Plan de răspuns la incidente cibernetice pentru firme mici: ce faci în primele 24 de ore

Un incident cibernetic nu apare întotdeauna ca în filme, cu ecrane roșii, alarme și mesaje dramatice. De multe ori începe discret: un email trimis fără știrea ta, un cont de Microsoft 365 accesat dintr-o țară necunoscută, un site WordPress care redirecționează vizitatorii către pagini dubioase sau un laptop care merge brusc foarte greu. Pentru o firmă mică, astfel de semne pot părea la început simple probleme tehnice. În realitate, ele pot indica un atac aflat deja în desfășurare.

Un răspuns la incidente cibernetice bine pregătit nu este doar pentru corporații. Firmele mici, freelancerii, ONG-urile și magazinele online au nevoie de un plan simplu, clar și aplicabil. Nu trebuie să ai un departament IT intern ca să reacționezi corect, dar trebuie să știi ce faci în primele minute și pe cine suni.

Primele 24 de ore sunt critice. O reacție calmă poate limita pierderea de date, poate opri răspândirea unui atac și poate salva relația cu clienții. O reacție haotică, în schimb, poate distruge dovezi, poate compromite backupurile și poate prelungi întreruperea activității.

Acest ghid este scris pentru antreprenori, administratori de firme mici și utilizatori non-tehnici. Nu înlocuiește o investigație forensic profesională și nu reprezintă consultanță juridică, dar îți oferă o structură practică pentru momentele în care ai nevoie de decizii rapide.

Pe scurt: ce faci în primele 24 de ore

Dacă ai observat un semn suspect și nu ai timp să citești tot articolul, începe cu această listă:

1. Nu intra în panică. Notează ce ai observat și evită deciziile impulsive.
2. Izolează dispozitivul afectat. Scoate cablul de rețea sau oprește Wi-Fi-ul pentru acel dispozitiv.
3. Nu șterge dovezile. Păstrează emailurile, fișierele suspecte, mesajele de eroare și logurile.
4. Fă capturi de ecran sau poze. Fotografiază mesajele, alertele și fișierele afectate.
5. Schimbă parolele critice de pe un dispozitiv sigur. Nu folosi laptopul suspect pentru resetarea parolelor.
6. Activează MFA. Conturile importante trebuie protejate cu autentificare multifactor.
7. Verifică emailul și regulile de redirecționare. Atacatorii creează des reguli ascunse de forwarding.
8. Contactează specialistul IT, hostingul sau providerul de email. Nu încerca să rezolvi singur dacă nu ai experiență.
9. Verifică backupurile, dar nu le restaura imediat. Restaurarea se face doar după ce sistemul este curățat.
10. Documentează incidentul. Notează data, ora, conturile afectate, pașii făcuți și persoanele anunțate.

Dacă vrei să înțelegi cum apar astfel de probleme, citește și ghidul despre atacuri cibernetice explicate pe înțelesul tuturor.

Ce este un incident cibernetic?

Un incident cibernetic este orice eveniment care afectează confidențialitatea, integritatea sau disponibilitatea datelor și sistemelor tale. Pe scurt: cineva a accesat, modificat, blocat, șters sau folosit neautorizat informațiile firmei.

Nu orice problemă IT este incident de securitate. Dacă imprimanta nu mai răspunde, internetul merge greu sau un laptop are o eroare de Windows, poate fi doar o problemă tehnică. Dar dacă observi conectări suspecte, fișiere criptate, emailuri trimise fără știrea ta sau conturi de administrator create necunoscut, trebuie să tratezi situația ca posibil incident cibernetic.

Exemple comune pentru firme mici:

• cont de email compromis;
• atac de phishing care a păcălit un angajat;
• ransomware care criptează documente;
• site WordPress infectat;
• acces neautorizat în Google Workspace sau Microsoft 365;
• facturi false trimise către clienți;
• parole furate și folosite în alte conturi;
• date șterse sau modificate fără aprobare;
• alerte de conectare din locații necunoscute.

Un incident cibernetic firmă mică nu trebuie ignorat doar pentru că firma nu este mare. Atacatorii folosesc adesea instrumente automate care caută parole slabe, site-uri neactualizate, pluginuri vulnerabile și conturi fără MFA.

Semne că firma ta ar putea avea un incident cibernetic

În multe cazuri, semnele apar înainte ca problema să devină evidentă. Important este să le iei în serios.

Semne legate de email

• Găsești mesaje trimise din contul tău, dar nu le-ai scris tu.
• Clienții te sună și spun că au primit facturi sau linkuri ciudate.
• Nu mai primești anumite emailuri importante.
• În cont apar reguli de redirecționare către adrese necunoscute.
• Semnătura emailului conține date bancare schimbate.
• Primești alerte de login suspect.

Dacă emailul este zona afectată, verifică și articolul despre cum verifici dacă emailul tău a fost spart.

Semne legate de dispozitive și fișiere

• Parola nu mai funcționează, deși ești sigur că este corectă.
• Fișierele au extensii ciudate sau nu se mai deschid.
• Laptopul merge foarte greu fără motiv clar.
• Antivirusul este dezactivat și nu îl poți reporni.
• Apar programe necunoscute instalate.
• Observi activitate neobișnuită pe conturi cloud sau foldere partajate.

Semne legate de site și prezența online

• Site-ul afișează reclame sau texte pe care nu le-ai publicat.
• Vizitatorii sunt redirecționați către alte pagini.
• Google Search Console afișează avertismente de securitate.
• În WordPress apar utilizatori admin necunoscuți.
• Pluginuri sau teme au fost instalate fără aprobarea ta.

Pentru prevenție, vezi și ghidul despre cum securizezi WordPress complet.

Ora 0-1: ce faci imediat după ce observi problema

Prima oră este despre oprirea răspândirii și păstrarea dovezilor. Nu încerca să rezolvi totul dintr-o singură mișcare. Scopul este să reduci riscul și să nu agravezi situația.

1. Izolează dispozitivul afectat

Dacă suspectezi că un laptop, PC sau server este compromis, deconectează-l de la rețea. Scoate cablul de internet sau oprește Wi-Fi-ul. Dacă nu știi ce dispozitiv este afectat, cere ajutorul specialistului IT și evită să conectezi alte dispozitive în aceeași rețea până clarifici situația.

În unele situații, dacă nu poți izola dispozitivul de rețea, oprirea lui poate fi necesară pentru a limita răspândirea. Totuși, când ai acces la un specialist IT, cere rapid instrucțiuni înainte să închizi sisteme critice, mai ales servere.

2. Nu formata și nu șterge fișiere

Este tentant să „cureți” rapid sistemul, dar formatarea sau ștergerea fișierelor poate distruge informații importante despre atac. Ai nevoie să știi ce s-a întâmplat, ce conturi au fost folosite și ce date au fost afectate.

Păstrează emailurile suspecte, fișierele descărcate, mesajele de eroare și orice alertă de securitate. Acestea îl pot ajuta pe specialistul IT să înțeleagă sursa incidentului.

3. Fă capturi de ecran și notează ora

Fă poze cu telefonul sau capturi de ecran cu:

• mesajele de eroare;
• ferestrele suspecte;
• emailurile primite;
• mesajele de ransomware;
• numele fișierelor afectate;
• alertele de login suspect.

Notează data, ora, cine a observat problema și ce făcea în acel moment. O simplă cronologie te poate ajuta mult mai târziu.

4. Folosește un dispozitiv sigur pentru parole

Dacă suspectezi că laptopul tău este infectat, nu schimba parolele de pe el. Folosește un telefon cu date mobile sau un laptop despre care știi că este curat. Începe cu emailul, conturile cloud, hostingul, WordPress, banca și conturile de administrator.

Pentru conturile importante, folosește parole unice și un manager de parole. Ghidul despre parole sigure pentru firme mici explică mai clar cum construiești această bază.

5. Anunță persoana responsabilă

Dacă ai colaborator IT, firmă de hosting, administrator de sistem sau furnizor de securitate, contactează-l imediat. Oferă informații concrete, nu doar „cred că am virus”. Spune ce ai observat, la ce oră, pe ce dispozitiv, ce conturi sunt afectate și ce pași ai făcut deja.

Ora 1-6: cum limitezi pagubele

După izolarea inițială, urmează faza de limitare. Scopul este să oprești accesul atacatorului și să verifici dacă incidentul s-a extins.

Schimbă parolele critice

Schimbă parolele pentru:

• emailul firmei;
• Google Workspace sau Microsoft 365;
• conturile de hosting și domeniu;
• WordPress și alte panouri de administrare;
• conturile bancare și financiare;
• aplicațiile de facturare;
• rețelele sociale ale firmei;
• conturile de backup și cloud.

Nu refolosi parole vechi. Dacă aceeași parolă a fost folosită în mai multe locuri, tratează toate acele conturi ca fiind expuse.

Activează MFA

MFA, adică autentificarea multifactor, adaugă un pas suplimentar la login. Chiar dacă atacatorul știe parola, nu se poate conecta fără codul sau aprobarea suplimentară.

Activează MFA pe email, cloud, hosting, WordPress, bancă și conturile de administrator. Pentru explicații detaliate, vezi articolul ce este MFA.

Deconectează sesiunile active

Schimbarea parolei nu înseamnă întotdeauna că atacatorul este scos automat din cont. În Google, Microsoft, WordPress și alte servicii există opțiuni de deconectare a tuturor sesiunilor active. Folosește-le.

Verifică și dispozitivele conectate. Dacă vezi telefoane, browsere sau locații necunoscute, elimină-le.

Verifică emailul

Într-un incident de email compromis, verifică imediat:

• regulile de forwarding;
• filtrele automate;
• semnătura emailului;
• mesajele trimise;
• mesajele șterse;
• conturile delegate;
• aplicațiile externe conectate la cont.

Dacă atacatorii au trimis facturi false sau au cerut schimbarea contului bancar, contactează telefonic clienții afectați. Nu te baza doar pe email, pentru că exact emailul este canalul compromis.

Verifică administratorii

În Google Workspace, Microsoft 365, WordPress, hosting, aplicații SaaS și programe de facturare, verifică lista de utilizatori cu drepturi mari. Dezactivează temporar conturile necunoscute sau suspecte.

O regulă simplă: fiecare administrator trebuie să existe cu un motiv clar. Dacă nu știi de ce un cont are drepturi de admin, investighează-l.

Verifică tranzacțiile și facturile recente

Dacă incidentul are legătură cu emailul, contabilitatea sau aplicațiile financiare, verifică imediat:

• facturile trimise în ultimele zile;
• IBAN-urile din facturi;
• plățile aprobate recent;
• cererile de schimbare cont bancar;
• mesajele trimise către clienți și furnizori.

Fraudele cu facturi modificate sunt printre cele mai dureroase pentru firme mici, deoarece implică bani reali și pierdere de încredere.

Ora 6-24: cum începi recuperarea

După ce ai limitat accesul și ai verificat conturile critice, poți începe recuperarea. Nu te grăbi să readuci totul online până nu înțelegi cauza.

Verifică backupurile, dar nu restaura peste un sistem compromis

Backupul este util doar dacă este curat și funcțional. Nu conecta hard diskuri externe la un calculator suspect. Nu restaura datele peste un sistem despre care nu știi dacă este încă infectat.

Verifică backupurile de pe un dispozitiv curat sau împreună cu specialistul IT. Dacă ai aplicat strategia 3-2-1 pentru backup, șansele de recuperare sunt mult mai bune.

Identifică punctul de intrare

Înainte de restaurare, încearcă să afli cum a intrat atacatorul:

• parolă compromisă;
• lipsă MFA;
• email de phishing;
• plugin WordPress vulnerabil;
• sistem neactualizat;
• acces RDP/VPN slab protejat;
• cont de fost angajat rămas activ.

Dacă nu închizi cauza, restaurarea poate fi inutilă. Atacatorul poate reveni pe aceeași cale.

Curăță sau reinstalează sistemele afectate

Pentru dispozitive grav compromise, reinstalarea completă poate fi mai sigură decât o curățare superficială. Antivirusul este util, dar nu garantează că toate urmele au dispărut.

După curățare sau reinstalare:

• instalează update-urile de securitate;
• activează antivirusul/EDR;
• verifică firewall-ul;
• schimbă din nou parolele importante;
• restaurează doar datele necesare și verificate.

Poți consulta și ghidul despre update-uri de securitate în 2026.

Informează persoanele afectate

Dacă atacatorii au avut acces la datele clienților, au trimis emailuri false sau au modificat facturi, comunicarea rapidă este esențială. Spune clar ce s-a întâmplat, ce măsuri ai luat și ce trebuie să facă persoanele afectate.

În cazul unei fraude financiare, sună clienții sau partenerii. Nu trimite doar un email general, mai ales dacă tocmai ai avut un incident de email.

Ce să NU faci în timpul unui incident cibernetic

În momente de presiune, greșelile pot agrava situația. Evită următoarele acțiuni:

• Nu intra în panică. Panica duce la pași greșiți și dovezi pierdute.
• Nu formata imediat dispozitivul. Mai întâi trebuie înțeles ce s-a întâmplat.
• Nu șterge emailurile suspecte. Ele sunt dovezi.
• Nu schimba parolele de pe dispozitivul infectat. Poate exista un keylogger sau alt malware.
• Nu conecta backupurile la sistemul compromis. Riști să le pierzi.
• Nu reporni servere la întâmplare. Cere sfat tehnic înainte.
• Nu ascunde incidentul față de persoanele care trebuie informate. Lipsa comunicării poate crea probleme mai mari.
• Nu presupune că totul s-a rezolvat după o simplă scanare antivirus. Verifică și conturile, sesiunile, regulile de email și logurile.

În cazul ransomware, plata răscumpărării nu garantează recuperarea datelor. În plus, poate încuraja atacatorii să continue. Discută cu un specialist și verifică backupurile înainte de orice decizie.

Cum gestionezi un email compromis

Emailul compromis este unul dintre cele mai frecvente incidente pentru firme mici. Atacatorii îl folosesc pentru fraudă, resetarea altor parole și trimiterea de mesaje false către clienți.

Pași recomandați:

1. Schimbă parola de pe un dispozitiv sigur.
2. Activează MFA.
3. Deconectează toate sesiunile active.
4. Verifică regulile de forwarding și filtrele automate.
5. Verifică semnătura emailului.
6. Verifică mesajele trimise și șterse.
7. Verifică aplicațiile conectate la cont.
8. Anunță clienții dacă s-au trimis mesaje false.
9. Verifică SPF, DKIM și DMARC pentru domeniu.
10. Monitorizează contul câteva zile.

Pentru protecție pe termen lung, articolul despre securizarea emailului firmei cu SPF, DKIM, DMARC și MFA poate fi legat aici după publicare.

Cum gestionezi un atac ransomware

Ransomware-ul blochează fișierele și cere bani pentru recuperare. Este un incident serios și trebuie tratat cu prudență.

Pași defensivi:

• izolează sistemul afectat de rețea;
• nu conecta stickuri sau hard diskuri de backup;
• păstrează mesajul de răscumpărare ca dovadă;
• notează ce fișiere sunt afectate;
• verifică dacă alte dispozitive au aceleași simptome;
• contactează un specialist IT sau cybersecurity;
• verifică backupurile offline sau cloud de pe un dispozitiv curat;
• nu promite clienților recuperarea rapidă până nu ai confirmare tehnică.

Pentru context suplimentar, poți lega articolul intern ce este ransomware.

Cum gestionezi un site WordPress compromis

Dacă site-ul firmei afișează conținut străin, redirecționează vizitatorii sau apare ca periculos în browser, tratează situația ca incident.

Pași recomandați:

1. Pune site-ul în mentenanță dacă afectează vizitatorii.
2. Schimbă parolele pentru WordPress, hosting, FTP/SFTP și baza de date.
3. Verifică utilizatorii cu rol de administrator.
4. Actualizează WordPress, tema și pluginurile.
5. Șterge pluginurile și temele necunoscute sau nefolosite.
6. Verifică fișierele modificate recent.
7. Verifică redirecționările suspecte din .htaccess sau pluginuri SEO.
8. Restaurează dintr-un backup curat, dacă este necesar.
9. Verifică Google Search Console pentru alerte.
10. Contactează firma de hosting.

După curățare, aplică măsuri preventive din ghidul cum securizezi WordPress complet.

Cine trebuie anunțat?

Un incident cibernetic nu trebuie gestionat în izolare. Cine trebuie informat depinde de gravitate, de tipul datelor afectate și de obligațiile firmei.

Furnizorul IT sau specialistul tehnic

Este prima persoană pe care ar trebui să o contactezi. Oferă-i informații clare: ce ai observat, când, pe ce dispozitiv, ce conturi sunt implicate și ce ai făcut deja.

Firma de hosting și providerul de email

Dacă incidentul afectează site-ul, domeniul sau emailul, contactează furnizorii. Ei pot verifica loguri, pot bloca accesul suspect și pot ajuta la recuperare.

Banca

Dacă există suspiciuni de fraudă financiară, facturi false, token-uri compromise sau transferuri suspecte, sună imediat banca. Cere blocarea operațiunilor suspecte și verificarea tranzacțiilor recente.

Clienții și partenerii afectați

Dacă s-au trimis mesaje false în numele firmei sau există risc pentru datele lor, comunică rapid și clar. Spune ce s-a întâmplat, ce măsuri ai luat și ce trebuie să ignore sau să verifice.

Autoritățile și partea juridică

Dacă incidentul implică date personale, poate exista obligația de notificare conform GDPR. În multe cazuri, notificarea autorității de supraveghere trebuie făcută fără întârziere nejustificată și, unde este cazul, în maximum 72 de ore de la momentul în care firma a luat cunoștință de breșă.

Dacă firma intră sub cerințe NIS2 sau are obligații contractuale speciale, pot exista termene și proceduri suplimentare. Pentru aceste situații, discută cu un specialist juridic, un DPO sau consultantul responsabil de conformitate. Vezi și pagina NIS2 și GDPR explicate pentru firme mici și medii.

Model simplu de raport intern după incident

Chiar și o firmă mică ar trebui să păstreze un raport scurt. Nu trebuie să fie complicat. Poți folosi structura de mai jos:

• Data și ora descoperirii: când a fost observată problema.
• Persoana care a raportat: cine a văzut primul semnele.
• Sisteme afectate: laptop, email, WordPress, server, cloud etc.
• Simptome observate: mesaje, fișiere modificate, conturi suspecte.
• Pași făcuți: izolare, schimbare parole, MFA, contactare furnizori.
• Date posibil afectate: clienți, angajați, facturi, contracte.
• Persoane/furnizori anunțați: IT, hosting, bancă, clienți, autorități.
• Cauză probabilă: phishing, parolă compromisă, plugin vulnerabil etc.
• Măsuri de prevenire: ce se schimbă pentru a nu se repeta.

Acest raport te ajută să înveți din incident, să demonstrezi că ai acționat responsabil și să comunici mai clar cu specialiștii.

Checklist pentru primele 24 de ore

Poți copia această listă și o poți păstra într-un document intern al firmei:

• Am izolat dispozitivul sau contul afectat.
• Am păstrat dovezile și nu am șters fișiere/emailuri.
• Am făcut capturi de ecran sau poze.
• Am notat data, ora și simptomele.
• Am schimbat parolele critice de pe un dispozitiv sigur.
• Am activat MFA pe conturile importante.
• Am deconectat sesiunile active necunoscute.
• Am verificat emailul, regulile de forwarding și semnătura.
• Am verificat conturile de administrator.
• Am contactat specialistul IT/furnizorul relevant.
• Am verificat backupurile fără să le conectez la sistemul compromis.
• Am verificat dacă datele clienților pot fi afectate.
• Am informat banca, dacă există risc financiar.
• Am decis cine trebuie informat.
• Am documentat incidentul într-un raport simplu.

Cum previi repetarea incidentului

După ce incidentul este sub control, urmează partea pe care multe firme o amână: îmbunătățirea securității. Dacă revii la aceleași obiceiuri, riscul rămâne.

Măsuri recomandate:

• activează MFA pentru toate conturile importante;
• folosește parole unice și un manager de parole;
• aplică regula backup 3-2-1;
• testează periodic restaurarea backupului;
• actualizează sistemele, aplicațiile și pluginurile;
• limitează conturile de administrator;
• dezactivează conturile foștilor angajați;
• instruiește angajații să recunoască phishingul;
• configurează SPF, DKIM și DMARC pentru email;
• folosește antivirus/EDR acolo unde este posibil;
• păstrează un plan de răspuns la incidente în format printat;
• revizuiește lunar conturile active și accesul la date.

Pentru o bază practică, vezi și checklist-ul de securitate IT pentru firme mici, articolul despre backup pentru firme și ghidul despre cum recunoști un email de phishing.

Întrebări frecvente

Ce este un incident cibernetic?

Este un eveniment în care datele, conturile sau sistemele firmei sunt accesate, modificate, blocate, furate sau folosite neautorizat. Exemple: email compromis, ransomware, site infectat sau conturi cloud accesate fără permisiune.

Ce fac prima dată dacă suspectez un incident?

Izolează dispozitivul afectat, păstrează dovezile, notează ce ai observat și contactează specialistul IT. Nu schimba parolele de pe dispozitivul suspect.

Trebuie să opresc calculatorul sau doar internetul?

De regulă, primul pas este izolarea de rețea: scoți cablul sau oprești Wi-Fi-ul. Dacă nu poți izola dispozitivul și există risc de răspândire, cere rapid sfat tehnic; în unele cazuri, oprirea poate fi necesară.

Este bine să plătesc răscumpărarea în caz de ransomware?

Nu există garanția că vei primi datele înapoi. Plata poate încuraja atacatorii și nu rezolvă vulnerabilitatea inițială. Verifică backupurile și cere ajutor specializat înainte de orice decizie.

Când trebuie să anunț clienții?

Dacă datele lor pot fi afectate sau dacă au primit mesaje false în numele firmei, anunțarea rapidă este recomandată. În cazul datelor personale, pot exista obligații legale de notificare.

Ce fac dacă emailul firmei a fost spart?

Schimbă parola de pe un dispozitiv sigur, activează MFA, deconectează sesiunile active, verifică regulile de forwarding, semnătura, emailurile trimise și anunță clienții dacă s-au trimis mesaje false.

Cum pot preveni un incident similar?

Cele mai importante măsuri sunt MFA, parole unice, backup testat, actualizări regulate, instruirea angajaților, limitarea conturilor de administrator și un plan scris de răspuns la incidente.

Concluzie

Un plan de răspuns la incidente cibernetice nu este un lux pentru corporații, ci o necesitate pentru orice firmă care folosește email, laptopuri, site web, cloud sau aplicații online. Diferența dintre o problemă controlabilă și un dezastru este dată de primele decizii: izolezi, păstrezi dovezi, schimbi parolele de pe un dispozitiv sigur, activezi MFA, verifici backupurile și comunici responsabil.

Cel mai bun moment să pregătești un plan este înainte de incident. Dar dacă incidentul s-a produs deja, contează să acționezi calm, rapid și documentat. Nu trebuie să faci totul perfect în primele minute. Trebuie doar să eviți greșelile mari și să urmezi pașii corecți.

Surse consultate

• CISA – Cyber Guidance for Small Businesses
• CISA – I’ve Been Hit By Ransomware
• NIST SP 800-61 Rev. 3 – Incident Response Recommendations and Considerations for Cyber Risk Management
• NCSC – Small organisations guide to cyber security
• GDPR Article 33 – Notification of a personal data breach