Cyberbezpieczeństwo dla firm — przewodnik dla MŚP

Cyberataki na firmy to już nie problem wielkich korporacji — to codzienność polskich MŚP. Ransomware blokujące dostęp do danych, phishing wymierzony w pracowników, wycieki danych klientów — każdy z tych scenariuszy może kosztować firmę dziesiątki tysięcy złotych i utratę zaufania klientów. CERT Polska odnotował w 2024 r. ponad 600 tys. zgłoszeń — wzrost o 62% — i znaczna część z nich dotyczyła właśnie małych i średnich przedsiębiorstw.

Dobra wiadomość: podstawowe zabezpieczenia nie wymagają dużych inwestycji ani zespołu specjalistów IT. Ten przewodnik pokazuje, od czego zacząć i co wdrożyć w pierwszej kolejności.

Ocena ryzyka — poznaj swoje słabe punkty

Zanim zainwestujesz w narzędzia, warto wiedzieć, skąd mogą przyjść ataki. W polskich firmach MŚP najczęstsze wektory to:

• Phishing e-mail — pracownik klika w fałszywy link lub otwiera zainfekowany załącznik
• Słabe lub wspólne hasła — jedno hasło do wielu systemów, dzielone między pracownikami
• Brak aktualizacji — niezaktualizowane systemy, serwery, routery
• Praca zdalna bez VPN — dostęp do zasobów firmy przez niezabezpieczoną sieć
• Brak kopii zapasowych — jedna awaria dysku lub atak ransomware = utrata wszystkich danych

Prosty audyt bezpieczeństwa dla MŚP

Nawet bez specjalisty IT możesz przeprowadzić podstawowy przegląd. Odpowiedz na te pytania:

• Które systemy zawierają dane klientów lub finansowe? Kto ma do nich dostęp?
• Kiedy ostatnio zmieniano hasła? Czy ktoś używa tych samych haseł w różnych miejscach?
• Czy pracownicy używają prywatnych telefonów do służbowego e-maila — i na jakiej zasadzie?
• Kiedy ostatnio testowano przywrócenie kopii zapasowej?
• Co się dzieje z dostępami pracownika, który odchodzi z firmy?

Warto przeprowadzić taki przegląd raz w roku (lub zawsze po odejściu kluczowego pracownika). Nie musi to być sformalizowany raport — wystarczy lista punktów do sprawdzenia i odpowiedzialna osoba, która je przejdzie.

Macierz ryzyka dla MŚP

Poniżej uproszczona macierz, która pomoże uszeregować priorytety:

Wektor ataku	Prawdopodobieństwo	Potencjalne straty	Priorytet działania
Phishing i e-mail z malware	Bardzo wysokie	Średnie–wysokie	Natychmiastowy
Słabe/dzielone hasła	Wysokie	Wysokie	Natychmiastowy
Brak kopii zapasowej	Średnie	Krytyczne (ransomware)	Natychmiastowy
Praca zdalna bez VPN	Średnie	Wysokie	Wysoki
Niezaktualizowane systemy	Wysokie	Średnie–wysokie	Wysoki
Brak szkolenia pracowników	Wysokie	Wysokie	Wysoki
Brak polityki BYOD	Średnie	Średnie	Średni
Brak planu reagowania	Niskie (rzadko testowane)	Bardzo wysokie gdy nastąpi	Średni

Zarządzanie hasłami w zespole

Hasła to wciąż najczęstszy punkt awarii bezpieczeństwa w firmach. Pracownicy używają tych samych haseł do różnych systemów, zapisują je w Excelu lub notatniku, a odejście pracownika często nie skutkuje zmianą haseł do kont, do których miał dostęp.

Menedżer haseł dla firm — dlaczego to konieczność

Firmowy menedżer haseł rozwiązuje te problemy systematycznie:

• Każdy pracownik ma własny sejf z dostępem tylko do haseł, których potrzebuje
• Hasła grupowe (do skrzynek mailowych, kont reklamowych, systemów CRM) można udostępniać zespołowi bez ujawniania samego hasła
• Konsola administratora pozwala widzieć, kto ma dostęp do czego, i odbierać dostęp odchodzącemu pracownikowi jednym kliknięciem
• Wymuszenie silnych haseł — menedżer generuje silne, losowe hasła i pilnuje, żeby nie były duplikowane

Dobre rozwiązania biznesowe oferują integrację z Active Directory, logowanie SSO (Single Sign-On) i raporty bezpieczeństwa. Szczegółowe porównanie produktów znajdziesz w sekcji menedżery haseł.

Zasady tworzenia silnych haseł dla całego zespołu omawia poradnik Jak stworzyć bezpieczne hasło?.

Polityka haseł — co warto spisać

Nawet prosta polityka haseł (1–2 strony A4) znacznie poprawia bezpieczeństwo:

• Minimalna długość hasła: 14 znaków
• Obowiązek używania menedżera haseł
• Zakaz dzielenia się hasłami (zamiast tego: foldery grupowe w menedżerze)
• Zmiana hasła natychmiast po odejściu pracownika lub podejrzeniu kompromitacji
• Obowiązkowe 2FA do systemów krytycznych

Zarządzanie dostępami — zasada minimalnych uprawnień

Pracownik działu marketingu nie potrzebuje dostępu do bazy danych klientów ani do systemu finansowego. Zasada minimalnych uprawnień (principle of least privilege) mówi: każdy pracownik ma dostęp tylko do tego, co jest niezbędne do jego pracy — i nic więcej.

Praktyczne wdrożenie w MŚP:

• Dokumentuj, kto ma dostęp do każdego systemu (wystarczy arkusz Google lub Excel)
• Odbieraj dostępy natychmiast po zakończeniu współpracy z pracownikiem lub kontrahentem
• Regularnie (co pół roku) przeglądaj listę dostępów — role w firmie się zmieniają

Weryfikacja dwuetapowa (2FA) dla całej firmy

Weryfikacja dwuetapowa to jedno z najskuteczniejszych zabezpieczeń dostępnych dziś na rynku — i jedno z najtańszych (często bezpłatne). Jeśli wdrożysz tylko jedną rzecz z tego przewodnika, niech to będzie właśnie 2FA.

Co zabezpieczyć w pierwszej kolejności?

• Skrzynki e-mail firmowe — przejęcie e-maila to przejęcie większości kont (przez funkcję „reset hasła”)
• Systemy CRM i bazy danych klientów — dane osobowe klientów to cel przestępców i odpowiedzialność prawna firmy
• Konta w chmurze (Google Workspace, Microsoft 365, AWS, Azure)
• Systemy finansowe i fakturowe — dostęp do nich może umożliwić przestępcy przekierowanie przelewów
• VPN i dostęp zdalny — musi wymagać 2FA, żeby ochrona miała sens

Szczegółowy poradnik o wdrożeniu 2FA: Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć.

„Uwaga:” Samo wysłanie pracownikom linku do konfiguracji 2FA nie wystarczy. Wdrożenie wymusi dopiero polityka i wymóg techniczny — np. blokada logowania bez 2FA w Google Workspace lub Microsoft Entra. Bez technicznego wymuszenia część pracowników zawsze znajdzie powód, żeby tego nie robić.

2FA a RODO i NIS2

Włączenie 2FA dla kont z dostępem do danych osobowych klientów to nie tylko dobra praktyka — to element „odpowiednich środków technicznych” wymaganych przez RODO. Jeśli Twoja firma przetwarza dane osobowe bez odpowiednich zabezpieczeń dostępu i dojdzie do wycieku, brak 2FA może być podstawą do nałożenia kary przez UODO.

VPN firmowy — bezpieczna praca zdalna

Praca zdalna stała się normą, ale dostęp do firmowych zasobów przez publiczną sieć Wi-Fi (kawiarnia, hotel, lotnisko) bez szyfrowania to poważne ryzyko. VPN firmowy tworzy zaszyfrowany tunel między urządzeniem pracownika a siecią firmy.

VPN firmowy vs. prywatny — ważna różnica

Prywatny VPN (jak NordVPN czy Surfshark) chroni prywatność w internecie i szyfruje ruch. Firmowy VPN (NordLayer for Business, Cisco AnyConnect, OpenVPN Access Server, WireGuard) realizuje inne zadanie: łączy pracownika z wewnętrznymi zasobami firmy tak, jakby siedział w biurze.

Oba rodzaje VPN szyfrują połączenie, ale:

• Prywatny VPN kieruje ruch przez serwery dostawcy, maskując IP
• Firmowy VPN kieruje ruch przez serwer firmy, dając dostęp do zasobów wewnętrznych (pliki, drukarki, serwery, systemy ERP)

Cecha	Prywatny VPN	Firmowy VPN
Szyfrowanie ruchu	Tak	Tak
Dostęp do zasobów wewnętrznych firmy	Nie	Tak
Maskowanie adresu IP	Tak	Zależy od konfiguracji
Zarządzanie dostępem pracowników	Nie	Tak
Integracja z Active Directory / SSO	Nie	Tak (zaawansowane)
Typowy użytkownik	Osoba prywatna, podróżnik	Pracownik zdalny, IT firmowe

Dla większości MŚP rozwiązaniem hybrydowym może być np. NordLayer, który łączy cechy obu i nie wymaga własnego serwera VPN. Więcej o VPN dla firm znajdziesz w sekcji bezpieczeństwo dla firm.

Co VPN firmowy chroni, a czego nie

VPN chroni:

• ruch sieciowy przed podsłuchem w niezaufanych sieciach Wi-Fi
• zasoby wewnętrzne firmy przed dostępem z zewnątrz
• dane przesyłane między pracownikiem a siedzibą firmy

VPN nie chroni przed:

• phishingiem (klikanie fałszywych linków)
• złośliwym oprogramowaniem na urządzeniu pracownika
• słabymi hasłami

Antywirus biznesowy i EDR — ochrona wielu urządzeń

Firmowy antywirus różni się od domowego przede wszystkim centralną konsolą zarządzania. Administrator widzi stan wszystkich urządzeń z jednego miejsca, może uruchomić skanowanie, sprawdzić status aktualizacji i otrzymać alerty o zagrożeniach.

Na co zwracać uwagę przy wyborze?

• Centralna konsola zarządzania — możliwość zarządzania wszystkimi urządzeniami bez odwiedzania każdego z nich
• EDR (Endpoint Detection and Response) — zaawansowane wykrywanie zagrożeń w czasie rzeczywistym, nie tylko sygnaturowe. EDR analizuje zachowanie procesów, a nie tylko porównuje pliki z bazą znanych wirusów
• Ochrona poczty e-mail — skanowanie załączników i linków przed ich otwarciem
• Szyfrowanie dysków — szczególnie ważne dla laptopów używanych poza biurem
• Możliwość zdalnego blokowania lub czyszczenia urządzenia w razie kradzieży

Porównanie modeli ochrony endpoint

Poziom ochrony	Opis	Dla kogo
Tradycyjny antywirus (sygnaturowy)	Wykrywa znane złośliwe oprogramowanie na podstawie bazy sygnatur	Mikrofirmy z niskim ryzykiem
Antywirus z ochroną behawioralną	Analizuje zachowanie programów, wykrywa nowe zagrożenia	Większość MŚP
EDR (Endpoint Detection and Response)	Monitoruje, rejestruje i reaguje na zagrożenia w czasie rzeczywistym	Firmy z danymi wrażliwymi
MDR (Managed Detection and Response)	EDR obsługiwany przez zewnętrzny zespół ekspertów	Firmy bez własnego IT security

Popularne rozwiązania biznesowe to Bitdefender GravityZone, ESET Protect, Sophos Intercept X i Microsoft Defender for Business (wbudowany w Microsoft 365 Business Premium). Szczegółowe porównania znajdziesz w sekcji antywirusy.

„Uwaga:” Kaspersky — nawet jeśli niegdyś był popularny w Polsce — jest objęty rekomendacją rządową do odinstalowania w związku z ryzykiem geopolitycznym. Polskie urzędy i instytucje publiczne są zobowiązane do jego usunięcia. Jeśli nadal używasz Kaspersky w firmie, rozważ migrację do innego rozwiązania.

Kopie zapasowe danych firmowych

Ransomware to dziś jedno z najpoważniejszych zagrożeń dla firm. Atak polega na zaszyfrowaniu wszystkich plików i żądaniu okupu za klucz deszyfrujący. Jedyną skuteczną obroną — poza zapobieganiem — jest posiadanie aktualnej kopii zapasowej, której ransomware nie dosięgnie.

Strategia backupu dla firmy — reguła 3-2-1

Reguła 3-2-1 sprawdza się też w środowisku firmowym:

• 3 kopie danych
• na 2 różnych nośnikach
• w tym 1 kopia off-site (poza siedzibą firmy — chmura lub fizyczna lokalizacja)

Kopia w chmurze — rozwiązania jak Acronis Cyber Backup, natywne funkcje Microsoft 365 i Google Workspace automatyzują kopie zapasowe. Zwróć uwagę na retencję wersji (jak długo przechowywane są stare wersje pliku) i na to, czy backup jest oddzielony od synchronizacji plików.

Kopia offline — dysk zewnętrzny lub taśma, odłączone od sieci, są odporne na ransomware. Warto mieć kopię offline przechowywaną poza siedzibą.

Testy przywracania — kopia zapasowa, której nigdy nie testowałeś, może nie zadziałać, gdy jej potrzebujesz. Przynajmniej raz na kwartał sprawdź, czy przywracanie działa poprawnie. Dokumentuj datę i wynik testu.

„Uwaga:” Synchronizacja plików w chmurze (OneDrive, Dropbox, Google Drive) to NIE jest kopia zapasowa. Ransomware zaszyfruje pliki na dysku, a synchronizacja rozprzestrzeni zaszyfrowane wersje do chmury w ciągu minut. Potrzebujesz rozwiązania z wersjonowaniem lub dedykowanego backupu z niezależnym przechowywaniem.

Przykład strategii backupu dla firmy 10–30 osób

Firma z Google Workspace i dyskiem sieciowym NAS w biurze:

1. Google Workspace Vault (lub Backupify) — automatyczny backup G-Suite: mail, Drive, Calendar
2. Lokalny NAS (dysk sieciowy w biurze) — backup plików roboczych każdej nocy
3. Chmurowy backup NAS do zewnętrznego obiektu storage (np. Backblaze B2) — kopia off-site
4. Test przywrócenia wybranego pliku — raz na kwartał

Szkolenie pracowników — najsłabszy link w łańcuchu

Najlepsze zabezpieczenia techniczne nie pomogą, jeśli pracownik kliknie w phishingowy link lub poda dane logowania na fałszywej stronie. Badania pokazują, że ponad 80% naruszeń bezpieczeństwa w firmach zaczyna się od błędu ludzkiego.

Co powinno obejmować szkolenie?

• Rozpoznawanie phishingu — przykłady prawdziwych ataków, ćwiczenia praktyczne
• Procedura zgłaszania podejrzeń — co zrobić, gdy pracownik podejrzewa atak (do kogo dzwonić, co NIE robić)
• Bezpieczna praca zdalna — kiedy używać VPN, jak postępować z firmowymi danymi na prywatnych urządzeniach
• Hasła i 2FA — dlaczego to ważne, jak korzystać z menedżera haseł
• Ataki socjotechniczne — vishing (fałszywe telefony), CEO fraud (podszywanie się pod szefa)

Szkolenie nie musi być kosztowne — istnieją platformy e-learningowe dostosowane do MŚP. Ważniejszy od formy jest fakt, że odbywa się regularnie (minimum raz w roku) i że wszyscy pracownicy przez nie przechodzą.

Symulacje phishingowe — praktyczny test

Niektóre platformy bezpieczeństwa (np. KnowBe4, Proofpoint Security Awareness Training) oferują symulacje phishingowe: wysyłasz pracownikom fałszywe e-maile phishingowe i sprawdzasz, kto kliknie. Pracownicy, którzy „dali się złapać”, dostają natychmiastowy feedback edukacyjny.

Nie rób tego jako narzędzia do karania — celem jest edukacja i zmierzenie poziomu świadomości w zespole, nie ocena indywidualnych pracowników.

Dyrektywa NIS2 — co musisz wiedzieć

NIS2 (Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii) zobowiązuje określone podmioty do wdrożenia konkretnych środków bezpieczeństwa oraz zgłaszania incydentów.

Kogo dotyczy NIS2?

Dyrektywa obejmuje podmioty kluczowe (energetyka, transport, bankowość, opieka zdrowotna, infrastruktura cyfrowa) i ważne (usługi pocztowe, gospodarka odpadami, produkcja, handel). Kryterium to zazwyczaj: ponad 50 pracowników LUB obrót powyżej 10 mln euro rocznie.

Mniejsze firmy nie podlegają NIS2 bezpośrednio, ale mogą być zobowiązane do spełnienia jej wymagań jako podwykonawcy lub dostawcy podmiotów objętych dyrektywą. To coraz częstszy scenariusz w przetargach publicznych i kontraktach z dużymi firmami.

Terminy i sankcje NIS2

Etap	Termin	Opis
Transpozycja do prawa polskiego	Październik 2024 r.	Polska wdrożyła NIS2 do krajowego prawa
Rejestracja podmiotów	Zgodnie z wdrożeniem KSC	Podmioty kluczowe i ważne muszą się zarejestrować
Wdrożenie środków bezpieczeństwa	Bieżący obowiązek	Środki techniczne i organizacyjne muszą działać
Zgłaszanie incydentów	24h (wstępne) / 72h (szczegółowe) / 30 dni (końcowe)	Od momentu uzyskania wiedzy o incydencie
Sankcje za niedopełnienie	Do 10 mln EUR lub 2% globalnego obrotu	Podmioty kluczowe; podmiotom ważnym do 7 mln EUR lub 1,4% obrotu

Podstawowe wymagania NIS2

• Wdrożenie polityki zarządzania ryzykiem cyberbezpieczeństwa
• Procedury reagowania na incydenty
• Ciągłość działania i zarządzanie kryzysowe
• Bezpieczeństwo łańcucha dostaw
• Szkolenia dla pracowników i kadry zarządzającej
• Zgłaszanie incydentów do CERT Polska w ciągu 24 godzin (wstępne), 72 godzin (szczegółowe)

Pełny przewodnik po obowiązkach wynikających z NIS2 dla polskich firm: NIS2 a obowiązki firmy: co musisz wiedzieć.

Reagowanie na incydenty — plan, którego potrzebujesz zanim dojdzie do ataku

Wiele firm dowiaduje się, że nie ma planu reagowania na incydent, dopiero wtedy gdy incydent już trwa — a to najgorszy moment na planowanie. Nawet jednostronicowy dokument z listą kroków i numerami telefonów znacznie skraca czas reakcji i zmniejsza chaos.

Minimum viable incident response plan (IRP)

1. Kto jest odpowiedzialny? — wyznacz osobę (lub kilka osób) odpowiedzialnych za koordynację podczas incydentu
2. Jak zgłosić podejrzenie? — wewnętrzna procedura zgłaszania: kto dzwoni, na jaki numer
3. Izolacja zainfekowanych urządzeń — fizyczne odłączenie od sieci (kabel Ethernet i WiFi)
4. Zmiana haseł do systemów krytycznych — z czystego, niezainfekowanego urządzenia
5. Kontakt z ekspertem IT/security — lista kontaktów zewnętrznych do szybkiej pomocy
6. Zgłoszenie do CERT Polska — cert.pl — obowiązek dla podmiotów NIS2, dobra praktyka dla wszystkich
7. Zgłoszenie do UODO (w ciągu 72 godzin) — jeśli doszło do wycieku danych osobowych
8. Komunikacja z klientami i partnerami — czy i kiedy informować o incydencie

Scenariusze, które warto przećwiczyć

• Pracownik kliknął w link phishingowy i wprowadził dane logowania
• Jeden komputer w biurze jest zaszyfrowany przez ransomware — co dalej?
• Odchodzący pracownik nie zdał dostępów — jak sprawdzić i zablokować?
• Dane klientów zostały wykradzione — jak postępować?

Bezpieczeństwo poczty firmowej — priorytet nr 1

Poczta elektroniczna to najczęstszy kanał ataku na firmy. Wystarczy jeden kliknięty link przez jednego pracownika, żeby do sieci dostał się ransomware lub żeby atakujący przejął skrzynkę i mógł podszywać się pod prezesa w korespondencji z klientami.

Podstawowe zabezpieczenia poczty firmowej

Rekordy DNS chroniące pocztę:

• SPF (Sender Policy Framework) — deklaruje, z jakich serwerów mogą być wysyłane maile twojej domeny. Zmniejsza ryzyko podszywania się pod adres @twojafirma.pl.
• DKIM (DomainKeys Identified Mail) — podpisuje każdy mail kryptograficznie. Odbiorca może zweryfikować, że mail faktycznie pochodzi z twojego serwera.
• DMARC (Domain-based Message Authentication) — mówi serwerom odbiorczym, co robić z mailami, które nie przejdą weryfikacji SPF lub DKIM (odrzucić, kwarantanna, raportować).

Konfiguracja tych trzech rekordów DNS to jednorazowa czynność, która radykalnie utrudnia wysyłanie sfałszowanych maili z twojej domeny. Jeśli nie masz ich skonfigurowanych, możesz to sprawdzić przez dkimvalidator.com lub narzędzia diagnostyczne Google Workspace.

Filtrowanie złośliwego contentu: Google Workspace i Microsoft 365 mają wbudowane filtry antyspamowe i antyphishingowe. W Google Workspace warto włączyć Enhanced Safe Browsing i skanowanie złośliwych linków w mailach. W Microsoft 365 — Microsoft Defender for Office 365 (Plan 1 jest wliczony w Business Premium).

CEO fraud — podszywanie się pod szefa

Jeden z najkosztowniejszych ataków na firmy. Schemat: atakujący wysyła mail do działu finansowego, podszywając się pod prezesa lub dyrektora finansowego. Mail prosi o pilny przelew na podane konto. Nie ma złośliwego kodu, żaden antywirus tego nie zatrzyma — to czysta socjotechnika.

Obrona:

• Żaden przelew powyżej ustalonego limitu nie realizowany wyłącznie na podstawie e-maila — wymagaj potwierdzenia telefonicznego.
• Pracownicy działu finansowego powinni wiedzieć, że taki atak istnieje i jak wygląda.
• DMARC poprawnie skonfigurowany utrudni wysłanie maila ze sfałszowanym adresem prezes@twojafirma.pl.

RODO a cyberbezpieczeństwo firmy — obowiązki i ryzyko

Bezpieczeństwo IT i ochrona danych osobowych to dwie strony tego samego medalu. Jeśli Twoja firma przetwarza dane klientów, pracowników lub partnerów — RODO nakłada na Ciebie konkretne obowiązki techniczne i organizacyjne.

Jakie środki techniczne wymagane przez RODO?

RODO nie mówi wprost „zainstaluj antywirus” — używa ogólnego sformułowania „odpowiednie środki techniczne i organizacyjne”. W praktyce UODO i europejskie organy nadzorcze interpretują to jako:

• Szyfrowanie danych osobowych w transmisji (HTTPS/TLS) i, w miarę możliwości, at rest
• Kontrola dostępu — tylko osoby uprawnione mają dostęp do danych osobowych
• Uwierzytelnianie wieloskładnikowe dla systemów z danymi osobowymi
• Regularne kopie zapasowe
• Procedury wykrywania i zgłaszania naruszeń

Zgłoszenie naruszenia do UODO — kiedy i jak?

Jeśli dojdzie do wycieku danych osobowych (np. baza klientów skradziona, skrzynka e-mail przejęta z danymi kontaktowymi), masz 72 godziny na zgłoszenie do UODO od momentu, gdy dowiedziałeś się o incydencie. Obowiązek dotyczy wycieków, które mogą powodować ryzyko naruszenia praw lub wolności osób fizycznych.

Niezgłoszenie w terminie grozi karą administracyjną. Zgłoszenia można dokonać przez formularz na stronie uodo.gov.pl.

W praktyce wiele MŚP nie wie o tym obowiązku — a dowiaduje się o nim dopiero po kontroli.

Najczęstsze błędy w cyberbezpieczeństwie MŚP

Te błędy powtarzają się w firmach niezależnie od branży. Każdy z nich można wyeliminować stosunkowo małym nakładem.

1. Brak procesu odbierania dostępów przy odejściu pracownika

Były pracownik przez miesiące może mieć dostęp do firmowej poczty, CRM lub repozytorium kodu. To jeden z najczęstszych wektorów ataku i wycieków danych.

2. Wspólne konto e-mail lub hasła dla kilku osób

„Wszyscy mają dostęp do info@firma.pl przez to samo hasło” — brak możliwości audytu, kto zrobił co i kiedy. Jeśli hasło wycieknie, atakujący ma dostęp do całej skrzynki firmowej.

3. Backup wyłącznie do OneDrive/Google Drive zsynchronizowanego z komputerem

Jak wspomniano wcześniej — synchronizacja to nie backup. Ransomware zaszyfruje pliki na dysku i synchronizacja rozprzestrzeni zaszyfrowane wersje do chmury. Potrzebujesz oddzielonego systemu backup z niezależną retencją wersji.

4. Brak szyfrowania dysków na laptopach

Laptop z niezaszyfrowanym dyskiem skradziony z samochodu lub biura to natychmiastowy wyciek danych. BitLocker (Windows) i FileVault (macOS) są bezpłatne i wbudowane w system — aktywacja zajmuje kilka minut.

5. Ignorowanie aktualizacji routera i firewalla

Routery biurowe też mają luki bezpieczeństwa. Niezaktualizowany router to potencjalny punkt wejścia do całej sieci firmowej, poza zasięgiem antywirusa. Sprawdź dostępność firmware co kwartał.

6. Brak polityki BYOD (Bring Your Own Device)

Pracownicy używają prywatnych telefonów do służbowych e-maili — ale co, gdy telefon zostanie skradziony? Czy jest na nim blokada ekranu? Czy można go zdalnie wyczyścić? Brak polityki BYOD to brak kontroli nad jednym z częstszych kanałów dostępu do danych firmowych.

7. Traktowanie cyberbezpieczeństwa jako projektu, nie procesu

„Zainwestowaliśmy w antywirusy w 2022 roku” — cyberbezpieczeństwo wymaga regularnego przeglądu. Zagrożenia ewoluują, pracownicy się zmieniają, systemy są aktualizowane. Coroczny przegląd to minimum.

Ubezpieczenie cyber — rosnąca opcja dla MŚP

Polskie firmy ubezpieczeniowe coraz szerzej oferują polisy cyber (cyber liability insurance). Pokrywają koszty reagowania na incydent: ekspertów IT security, powiadomień dla klientów, przywrócenia danych, a w niektórych przypadkach — odszkodowań dla poszkodowanych klientów.

Co typowo pokrywa polisa cyber?

• Koszty śledztwa forensycznego (co się stało, jak głęboko atakujący wniknął)
• Przywracanie danych i systemów
• Powiadomienie klientów o wycieku danych
• Koszty prawne i ewentualne kary UODO
• Straty z powodu przerwy w działalności (business interruption)

Czego polisy zazwyczaj NIE pokrywają:

• Strat wynikających z celowego działania pracownika firmy
• Incydentów zgłoszonych po kilkudziesięciu dniach od ich wystąpienia
• Systemów, które w momencie ataku miały znane, niezałatane luki bezpieczeństwa

Przed zakupem polisy ubezpieczyciel często przeprowadza podstawowy audit bezpieczeństwa — to dodatkowy powód, żeby zadbać o minima bezpieczeństwa zanim zadzwonisz do brokera.

Praca zdalna a BYOD — polityka dla małych firm

Bring Your Own Device (BYOD) — używanie prywatnych urządzeń do pracy firmowej — to norma w wielu małych firmach. Pracownicy sprawdzają służbowy e-mail na prywatnym telefonie, otwierają dokumenty na laptopie domowym. To wygodne, ale tworzy trudne do kontrolowania punkty dostępu do danych firmy.

Minimalne wymagania polityki BYOD

Nie musisz tworzyć 20-stronicowego dokumentu. Kilka konkretnych wymagań wystarczy, żeby ograniczyć ryzyko:

• Obowiązkowa blokada ekranu na urządzeniach z dostępem do firmowych danych (PIN minimum 6 cyfr lub biometria)
• Aplikacja MDM (Mobile Device Management) — opcjonalnie, ale przydatna przy większym zespole; pozwala zdalnie wyczyścić dane firmowe z urządzenia bez kasowania danych prywatnych pracownika
• Zakaz przechowywania danych osobowych klientów na prywatnych urządzeniach i w prywatnej chmurze
• Wymóg aktualizacji systemu — urządzenia z bardzo starym systemem (np. Android 8 bez aktualizacji bezpieczeństwa) nie powinny mieć dostępu do systemów krytycznych

Co zrobić, gdy pracownik odchodzi?

Odejście pracownika to kluczowy moment bezpieczeństwa. Checklista na odejście:

1. Zablokuj dostęp do firmowego e-maila i wszystkich kont SaaS (CRM, Google Workspace, Slack)
2. Zmień hasła do kont grupowych lub usuń dostęp z menedżera haseł
3. Upewnij się, że firmowe dane nie zostały skopiowane na prywatne urządzenie lub prywatną chmurę
4. Archiwizuj skrzynkę e-mail odchodzącego pracownika (Google Vault, Exchange archiwum) — może być potrzebna do audytu

Checklist cyberbezpieczeństwa dla MŚP

Użyj tej listy jako punktu wyjścia do audytu. Każdy punkt to konkretne działanie, nie abstrakcyjne zalecenie.

Hasła i dostępy:

• Wdrożony menedżer haseł z konsolą zarządzania dla całego zespołu
• 2FA włączone na firmowym e-mailu i wszystkich systemach krytycznych
• Udokumentowana lista dostępów (kto, do czego)
• Procedura odbierania dostępów przy odejściu pracownika

Urządzenia i sieć:

• Szyfrowanie dysków (BitLocker/FileVault) na laptopach
• Aktualny antywirus/EDR na wszystkich urządzeniach firmowych
• Polityka aktualizacji systemów i firmware routera
• VPN wymagany do dostępu do zasobów firmy zdalnie

Dane i backup:

• Backup z wersjonowaniem i retencją minimum 30 dni
• Co najmniej 1 kopia offline lub off-site
• Udokumentowany i przetestowany proces przywracania
• RODO: umowy powierzenia z dostawcami, rejestr przetwarzania

Ludzie i procesy:

• Roczne szkolenie dla wszystkich pracowników z rozpoznawania phishingu
• Procedura zgłaszania podejrzeń bezpieczeństwa (kto, jak, kiedy)
• Jednostronicowy plan reagowania na incydent
• Sprawdzono, czy firma podlega NIS2

Co zrobić teraz?

Cyberbezpieczeństwo firmy to proces, nie projekt. Zacznij od tych działań — możesz je wdrożyć nawet bez dedykowanego zespołu IT:

1. Wdróż menedżer haseł dla całego zespołu — to jeden z największych zwrotów z inwestycji w bezpieczeństwo. Odbiór dostępu odchodzącego pracownika zajmie potem 5 minut, nie godzinę. Szczegóły: menedżery haseł.
2. Włącz 2FA do firmowej poczty i systemów krytycznych — zrób to w tym tygodniu. Poradnik: Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć.
3. Skonfiguruj VPN dla pracowników zdalnych — nawet jeśli to tylko jeden pracownik pracujący z domu. Więcej: bezpieczeństwo dla firm.
4. Sprawdź kopie zapasowe — czy masz backup oddzielony od synchronizacji, jak stary jest ostatni, czy testowałeś przywracanie?
5. Przeprowadź krótkie szkolenie z phishingu — jedno 30-minutowe spotkanie dla całego zespołu może zapobiec atakowi. Pokaż przykłady z naszego przewodnika po phishingu.
6. Sprawdź, czy NIS2 cię dotyczy — szczegóły: NIS2 a obowiązki firmy: co musisz wiedzieć.

Więcej narzędzi i rozwiązań dla firm znajdziesz w sekcji bezpieczeństwo dla firm.