Ataki phishingowe, przejęcia skrzynek, złośliwe oprogramowanie szyfrujące dane – to nie jest problem „wielkich korporacji”. Najczęściej ofiarami padają najmniejsze firmy, bo nie mają procedur, kopii zapasowych i podstawowej higieny pracy w sieci. Ten przewodnik pokazuje, jak w 90 dni zbudować zdrowe fundamenty bezpieczeństwa: bez wielkich budżetów, za to ze świadomymi wyborami i prostymi nawykami.
W pierwszym miesiącu skup się na działaniach o największym wpływie: włącz uwierzytelnianie dwuskładnikowe (2FA) we wszystkich krytycznych usługach (e-mail, bank, dysk w chmurze), wprowadź menedżer haseł i unikalne hasła, zaszyfruj dyski urządzeń służbowych, ustaw automatyczne aktualizacje. Opracuj listę aplikacji dozwolonych i usuń nieużywane konta. Przygotuj instrukcję „co robię, gdy coś wygląda podejrzanie” i przeprowadź 30-min szkolenie zespołu.
Drugi miesiąc to porządkowanie. Skataloguj zasoby (komputery, telefony, konta w usługach). Wprowadź codzienne kopie zapasowe najważniejszych danych (dysk w chmurze + offline), przetestuj odtwarzanie na „czystej” maszynie. W e-mailu i dysku włącz alerty logowań z nowych lokalizacji. Ustal polityki retencji i nadawania dostępów – mniej znaczy bezpieczniej. Dla witryny włącz certyfikat SSL i automatyczne aktualizacje wtyczek oraz motywu.
Na tym etapie przygotuj plan reagowania na incydenty: role, kontakty, kopia papierowa procedur. Zrób próbny „tabletop exercise”: scenariusz phishingu na fakturę i szybką reakcję. Dla krytycznych kont włącz klucze sprzętowe lub przynajmniej 2FA oparte na aplikacji, nie na SMS. Rozważ segmentację sieci w biurze (goście vs. pracownicy) i wdrożenie podstawowego EDR/antywirusa z centralnym zarządzaniem.
Ustal zasady: faktury wysyłamy wyłącznie z domeny firmowej, a zmiany rachunku bankowego wymagają potwierdzenia innym kanałem (np. telefonem). Włącz DMARC/DKIM/SPF dla poczty – ograniczasz ryzyko podszywania się pod Twoją domenę. Przy płatnościach kartą korzystaj z zaufanych bramek, monitoruj chargebacki i nie klikaj w linki do „szybkich dopłat do przesyłek”.
Praca zdalna to wygoda, ale i ryzyko. Wymagaj aktualnego systemu, szyfrowania dysku, blokady ekranu i VPN przy dostępie do wrażliwych zasobów. Zadbaj o separację ról: prywatne dane pracownika nie mogą mieszać się z firmowymi. Wprowadź politykę zgłaszania utraty urządzeń w czasie do 1 godziny oraz możliwość zdalnego wyczyszczenia telefonu/laptopa.
Phishing na fakturę (e-mail lub SMS z linkiem do rzekomej dopłaty), przejęcie skrzynki pocztowej i podmiana numeru konta w korespondencji, złośliwe oprogramowanie w załącznikach „CV” lub „umowa”. Edukuj zespół na realnych przykładach i regularnie ćwicz zgłaszanie incydentów.
Menedżer haseł (biznesowy), klient 2FA, skaner podatności strony www, prosty EDR/antywirus z chmury, kopie w modelu 3-2-1. Monitoruj domenę: raporty DMARC o spoofingu i błędach konfiguracji pomogą wcześnie wykryć problem.
Polityka haseł: minimum 12 znaków, unikatowe, rotacja przy incydencie, 2FA wszędzie gdzie to możliwe. Polityka urządzeń mobilnych: screen-lock, szyfrowanie, aktualizacje, zdalne wymazywanie, zakaz instalacji aplikacji z nieznanych źródeł. Polityka kopii: codziennie krytyczne dane, raz w tygodniu pełna kopia offline i test odtwarzania co miesiąc.
Odłącz zainfekowane urządzenie od sieci, zabezpiecz logi, zmień hasła na czystym sprzęcie, zgłoś incydent osobie odpowiedzialnej, powiadom usługodawcę, oceń obowiązek zgłoszenia do UODO (jeśli dotyczy danych osobowych). Przywróć system z kopii i przeanalizuj przyczynę, aby zapobiec powtórce.
Minimum do śledzenia: odsetek kont z 2FA, czas od zgłoszenia do reakcji, odsetek urządzeń z aktualnym systemem, wynik testu kopii (czy odtworzyliśmy dane?). Te dane powinny trafiać do prostego raportu kwartalnego. Bezpieczeństwo to proces, nie projekt z metą.
Nie potrzebujesz armii konsultantów, aby znacząco zmniejszyć ryzyko. Konsekwencja, kilka dobrze dobranych narzędzi i proste procedury potrafią zdziałać cuda. Zacznij od 2FA i kopii, zbuduj nawyki, a następnie uspójniaj polityki. Każdy kolejny krok będzie już łatwiejszy.
https://cert.pl/ – CERT Polska: alerty, poradniki bezpieczeństwa, ostrzeżenia o kampaniach phishingowych.
https://www.gov.pl/web/cyfryzacja/cyberbezpieczenstwo – oficjalne rekomendacje i podstawy cyberhigieny.
Redakcja Reklama Kontakt Nasze portale i blogi
Wszelkie prawa zastrzeżone | Dział tematyczny Mindly.pl | Materiały w publikacjach | Zasady korzystania & Polityka prywatności
