Cyberatak kosztuje małą firmę średnio od 20 do 200 tysięcy złotych — wliczając przestój, odzyskiwanie danych, kary regulacyjne i utratę klientów. Cyberbezpieczeństwo w firmie przestało być domeną wielkich korporacji z działem IT. Dziś atakujący celują dokładnie w MŚP, bo wiedzą, że te mają słabsze zabezpieczenia, a personel rzadko przechodzi szkolenia z ochrony danych. Poniższy poradnik to praktyczna checklista 10 kroków, które można wdrożyć etapami — z orientacyjnymi kosztami dla firmy zatrudniającej od 5 do 50 osób.
Oceń stan bezpieczeństwa zanim cokolwiek wdrożysz
Firmy często zaczynają od zakupu narzędzi, zamiast od diagnozy. Tymczasem bez wiedzy o tym, co już masz i co jest rzeczywiście narażone, każda złotówka wydana na firewall może trafić w próżnię.
Audyt zasobów IT — co i gdzie przechowujesz
Sporządź inwentarz: wszystkie urządzenia (komputery, laptopy, smartfony firmowe, drukarki z dyskiem), systemy i aplikacje, dane klientów i pracowników oraz miejsca ich składowania — serwer lokalny, chmura, dyski zewnętrzne. Bez tej listy nie wiesz, co chronić.
Koszt takiego audytu we własnym zakresie to kilka godzin pracy. Zewnętrzna firma audytorska pobierze od 2 000 do 8 000 zł za audyt MŚP, ale daje niezależne spojrzenie i pisemny raport z rekomendacjami, który przyda się przy ewentualnym sporze z ubezpieczycielem lub organem regulacyjnym.
Analiza ryzyka — od czego zacząć ochronę
Nie wszystkie dane są równie cenne. Dane osobowe klientów, dane finansowe i własność intelektualna to priorytety. Określ, co się stanie, gdy dostęp do danego zasobu zostanie utracony lub ujawniony osobie nieuprawnionej — to ćwiczenie myślowe szybko pokaże, gdzie ryzyko jest największe. Dopiero wtedy ma sens planowanie budżetu na kolejne kroki.
Silne hasła i uwierzytelnianie dwuskładnikowe jako podstawa ochrony danych
Ponad 80% udanych włamań do firmowych systemów wynika z przejętych lub słabych haseł. To nie statystyka medialna — to dane zebrane przez firmy analizujące incydenty w sektorze MŚP. Rozwiązanie jest tanie i dostępne od zaraz.
Menedżer haseł to wydatek rzędu 15–50 zł miesięcznie na całą firmę (rozwiązania takie jak Bitwarden Business czy 1Password Teams). Generuje i przechowuje unikalne hasła dla każdego serwisu. Pracownik nie musi nic pamiętać — musi znać jedno silne hasło główne.
Uwierzytelnianie dwuskładnikowe (2FA) warto włączyć w pierwszej kolejności tam, gdzie straty byłyby największe:
- poczta firmowa i Microsoft 365 lub Google Workspace
- systemy ERP i CRM
- bankowość elektroniczna i panel płatności
- VPN i zdalny dostęp do sieci
- repozytoria kodu i środowiska chmurowe
Aplikacje takie jak Google Authenticator czy Microsoft Authenticator są bezpłatne. Klucze sprzętowe YubiKey kosztują 180–350 zł za sztukę i sprawdzają się przy dostępach administratorskich.
Wdrożenie menedżera haseł i 2FA w firmie 10-osobowej zamyka się w jednym dniu roboczym — i eliminuje znaczną część ryzyka związanego z przejęciem kont.
Firewall, segmentacja sieci i ochrona poczty elektronicznej
Firewall to granica między siecią firmową a światem zewnętrznym. Większość routerów biznesowych ma wbudowany firewall, ale domyślna konfiguracja rzadko jest wystarczająca. Sprawdź, czy reguły są aktualne, czy nieużywane porty są zamknięte i czy logowanie zdarzeń jest włączone.
Segmentacja sieci — dlaczego gość nie powinien widzieć serwera
Oddziel sieć dla gości i urządzeń BYOD (prywatnych telefonów pracowników) od sieci produkcyjnej, gdzie działają systemy i dane firmowe. W praktyce wystarczy osobna sieć Wi-Fi z VLAN-em — koszt to konfiguracja przez specjalistę (200–500 zł jednorazowo) lub samodzielne ustawienie na routerze Ubiquiti czy Mikrotik.
Jeśli firma korzysta z chmury, zadbaj o reguły sieciowe po stronie dostawcy: w AWS, Azure czy Google Cloud można łatwo określić, z jakich adresów IP dopuszczamy połączenia z konkretnymi zasobami.
Filtrowanie poczty i ochrona przed phishingiem
Phishing odpowiada za ponad 90% wszystkich incydentów bezpieczeństwa w MŚP. Atakujący podszywają się pod banki, urzędy, a coraz częściej pod współpracowników — tzw. business email compromise (BEC) może wygenerować stratę w ciągu jednej transakcji.
Filtry antyspamowe wbudowane w Microsoft 365 i Google Workspace są przyzwoite, ale ich skuteczność rośnie po prawidłowej konfiguracji rekordów SPF, DKIM i DMARC dla domeny firmowej. To ustawienia DNS, które potwierdzają, że e-mail naprawdę pochodzi z waszego serwera. Konfiguracja zajmuje godzinę, kosztuje zero złotych i znacząco zmniejsza ryzyko, że ktoś podszyje się pod wasz adres.
Aktualizacje systemów, backup i polityka bezpieczeństwa w firmie
Niezaktualizowane oprogramowanie to otwarte drzwi. Ransomware WannaCry z 2017 roku wykorzystał lukę, dla której łatka była dostępna od dwóch miesięcy — mimo to zainfekowane zostały setki tysięcy komputerów na całym świecie, w tym systemy dużych firm.
Polityka aktualizacji powinna obejmować systemy operacyjne, przeglądarki, oprogramowanie biurowe, firmware routerów i NAS-ów oraz wszystkie aplikacje z dostępem do internetu. W praktyce warto włączyć automatyczne aktualizacje wszędzie tam, gdzie to możliwe, i wyznaczyć osobę odpowiedzialną za comiesięczną weryfikację stanu urządzeń.
Kopie zapasowe to ostatnia linia obrony. Zasada 3-2-1 działa od lat i nadal jest aktualna: 3 kopie danych, na 2 różnych nośnikach, z czego 1 poza siedzibą firmy (lub w chmurze izolowanej od sieci produkcyjnej). Backup tylko w chmurze jest lepszy niż brak backupu — ale jeśli chmura jest podmontowana jako dysk sieciowy, ransomware zaszyfruje i ją.
Testuj przywracanie przynajmniej raz na kwartał. Kopia zapasowa, której nie można odtworzyć, to iluzja bezpieczeństwa. Koszt rozwiązań backupowych dla MŚP zaczyna się od 50–200 zł miesięcznie za platformy chmurowe (Backblaze B2, Acronis Cyber Protect) z odpowiednią pojemnością.
Polityka bezpieczeństwa to dokument, który opisuje zasady korzystania z zasobów IT w firmie: jak zarządzamy hasłami, kto ma dostęp do czego, jak zgłaszamy incydenty, co można instalować na sprzęcie firmowym. Nie musi liczyć 50 stron — czterostronicowy dokument, który przeczyta każdy pracownik i podpisze przy onboardingu, jest wart więcej niż szczegółowy regulamin leżący w szufladzie.
Szkolenia pracowników i zarządzanie incydentami
Technologia rozwiąże problem tylko do pewnego stopnia. Atakujący coraz częściej omijają zabezpieczenia techniczne, celując w ludzi — i to nie przez wyrafinowane manipulacje, lecz przez proste wiadomości: „Twoje konto zostanie zablokowane, kliknij tutaj”.
Regularne szkolenia z cyberbezpieczeństwa nie muszą być drogie. Platformy e-learningowe oferują kursy dla pracowników w cenie 20–80 zł na osobę rocznie. Raz na kwartał warto przeprowadzić symulowany atak phishingowy — wysłać fałszywą wiadomość do pracowników i sprawdzić, kto kliknie w link. Wynik nie służy karaniu, lecz pokazaniu, gdzie edukacja jest potrzebna.
Zarządzanie incydentami to obszar, który większość MŚP pomija do czasu pierwszego ataku. Warto mieć gotową odpowiedź na pytania: kto w firmie jest odpowiedzialny za reakcję na incydent, do kogo dzwonimy w weekend, kiedy RODO obliguje nas do zgłoszenia naruszenia do UODO (72 godziny od wykrycia) i czy mamy kontakt do firmy, która pomoże technicznie.
Prosty plan reagowania na incydenty — nawet jako jednostronicowa procedura — skraca czas reakcji i ogranicza straty. Firmy bez takiego planu tracą średnio dwa razy więcej czasu na przywrócenie normalnej pracy po ataku niż te, które go mają.
Łączny budżet na wdrożenie opisanych kroków dla firmy 10-osobowej zamknie się zazwyczaj między 3 000 a 10 000 zł jednorazowo plus 150–400 zł miesięcznie w subskrypcjach. To ułamek potencjalnych strat — i zarazem argument, który przekona właściciela firmy szybciej niż jakikolwiek raport o zagrożeniach.
