Cyberbezpieczeństwo małej firmy: plan na 90 dni
Mała firma nie potrzebuje działu bezpieczeństwa, żeby nie być łatwym celem. Plan na 90 dni: co zrobić samodzielnie, co kupić, a co zlecić.
„Jesteśmy za mali, żeby ktoś nas atakował” — to zdanie słyszymy najczęściej tuż przed opowieścią o zaszyfrowanych plikach albo podmienionej fakturze. Rzeczywistość jest odwrotna: ataki są zautomatyzowane, więc skanery nie sprawdzają wielkości firmy — sprawdzają otwarte porty, wersje oprogramowania i hasła z wycieków. Mała firma bywa wręcz łatwiejszym celem: te same pieniądze na koncie, a zabezpieczeń mniej. Dobra wiadomość: 80% ochrony da się zbudować bez etatu bezpiecznika i bez korporacyjnego budżetu. Oto plan na 90 dni.
Zanim zaczniesz: trzy realne scenariusze zagrożeń
Małe firmy tracą pieniądze na trzy główne sposoby — i pod nie ustawiamy priorytety:
- Przejęcie poczty i podmiana faktury (BEC). Atakujący wchodzi na skrzynkę (hasło z wycieku, phishing), czyta korespondencję i w odpowiednim momencie wysyła kontrahentowi „nowy numer konta”. Straty: od kilkudziesięciu tysięcy wzwyż.
- Ransomware. Wejście przez niezałatane usługi zdalne albo przejęte konto, szyfrowanie wszystkiego łącznie z kopiami na dysku sieciowym, żądanie okupu. Straty: okup + przestój + odtwarzanie.
- Oszustwa „na pracownika”: fałszywe telefony, SMS-y i przelewy „pilne od szefa” — socjotechnika działa tym lepiej, im krótsze są ścieżki decyzyjne.
Dni 1–30: fundamenty (koszt: głównie czas)
Tydzień 1 — tożsamość.
- Włącz MFA wszędzie: poczta, bank, chmura, media społecznościowe firmy. W M365/Google wystarczą wbudowane ustawienia domyślne.
- Zainstaluj firmowy menedżer haseł; przenieś hasła z arkuszy i notesów, skasuj arkusze.
- Sprawdź na Have I Been Pwned, które adresy firmowe są w wycikach — te hasła zmień od razu.
Tydzień 2 — pieniądze.
- Wprowadź żelazną zasadę drugiego kanału: każda zmiana numeru konta kontrahenta i każdy nietypowy przelew = potwierdzenie telefoniczne na numer znany wcześniej. Spisz to na jednej stronie, podpisz z zespołem.
- W banku: limity przelewów, autoryzacja dwuosobowa powyżej progu, powiadomienia o operacjach.
Tydzień 3 — sprzęt i aktualizacje.
- Automatyczne aktualizacje systemu i przeglądarek na wszystkich komputerach; usuń programy nieużywane.
- Szyfrowanie dysków (BitLocker/FileVault) + blokada ekranu; konta bez uprawnień administratora do codziennej pracy.
Tydzień 4 — kopie zapasowe.
- Wdr’oż zasadę 3-2-1 w wersji mikro: automatyczna kopia do chmury z wersjonowaniem + kopia offline (dysk odłączany) dla danych krytycznych.
- Przetestuj odtworzenie jednego katalogu i jednej skrzynki — kopia nietestowana nie istnieje.
Dni 31–60: domknięcie dziur (koszt: kilkaset zł–kilka tys. zł/mies.)
- EDR zamiast darmowego antywirusa na komputerach — wyjaśniamy różnicę; dla kilkunastu stanowisk to koszt rzędu kilkuset złotych miesięcznie.
- Przegląd wystawionych usług: czy RDP/VPN/NAS są dostępne z internetu? Zamknij, schowaj za VPN z MFA, zaktualizuj. To najczęstsza droga ransomware do małych firm.
- Poczta: skonfiguruj SPF, DKIM i DMARC dla swojej domeny (chroni też Twoich klientów przed podszyciami „od Ciebie”), włącz oznaczanie maili zewnętrznych.
- Wi-Fi biurowe: sieć dla gości oddzielona od firmowej; hasło routera zmienione, firmware zaktualizowany.
- Telefony: blokada ekranu, aktualizacje, profil służbowy dla poczty firmowej.
Dni 61–90: procesy i ludzie
- Szkolenie 60 minut dla całego zespołu: jak wyglądają phishing, fałszywe telefony i podmiana faktury — na prawdziwych przykładach z Polski. Raz na pół roku odświeżenie.
- Plan na incydent na jedną stronę: kogo dzwonimy (IT/wsparcie zewnętrzne, bank, prawnik), co odłączamy, gdzie zgłaszamy (UODO w 72 h przy danych osobowych, CERT Polska). Wydrukuj — podczas incydentu sieć może nie działać.
- Off-boarding: checklista odejścia pracownika (konta, sprzęt, hasła współdzielone do rotacji).
- Przegląd dostępów: kto ma dostęp do czego — szczególnie dostawcy IT i serwisanci; konta nieużywane do wyłączenia.
Co zlecić na zewnątrz (i kiedy)
Własnymi siłami dowozisz higienę; z zewnątrz warto dokupić trzy rzeczy:
- Godzinną konsultację na start — zamiast zgadywać priorytety; wychodzi z niej lista dopasowana do Twojej firmy (u nas bezpłatna).
- Coroczny przegląd/audyt bezpieczeństwa — świeże oko na konfigurację, wystawione usługi i dostępy; dla małych firm robimy to w formule skróconej — sprawdź pakiet Start.
- Monitoring/wsparcie przy incydencie — numer, pod który zadzwonisz o 22:00 w sobotę, zanim zapłacisz okup.
Test penetracyjny w pełnej formie ma sens, gdy masz własną aplikację, sklep internetowy albo klienci o niego pytają.
Najczęstsze pytania (FAQ)
Ile realnie kosztuje ten plan? Faza 1: praktycznie zero (czas + ew. menedżer haseł ~10–20 zł/os./mies.). Faza 2: EDR ~20–40 zł/stanowisko/mies., reszta to konfiguracja. Faza 3: czas + ewentualnie szkolenie zewnętrzne. Całość dla firmy 10–20 osób zamyka się zwykle w kilkuset złotych miesięcznie — mniej niż jedna godzina przestoju księgowości.
Nie mamy nikogo od IT. Kto ma to zrobić? Większość fazy 1 wykona właściciel lub „ogarnięty” pracownik w kilka wieczorów (wszystko to ustawienia, nie programowanie). Fazę 2 można zlecić zewnętrznemu IT z tą listą jako specyfikacją — to ważne: Ty określasz co, oni jak. Bez listy dostaniesz „u nas wszystko działa”.
Od czego zacząć, jeśli mamy tydzień, nie 90 dni? Trzy rzeczy: MFA na poczcie i banku, zasada drugiego kanału dla przelewów, kopia offline danych krytycznych z próbą odtworzenia. Te trzy zamykają scenariusze, które najczęściej kończą się realną stratą pieniędzy.
Czy ubezpieczenie cyber ma sens dla małej firmy? Coraz częściej tak — ale przeczytaj wymagania: polisy wymagają MFA, kopii, EDR (czyli fazy 1–2 tego planu). Ubezpieczenie bez podstaw = ryzyko odmowy wypłaty. Traktuj je jako uzupełnienie planu, nie zamiennik.
Kiedy mała firma „dorasta” do czegoś więcej? Sygnały: własna aplikacja/sklep, dane wrażliwe klientów, kontrahenci pytający o bezpieczeństwo w umowach, wejście pod NIS2 jako dostawca. Wtedy czas na regularne testy i formalny program — pomożemy przejść ten próg.
Podsumowanie
Bezpieczeństwo małej firmy to nie technologia korporacyjna w miniaturze, tylko konsekwentna higiena: MFA + menedżer haseł, zasada drugiego kanału, aktualizacje, EDR, przetestowane kopie i godzina szkolenia. Ten zestaw wyprowadza Cię z kategorii „łatwy cel” — a właśnie łatwe cele karmią zautomatyzowaną przestępczość. Chcesz skrócić drogę? Umów bezpłatną konsultację — w godzinę ustalimy, które punkty planu są u Ciebie już zamknięte, a które palą się najbardziej.