W dniach 24–25 września 2025 r. odbyły się w Podgoricy w Czarnogórze warsztaty Incident Response & Institutional Hardening Workshop, które zgromadziły kluczowych interesariuszy z instytucji rządowych, organów regulacyjnych i zespołów technicznych.
Warsztaty dotyczące reagowania na incydenty i wzmacniania instytucji zostały zorganizowane wspólnie przez CRDF Global i Departament Stanu USA oraz Fundację Bezpieczna Cyberprzestrzeń.
Celem warsztatów było wzmocnienie krajowych zdolności Czarnogóry w zakresie wykrywania cyber incydentów, reagowania na nie i zarządzania nimi, zgodnie z nowo przyjętą ustawą o bezpieczeństwie informacji i szerszą strategią cyberbezpieczeństwa tego kraju. Wydarzenie wspierało również trwające dostosowywanie Czarnogóry do ram cyberbezpieczeństwa UE, takich jak dyrektywa NIS2, oraz promowało rozwój odpornego krajowego ekosystemu cyberbezpieczeństwa.
Dwudniowy program łączył sesje teoretyczne z praktycznymi ćwiczeniami i symulacjami, opartymi na najlepszych międzynarodowych praktykach i rzeczywistych scenariuszach cyberataków. Szkolenie wykorzystywało platformę symulacyjną CyberBastion, aby umożliwić uczestnikom interaktywną naukę opartą na scenariuszach.
Warsztaty podzielono na sześć modułów tematycznych:
Moduł 1 – Model Defence in Depth i podstawowe funkcje bezpieczeństwa (NIST CSF):
Uczestnicy zapoznali się z wielowarstwowym modelem ochrony i omówili, w jaki sposób funkcje bezpieczeństwa zarządzanie (Govern), identyfikacja (Identify), ochrona (Protect), wykrywanie (Detect), reagowanie (Respond), odzyskiwanie (Recovery) zdefiniowane w standardzie NIST Cybersecurity Framework 2.0 mogą być stosowane w Czarnogórze.
Scenariusz: Atak na stację uzdatniania wody, skupiający się na ocenie skuteczności kontroli i odporności.
• Moduł 2 – Profilowanie zagrożeń i prognozowanie:
Skupiał się na profilowaniu grup zaawansowanych, trwałych zagrożeń (APT), ich motywach i technikach. Uczestnicy analizowali rzeczywiste kampanie APT (np. Sandworm, APT29) przy użyciu frameworków Cyber Kill Chain i MITRE ATT&CK.
Scenariusz: Symulacja kampanii dezinformacyjnej.
• Moduł 3 – Proces reagowania na incydenty (model PICERL):
Obejmował sześć faz reagowania na incydenty: przygotowanie, identyfikację, powstrzymanie, eliminację, odzyskanie i wyciągnięcie wniosków. Uczestnicy opracowali podręczniki reagowania na incydenty zgodne z normą NIST SP 800-61r3 i ramami prawnymi Czarnogóry.
Scenariusz: Studium przypadku kampanii Cuba ransomware.
• Moduł 4 – Metody gromadzenia i wykorzystywania informacji w cyberbezpieczeństwie:
Omówiono różnicę między wskaźnikami ataku (IoA), a wskaźnikami naruszenia bezpieczeństwa (IoC) oraz sposoby skutecznego wykorzystania informacji o cyberzagrożeniach (CTI).
Scenariusz: Volt Typhoon – symulacja ataku na łańcuch dostaw.
• Moduł 5 – Źródła danych dotyczących zdarzeń bezpieczeństwa i reguły wykrywania:
Zapoznanie uczestników z różnymi źródłami danych (dzienniki systemowe, sieciowe i aplikacyjne) oraz regułami wykrywania SIGMA służącymi do wykrywania zagrożeń niezależnie od platformy.
Scenariusz: Analiza kampanii szpiegowskiej.
• Moduł 6 – Budowanie optymalnej infrastruktury cyberbezpieczeństwa:
Uczestnicy zaprojektowali odporne architektury i nauczyli się dostosowywać środki obronne do taktyk, technik i procedur stosowanych przez atakujących.
Scenariusz: Koncepcja Fusion SOC zastosowana w przypadku ataku na elektrownię (Ukraina 2015).
Każdy moduł obejmował sesje dyskusyjne, praktyczne symulacje i ocenę skuteczności wybranych zabezpieczeń. Podczas ostatniej sesji podsumowano wnioski i wręczono certyfikaty ukończenia kursu.
Zapraszamy do współpracy!
Jeśli Twoja organizacja chciałaby skorzystać z platformy CyberBastion w podobnym lub zupełnie innym scenariuszu – nastawionym na testowanie i rozwijanie zdolności do budowania cyberodporności, koordynacji działań i prawidłowego reagowania na incydenty – zapraszamy do kontaktu i współpracy.
Ćwiczenia realizowane w CyberBastion mogą być oparte na uznanych standardach i regulacjach, takich jak NIS2, DORA czy GDPR, a także dostosowane do krajowych lub sektorowych potrzeb.
Wspólnie możemy przygotować symulację, która pozwoli sprawdzić zarówno techniczne procedury reagowania, jak i organizacyjne mechanizmy współpracy w sytuacjach kryzysowych.
