Cyberbezpieczeństwo w MŚP – od czego zacząć ochronę firmy?

Ponad 103 tysiące incydentów cyberbezpieczeństwa odnotował CERT Polska w samym 2024 roku – o 29% więcej niż rok wcześniej (CERT Polska, raport za 2024). Większość z nich dotyczyła firm, które nie miały wdrożonych nawet podstawowych zabezpieczeń. Problem polega na tym, że małe i średnie przedsiębiorstwa rzadko padają ofiarą wyrafinowanych ataków – najczęściej tracą dane przez słabe hasła, brak kopii zapasowych albo nieaktualne oprogramowanie. Ten artykuł pokazuje, od czego zacząć ochronę, gdy budżet na IT jest ograniczony, a specjalistów w zespole brak.

Dlaczego MŚP są częstym celem ataków

Małe firmy padają ofiarą cyberataków nie dlatego, że przechowują szczególnie wartościowe dane. Padają, bo są łatwe do zaatakowania. Brak dedykowanego działu IT, przestarzałe systemy, pracownicy bez przeszkolenia – to gotowy przepis na incydent. Według Cisco Cybersecurity Readiness Index 2025 zaledwie 3% firm w Polsce osiągnęło dojrzały poziom gotowości na cyberzagrożenia (Cisco, dane za 2025). Reszta ma luki, o których często nawet nie wie.

Jednocześnie świadomość rośnie – raport KPMG Monitor Transformacji Cyfrowej Biznesu 2025 wskazuje, że 22% firm planuje zwiększyć nakłady na cyberbezpieczeństwo w najbliższym roku (KPMG, dane za 2025). Problemem nie jest więc brak woli, ale brak wiedzy, od czego zacząć. Firmy kupują antywirusa i uznają temat za zamknięty, podczas gdy realne zagrożenia leżą gdzie indziej.

Trzy najczęstsze scenariusze ataku na małą firmę

Ransomware – blokada systemów za okup

Pracownik otwiera załącznik z maila, który wygląda jak faktura od kontrahenta. Po kilku minutach wszystkie pliki na serwerze są zaszyfrowane, a na ekranie pojawia się żądanie okupu w kryptowalucie. Firma bez kopii zapasowej stoi przed wyborem: zapłacić (bez gwarancji odzyskania danych) albo odbudować wszystko od zera. Dla jednoosobowej księgowości czy małego biura projektowego to może oznaczać tygodnie przestoju.

Phishing – wyłudzenie danych przez fałszywy e-mail

Prezes dostaje wiadomość od „banku” z prośbą o potwierdzenie przelewu. Link prowadzi do strony łudząco podobnej do prawdziwej. Po wpisaniu loginu i hasła atakujący przejmuje dostęp do konta firmowego. Phishing odpowiada za największą liczbę incydentów rejestrowanych przez CERT Polska – skuteczność tych ataków wynika z pośpiechu i braku nawyku weryfikowania nadawcy.

Atak wewnętrzny – były pracownik z aktywnym kontem

Pracownik odchodzi z firmy, ale nikt nie dezaktywuje jego konta VPN, dostępu do chmury czy skrzynki mailowej. Po dwóch miesiącach ktoś loguje się z jego danych i pobiera bazę klientów. Brzmi jak scenariusz filmowy, ale według praktyków IT to jeden z najczęstszych i najtrudniejszych do wykrycia incydentów w mniejszych organizacjach.

Od czego zacząć – checklist bezpieczeństwa IT

Ochrona firmy nie wymaga milionowego budżetu. Siedem kroków, które realnie zmniejszają ryzyko:

1. Silne hasła i uwierzytelnianie dwuskładnikowe (2FA) – każde konto firmowe (poczta, CRM, bank) powinno mieć unikalne hasło i włączone 2FA. Menedżer haseł rozwiązuje problem zapamiętywania;
2. Regularne aktualizacje systemów – nieaktualne oprogramowanie to otwarte drzwi dla atakujących. Automatyczne aktualizacje Windows, routera, oprogramowania biurowego – to minimum;
3. Backup w regule 3-2-1 – trzy kopie danych, na dwóch różnych nośnikach, jedna poza siedzibą firmy. Kopia tylko w chmurze to za mało – ransomware potrafi zaszyfrować zsynchronizowane pliki;
4. Polityka dostępu – każdy pracownik ma dostęp tylko do zasobów, których potrzebuje. Admin nie powinien mieć tego samego konta co księgowa;
5. Szkolenia pracowników – jedno dwugodzinne szkolenie rocznie z rozpoznawania phishingu potrafi zmniejszyć liczbę kliknięć w złośliwe linki o ponad połowę;
6. Plan reagowania na incydent – kto dzwoni do kogo, gdy ekran pokazuje żądanie okupu? Prosty dokument A4 z procedurą i numerami telefonów ratuje czas w kryzysie;
7. Audyt bezpieczeństwa IT – jeśli nie wiesz, gdzie są luki, trudno je załatać. Audyt bezpieczeństwa systemów IT pokaże słabe punkty w konfiguracji, politykach dostępu i backupie, zanim dojdzie do incydentu.

Checklist nie zastąpi pełnego audytu – zwłaszcza w firmach z rozbudowaną infrastrukturą, wieloma lokalizacjami lub przetwarzających dane wrażliwe (medyczne, finansowe). W takich przypadkach potrzebna jest indywidualna analiza dostosowana do specyfiki organizacji – potwierdza Łukasz Małkiewicz, CEO Avendi Solutions.

Najczęstsze błędy firm w cyberbezpieczeństwie

1. „Jesteśmy za mali, żeby nas zaatakować” – ataki zautomatyzowane nie wybierają po wielkości firmy. Bot skanujący sieć nie sprawdza, czy firma ma 5 czy 500 pracowników – szuka otwartych portów i słabych haseł;
2. Jedno hasło do wszystkiego – pracownik używa tego samego hasła do poczty firmowej, panelu CMS i prywatnego Facebooka. Wyciek z jednego serwisu otwiera dostęp do reszty;
3. Backup tylko w chmurze, bez kopii offline – synchronizacja z Google Drive czy OneDrive nie chroni przed ransomware, który szyfruje pliki zarówno lokalnie, jak i w chmurze;
4. Brak procedury odbierania dostępów byłym pracownikom – w firmie 20-osobowej rotacja to 2–3 osoby rocznie. Bez checklisty offboardingowej stare konta zostają aktywne miesiącami;
5. Ignorowanie aktualizacji – komunikat „zaktualizuj później” klikany miesiącami to podatność, którą atakujący znają i aktywnie wykorzystują.

NIS2 – co zmienia się dla przedsiębiorców?

Dyrektywa NIS2 poszerza krąg podmiotów zobowiązanych do wdrożenia zabezpieczeń cybernetycznych. Nie dotyczy już wyłącznie operatorów usług kluczowych – obejmuje także dostawców usług ICT, firmy produkcyjne, transportowe i logistyczne. Kary za brak zgodności sięgają 10 mln EUR lub 2% rocznego obrotu.

Firmy objęte dyrektywą muszą wdrożyć m.in.:

• analizę ryzyka i politykę bezpieczeństwa informacji;
• procedury obsługi incydentów (wykrywanie, zgłaszanie, reagowanie);
• zarządzanie ciągłością działania i kopiami zapasowymi;
• zabezpieczenie łańcucha dostaw;
• szkolenia z cyberbezpieczeństwa dla kadry zarządzającej.

Nawet jeśli firma nie podlega bezpośrednio pod NIS2, jej kontrahenci mogą wymagać potwierdzenia zgodności – jako element zabezpieczenia własnego łańcucha dostaw.

FAQ

Jakie są podstawowe zasady cyberbezpieczeństwa?

Trzy filary: silne, unikalne hasła z 2FA na każdym koncie; regularne aktualizacje systemów i oprogramowania; backup danych w regule 3-2-1 (trzy kopie, dwa nośniki, jedna poza firmą). Do tego dochodzą szkolenia pracowników z rozpoznawania phishingu i jasna polityka dostępu – kto do czego ma uprawnienia.

Kto odpowiada za cyberbezpieczeństwo w firmie?

Formalnie – zarząd lub właściciel, niezależnie od tego, czy firma ma dział IT. NIS2 wprost nakłada odpowiedzialność na kadrę kierowniczą. W praktyce warto wyznaczyć jedną osobę (nawet spoza IT), która pilnuje procedur, raportuje incydenty i koordynuje szkolenia. Część firm powierza tę rolę zewnętrznemu partnerowi IT.

Ile kosztuje audyt bezpieczeństwa IT?

Cena zależy od wielkości infrastruktury – liczby serwerów, stacji roboczych, usług chmurowych. Dla firmy 10–50-osobowej audyt kosztuje zwykle od kilku do kilkunastu tysięcy złotych. Obejmuje testy podatności, przegląd konfiguracji, weryfikację polityk dostępu i raport z rekomendacjami. Koszt audytu to ułamek potencjalnych strat po incydencie.

Źródła

• CERT Polska, cert.pl, dane z raportu za 2024;
• Cisco Cybersecurity Readiness Index, newsroom.cisco.com, dane z 2025;
• KPMG Monitor Transformacji Cyfrowej Biznesu, kpmg.com/pl, dane z 2025;
• biznes.gov.pl, poradnik cyberbezpieczeństwo w MŚP, dane aktualne na 2025.