Playbook Răspuns la Incidente

Playbook de Răspuns la Incidente Cibernetice

Contacte de urgență — Salvați în telefon ACUM

CERT-MD — Asistență tehnică gratuită

cert@cert.gov.md · +373 22 820 170 · cert.gov.md/report

ANDPDCP — Notificare date personale (72h)

andpdcp.md · +373 22 820 801 · info@datepersonale.md

Poliția Națională — Incidente penale

112 · politia.md

Bancă — Fraud financiar (acționați în ore)

MAIB: 1313 · Moldindconbank: 022 579 000 · Victoriabank: 022 578 888

Responsabil Securitate intern (RSC)

Nume: _________________________ · Tel: _________________________

Administrator IT intern

Nume: _________________________ · Tel: _________________________

Cei 5 pași ai Playbook-ului

1DETECTARE — Identifică și evaluează

Documentează imediat: ora, ce ai observat, pe ce sistem
Evaluează severitatea: CRITIC / RIDICAT / MEDIU / SCĂZUT
Identifică tipul de incident: phishing, ransomware, breach, malware etc.
Raportează în maxim 1 oră la RSC / IT Admin

2RAPORTARE — Notifică intern și extern

Intern: RSC → Director (max. 1h pentru sev. RIDICAT+)
CERT-MD: la orice incident tehnic semnificativ
ANDPDCP: dacă sunt date personale implicate — TERMEN 72H obligatoriu
Poliție: dacă există prejudiciu financiar sau penal
Bancă: dacă există fraud financiar — acționați în ore!

3IZOLARE — Oprește răspândirea

Deconectează calculatoarele afectate de la rețea (cablu + Wi-Fi) — NU restarți!
Blochează conturile compromise și revocă sesiunile active
Izolează serverele afectate de rețea
Capturează dovezile: screenshots, loguri ÎNAINTE de curățare
NU șterge fișiere, NU formatezi discuri înainte de capturarea dovezilor

4RECUPERARE — Eradică și restaurează

Elimină malware-ul / accesurile neautorizate
Aplică patch-urile de securitate care au permis atacul
Schimbă TOATE parolele potențial compromise
Restaurează din backup izolat curat (verificat ÎNAINTE de restaurare)
Reconectează sistemele treptat cu monitorizare intensivă 48-72h

5DOCUMENTARE — Înregistrează și îmbunătățește

Completează Raportul de Incident (formular D01)
Organizează Post-Incident Review în 5-10 zile lucrătoare
Aplică analiza 5 Why pentru cauza rădăcină
Actualizează Playbook-ul cu lecțiile învățate
Completează Raportul Post-Incident (formular D02)

Matricea de severitate și timpi de răspuns

Severitate	Criterii	Timp răspuns	Notificare externă
CRITIC	Ransomware activ, date exfiltrate, acces admin compromis	Imediat 24/7	CERT-MD + ANDPDCP + Poliție
RIDICAT	Credențiale compromise, malware detectat, suspiciune breach	max. 4 ore	CERT-MD + ANDPDCP (dacă date personale)
MEDIU	Cont utilizator compromis, tentativă phishing cu credențiale	max. 24 ore	ANDPDCP dacă date personale
SCĂZUT	Email phishing nedeschis, scan extern, tentativă fără succes	max. 72 ore	Documentare internă

REGULA SPECIALĂ — Date personale implicate

TERMEN 72 ORE pentru notificarea ANDPDCP

Termenul curge din momentul în care organizația a luat cunoștință de incident. Trimiteți o notificare preliminară dacă investigația este în curs. Include: natura datelor, număr persoane, riscuri, măsuri luate.