Wprowadzenie
Incident Response (IR) to ustrukturyzowany proces wykrywania, reagowania i odzyskiwania po incydentach bezpieczeństwa informatycznego. Obejmuje on ataki hakerskie, wycieki danych, awarie systemów, jak również incydenty związane z modelami AI (np. prompt injection, model poisoning, data leakage).
Standardowe etapy Incident Response
- Preparation (Przygotowanie) – budowa zespołu, planów i narzędzi
- Identification (Identyfikacja) – wykrycie i potwierdzenie incydentu
- Containment (Zawężenie) – ograniczenie rozprzestrzeniania się ataku
- Eradication (Eliminacja) – usunięcie przyczyny incydentu
- Recovery (Odzyskiwanie) – przywrócenie systemów do normalnego działania
- Lessons Learned (Wyciągnięcie wniosków) – analiza poincydentowa i poprawa procesów
Incident Response w środowisku AI
W kontekście sztucznej inteligencji IR obejmuje dodatkowe zagrożenia:
- Model poisoning i backdoory w modelach
- Prompt injection i jailbreaking
- Wycieki danych treningowych lub wag modeli
- Ataki na infrastrukturę inferencji (LLM supply chain attacks)
- Hallucynacje prowadzące do szkód biznesowych
Najlepsze praktyki IR (2026)
- Posiadanie aktualnego Incident Response Plan (IRP)
- Automatyczne detekcja i SOAR (Security Orchestration, Automation and Response)
- Regularne tabletop exercises i symulacje ataków
- Integracja z AI governance i red teaming
- Immutable backups i air-gapped recovery environments
- Zgodność z regulacjami (NIS2, AI Act, GDPR)
Powiązane pojęcia
Computer Security Incident Response Team (CSIRT) • NIST SP 800-61 • MITRE ATT&CK • SOAR • Forensics • Threat Hunting • AI Red Teaming • Blue Team • Purple Team • Root Cause Analysis