Από την προετοιμασία μέχρι την ανάκαμψη, οι 6 φάσεις της σύγχρονης απόκρισης σε κυβερνοεπιθέσεις, με αναφορά στις υποχρεώσεις από NIS2, GDPR και DORA.

Επικαιροποίηση: 2026

Γιατί αυτός ο οδηγός;

Στο σύγχρονο επιχειρηματικό περιβάλλον, η ερώτηση δεν είναι αν θα δεχτεί κυβερνοεπίθεση μια εταιρεία, αλλά πότε και πώς θα είναι σε θέση να αντιδράσει. Σύμφωνα με τον Ευρωπαϊκό Οργανισμό για την Κυβερνοασφάλεια (ENISA), οι κυβερνοεπιθέσεις στην Ευρώπη αυξάνονται σταθερά κάθε χρόνο, με τη ναυτιλία, την ενέργεια, τη δημόσια διοίκηση και τις υγειονομικές υπηρεσίες να παραμένουν κορυφαίοι στόχοι.

Στην Audax Cybersecurity βλέπουμε καθημερινά ότι η διαφορά μεταξύ ελεγχόμενης ζημιάς και καταστροφικής κρίσης κρίνεται συνήθως στις πρώτες 72 ώρες. Οι ώρες αυτές είναι κρίσιμες όχι μόνο τεχνικά, αλλά και νομικά. Με την εφαρμογή της οδηγίας NIS2, του κανονισμού DORA για τον χρηματοοικονομικό τομέα, και τις παραδοσιακές υποχρεώσεις του GDPR, η Ελλάδα έχει πλέον αυστηρά χρονικά όρια αναφοράς που πολλές επιχειρήσεις δεν έχουν εσωτερικεύσει.

Αυτός ο οδηγός παρουσιάζει τις 6 φάσεις της σύγχρονης απόκρισης σε περιστατικά κυβερνοασφάλειας (Incident Response, εφεξής «απόκριση»), όπως ορίζονται από το NIST SP 800-61, το SANS Institute και τον ENISA. Δεν είναι θεωρητικός. Κάθε φάση περιλαμβάνει συγκεκριμένα βήματα, νομικές υποχρεώσεις, και τα συνηθέστερα λάθη που εντοπίζουμε σε ελληνικές επιχειρήσεις.

Αν η εταιρεία σας δεν έχει δοκιμασμένο σχέδιο απόκρισης, αυτός ο οδηγός είναι το πρώτο βήμα. Αν έχει, χρησιμοποιήστε τον για να επικαιροποιήσετε τις διαδικασίες σας με βάση το ισχύον κανονιστικό πλαίσιο του 2026.

Φάση 1: Προετοιμασία — πριν την κρίση

Η αποτελεσματική απόκριση δεν ξεκινά τη στιγμή της επίθεσης. Ξεκινά πολύ νωρίτερα, με την προετοιμασία.

Τα ελάχιστα στοιχεία μιας σύγχρονης ετοιμότητας περιλαμβάνουν:

  • Τεκμηριωμένο σχέδιο απόκρισης — γραπτό σχέδιο που περιγράφει ρόλους, αρμοδιότητες, αλυσίδα επικοινωνίας και διαδικασίες κλιμάκωσης. Πρέπει να ελέγχεται και να ανανεώνεται τουλάχιστον ετησίως.
  • Σύμβαση εξωτερικής υποστήριξης — προδιαπραγματευμένη συμφωνία με εξωτερική εταιρεία ψηφιακής εγκληματολογίας και απόκρισης. Όταν χτυπήσει κάτι, χάνετε κρίσιμες ώρες αν προσπαθείτε να βρείτε σύμβουλο εν μέσω κρίσης.
  • Ασφάλιση κυβερνοκινδύνων — με σαφή πεδία κάλυψης για το κόστος απόκρισης, τη διακοπή λειτουργίας, αξιώσεις τρίτων, και προαιρετικά, καταβολή λύτρων.
  • Ασκήσεις επιτραπέζιας προσομοίωσης — προσομοιώσεις σεναρίων κρίσης με συμμετοχή διοίκησης, νομικού τμήματος, πληροφορικής και επικοινωνίας. Δύο φορές τον χρόνο είναι το ελάχιστο.
  • Στρατηγική αντιγράφων ασφαλείας 3-2-1 με αμετάβλητα αντίγραφα — τρία αντίγραφα δεδομένων, σε δύο διαφορετικά μέσα, με ένα εκτός της εγκατάστασης, και τουλάχιστον ένα αμετάβλητο αντίγραφο που δεν μπορεί να διαγραφεί από επιτιθέμενο.
  • Απογραφή πληροφοριακών στοιχείων — γνώση τι έχετε, πού βρίσκεται και ποιος το διαχειρίζεται. Χωρίς αυτό, η αξιολόγηση εμβέλειας στις πρώτες ώρες γίνεται μαντεψιά.

Σχεδόν όλες οι αποτυχημένες αποκρίσεις που έχουμε δει είχαν ένα κοινό σημείο: η Φάση 1 ήταν ελλιπής.

Φάση 2: Ανίχνευση και άμεση αντίδραση (ώρες 0-1)

Η ανίχνευση είναι το σημείο εκκίνησης. Σήμερα οι πηγές ανίχνευσης περιλαμβάνουν:

  • Συναγερμούς από συστήματα EDR/XDR (παρακολούθηση τερματικών συσκευών)
  • Συσχετίσεις από SIEM (κεντρική διαχείριση συμβάντων ασφαλείας)
  • Αναφορές χρηστών, που συχνά είναι η πρώτη πηγή σε επιθέσεις ransomware
  • Ροές πληροφοριών απειλών που σηματοδοτούν δείκτες παραβίασης (IoC)
  • Εξωτερική ειδοποίηση από συνεργάτη, πελάτη, ή ερευνητή που εντόπισε διαρροή

Κρίσιμο πρώτο βήμα: Πριν από οποιαδήποτε ενέργεια αποκατάστασης, πρέπει να διατηρηθούν τα πτητικά τεκμήρια. Μνήμη RAM, ενεργές συνδέσεις δικτύου, εκτελούμενες διεργασίες, και κατάσταση συστήματος. Όλα αυτά χάνονται με επανεκκίνηση ή απενεργοποίηση.

Το συνηθέστερο λάθος που βλέπουμε: η πρώτη αντίδραση του τμήματος πληροφορικής είναι να σβήσει το μολυσμένο σύστημα. Αυτό καταστρέφει τα εγκληματολογικά τεκμήρια, μπορεί να ακυρώσει νομικές διεκδικήσεις και ασφαλιστικές αποζημιώσεις, και αφαιρεί κρίσιμα στοιχεία από την κανονιστική αναφορά.

Σωστή πρώτη ώρα:

  1. Σύσταση κέντρου διαχείρισης κρίσης — φυσικός ή ψηφιακός χώρος όπου συγκεντρώνεται η ομάδα απόκρισης
  2. Αρχική αξιολόγηση εμβέλειας — ποια συστήματα φαίνονται πληγμένα
  3. Αλλαγή καναλιού επικοινωνίας — αν υπάρχει υποψία παραβίασης του εταιρικού email ή των εσωτερικών εφαρμογών συνομιλίας, μετάβαση σε εναλλακτικό κανάλι (προσωπικά κινητά, Signal, ξεχωριστές συσκευές)
  4. Ενημέρωση ανώτατης διοίκησης — CEO, οικονομικός διευθυντής, νομικός σύμβουλος ενημερώνονται εντός της πρώτης ώρας
  5. Ενεργοποίηση εξωτερικής υποστήριξης — αν υπάρχει σύμβαση προ-διαπραγμάτευσης

Φάση 3: Περιορισμός (ώρες 1-12)

Στόχος της Φάσης 3 είναι να σταματήσει η διασπορά, όχι να εξαλειφθεί η απειλή. Αυτό συμβαίνει αργότερα.

Βραχυπρόθεσμος περιορισμός:

  • Διαμερισματοποίηση δικτύου, απομόνωση συστημάτων που φαίνονται μολυσμένα
  • Επαναφορά διαπιστευτηρίων λογαριασμών, ξεκινώντας από προνομιακούς λογαριασμούς (Domain Admins, root, λογαριασμοί υπηρεσίας)
  • Επιβολή ή επανέκδοση παράγοντα MFA σε κρίσιμους λογαριασμούς
  • Ανανέωση διακριτικών API
  • Φραγή γνωστής υποδομής εντολοδοσίας και ελέγχου (C2) από τις πηγές πληροφοριών απειλών

Μακροπρόθεσμος περιορισμός:

  • Εγκληματολογική λήψη εικόνας δίσκων των πληγμένων συστημάτων με εξοπλισμό αναστολέα εγγραφής
  • Λήψη αντιγράφων μνήμης για ανάλυση εκτός γραμμής
  • Καταγραφή κίνησης δικτύου στην περίμετρο για εντοπισμό πλευρικής μετακίνησης του δράστη
  • Εμπλουτισμός με πληροφορίες απειλών, χαρτογράφηση τεχνικών και τακτικών (TTP) και δεικτών παραβίασης μέσω πλαισίων όπως το MITRE ATT&CK

Σημαντικό: Σε αυτή τη φάση, πολλές εταιρείες κάνουν λάθος προτεραιοποίηση. Η πίεση να επανέλθει η λειτουργία είναι τεράστια, αλλά γρήγορη «ανάκτηση» χωρίς σωστό περιορισμό οδηγεί σε εκ νέου μόλυνση. Έχουμε δει εταιρείες που «καθάρισαν» ransomware τρεις φορές μέσα σε δύο εβδομάδες γιατί ο μηχανισμός διατήρησης πρόσβασης δεν είχε εντοπιστεί.

Οι σύγχρονοι δράστες κυβερνοεπιθέσεων δεν είναι «ιοί». Είναι οργανωμένα οικοσυστήματα με μεσάζοντες αρχικής πρόσβασης, προγράμματα συνεργατών, και τεχνικές που εξελίσσονται σε εβδομαδιαία βάση. Η αντιμετώπιση απαιτεί αντίστοιχη ωριμότητα και, συνήθως, εξωτερική υποστήριξη πληροφοριών απειλών για αναγνώριση του δράστη.

Φάση 4: Κανονιστική αναφορά (ώρες 12-72)

Αυτή είναι η φάση που οι περισσότερες ελληνικές εταιρείες υποτιμούν ή παραλείπουν. Οι νομικές υποχρεώσεις είναι αυστηρές και τα πρόστιμα μη συμμόρφωσης σημαντικά.

GDPR (Άρθρα 33 και 34)

  • Αναφορά στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) εντός 72 ωρών από τη γνώση του περιστατικού, αν υπάρχει παραβίαση προσωπικών δεδομένων
  • Ενημέρωση των υποκειμένων των δεδομένων «χωρίς αδικαιολόγητη καθυστέρηση» αν η παραβίαση είναι υψηλού κινδύνου για τα δικαιώματά τους
  • Πρόστιμα έως 4% του παγκόσμιου ετήσιου τζίρου ή 20 εκατομμύρια ευρώ

NIS2 (Οδηγία 2022/2555)

  • Πρώιμη προειδοποίηση εντός 24 ωρών προς την εθνική ομάδα CSIRT ή την αρμόδια αρχή
  • Κοινοποίηση περιστατικού εντός 72 ωρών με αξιολόγηση σοβαρότητας
  • Τελική αναφορά εντός ενός μήνα με ανάλυση πρωταρχικής αιτίας
  • Εφαρμόζεται σε οντότητες «κρίσιμης σημασίας» και «σημαντικές» σε 18 τομείς (ενέργεια, υγεία, ναυτιλία, ψηφιακή υποδομή, δημόσια διοίκηση και άλλους)
  • Πρόστιμα έως 10 εκατομμύρια ευρώ ή 2% του παγκόσμιου ετήσιου τζίρου, με προσωπική ευθύνη των μελών της διοίκησης

DORA (Κανονισμός 2022/2554)

  • Εφαρμόζεται σε χρηματοοικονομικές οντότητες (τράπεζες, ασφαλιστικές, διαχειριστές αμοιβαίων κεφαλαίων, οργανισμοί πληρωμών, εταιρείες κρυπτογραφικών στοιχείων και άλλες)
  • Αναφορά σοβαρών περιστατικών πληροφορικής σε εθνική αρχή με αυστηρά χρονικά όρια
  • Αυξημένες απαιτήσεις τεκμηρίωσης σε σχέση με την NIS2

Ασφάλιση κυβερνοκινδύνων

  • Συμβατική υποχρέωση ειδοποίησης, συνήθως 24-48 ώρες
  • Πρόωρη ενημέρωση επιτρέπει στον ασφαλιστή να συντονίσει με προτιμώμενους εξωτερικούς συνεργάτες και να καλύψει το κόστος απόκρισης

Νομική υποστήριξη

  • Η εμπλοκή νομικού συμβούλου στις πρώτες ώρες προστατεύει το δικηγορικό απόρρητο σε όλη τη διαδικασία απόκρισης
  • Κρίσιμο σε περίπτωση μεταγενέστερης δικαστικής διαμάχης ή κανονιστικού ελέγχου

Συνηθισμένο λάθος: Εταιρείες περιμένουν «να μάθουν περισσότερα» πριν αναφέρουν. Η 24ωρη πρώιμη προειδοποίηση της NIS2 είναι ρητά πρώιμη, όχι τελική αναφορά. Η συμμόρφωση δεν απαιτεί πληρότητα πληροφορίας, μόνο έγκαιρη επικοινωνία.

Φάση 5: Εξάλειψη και ανάκτηση

Με την απειλή υπό έλεγχο, η Φάση 5 εστιάζει στην εξάλειψη της παρουσίας του δράστη και στην επαναφορά λειτουργιών.

Εξάλειψη:

  • Πλήρης αφαίρεση της παρουσίας του δράστη σε όλα τα συστήματα
  • Αφαίρεση κρυφών εισόδων, διαδικτυακών κελυφών, και μηχανισμών διατήρησης πρόσβασης (προγραμματισμένες εργασίες, καταχωρήσεις μητρώου, στοιχεία αυτόματης εκκίνησης)
  • Διόρθωση των ευπαθειών που εκμεταλλεύτηκε ο δράστης σε όλη την υποδομή, όχι μόνο στα πληγμένα συστήματα
  • Επαναφορά διαπιστευτηρίων για όλους τους λογαριασμούς που πιθανώς εκτέθηκαν, ακόμα και αυτούς που φαινομενικά «δεν χρειάζονται»

Ανάκτηση:

  • Ανακατασκευή συστημάτων από καθαρά αντίγραφα ασφαλείας, όχι «καθαρισμός» των πληγμένων συστημάτων
  • Επικύρωση πριν την επαναφορά ότι τα αντίγραφα είναι όντως καθαρά (έλεγχος για ενσωματωμένο κακόβουλο λογισμικό)
  • Σταδιακή επαναφορά, ξεκινώντας από τις κρίσιμες υπηρεσίες
  • Ενισχυμένη παρακολούθηση για 30-90 ημέρες μετά την ανάκτηση, για δευτερογενείς μολύνσεις και επανεμφάνιση

Σημαντικό: Η ανάκτηση δεν είναι «γυρνάμε στο φυσιολογικό». Είναι «γυρνάμε σε καλύτερο επίπεδο από πριν». Κάθε σύστημα που επανέρχεται πρέπει να έχει ισχυρότερη διαμόρφωση από την προ-περιστατικού κατάσταση. Διαφορετικά, η ίδια υποδομή θα ξαναπληγεί από την ίδια ή παρόμοια απειλή.

Παράλληλα ξεκινά η εκτέλεση της στρατηγικής επικοινωνίας προς πελάτες και αρχές. Εσωτερική επικοινωνία σε υπαλλήλους, εξωτερική προς πελάτες και συνεργάτες, δημόσια ανακοίνωση αν χρειάζεται. Η ποιότητα της επικοινωνίας σε αυτή τη φάση καθορίζει τη φήμη της εταιρείας περισσότερο από την ίδια την επίθεση.

Φάση 6: Ανασκόπηση μετά το περιστατικό

Η Φάση 6 είναι η πιο παραμελημένη και η πιο σημαντική για μακροπρόθεσμη ωριμότητα.

Στοιχεία:

  • Ανάλυση πρωταρχικής αιτίας — όχι μόνο «τι έγινε», αλλά «γιατί επέτρεψαν οι διαδικασίες και τα συστήματά μας να γίνει»
  • Ανακατασκευή χρονοδιαγράμματος — από την αρχική πρόσβαση μέχρι τον περιορισμό, με συγκεκριμένα χρονικά σημεία και κομβικές αποφάσεις
  • Υπολογισμός κόστους — άμεσο (κόστος απόκρισης, διακοπή λειτουργίας, λύτρα, κανονιστικά πρόστιμα) και έμμεσο (φήμη, απώλεια πελατών, αυξήσεις ασφαλίστρων)
  • Τεκμηρίωση συμπερασμάτων — συγκεκριμένες βελτιώσεις στο σχέδιο απόκρισης
  • Διαμοιρασμός δεικτών παραβίασης — με κοινότητες ανταλλαγής πληροφοριών, την εθνική CSIRT, ή έμπιστους συνεργάτες. Η γνώση που κερδίσατε έχει αξία για την ευρύτερη κοινότητα και δημιουργεί αμοιβαιότητα για το μέλλον.
  • Αναθεώρηση σχεδίου απόκρισης — με βάση τα ευρήματα, και άσκηση προσομοίωσης του αναθεωρημένου σχεδίου εντός ενός τριμήνου

Συνηθισμένο λάθος: Η εταιρεία θεωρεί ότι «τελείωσε» μετά την ανάκτηση και παραλείπει τη Φάση 6. Αυτή είναι η στιγμή όπου η εμπειρία θα μπορούσε να μετατραπεί σε διαρκή βελτίωση, και χάνεται.

Από τη θεωρία στην πράξη

Η σύγχρονη απόκριση σε κυβερνοεπίθεση είναι εξαιρετικά δύσκολη να συντονιστεί χειροκίνητα. Απαιτεί ενοποίηση μεταξύ:

  • Πληροφοριών απειλών για επαναπλαισίωση του περιστατικού και αναγνώριση του δράστη
  • Ορατότητας τερματικών συσκευών για αξιολόγηση εμβέλειας σε όλη την υποδομή
  • Τηλεμετρίας δικτύου για εντοπισμό πλευρικής μετακίνησης
  • Παρακολούθησης ταυτότητας για ανίχνευση κατάχρησης διαπιστευτηρίων
  • Τεκμηρίωσης συμμόρφωσης για κανονιστική αναφορά

Η πλατφόρμα μας brAIn, σχεδιάστηκε ακριβώς για να συνδέει αυτά τα κομμάτια σε ενιαία λειτουργία. Δεν αντικαθιστά το ανθρώπινο σκέλος της απόκρισης, το οποίο παραμένει ευθύνη ώριμων ομάδων ασφαλείας και εξωτερικών συνεργατών. Όμως μειώνει δραστικά τον χρόνο από την ανίχνευση μέχρι την αξιολόγηση εμβέλειας, παρέχει τις πληροφορίες που χρειάζονται για αναγνώριση του δράστη, και δίνει αρχείο τεκμηρίωσης κατάλληλο για κανονιστική αναφορά.

Η καλύτερη στιγμή για να επενδύσει μια επιχείρηση στην ετοιμότητα απόκρισης ήταν πριν από δύο χρόνια. Η δεύτερη καλύτερη στιγμή είναι σήμερα, πριν χτυπήσει η επόμενη επίθεση.

Αν θέλετε να συζητήσουμε πώς η Audax μπορεί να συμβάλλει στην ετοιμότητα της επιχείρησής σας, επικοινωνήστε μαζί μας.