Przez lata współpracowałem z różnymi firmami – małe biura księgowe, sklepy internetowe, lokalne firmy, firmy produkcyjne. Schemat zawsze jest podobny: dopóki wszystko działa, bezpieczeństwo jest traktowane jak niepotrzebny koszt. Dopiero kiedy przychodzi incydent, właściciele zaczynają panikować, liczyć straty i pytają: „Dlaczego nikt wcześniej nie powiedział, że jesteśmy tak odsłonięci?”.
Prawda jest taka, że większość problemów w MŚP wynika nie z braku pieniędzy, tylko z powtarzalnych błędów organizacyjnych i technicznych. Poniżej opisuję te, które widzę najczęściej.
Skala zagrożenia
Rzeczywistość w internecie jest, delikatnie mówiąc, dynamiczna. Zespół CERT Polska w 2024 roku odnotował rekordowy wzrost cyberzagrożeń, przyjmując ponad 600 tysięcy zgłoszeń. To jest wzrost o całe 60% w porównaniu do roku poprzedniego. Krajowe zespoły reagowania na incydenty, czyli CSIRT-y, zarejestrowały i potwierdziły łącznie 111 660 incydentów bezpieczeństwa, co oznacza wzrost o 23% w skali kraju. To nie są abstrakcyjne liczby z podręczników, to realne problemy, które dotykają polskie firmy i obywateli każdego dnia.
Dominującym typem ataku, prawdziwą plagą, jest phishing. W 2023 roku stanowił on aż 64% wszystkich incydentów zgłoszonych do CERT Polska, a w 2024 roku odnotowano 40 120 incydentów phishingowych. Globalnie, statystyki są równie niepokojące, bo 94% organizacji doświadczyło ataków phishingowych. Cyberprzestępcy są sprytni i podszywają się pod znane i zaufane platformy. W Polsce to najczęściej OLX (9 865 przypadków), Allegro (4 053 przypadki) i Facebook (3 871 przypadków). Na świecie z kolei Microsoft pozostaje najczęściej imitowaną marką, odpowiadając za 43,1% prób phishingu.
Ransomware, to kolejne poważne zagrożenie. Choć liczba incydentów ransomware w Polsce spadła o 8% w 2024 roku (do 147 przypadków), to nadal firmy są najczęściej atakowane (87 przypadków). To pokazuje, że mimo pewnego spadku, zagrożenie jest realne i dotyka bezpośrednio biznes, paraliżując jego działanie.
Kto atakuje i dlaczego?
Motywacja finansowa jest głównym motorem napędowym tych działań. Ale nie tylko. Niezadowoleni pracownicy stanowią 57% zagrożeń, a grupy pochodzące z obcych państw – 28%. To istotna informacja, bo oznacza, że zagrożenie może przyjść z różnych stron, nie tylko z zewnątrz, ale również z wewnątrz organizacji.
Małe i średnie firmy są szczególnie narażone na te ataki, bo często brakuje im zasobów i wiedzy. Aż 63% firm wskazuje trudności w zatrudnieniu i utrzymaniu specjalistów ds. cyberbezpieczeństwa jako największą przeszkodę, a 61% boryka się z brakiem wystarczających budżetów na ten cel. Do tego dochodzi niskie zaangażowanie biznesu i brak dobrze zdefiniowanych mierników bezpieczeństwa. Co więcej, ponad połowa polskich firm w 2021 roku stwierdziła wzrost podatności na cyberataki, a 64% zanotowało co najmniej jeden incydent. Mimo to, tylko 23% zdecydowało się na zwiększenie budżetu na cyberbezpieczeństwo. Ale umówmy się, żeby zwiększyć bezpieczeństwo firmy nie trzeba inwestować milionów, bo wystarczy zacząć od małych kroków, niewielkich zmian, które będą w każdej firmie zmniejszą ryzyko skutecznego ataku. W jednym z poprzednich wpisów przygotowałem dla Ciebie poradnik, jak niewielkimi kwotami możesz zabezpieczyć swoją firmę przed ransomware.
Ta sytuacja tworzy błędne koło. MŚP są celem, bo są słabo zabezpieczone, a są słabo zabezpieczone, bo brakuje im zasobów i, co najważniejsze, świadomości biznesowej, że cyberbezpieczeństwo to inwestycja, a nie tylko koszt. Brak specjalistów i budżetów to problem, który bezpośrednio przekłada się na podatność na ataki i potencjalnie na przetrwanie firmy. To nie jest już kwestia „czy zostaniemy zaatakowani”, ale „kiedy i z jakimi konsekwencjami”.
Błędy, które otwierają drzwi hakerom
Ignorowanie aktualizacji
Wiele osób myśli, że aktualizacje to tylko nowe ikonki, kolejne funkcje, których nie potrzebują. To jest jeden z największych i najczęstszych błędów, jakie widzę w MŚP. Aktualizacje to przede wszystkim łatki bezpieczeństwa, które zamykają luki wykryte przez producentów oprogramowania. Bez nich systemy mają otwarte drzwi dla hakerów. Dotyczy to zarówno systemów operacyjnych, aplikacji (pakiet biurowy, przeglądarka), jak i oprogramowania sprzętowego, czyli firmware’u, na przykład w routerach czy drukarkach.
Konsekwencje braku łatek są poważne i wielowymiarowe:
- Wystawienie na ataki: Przestępcy wykorzystują publicznie znane luki, żeby wejść do systemów, wykraść dane, zainfekować złośliwym oprogramowaniem.
- Brak ochrony przed nowymi zagrożeniami: Codziennie powstają nowe wirusy i malware. Bez aktualizacji Twoje systemy są bezbronne.
- Problemy z zgodnością i kary: Zmieniające się przepisy wymagają, aby systemy były na bieżąco aktualizowane. Niezgodność może skutkować karami finansowymi i utratą zaufania klientów.
- Błędy i awarie: Niezaktualizowane systemy są bardziej podatne na błędy i awarie, co prowadzi do przestojów w pracy, utraty danych
Brakuje prostych systemów monitorujących, choć są już usługi i narzędzia, które wysyłają alerty o nowych podatnościach wprost na maila. Widziałem jednak firmy, które nie reagowały tygodniami, a serwer www działał na wersji sprzed pięciu lat.
Zarządzanie tożsamością i dostępem
To podstawa bezpieczeństwa, bo kontroluje, kto i do czego ma uprawnienia. Słabe zarządzanie hasłami i błędne zarządzanie uprawnieniami to jedne z głównych wyzwań.
MFA (uwierzytelnianie wieloskładnikowe) – Twój najlepszy przyjaciel. MFA to coś, co musisz wdrożyć. Wymaga co najmniej dwóch niezależnych czynników do uwierzytelnienia: coś, co wiesz (hasło), coś, co masz (telefon z aplikacją uwierzytelniającą, klucz sprzętowy), lub coś, czym jesteś (biometria). Nawet jeśli hasło zostanie wykradzione, bez drugiego czynnika atakujący nie dostanie się do konta. To potężna bariera.
Zasada najmniejszych uprawnień – daj tylko tyle, ile trzeba. To prosta, ale potężna koncepcja: użytkownikom i procesom przyznaje się tylko minimalne uprawnienia niezbędne do wykonania ich zadań. Jeśli haker przejmie konto z ograniczonymi uprawnieniami, jego możliwości poruszania się po sieci i wyrządzania szkód są znacznie mniejsze.
| Metoda MFA | Zalety dla MŚP | Wady / Wyzwania dla MŚP |
| Aplikacje uwierzytelniające (np. Google/Microsoft Authenticator) | – Niskie koszty wdrożenia i utrzymania (często darmowe). – Wysoki poziom bezpieczeństwa. – Użytkownicy są coraz bardziej z nimi zaznajomieni. – Działa offline. | – Wymaga smartfona/dedykowanego urządzenia. – Może być wyzwaniem dla mniej zaawansowanych technologicznie użytkowników (instalacja, skanowanie QR). – Podatność na phishing |
| Kody SMS (OTP) | – Proste w użyciu, nie wymaga smartfona z aplikacją. – Niskie koszty wdrożenia. | – Podatność na przechwycenie karty SIM (SIM swapping). – Podatność na phishing (wyłudzanie OTP). – Mniejsze bezpieczeństwo (SMS nie są szyfrowane). |
| Powiadomienia Push (np. z aplikacji Microsoft Authenticator) | – Bardzo wygodne dla użytkownika (jedno kliknięcie). | – Wymaga smartfona z dostępem do internetu. – Niedostępne w przypadku zgubienia/kradzieży/braku zasięgu telefonu. – Podatność na phishing |
| Tokeny sprzętowe (np. YubiKey) | – Bardzo wysoki poziom bezpieczeństwa (odporne na phishing). – Nie wymaga smartfona. | – Wyższe koszty zakupu urządzeń. – Ryzyko utraty/kradzieży tokena (brak dostępu do konta). – Konieczność noszenia fizycznego urządzenia. |
| Biometria (odcisk palca, rozpoznawanie twarzy) | – Wysoka wygoda i szybkość. – Coraz częściej wbudowane w urządzenia (smartfony, laptopy). | – Może nie działać w specyficznych warunkach (brudny palec, okulary). – Ryzyko fałszywie pozytywnych wyników (np. bliźniaki). – Wymaga odpowiedniego sprzętu. |
Brak porządnego backupu
Nie stawiaj już pytania „czy robić backup”, tylko „jak robić backup, żeby działał”. To jest absolutna podstawa. Ludzki błąd jest najczęstszą przyczyną problemów z danymi, dlatego automatyzacja backupu jest kluczowa.
Zasada 3-2-1 – prosta, skuteczna, obowiązkowa: To złota zasada backupu, którą każdy powinien znać i stosować:
- 3 kopie zapasowe: Oprócz danych oryginalnych, miej co najmniej dwie dodatkowe kopie.
- 2 różne nośniki: Przechowuj kopie na dwóch różnych typach nośników. Na przykład, jedna kopia na dysku lokalnym w firmie, druga w chmurze.
- 1 kopia off-site: Jedna kopia musi znajdować się poza siedzibą firmy, w innej lokalizacji. To kluczowe, bo chroni przed katastrofami fizycznymi (pożar, powódź, kradzież sprzętu). Kopia off-site powinna być „offline”, czyli niedostępna dla atakującego.
Testowanie backupów.To jest punkt, który wiele firm niestety zaniedbuje. Posiadanie backupu nic nie znaczy, jeśli nie jesteś w stanie z niego odzyskać danych! Posiadanie backupu to tylko pierwszy krok. Prawdziwe bezpieczeństwo danych leży w zdolności do ich szybkiego i skutecznego odzyskania.
Plan reagowania na incydenty
Wiele MŚP wciąż nie ma formalnego planu reagowania na incydenty. Raporty pokazują, że tylko około 14% małych firm ma formalny plan cyberbezpieczeństwa. W obliczu rosnącej liczby ataków, brak takiego planu oznacza, że każdy poważny incydent będzie prowadził do chaosu i maksymalizacji strat.
Plan reagowania na incydenty to zbiór zasad, zasobów i procedur, które pozwalają organizacji skutecznie i terminowo reagować na incydenty bezpieczeństwa, Musi jasno definiować:
- Role i obowiązki zespołu: Kto za co odpowiada, gdy nastąpi atak? Kto jest liderem reagowania, kto komunikuje się z zewnątrz (np. z klientami, mediami)
- Cele i scenariusze: Co chcemy osiągnąć (np. szybka identyfikacja, powstrzymanie rozprzestrzeniania się ataku, odzyskanie danych) i na jakie incydenty się przygotowujemy (phishing, ransomware, wyciek danych)
- Metody wykrywania i reagowania: Jak wykrywamy incydenty, jak je badamy, jakie technologie i procesy są potrzebne
- Strategia komunikacji: Kto i jak komunikuje się wewnętrznie (z zarządem, pracownikami) i zewnętrznie (z klientami, mediami, organami ścigania – CERT Polska czy UODO). Warto mieć przygotowane szablony komunikatów, żeby nie improwizować pod presją.
Symulacje
Symulowane ćwiczenia reagowania na incydenty, nazywane też testami penetracyjnymi czy symulacje phishingowe są niezbędne, żeby przetestować gotowość zespołu i samego planu. Dzięki nim identyfikujesz słabe punkty w swoich procedurach i systemach, zanim prawdziwy atakujący je znajdzie.
Symulacje, choć wymagają czasu i zasobów, pozwalają na naukę w bezpiecznym środowisku, identyfikację luk proceduralnych i technologicznych, a także budowanie spójności zespołu. Symulacje to poligon doświadczalny dla firmy. To jedyny sposób, żeby sprawdzić, czy Twoje procedury są realistyczne i wykonalne w warunkach stresu.
Brak konfiguracji SPF, DKIM i DMARC
Często pytam firmy: „Czy macie SPF i DKIM w swoich domenach?”. Odpowiedź w 80% przypadków brzmi: „Nie wiem, a co to?”. Bez tych rekordów poczta firmowa jest podatna na podszywanie się. To dlatego klienci potrafią dostać maila „od was” z prośbą o zalogowanie do fałszywego panelu. Konfiguracja SPF, DKIM i DMARC nie zajmuje wiele czasu, a brak tej wiedzy kosztuje firmy utratę reputacji. Sama konfiguracja to jednak nie wszystko. Warto również monitorować użycie domen do wysyłek.
Ignorowanie darmowych narzędzi
Mamy w Polsce świetne narzędzia chociażby od CERT Polska, np. moje.cert.pl czy Artemis, które monitorują wycieki i podatności. Problem w tym, że większość MŚP nawet nie wie, że coś takiego istnieje. A to darmowe źródła, które potrafią uratować firmę, zanim jeszcze dojdzie do incydentu.
Bezpieczeństwo IoT
W hali produkcyjnej trafiłem kiedyś na kamery monitoringu z loginem admin i hasłem admin. W innym miejscu system kontroli maszyn, który od pięciu lat nie miał żadnej aktualizacji. Wszystko podłączone do internetu. Inny przypadek, stary, nieaktualizowany router TP-Link jako brama dla serwisantów maszyn.
Takie urządzenia są dla atakujących prostym celem. Wystarczy je znaleźć w Shodan i wejść jak do otwartych drzwi. Problemem nie jest brak sprzętu, tylko brak podstawowej konfiguracji i izolacji od reszty sieci.
Nie czekaj, działaj!
Mam nadzieję, że ten artykuł otworzył Ci oczy na realia cyberbezpieczeństwa w MŚP. To nie jest problem, który możesz zignorować. Liczby nie kłamią: cyberataki na małe i średnie firmy to realne, rosnące zagrożenie, a phishing jest ich królem. Konsekwencje są dotkliwe – od milionowych kar, przez utratę danych, aż po bankructwo.
Wiem, że w MŚP często brakuje rąk do pracy i budżetów. Ale cyberbezpieczeństwo to nie jest coś, co możesz odłożyć na później. To nie jest tylko problem IT, to problem biznesowy, który wpływa na całą firmę i jej przyszłość.
Zacznij od małych, ale konkretnych kroków.
