Modulul 4 — Cyber Incident Response Playbook

Pro-Lex IT · Material Didactic Online · 2024 — INCIDENT RESPONSE

Modulul 4
Cyber Incident
Response Playbook

Cunoașterea și exersarea Playbook-ului de Răspuns la Incidente. Cum detectezi, raportezi, izolezi și recuperezi după un atac cibernetic — cu simulări practice pas cu pas adaptate organizațiilor din Republica Moldova.

4.1

Ce este un incident de securitate? Tipologii și exemple reale

⏱ 20 min · slide-urile 1–3

4.2

Structura Playbook-ului: Detectare → Raportare → Izolare → Recuperare → Documentare

⏱ 30 min · slide-urile 4–7

4.3

Roluri și responsabilități în echipa de răspuns

⏱ 20 min · slide-urile 8–9

4.4

Canale de raportare: intern, CERT-MD, autorități

⏱ 15 min · slide-urile 10–11

4.5

Simulare: Scenariu phishing — angajat a dat clic pe link malițios

⏱ 35 min · slide-urile 12–14

4.6

Simulare: Scenariu ransomware — fișiere blocate

⏱ 35 min · slide-urile 15–17

4.7

Lecții învățate și documentare post-incident

⏱ 25 min · slide-urile 18–19

4.1 · Ce este un incident de securitate

Incident vs. Eveniment — care este diferența?

⏱ 20 min

Nu orice problemă IT este un incident de securitate. Distincția este importantă — determină cât de rapid și intens reacționezi.

📋 Eveniment de securitate
Orice activitate observabilă care poate indica o problemă de securitate, dar care nu a cauzat (încă) daune confirmate.

Exemple: Un email de phishing primit (dar nedeschis) · O tentativă de autentificare eșuată · Un scan de rețea detectat din exterior · O actualizare de software raportată ca failed.

🚨 Incident de securitate
Un eveniment care a cauzat sau riscă să cauzeze daune reale: pierderea datelor, acces neautorizat confirmat, perturbarea serviciilor sau un impact financiar/reputațional.

Exemple: Angajat a dat clic pe link phishing și a introdus credențialele · Fișiere criptate de ransomware · Date personale ale beneficiarilor accesate neautorizat.

Cum stabilim severitatea unui incident?

🔴 CRITIC

Sisteme de producție oprite · Date sensibile confirmat exfiltrate · Ransomware activ în rețea · Acces root/admin compromis

Răspuns: IMEDIAT, 24/7

🟠 RIDICAT

Sistem important compromis · Suspiciune de scurgere de date · Phishing cu credențiale introduse · Malware detectat activ

Răspuns: în 4 ore

🟡 MEDIU

Cont utilizator compromis (fără admin) · Tentativă phishing — credențiale necunoscute · Malware detectat, izolat

Răspuns: în 24 ore

🟢 SCĂZUT

Email phishing primit, nedeschis · Scan extern de porturi · Solicitare de informații suspecte (dar fără acces)

Răspuns: în 72 ore

📌 REGULĂ SPECIALĂ — Date personale implicate

Dacă incidentul implică date personale ale beneficiarilor, angajaților sau partenerilor — indiferent de severitate — se aplică obligația de notificare la ANDPDCP în 72 de ore (Legea 133/2011, GDPR art. 33).
Termenul curge din momentul în care organizația a luat cunoștință de incident.

📚 SurseNIST SP 800-61 (Computer Security Incident Handling Guide): csrc.nist.gov · Legea 133/2011 Moldova: legis.md · GDPR art. 33-34: eur-lex.europa.eu

4.1 · Tipologii de incidente

Tipuri de incidente și exemple reale din Moldova

Tip incident	Cum se manifestă	Severitate tipică	Exemplu Moldova
Phishing + credential theft	Angajat introduce credențiale pe un site fals. Contul de email sau sistem intern este accesat de atacator.	RIDICAT	Angajat ONG Chișinău primește email fals de la „Microsoft Office 365" și introduce parola pe o pagină clonată. Atacatorul accesează emailul organizației.
Ransomware	Fișierele de pe calculatoare și servere devin inaccesibile. Apare mesaj de răscumpărare.	CRITIC	Primărie din raion Moldova: calculator administrativ infectat prin atașament email. Ransomware-ul s-a răspândit pe serverul de fișiere partajate. 3 zile de activitate blocată.
Business Email Compromise (BEC)	Atacatorul controlează emailul unui director sau se dă drept acesta. Transfer financiar fraudulos efectuat.	CRITIC	Contabilă ONG din Bălți primește instrucțiune de transfer de 45 000 MDL de pe o adresă similară cu cea a directorului (director@org.md vs. director@org-md.com). Transfer efectuat.
Data breach (scurgere date)	Date personale ale beneficiarilor sau angajaților ajung la persoane neautorizate — intern sau extern.	RIDICAT	Baza de date cu dosarele beneficiarilor unui serviciu social din Moldova — configurație greșită server web — accesibilă public pe internet timp de 3 zile.
Insider threat (amenințare internă)	Un angajat accesează sau exportă date la care nu are drept, intenționat sau accidental.	MEDIU–RIDICAT	Angajat demisionat dintr-un ONG moldovenesc a copiat baza de contacte a donatorilor pe un USB personal în ultima zi de lucru.
DDoS (atac de tip denial of service)	Site-ul sau sistemul organizației devine inaccesibil din cauza unui volum anormal de trafic.	MEDIU	Site-urile mai multor instituții publice moldovenești au fost indisponibile ore întregi în urma atacurilor DDoS coordonate (documentate 2022–2023 de CERT-MD).
Malware / Spyware	Software malițios instalat pe calculatoare care fură date, capturează taste sau transmite informații la distanță.	RIDICAT	Calculator dintr-o redacție moldovenească infectat cu spyware prin USB primit de la o sursă necunoscută. Corespondenți și surse expuse.

🇲🇩 Surse Moldova: Rapoartele anuale CERT-MD documentează tipurile de incidente cele mai frecvente în Republica Moldova. Organizațiile societății civile, redacțiile și instituțiile publice locale sunt printre cele mai frecvent vizate categorii. Accesați cert.gov.md pentru rapoartele actualizate.

4.1 · Exercițiu practic

Este sau nu un incident de securitate? Evaluator interactiv

Utilizați arborele de decizie de mai jos pentru a evalua dacă situația descrisă reprezintă un incident de securitate și ce severitate are. Răspundeți la întrebări în ordine.

📌 Situația: Un angajat vă raportează că a primit un email suspect de la „MAIB Securitate" cu un link pe care a dat clic. A introdus și parola pe pagina la care a ajuns.

Situație activă de evaluat. Continuați analiza:

🎓 Lecție: Chiar dacă nu s-a detectat activitate imediat, un cont cu credențiale compromise este întotdeauna tratat ca incident activ. Atacatorii pot fi latenți — acumulează informații și acționează săptămâni mai târziu. Schimbați parola imediat și activați MFA — fără excepție.

4.2 · Structura Playbook-ului

Cei 5 pași ai Playbook-ului de Răspuns la Incidente

⏱ 30 min

Un Playbook de răspuns este un ghid pas cu pas care elimină confuzia și deciziile improvizate în momentele de criză. Toată lumea știe ce face, în ce ordine și cu cine comunică.

🔍

1. DETECTARE

Identificarea incidentului

📣

2. RAPORTARE

Notificare internă și externă

🔒

3. IZOLARE

Containment — oprim răspândirea

🔄

4. RECUPERARE

Eradicare și restaurare

📋

5. DOCUMENTARE

Post-incident review

🔍 Pasul 1 — Detectare și identificare

Obiectiv: A stabili că un incident a avut loc, a înțelege natura lui și a determina severitatea inițială.

Angajatul sau sistemul automat (antivirus, SIEM) detectează comportament anormal
Persoana care detectează documentează imediat: ora, ce a observat, pe ce sistem, ce acțiuni a întreprins
Se aplică Matricea de Severitate (CRITIC / RIDICAT / MEDIU / SCĂZUT)
Se identifică tipul probabil de incident: phishing, ransomware, breach de date etc.
Se identifică sistemele potențial afectate

⏱ Regulă temporală: Detectarea trebuie raportată intern în maxim 1 oră de la momentul în care angajatul a observat problema. Nu „mai văd mâine" — fiecare oră de întârziere poate multiplica daunele.

📣 Pasul 2 — Raportare

Obiectiv: Escaladarea imediată la persoanele responsabile din organizație și, dacă este cazul, la autoritățile competente.

Raportare internă imediatăAngajatul contactează Responsabilul IT / Responsabilul de Securitate / Conducerea — conform procedurii interne. Canalul: telefon sau email urgent (nu WhatsApp pentru informații sensibile).

Raportare la ANDPDCP — dacă sunt implicate date personaleTermen: 72 de ore din momentul cunoașterii. Formular online disponibil pe andpdcp.md. Include: ce date, câte persoane, ce riscuri, ce măsuri luate.

Raportare la CERT-MD — pentru incidente tehnice graveEmail: cert@cert.gov.md · Tel: +373 22 820 170 · Formular online: cert.gov.md/report. CERT-MD poate oferi asistență tehnică gratuită.

Raportare la Poliție — dacă există prejudiciu financiar sau penalFraud financiară (CEO Fraud, transfer neautorizat): Poliția Națională, politia.md. Dosar penal pentru prejudicii dovedite.

🔒 Pasul 3 — Izolare (Containment)

Obiectiv: Oprirea răspândirii incidentului — limitarea daunelor suplimentare fără a distruge dovezile.

Izolare imediată: Deconectarea calculatoarelor afectate de la rețea (cablu + Wi-Fi) — FĂRĂ a le opri
Blocare conturi compromise: Resetarea parolei, revocarea sesiunilor active, dezactivarea contului dacă este necesar
Izolarea serverelor afectate: Separarea de restul rețelei, blocarea accesului la internet
Capturarea dovezilor: Fotografierea ecranelor, exportul logurilor ÎNAINTE de orice acțiune de curățare
Notificarea utilizatorilor afectați de schimbarea parolelor și a restricțiilor temporare

⚠️ NU faceți: Nu restarți calculatoarele afectate · Nu ștergeți fișiere sau loguri · Nu formatați discuri înainte de capturarea dovezilor · Nu plătiți răscumpărări fără consultarea unui specialist și a conducerii.

🔄 Pasul 4 — Recuperare (Eradicare + Restaurare)

Obiectiv: Eliminarea cauzei incidentului și restaurarea sistemelor la starea normală de funcționare, în siguranță.

EradicareEliminarea malware-ului · Ștergerea conturilor neautorizate create de atacator · Aplicarea patch-urilor de securitate care au permis atacul · Schimbarea TUTUROR parolelor potențial compromise (nu doar cele ale utilizatorilor afectați direct).

Restaurare din backupRestaurarea datelor din backup-ul izolat verificat. ÎNAINTE de restaurare: verificați că backup-ul este curat (nu infectat). Testați sistemele înainte de a le conecta înapoi în rețea.

Verificare și monitorizare intensificată48-72 ore de monitorizare intensă după restaurare pentru a detecta orice semne de persistență (atacatorii se pot „ascunde" și reveni). Verificați că vulnerabilitatea inițială a fost remediată.

Reintegrare treptatăSistemele sunt reintroduse în producție treptat, verificând funcționarea corectă. Nu reconectați toate sistemele simultan — este mai ușor să detectați probleme reziduale.

📋 Pasul 5 — Documentare (Post-Incident Review)

Obiectiv: Înregistrarea completă a incidentului, analiza cauzelor și îmbunătățirea procedurilor pentru viitor.

Completarea Raportului de Incident — template în slide-ul 18
Analiza cauzelor rădăcină (Root Cause Analysis): ce a permis incidentul să se producă?
Identificarea lacunelor de proceduri sau instrumente care trebuie remediate
Actualizarea Playbook-ului cu lecțiile învățate
Training suplimentar pentru angajații implicați sau pentru întreaga echipă
Arhivarea documentației — necesară pentru conformitate și potențiale investigații

✅ Regulă: Documentarea se face în paralel cu răspunsul, nu după. Fiecare acțiune se înregistrează cu ora, persoana responsabilă și rezultatul. Un incident fără documentare nu poate fi analizat, nu poate fi raportat corect și nu aduce nicio lecție pentru viitor.

4.2 · Playbook · Timeline și decizii critice

Timeline de răspuns: ce se întâmplă în primele 72 de ore

0–1h

Detectare și raportare internăAngajatul raportează incidentul · Responsabilul IT confirmă și evaluează severitatea · Conducerea este notificată dacă severitate ≥ RIDICAT · Se deschide dosarul de incident · Se decid primele acțiuni de izolare

1–4h

Izolare și investigare inițialăSistemele afectate sunt izolate de rețea · Dovezile sunt capturate (loguri, screenshots) · Se identifică amploarea incidentului: câte sisteme, ce date, câți utilizatori · Se contactează CERT-MD dacă e necesar asistență tehnică

4–24h

Analiză și containmentInvestigație aprofundată a vectorului de atac · Identificarea tuturor sistemelor compromise · Acțiuni de containment extinse · Dacă sunt implicate date personale: se pregătește notificarea ANDPDCP (termen 72h din detectare) · Se evaluează dacă se contactează asigurarea de securitate cibernetică (dacă există)

24–72h

Eradicare și recuperareEliminarea malware-ului și a accesurilor neautorizate · Restaurarea din backup · Testarea și reintegrarea treptată a sistemelor · Trimiterea notificării la ANDPDCP (dacă sunt date personale implicate — TERMEN LIMITĂ: 72h) · Comunicare cu beneficiarii afectați dacă datele lor au fost compromise

72h+

Monitorizare și documentareMonitorizare intensivă a sistemelor restaurate · Finalizarea Raportului de Incident · Post-Incident Review cu echipa · Actualizarea procedurilor și a Playbook-ului · Training suplimentar dacă e necesar · Închiderea oficială a incidentului

⚠️ Termenul de 72 de ore pentru ANDPDCP este un termen legal strict. Calculul său: din momentul în care organizația a luat cunoștință de incident — nu din momentul producerii lui. Chiar dacă nu aveți toate informațiile, trimiteți o notificare preliminară cu ce știți și marcați că investigația continuă. Este mai bine să notificați cu informații incomplete la timp decât să așteptați informații complete și să depășiți termenul.

📚 SurseNIST SP 800-61 Rev 2: csrc.nist.gov · ANDPDCP — notificare incidente: andpdcp.md · ENISA — Incident Management guidelines: enisa.europa.eu

4.2 · Playbook · Matricea de comunicare

Cine comunică ce, cui și când — Matricea de comunicare

Una din cele mai frecvente greșeli în răspunsul la incidente este comunicarea haotică: toată lumea sună pe toată lumea, informații contradictorii circulă, sau invers — nimeni nu știe ce se întâmplă. Matricea rezolvă asta.

📌 Regula de baz comunicare: O singură persoană este purtătorul de cuvânt al incidentului (de obicei Responsabilul de Securitate sau Directorul). Restul echipei nu comunică detalii despre incident în exterior (parteneri, presă, beneficiari) fără aprobare.

Cine raportează	Cui raportează	Ce include	Termen	Canal
Orice angajat	Responsabilul IT / Responsabilul Securitate	Ce a observat, ora, sistemul afectat, ce acțiuni a întreprins	Imediat	Telefon sau email
Resp. IT / Securitate	Director / Management	Tip incident, severitate, sisteme afectate, primele acțiuni, necesarul de resurse	max. 1h	Telefon sau întâlnire directă
Resp. IT / Securitate	CERT-MD	Descriere tehnică incident, IOCs (indicatori de compromis), asistență solicitată	4h (critic)	Email cert@cert.gov.md sau formular online
Director + Resp. Juridic	ANDPDCP	Natura incidentului, datele implicate, număr persoane afectate, riscuri, măsuri luate	max. 72h	Formular online andpdcp.md
Director	Poliția Națională	Descriere incident, prejudicii financiare, dovezi disponibile	dacă prejudiciu	112 sau politia.md
Director + Comunicare	Beneficiari / Parteneri afectați	Ce date au fost implicate, ce riscuri au, ce măsuri de protecție trebuie să ia	cât mai rapid	Email oficial, telefon sau notificare scrisă

✅ Documentul cheie — Jurnalul de incident: De la prima oră a incidentului, o persoană desemnată menține un jurnal cronologic cu: ora, acțiunea întreprinsă, persoana responsabilă, rezultatul. Acest jurnal este baza Raportului de Incident și a notificărilor legale.

4.2 · Playbook · Raport de incident

Template Raport de Incident — completat pas cu pas

Acesta este formatul standard recomandat pentru documentarea unui incident. Completați-l în timp real, nu după finalizarea incidentului.

📄 RAPORT DE INCIDENT DE SECURITATE CIBERNETICĂ
Document confidențial — acces restricționat la persoane autorizate

Câmp	Descriere / Ce se completează	Exemplu
ID Incident	Cod unic: INC-YYYY-MM-DD-NNN	INC-2024-10-15-001
Data/ora detectării	Momentul exact când organizația a luat cunoștință	15 oct 2024, 09:23
Raportat de	Angajatul care a detectat și a raportat	Maria Ionescu, asistent administrativ
Tip incident	Phishing / Ransomware / Breach / BEC / Malware / Altul	Phishing + credential theft
Severitate	CRITIC / RIDICAT / MEDIU / SCĂZUT	RIDICAT
Sisteme afectate	Calculator, server, aplicație, cont email	Cont email maria.ionescu@org.md · Server fișiere partajate
Date personale implicate	Da/Nu · Dacă Da: ce date, câte persoane	Da — baza contacte beneficiari (340 persoane): nume, email, telefon
Vectorul de atac	Cum a intrat atacatorul	Email phishing — pagină clonată Microsoft 365 — parola introdusă
Acțiuni întreprinse	Cronologie completă cu ora și responsabilul	09:23 — incident raportat · 09:35 — cont blocat · 09:50 — IT izolează calculatorul · 10:15 — CERT-MD contactat
Notificări externe	ANDPDCP / CERT-MD / Poliție / Beneficiari	ANDPDCP notificat 16 oct 2024, ora 11:00 (în termen de 72h)
Cauza rădăcină	De ce s-a produs incidentul — lipsa MFA, actualizare lipsă etc.	MFA neactivat pe contul de email · Lipsă training anti-phishing recent
Măsuri corective	Ce se face pentru a preveni reapariția	MFA activat obligatoriu pt. tot personalul · Training phishing programat · Monitorizare sporită loguri email
Incident închis la	Data și ora închiderii oficiale	18 oct 2024, 14:00

📝 Exercițiu practic

Pe baza situației descrise în slide-ul 3 (angajat care a dat clic pe link phishing și a introdus parola), completați primele 8 câmpuri din template-ul de mai sus. Comparați cu colegii.

Exemplu de completare pentru situația din slide-ul 3:
ID: INC-2024-10-15-001 · Data detectare: 15 oct 2024, 14:35 · Raportat de: Ion Rusu, programator · Tip: Phishing + credential theft · Severitate: RIDICAT · Sisteme afectate: Cont email ion.rusu@org.md, potențial drive partajat · Date personale: Se investighează — cont are acces la lista beneficiarilor · Vector atac: Email fals „MAIB Securitate", link către maib-alert.ru, parola introdusă de angajat.

Primele acțiuni: 14:35 — incident raportat · 14:40 — cont blocat de IT · 14:45 — calculator izolat de rețea · 15:00 — investigație loguri email începută · 15:30 — conducere notificată.

4.3 · Roluri și responsabilități

Cine face ce în echipa de răspuns la incidente?

⏱ 20 min

Răspunsul eficient la un incident depinde de claritatea rolurilor. Fiecare persoană știe exact ce face, fără să aștepte instrucțiuni sau să se suprapună cu altcineva.

🛡️

Responsabilul de Securitate Cibernetică (RSC)

INCIDENT COMMANDER — COORDONATOR PRINCIPAL

✅ Coordonează întregul răspuns la incident · Ia deciziile operaționale cheie · Este singurul punct de contact pentru raportări externe (CERT-MD, ANDPDCP) · Aprobă comunicările publice și cu beneficiarii · Menține jurnalul de incident · Declară deschiderea și închiderea oficială a incidentului

💻

Responsabilul IT / Administratorul de Sistem

TECHNICAL LEAD — ANALIST TEHNIC

✅ Execută acțiunile tehnice: izolare, investigare, eradicare, restaurare · Capturează dovezile tehnice (loguri, imagini disc) · Identifică vectorul de atac și sistemele afectate · Implementează patch-urile și remedierile tehnice · Raportează tehnic la RSC și, dacă e necesar, la CERT-MD

⚖️

Responsabilul Juridic / DPO (Responsabil Protecția Datelor)

LEGAL / COMPLIANCE LEAD

✅ Evaluează implicațiile legale ale incidentului · Pregătește și transmite notificarea la ANDPDCP (termen 72h) · Decide dacă beneficiarii afectați trebuie notificați (art. 34 GDPR) · Coordonează cu avocații externi dacă e necesar · Asigură că documentarea respectă cerințele legale

📣

Directorul General / Management

EXECUTIVE SPONSOR — AUTORITATE DECIZIONALĂ

✅ Aprobă deciziile cu impact major (plata sau neplata răscumpărărilor, suspendarea serviciilor, comunicări publice) · Comunică cu Consiliul de Administrație și finanțatori dacă este cazul · Asigură resursele necesare pentru răspuns · Aprobă comunicatele de presă și mesajele oficiale

👥

Toți Angajații

FIRST RESPONDERS — DETECTORI ȘI RAPORTERI

✅ Raportează IMEDIAT orice comportament suspect (email, calculator, rețea) · NU încearcă să rezolve singuri incidentul fără a raporta · Urmează instrucțiunile primite de la RSC sau IT · Cooperează cu investigația (accesul la calculatoare, emailuri) · NU discută detaliile incidentului în exterior fără aprobare

📌 Nota pentru organizații mici: Dacă organizația nu are personal dedicat pentru fiecare rol, aceleași responsabilități sunt distribuite pe mai puține persoane — dar rolurile trebuie clar definite înainte de un incident. Documentați: pentru fiecare rol, care persoană îl acoperă și care este alternativa (backup person).

4.3 · Matrice RACI

Matricea RACI — Responsabil, Aprobator, Consultat, Informat

Matricea RACI elimină ambiguitatea: pentru fiecare activitate din răspunsul la incident, știm exact cine Realizează, cine Aprobă, cine este Consultat și cine este Informat.

Activitate	RSC	IT Admin	DPO/Juridic	Director	Angajat
Detectare și raportare internă	C	C	I	I	R
Evaluare severitate	R A	C	C	I	I
Izolarea sistemelor	A	R	I	I	C
Capturare dovezi	A	R	C	I	—
Notificare CERT-MD	R	C	C	A	—
Notificare ANDPDCP (72h)	C	C	R	A	—
Eradicare malware	A	R	I	I	—
Restaurare din backup	A	R	I	A	—
Comunicare beneficiari afectați	R	I	C	A	—
Raport post-incident	R	C	C	A	I
Declarare închidere incident	R	C	C	A	—

R = Responsabil (execută) A = Aprobator (decide) C = Consultat (oferă input) I = Informat (notificat)

🎮 Exercițiu de grup

Împărțiți-vă în roluri și parcurgeți matricea pentru incidentul din slide-ul 3 (phishing cu credențiale introduse). Fiecare persoană în rol identifică: Ce fac eu în primul minut? Primul sfert de oră? Prima oră?

Minutul 1 — când angajatul realizează că a dat clic pe ceva suspect:
👤 Angajatul: Sune imediat RSC sau IT (nu încearcă să „repare" singur). Nu închide browser-ul — poate fi dovadă.
💻 IT Admin: Pregătit să izoleze calculatorul și să blocheze contul — așteptă confirmarea RSC.
🛡️ RSC: Primește raportul, adresează 3 întrebări: (1) A introdus parola? (2) Pe ce calculator? (3) Ce conturi are angajatul? — evaluează severitatea.

Sfertul 1 (15 min): RSC confirmă: INCIDENT RIDICAT. IT blochează contul. IT izolează calculatorul. Director informat. Jurnal incident deschis.

4.4 · Canale de raportare

Unde și cum raportezi — ghid complet pentru Moldova

⏱ 15 min

🔒

CERT-MD — Centrul de Răspuns la Incidente

Autoritatea tehnică națională pentru incidente cibernetice. Oferă asistență gratuită organizațiilor moldovenești afectate.

📧 cert@cert.gov.md
📞 +373 22 820 170
🌐 cert.gov.md
📋 Formular raportare: cert.gov.md/report

Când raportezi: Orice incident tehnic semnificativ — malware activ, breach de date, DDoS, ransomware, atacuri coordonate.

⚖️

ANDPDCP — Autoritatea pentru Protecția Datelor

Raportarea obligatorie când incidentul implică date personale.

🌐 andpdcp.md
📧 info@datepersonale.md
📞 +373 22 820 801
📋 Formular online pe portal

Termen legal: 72 de ore din momentul detectării.
Include: natura datelor, nr. persoane, riscuri, măsuri luate.

👮

Poliția Națională a Republicii Moldova

Raportarea obligatorie când există prejudicii penale sau financiare (furt de bani, extorcare, acces neautorizat intenționat).

📞 112 (urgențe)
🌐 politia.md
📋 Depunere sesizare la secția teritorială sau online

Când raportezi: CEO Fraud cu transfer efectuat · Extorcare (ransomware) · Acces neautorizat cu intenție dovedită · Furt de identitate.

🏦

Banca / Furnizorul de servicii financiare

Raportarea imediată în cazul fraudei financiare — transfer neautorizat, card compromis.

MAIB: 1313 sau 022 888 888
Moldindconbank: 022 579 000
Victoriabank: 022 578 888

Acționează în primele ore! Băncile pot bloca sau recupera transferuri frauduloase dacă sunt contactate rapid — în primele 24-48h există șanse.

📋 Notificarea ANDPDCP — ce include (conform art. 33 GDPR / Legea 133):
1. Natura incidentului (ce s-a întâmplat, cum, când)
2. Categoriile de date personale implicate (date medicale? financiare? de identificare?)
3. Numărul aproximativ de persoane vizate afectate
4. Consecințele probabile ale încălcării
5. Măsurile luate sau propuse pentru remedierea situației
6. Datele de contact ale DPO sau ale persoanei responsabile

Puteți trimite o notificare preliminară dacă nu aveți toate informațiile — marcați că investigația este în curs și completați cu informații suplimentare ulterior.

4.4 · Comunicare internă și externă

Comunicarea în criză — ce spui și ce NU spui

Comunicarea în timpul unui incident este la fel de importantă ca răspunsul tehnic. Comunicarea greșită poate amplifica daunele reputaționale și poate compromite investigația.

✅ CE comunici — și când

Intern — imediat: Angajații afectați primesc instrucțiuni clare: ce să nu facă, ce să facă, pe cine să contacteze
Beneficiari afectați — cât mai rapid: Dacă datele lor au fost compromise, au dreptul să știe pentru a se proteja. Comunicați ce s-a întâmplat, ce date, ce riscuri, ce măsuri de protecție să ia.
Parteneri și finanțatori — după stabilizare: Comunicare oficială concisă, faptuală, cu măsurile luate
Presă — dacă incidentul este public: Un comunicat scurt, verificat juridic, confirmat de Director

❌ CE NU comunici

Detalii tehnice despre vulnerabilitățile exploatate (pot ajuta atacatorii să repete atacul)
Informații care pot compromite investigația penală (dacă Poliția este implicată)
Speculații despre cine a atacat — fără confirmare tehnică
Valoarea exactă a prejudiciilor — înainte de o evaluare completă
Orice declarație care poate fi interpretată ca admitere de neglijență (fără consultare juridică)

📝 Exercițiu — Redactarea comunicării către beneficiari

Situație: Baza de date cu datele de contact ale 340 de beneficiari (nume, email, telefon) a fost accesată neautorizat timp de aproximativ 48 de ore. Redactați emailul de notificare către beneficiari.

MODEL EMAIL NOTIFICARE BENEFICIARI:

Subiect: Informare importantă privind securitatea datelor dvs.

Stimate/ă [Nume],

Vă informăm că organizația noastră a identificat un incident de securitate care a afectat datele dvs. de contact.

Ce s-a întâmplat: Între [data1] și [data2], o parte a sistemelor noastre a fost accesată neautorizat.

Ce date au fost implicate: Numele dvs., adresa de email și numărul de telefon.

Ce riscuri există pentru dvs.: Posibil primiți emailuri sau apeluri nedorite. Fiți atenți la mesaje care solicită date personale sau financiare.

Ce am făcut: Am blocat accesul neautorizat, am notificat autoritățile (ANDPDCP, CERT-MD) și am consolidat securitatea sistemelor noastre.

Ce puteți face: Fiți vigilenți la comunicări neașteptate. Nu furnizați date sensibile unor surse necunoscute.

Vă cerem scuze pentru neplăcerea cauzată și rămânem la dispoziția dvs. pentru orice întrebări la: [email contact] sau [telefon].

Cu respect, [Semnătura conducerii]

📚 SurseANDPDCP — ghid notificare: andpdcp.md · ENISA — Communication guidelines: enisa.europa.eu · GDPR art. 34 — notificarea persoanelor vizate: eur-lex.europa.eu

4.5 · Simulare practică 1 — Phishing

Scenariu de simulare: Angajat a dat clic pe un link malițios

⏱ 35 min

🚨 ALERTĂ INCIDENT — Ora 14:23, Marți 15 octombrie 2024
Ion Rusu, specialist în proiecte la ONG-ul „Acasă" din Chișinău, vă contactează vizibil agitat: „Am primit un email de la MAIB că contul meu e blocat, am dat clic pe link și am introdus parola. Acum mi se pare că ceva e greșit — site-ul arăta ciudat."

Ion are acces la: emailul organizației · folderul partajat cu dosarele beneficiarilor (340 dosare) · sistemul CRM al organizației.

Această simulare urmărește aplicarea Playbook-ului pas cu pas în timp real. Fiecare participant în echipă acționează conform rolului alocat.

👥 Distribuția rolurilor pentru simulare:
• 1 persoană: Ion Rusu (angajatul afectat)
• 1 persoană: Responsabil Securitate (RSC)
• 1 persoană: Admin IT
• 1 persoană: DPO / Responsabil juridic
• 1 persoană: Director
• Restul: observatori cu fișa de evaluare

⏱ Timp simulare: 30 minute
• 0–10 min: Detectare și izolare
• 10–20 min: Investigare și raportare
• 20–30 min: Decizii și comunicare

Formatorul cronometrează. La final: 5 min debriefing.

Informații disponibile la start pentru echipă

EMAIL PRIMIT DE ION: De la: securitate@maib-moldova-alerta.ru Subiect: URGENT: Contul dvs. MAIB a fost blocat — verificare imediată necesară "Stimate client, contul dvs. a fost blocat din motive de securitate. Accesați: http://maib-verificare.ru/login pentru verificarea identității în 24 de ore." ION A ACCESAT LINKUL ȘI A INTRODUS: - Username: ion.rusu@acasa-ong.md - Parola: aceeași pe care o folosea și pentru emailul de serviciu [SCENARIUL SE ACTIVEAZĂ — ACUM]

4.5 · Simulare 1 — Phishing · Desfășurare

Simulare phishing — Pași de urmat în timp real

Parcurgeți pașii în ordinea indicată. Fiecare pas are o acțiune concretă și un rezultat așteptat.

🔍 Detectare și evaluare inițială — minutul 0-2

ACTIV

RSC întreabă Ion RAPID — 3 întrebări esențiale:

„Ai introdus parola ta de serviciu pe acel site?" → DA
„Aceeași parolă o folosești și pe altundeva?" → DA — și pe email și pe CRM
„A se fi deschis ceva pe calculator după ce ai dat clic?" → Nu știe — calculatorul funcționează normal

Evaluare RSC: Incident confirmat — SEVERITATE RIDICAT. Cont de email compromis. Risc acces la dosarele beneficiarilor (340 persoane). Posibil password reuse pe multiple sisteme.

🔒 Izolare imediată — minutul 2-10

ÎN AȘTEPTARE

IT Admin execută simultan:

IMEDIAT Resetează parola contului de email ion.rusu@acasa-ong.md
IMEDIAT Revocă toate sesiunile active ale contului (logoff forțat de pe toate dispozitivele)
IMEDIAT Schimbă parola accesului Ion la CRM
Izolează calculatorul lui Ion de rețea (cablu + Wi-Fi)
Verifică logurile emailului: a trimis Ion emailuri în ultimele 30 minute? A descărcat ceva?

Ion Rusu: Nu mai folosește calculatorul afectat. Primește calculator de rezervă dacă are nevoie să lucreze.

// Verificare loguri email — ce cauta IT Admin: ✓ Emailuri trimise neautorizat (forward rules la adrese externe?) ✓ Acces la foldere neobișnuite (Dosare beneficiari, Financiar) ✓ Descărcări de fișiere în volum mare ✓ Login din IP-uri neobișnuite (alt oraș, altă țară)

📣 Raportare internă și externă — minutul 10-20

ÎN AȘTEPTARE

RSC notifică Director: Incident phishing confirmat. Cont email compromis. Investigație în curs. Risc date beneficiari — evaluăm dacă s-a accesat ceva.

IT Admin raportează rezultatul logurilor:

Rezultat verificare loguri (10 minute investigație): → Login din IP 185.220.101.47 (Rusia) la 14:19 (4 min după phishing) → Acces la folder /Beneficiari/ la 14:21 — 340 dosare vizualizate → Export CSV "beneficiari_2024.csv" (850KB) descărcat la 14:22 → Nicio regulă de forward setată → Nicio altă activitate detectată

Situație actualizată — CRITIC: Datele personale ale 340 de beneficiari (nume, adresă, CNP, telefon, situație socială) au fost accesate și descărcate de atacator. OBLIGAȚIE LEGALĂ: notificare ANDPDCP în 72h. Termen: până joi 17 oct, ora 14:23.

Acțiuni raportare:

RSC contactează CERT-MD: cert@cert.gov.md — raport incident tehnic, solicită asistență investigare
DPO pregătește notificarea ANDPDCP — se trimite în max. 72h
Director aprobă comunicarea cu beneficiarii afectați

🔄 Recuperare și comunicare — minutul 20-30

ÎN AȘTEPTARE

Acțiuni imediate de recuperare:

Activare MFA pe TOATE conturile organizației — nu doar pe cel al lui Ion
Resetarea parolelor tuturor conturilor (atacatorul poate fi în sistem pe alte conturi)
Verificarea dacă există alte conturi compromise (loguri de acces anormal)
Verificarea fișierului exportat pentru a înțelege exact ce date au fost luate

Comunicare beneficiari — Director aprobă emailul de notificare:

Email trimis celor 340 beneficiari cu explicarea situației (model din slide-ul 11)
Număr de telefon dedicat pentru întrebări — activat pe 48h

✅ Incident parțial recuperat. Sistemele sunt stabile. Investigația continuă pentru a determina dacă atacatorul a accesat și alte sisteme. Jurnalul de incident se completează. Raportul post-incident se pregătește.

4.5 · Simulare 1 — Debriefing

Ce am făcut bine, ce putem îmbunătăți — Debriefing phishing

Grila de evaluare a simulării

Criteriu de evaluare	Target	Realizat în simulare?
Angajatul a raportat imediat (fără să „repare" singur)	Imediat, <5 min	☐ Da ☐ Nu ☐ Parțial
RSC a evaluat severitatea rapid (3 întrebări cheie)	<5 min	☐ Da ☐ Nu ☐ Parțial
Contul a fost blocat și sesiunile revocate	<10 min de la raport	☐ Da ☐ Nu ☐ Parțial
Calculatorul a fost izolat de rețea	<10 min	☐ Da ☐ Nu ☐ Parțial
Logurile au fost verificate pentru acces neautorizat	<20 min	☐ Da ☐ Nu ☐ Parțial
Jurnalul de incident a fost deschis și completat	Continuu	☐ Da ☐ Nu ☐ Parțial
CERT-MD a fost contactat	<4h (RIDICAT)	☐ Da ☐ Nu ☐ Parțial
Notificarea ANDPDCP a fost inițiată (date personale implicate)	<72h	☐ Da ☐ Nu ☐ Parțial
MFA a fost activat post-incident pe toate conturile	<48h	☐ Da ☐ Nu ☐ Parțial
Beneficiarii afectați au fost notificați	<72h	☐ Da ☐ Nu ☐ Parțial

Lecții cheie din scenariul phishing

🏆

Ce a mers bine (de consolidat)

Raportare imediată · Izolare rapidă a contului · Verificare loguri în primele minute · Identificarea breșei reale (export CSV)

⚠️

Ce a cauzat incidentul (de remediat)

Lipsa MFA pe cont · Reutilizarea parolei pe multiple sisteme · Lipsa training anti-phishing recent · Nicio regulă de alertare pentru logins din IP-uri neobișnuite

🔄

Ce schimbăm după incident

MFA obligatoriu pe toate conturile · Manager de parole · Training lunar anti-phishing · Politică password (fără refolosire) · Alertare automată loguri

💡 Insight cheie: 4 minute au fost suficiente pentru ca atacatorul să acceseze și să descarce 340 de dosare. Viteza de răspuns contează enorm. De aceea Playbook-ul trebuie exersat — nu citit doar o dată.

4.6 · Simulare practică 2 — Ransomware

Scenariu de simulare: Fișiere blocate pe un calculator

⏱ 35 min

🚨 ALERTĂ INCIDENT — Luni, 8:47 dimineața
Ana Moraru, contabilă la Primăria comunei Florești, ajunge la birou și pornește calculatorul. Pe ecran apare un mesaj în engleză și română:

„YOUR FILES HAVE BEEN ENCRYPTED. Send 0.5 Bitcoin (≈ 22 000 USD) to [adresă wallet] within 72 hours to receive the decryption key. Do NOT turn off your computer. Do NOT contact police."

Ana verifică folderul cu documentele contabile — toate fișierele au extensia .locked și nu se mai pot deschide. Servere de fișiere partajate — inaccesibil. Backup-ul local de pe HDD-ul extern — și el afectat (era conectat la calculator).

🔍 Context tehnic suplimentar (disponibil pentru IT):
• Calculatorul rulează Windows 10 neactualizat (ultima actualizare: 8 luni în urmă)
• Vineri seara, Ana a primit un email cu subiectul „Notificare fiscală SFS" cu un atașament .doc — l-a deschis
• Serverul de fișiere partajate conține dosarele tuturor angajaților primăriei + baza de date a cetățenilor (2 800 persoane)
• Backup-ul cloud automat — ultimul backup: duminică seara (înainte de infecție)

⏱ Timp simulare: 30 minute
Aceleași roluri ca în Simularea 1.

Diferența față de scenariul phishing: situație mai gravă, mai mulți pași de izolare, backup-ul parțial compromis, risc date ale cetățenilor (nu beneficiari ONG).

Observatorii: notați fiecare decizie corectă și greșeală.

🎯 Obiectivele simulării

La finalul celor 30 de minute, echipa trebuie să fi:

Izolat calculatorul Anei și toate sistemele afectate de rețea
Evaluat amploarea infecției (câte calculatoare, ce servere)
Identificat backup-ul curat disponibil (cloud — duminică seara)
Notificat conducerea și CERT-MD
Luat o decizie fundamentată cu privire la plata sau neplata răscumpărării
Inițiat notificarea ANDPDCP (date cetățeni implicate)

4.6 · Simulare 2 — Ransomware · Desfășurare

Simulare ransomware — Protocol de urgență

🔌 Izolare imediată — primele 2 minute

CRITIC

⚠️ REGULĂ ABSOLUTĂ: NU restarți calculatorul. NU oprești calculatorul. NU ștergi nimic. Fiecare acțiune greșită poate agrava situația sau distruge dovezile.

Ana face ACUM:

Scoate imediat cablul de rețea din calculator (fără a opri calculatorul)
Dezactivează Wi-Fi de pe calculator
Fotografiază ecranul cu mesajul ransomware (cu telefonul)
Sună imediat IT-ul / RSC

IT Admin acționează simultan pe restul rețelei:

// PROTOCOL IZOLARE URGENTA 1. Identifică toate calculatoarele cu extensia .locked pe fișiere 2. Izolează serverul de fișiere partajate de rețea 3. Verifică ce calculatoare au comunicat cu IP-uri externe neobișnuite (ultimele 72h) 4. NU reconecta backup-ul extern la rețea 5. Verifică starea backup-ului cloud (ultimul backup curat: duminică 23:00)

Rezultat verificare: 3 calculatoare afectate (Ana + 2 colege din secretariat). Serverul de fișiere — parțial criptat (dosarele din ultimele 2 săptămâni). Backup cloud — intact și actualizat duminică.

📣 Raportare și decizie critică — minutul 10-20

ÎN AȘTEPTARE

RSC raportează Directorului (Primarului): Atac ransomware confirmat. 3 calculatoare blocate. Server parțial afectat. Backup cloud intact. Ransomware cere 22 000 USD. Activitate sisteme estimată la blocat: 2-3 zile pentru recuperare din backup.

💰 Decizia critică: plătim sau nu plătim răscumpărarea?

Argumente PENTRU plată

Recuperare mai rapidă (teoretic)
Risc mai mic de pierdere definitivă a datelor (dacă nu există backup)

Argumente CONTRA plată

Nu garantează recuperarea datelor (40% din cazuri — cheia nu funcționează)
Finanțează grupări criminale
Organizația devine țintă repetată (plătitorii sunt pe liste)
Posibil ilegal dacă grupul e pe lista sancțiunilor
Există backup cloud intact din duminică!

✅ Decizia recomandată în acest scenariu: NU plătim. Există backup cloud intact. Recuperarea din backup estimată: 1-2 zile lucrătoare. Contactăm CERT-MD pentru asistență tehnică gratuită. Contactăm specialiști în răspuns la ransomware (există instrumente de decriptare pentru unele familii de ransomware).

Raportare externă:

CERT-MD: cert@cert.gov.md — incident ransomware, solicitare asistență tehnică
Poliția Națională: incident penal (extorcare), dosar penal
ANDPDCP: date ale cetățenilor (2 800 persoane) potențial expuse — notificare în 72h

🔄 Recuperare din backup — minutul 20-30

ÎN AȘTEPTARE

IT Admin execută recuperarea — cu asistența CERT-MD (remote):

Curățarea calculatoarelor afectateFormatare completă și reinstalare Windows pe cele 3 calculatoare infectate. NU restaurați pe sisteme care au avut ransomware fără formatare — malware-ul poate persista.

Aplicarea actualizărilor de securitateÎNAINTE de restaurarea datelor, aplicați TOATE actualizările Windows și actualizați antivirusul — altfel ransomware-ul poate reintra prin aceeași vulnerabilitate.

Restaurarea datelor din backup cloudRestaurați backup-ul din duminică seara. Verificați că fișierele restaurate sunt integre și nu conțin fișiere .locked. Testați că aplicațiile funcționează.

Reconectarea treptată la rețeaReconectați calculatoarele unul câte unul, monitorizând activitatea de rețea după fiecare reconectare. Nu reconectați toate simultan.

// STATUS RECUPERARE Calculator Ana: ✓ Formatat și restaurat Calculator Secretariat 1: ✓ Formatat și restaurat Calculator Secretariat 2: ⟳ În curs... Server fișiere: ✓ Restaurat din backup cloud (duminică 23:00) Date pierdute: Documente create luni dimineața (2 ore) — nerecuperabile Estimare finalizare: Mâine dimineața

4.6 · Simulare 2 — Debriefing ransomware

Ce am învățat din scenariul ransomware

Comparație: Cu backup vs. Fără backup

✅ Situația noastră (backup cloud intact):
• Recuperare estimată: 1-2 zile
• Costuri: timp IT + posibil specialist extern (~500-1500 EUR)
• Date pierdute: 2 ore de lucru luni dimineața
• Decizie: NU plătim răscumpărarea
• Moralul echipei: stres ridicat, dar situație controlată

❌ Dacă nu exista backup:
• Recuperare: imposibilă sau 22 000 USD + nesigură
• Costuri: zeci de mii USD + recuperare parțială
• Date pierdute: totul din ultimele luni sau ani
• Activitate blocată: săptămâni
• Posibil: falimentul organizației sau destituiri

Cauzele rădăcină ale incidentului — ce a permis atacul

Windows neactualizat — 8 luni în urmăVulnerabilitatea exploatată de ransomware exista de 8 luni. Patch-ul era disponibil. Actualizările automate erau dezactivate. Cost prevenire: zero. Cost incident: zile de activitate blocată.

Atașament .doc cu macro-uri deschis de AnaEmail phishing „Notificare fiscală SFS" — Ana nu a recunoscut semnele. Lipsă training recent. Lipsă filtru antispam eficient pe serverul de email.

Backup-ul extern era conectat permanent la calculatorUn backup conectat permanent nu este un backup izolat — ransomware-ul l-a criptat și pe el. Regula 3-2-1 impune o copie offline/izolată.

✓

Backup-ul cloud automat a salvat situațiaSingura copie curată disponibilă. Fără aceasta, situația era catastrofală. Lecția: backup-ul cloud automat, izolat de rețea locală, este investiția cu cel mai mare ROI în securitate.

🛡️

Măsuri preventive implementate post-incident

Actualizări automate Windows activate · Backup cloud zilnic verificat · HDD extern deconectat după backup · Training anti-phishing programat · Antivirus cu protecție ransomware activat · Filtre email îmbunătățite

📋

Raportări obligatorii efectuate

CERT-MD — asistență tehnică ✓ · Poliția Națională — dosar penal ✓ · ANDPDCP — notificare date cetățeni în 72h ✓ · Conducere locală — informată ✓ · Cetățeni afectați — notificare în curs

4.7 · Lecții învățate și documentare

Post-Incident Review — Procesul de îmbunătățire continuă

⏱ 25 min

Post-Incident Review (PIR) nu este o ședință de identificare a vinovaților — este un proces structurat de învățare. Scopul: să nu se mai producă același incident. Sau dacă se produce, să răspundem mai bine.

⏱ Când se face PIR: În termen de 5-10 zile lucrătoare de la închiderea incidentului. Nu imediat — echipa are nevoie de timp de recuperare. Nu după o lună — amintirile se estompează și urgența lecțiilor scade.

Agenda recomandată pentru ședința PIR (2 ore)

15 min

1. Cronologia incidentuluiReconstruiți timeline-ul complet din jurnalul de incident. Când s-a produs? Când s-a detectat? Decalajul detectare-acțiune. Fiecare pas de răspuns și durata lui.

20 min

2. Analiza cauzelor rădăcină (5 Why)„De ce s-a produs?" → răspuns → „De ce?" → răspuns → continuați de 5 ori. Scopul: identificarea cauzei profunde, nu a simptomului superficial. Exemplu: Nu „pentru că Ana a dat clic" — ci „pentru că nu exista training recent și nu exista MFA".

20 min

3. Ce a funcționat bineIdentificarea elementelor de răspuns care au mers conform planului. Consolidarea lor. Recunoașterea explicită a persoanelor care au acționat corect.

30 min

4. Ce trebuie îmbunătățitLacunele de proceduri, instrumente, competențe. Fiecare lacună identificată → responsabil → termen. Nu liste de intenții — planuri concrete cu deadline.

15 min

5. Actualizarea Playbook-uluiIntegrarea lecțiilor în Playbook. Dacă o procedură nu a funcționat — se modifică. Dacă lipsea o procedură — se adaugă. Playbook-ul este un document viu.

20 min

6. Plan de acțiune cu responsabili și termeneFiecare măsură corectivă primește: CINE o implementează, CÂND este finalizată, CUM se verifică implementarea. La 30 de zile: follow-up.

Tehnica „5 Why" — exemplu aplicat

📋 Aplicat pe incidentul din Simularea 1 (phishing)

De ce a reușit atacatorul să acceseze dosarele beneficiarilor? → Pentru că a intrat în contul de email al angajatului. De ce a putut intra în cont? → Pentru că angajatul și-a introdus parola pe un site fals. De ce angajatul a introdus parola pe un site fals? → Pentru că nu a recunoscut semnele phishing-ului și nu exista MFA. De ce nu exista MFA și nu a recunoscut semnele? → Pentru că training-ul anti-phishing a fost acum 18 luni și MFA nu era obligatoriu. De ce MFA nu era obligatoriu și training-ul era vechi? → Cauza rădăcină: Politica de securitate nu impunea MFA și nu prevedea training periodic anual. Playbook-ul nu era actualizat de 2 ani. → ACȚIUNE: Actualizarea politicii de securitate cu MFA obligatoriu + training anual obligatoriu.

4.7 · Template și evaluare finală

Template Raport Post-Incident și măsuri corective

Acesta este template-ul complet de documentare post-incident. Combinat cu Raportul de Incident (slide-ul 7), formează dosarul complet al incidentului.

📄 RAPORT POST-INCIDENT — LECȚII ÎNVĂȚATE
De completat în 5-10 zile lucrătoare de la închiderea incidentului

Secțiune	Ce se completează
Referința incidentului	INC-YYYY-MM-DD-NNN · Data deschiderii · Data închiderii · Severitate finală
Rezumat executiv	3-5 propoziții: Ce s-a întâmplat, ce impact a avut, cum s-a rezolvat. Pentru conducere și finanțatori.
Cauza rădăcină identificată	Rezultatul analizei „5 Why" — cauza profundă, nu simptomul
Impact total	Sisteme afectate · Date compromise · Persoane afectate · Ore de activitate pierdute · Cost estimat (IT, recuperare, notificări)
Ce a funcționat bine	Elemente ale Playbook-ului care au funcționat conform așteptărilor
Ce nu a funcționat	Lacune identificate în proceduri, instrumente, competențe, comunicare
Măsuri corective — Termen scurt (30 zile)	Acțiune · Responsabil · Termen · Status
Măsuri corective — Termen mediu (90 zile)	Acțiune · Responsabil · Termen · Status
Actualizări Playbook	Ce proceduri au fost modificate sau adăugate ca urmare a incidentului
Training suplimentar	Ce training a fost programat, pentru cine, când
Aprobat de	RSC + Director + DPO — cu semnătură și dată

🗂️ Arhivarea documentației: Raportul de Incident + Raportul Post-Incident + toate comunicările externe (ANDPDCP, CERT-MD, beneficiari) se arhivează securizat pentru minimum 5 ani — pot fi solicitate în controale sau investigații ulterioare. Accesul la aceste documente este restricționat la persoanele autorizate.

📚 SurseCERT-MD: cert.gov.md · ANDPDCP — notificare: andpdcp.md · NIST SP 800-61: csrc.nist.gov · ENISA: enisa.europa.eu · Legea 133/2011: legis.md · Poliția MD: politia.md

Evaluare · Modulul 4

Test de evaluare — Incident Response Playbook

10 întrebări. Selectați răspunsul corect. Scorul apare la final.

Întrebarea 1 / 10

Care este PRIMUL lucru pe care trebuie să îl faci dacă observi că fișierele tale nu se mai deschid și apar mesaje în engleză că au fost criptate?

Restarți calculatorul și suni un coleg tehnic
Plătești rapid răscumpărarea cerută pentru a recupera fișierele
Deconectezi imediat calculatorul de la rețea (cablu + Wi-Fi) fără a-l reporni și raportezi imediat IT-ului / RSC-ului
Îți salvezi fișierele importante pe USB și formatezi calculatorul

Izolarea imediată de rețea oprește răspândirea ransomware-ului la alte calculatoare și servere. Nu restartezi — unele variante de ransomware activează criptarea completă la restart. Nu formatezi — distrugi dovezile. Nu plătești fără consultarea specialiștilor.

Întrebarea 2 / 10

Care este termenul legal pentru notificarea ANDPDCP dacă un incident de securitate implică date personale ale beneficiarilor?

7 zile calendaristice de la producerea incidentului
72 de ore din momentul în care organizația a luat cunoștință de incident
30 de zile de la finalizarea investigației interne
Nu există termen — organizația decide când raportează

Conform art. 33 GDPR și Legea 133/2011, termenul este 72 de ore din momentul cunoașterii — nu din momentul producerii. Puteți trimite o notificare preliminară cu informațiile disponibile la acel moment, completată ulterior.

Întrebarea 3 / 10

Ce înseamnă „regula 3-2-1" pentru backup-ul datelor în contextul protecției anti-ransomware?

Backup la fiecare 3 ore, pe 2 calculatoare diferite, cu 1 parolă
3 administratori responsabili, 2 servere, 1 procedură documentată
3 backup-uri zilnice, 2 backup-uri săptămânale, 1 backup lunar
3 copii ale datelor, pe 2 medii diferite de stocare, cu 1 copie offline sau izolată de rețea

Regula 3-2-1: 3 copii (original + 2 backup-uri), pe 2 suporturi diferite (ex: HDD local + cloud), cu 1 copie offline sau izolată de rețea. Copia offline este singurul lucru pe care ransomware-ul nu îl poate cripta — a salvat situația din Simularea 2.

Întrebarea 4 / 10

Care este rolul CERT-MD în răspunsul la un incident de securitate cibernetică?

Oferă asistență tehnică gratuită organizațiilor moldovenești afectate de incidente cibernetice și coordonează răspunsul la nivel național
Este autoritatea care amendează organizațiile pentru breșe de date personale
Efectuează investigații penale și poate aresta atacatorii cibernetici
Administrează polițele de asigurare cibernetică pentru organizații moldovenești

CERT-MD (cert.gov.md) este centrul național de răspuns la incidente cibernetice. Oferă asistență tehnică gratuită, analizează amenințările și coordonează răspunsul la nivel național. Nu amendează organizațiile (asta face ANDPDCP) și nu investighează penal (asta face Poliția).

Întrebarea 5 / 10

Care sunt cei 5 pași ai Playbook-ului de Răspuns la Incidente în ordinea corectă?

Raportare → Detectare → Izolare → Documentare → Recuperare
Izolare → Detectare → Raportare → Documentare → Recuperare
Detectare → Raportare → Izolare → Recuperare → Documentare
Detectare → Izolare → Raportare → Documentare → Recuperare

Ordinea corectă: (1) Detectare — identifici că e incident · (2) Raportare — notifici persoanele responsabile · (3) Izolare — oprești răspândirea · (4) Recuperare — eradicezi și restaurezi · (5) Documentare — analizezi și înveți. Documentarea se face în paralel, dar Raportul Post-Incident se finalizează la sfârșit.

Întrebarea 6 / 10

Un angajat descoperă că a dat clic pe un link phishing și a introdus parola de serviciu. Care este PRIMA acțiune corectă a echipei IT?

Formateaza calculatorul angajatului și reinstalează sistemul
Resetează imediat parola contului compromis și revocă toate sesiunile active, apoi verifică logurile pentru activitate neautorizată
Monitorizează discret contul câteva ore pentru a vedea dacă atacatorul acționează
Trimite un email tuturor angajaților să-și schimbe parolele

Prima acțiune: resetarea parolei și revocarea sesiunilor active — elimini imediat accesul atacatorului. Simultan verifici logurile pentru a vedea ce a accesat deja. Formatarea vine mai târziu, după capturarea dovezilor. Monitorizarea discretă este periculoasă — fiecare minut poate crește daunele.

Întrebarea 7 / 10

Organizația a plătit o răscumpărare ransomware. Ce ar trebui să se întâmple după?

Nimic — problema e rezolvată, atacatorul a trimis cheia de decriptare
Doar să verifici că fișierele s-au decriptat
Să anunți angajații să nu mai acceseze emailuri suspecte
Să formatezi și să reinstalezi complet sistemele, să notifici Poliția și ANDPDCP, să faci un post-incident review și să remediezi vulnerabilitatea inițială

Plata răscumpărării NU înseamnă că sistemele sunt curate — malware-ul poate persista cu backdoors. Trebuie formatare completă și reinstalare chiar și dacă s-a plătit. Poliția trebuie notificată (incident penal). ANDPDCP dacă sunt date personale. Și vulnerabilitatea inițială trebuie corectată obligatoriu.

Întrebarea 8 / 10

Tehnica „5 Why" în Post-Incident Review are ca scop:

Identificarea cauzei rădăcină a incidentului prin întrebări succesive „de ce", pentru a preveni reapariția
Identificarea vinovaților pentru a aplica sancțiuni disciplinare
Verificarea dacă angajații au respectat procedurile GDPR
Calcularea costului financiar al incidentului

„5 Why" este o metodă de analiză a cauzelor rădăcină — nu de identificare a vinovaților. Prin 5 întrebări succesive „De ce?", ajungi de la simptom (angajatul a dat clic) la cauza profundă (lipsa politicii de MFA obligatoriu). Scopul: prevenire, nu pedepsire.

Întrebarea 9 / 10

Datele personale ale 340 de beneficiari au fost accesate neautorizat. Pe lângă ANDPDCP, ce altă obligație legală poate exista față de beneficiarii afectați?

Nicio obligație — notificarea ANDPDCP este suficientă
Obligația de a le returna datele în format fizic
Obligația de a-i notifica personal pe beneficiarii afectați dacă breșa prezintă riscuri ridicate pentru drepturile și libertățile lor (art. 34 GDPR / Legea 133)
Obligația de a le oferi compensații financiare pentru daune

Art. 34 GDPR (și Legea 133) prevede că dacă breșa prezintă un risc ridicat pentru drepturile persoanelor vizate, acestea trebuie notificate direct și fără întârzieri nejustificate. Notificarea include: ce s-a întâmplat, ce date, ce riscuri, ce măsuri de protecție recomandați.

Întrebarea 10 / 10

Care este principala lecție din ambele simulări ale acestui modul?

Atacurile cibernetice sunt imposibil de prevenit — trebuie să ne obișnuim cu ele
Viteza de răspuns și existența unui Playbook exersat reduc dramatic daunele. Backup-ul izolat și MFA-ul pot face diferența dintre o zi de stres și o catastrofă organizațională
Soluția principală este să cumpărăm cel mai scump antivirus disponibil
Toate incidentele de securitate trebuie ținute confidențiale pentru a proteja reputația organizației

Cele mai importante lecții: (1) Un Playbook exersat reduce haosul și accelerează răspunsul. (2) Backup-ul izolat este diferența dintre 2 zile de recuperare și luni de catastrofă. (3) MFA previne majoritatea compromiterilor de cont. (4) Raportarea transparentă (ANDPDCP, beneficiari) este obligație legală și etică — nu opțiune.

0/10

Rezumat · Modulul 4

Playbook-ul în 5 reguli de aur

⚡

1. Viteza contează

Fiecare minut de întârziere poate multiplica daunele. Raportare internă în max. 1h. Izolarea sistemelor în primele minute. Notificarea ANDPDCP în 72h.

🔒

2. Izolează înainte de a repara

Niciodată nu încerci să „repari" înainte de a izola. Un sistem neizolat continuă să se răspândească. Izolarea nu distruge datele — le protejează.

📋

3. Documentează tot în timp real

Jurnalul de incident se completează în paralel cu răspunsul. Fiecare acțiune, fiecare oră, fiecare decizie. Fără documentare nu există raport, nu există lecție, nu există conformitate.

📣

4. Comunică — nu ascunde

CERT-MD, ANDPDCP, Poliția, beneficiarii — toți trebuie notificați la timp. Ascunderea unui incident agravează răspunderea legală și daunele reputaționale.

🔄

5. Învață și îmbunătățește

Fiecare incident este o lecție plătită. Post-Incident Review obligatoriu în 10 zile. Playbook-ul se actualizează. Training-ul se repetă. Nimeni nu este vinovat — toți suntem responsabili.

Contacte de urgență — salvați în telefonul vostru acum

Instituție	Contact	Când apelezi
CERT-MD	cert@cert.gov.md · +373 22 820 170 · cert.gov.md	Orice incident tehnic semnificativ — malware, ransomware, breach, DDoS
ANDPDCP	andpdcp.md · +373 22 820 801	Orice incident cu date personale implicate — notificare obligatorie 72h
Poliția Națională	112 · politia.md	Prejudicii financiare (CEO Fraud, ransomware plătit), acces neautorizat intenționat
MAIB Anti-fraud	1313 · 022 888 888	Transfer bancar fraudulos — acționați în primele ore!

📚 Resurse oficiale complete
CERT-MD: cert.gov.md · ANDPDCP: andpdcp.md · NIST SP 800-61: csrc.nist.gov
ENISA Incident Response: enisa.europa.eu · Legea 133/2011: legis.md · Poliția MD: politia.md

MODULUL 4 FINALIZAT — INCIDENT RESPONSE PLAYBOOK

Seria completă: M1 Securitate · M2 Protecția Datelor · M3 Politica AI · M4 Incident Response

Pro-Lex IT · Chișinău, Republica Moldova