impact major
– Organizație afectată
– Date confidențiale
– Servicii critice

**🟣 CRITICAL** – Impact catastrofal
– Multiple organizații
– Date clasificate
– Infrastructură critică

### 3️⃣ CONTAINMENT (limitare răspândire)

#### Containment imediat:
1. Izolează sistemele afectate
2. Blochează IP/domenii malițioase
3. Dezactivează conturi compromise
4. Preservă evidence pentru forensics
5. Implementează workarounds

### 4️⃣ ERADICATION (eliminare amenințare)

#### Acțiuni de curățare:
– Îndepărtare malware complet
– Închidere vulnerabilități
– Patch toate sistemele
– Update signatures
– Reset credențiale
– Review access rights

### 5️⃣ RECOVERY (restaurare operațiuni)

#### Restaurare graduală:
**Faza 1: Sisteme critice**
– Authentication systems
– Email și comunicații
– Business critical apps

**Faza 2: Sisteme importante**
– File shares
– Databases
– Internal tools

**Faza 3: Sisteme secundare**
– Development
– Testing
– Archives

### 6️⃣ LESSONS LEARNED (post-incident)

#### Review meeting (în 48 ore):
– Ce a mers bine?
– Ce poate fi îmbunătățit?
– Timeline complet
– Root cause analysis
– Update proceduri
– Training needs

## Răspuns specific pe tip incident

### 🦠 Ransomware

**Răspuns imediat:**
1. Izolează INSTANT (pull network cable)
2. Oprește spread-ul (shutdown shares)
3. Identifică varianta
4. NU PLĂTI (în principiu)
5. Preserve evidence
6. Notifică autoritățile

### 📧 Email Compromise

**Răspuns imediat:**
1. Reset parolă imediat
2. Revoke sessions
3. Check forwarding rules
4. Review sent items
5. Scan pentru alte compromise
6. Enable MFA

### 💳 Data Breach

**Răspuns imediat:**
1. Stop exfiltrarea
2. Identifică ce date
3. Preserve logs
4. Legal notification
5. Prepare comunicare
6. Credit monitoring

**Obligații legale (GDPR):**
– 72 ore notificare autorități
– Notificare persoane afectate
– Documentare completă
– Remediation plan

## Comunicare în timpul crizei

### 📢 Comunicare internă

#### Template alertă internă:
“`
SUBIECT: [SEVERITY] Incident Securitate – [TYPE]

STATUS: [Contained/Ongoing]
IMPACT: [Sisteme/Utilizatori afectați]
ACȚIUNI: [Ce facem acum]
NECESITĂȚI: [Ce avem nevoie]
ETA: [Estimare rezolvare]
CONTACT: [Incident Commander]
“`

## Contacte utile România

– **CERT-RO**: +40 21 317 48 75
– **DNSC**: contact@dnsc.ro
– **Poliția Română**: 112
– **ANSPDCP** (GDPR): +40 318 059 211

## Checklist post-incident

### Tehnic:
– [ ] Toate sistemele curate
– [ ] Vulnerabilități remediate
– [ ] Monitoring enhanced
– [ ] Backups verificate
– [ ] Access review complet
– [ ] Security tools updated

### Procedural:
– [ ] Incident report complet
– [ ] Lessons learned session
– [ ] Procedure updates
– [ ] Training planificat
– [ ] Communication închisă
– [ ] Legal obligations îndeplinite