Ransomware nie jest już „problemem dużych korporacji”. Dziś ataki są zautomatyzowane, tanie i masowe, a celem bywa każda firma, która ma dane i płaci faktury. Co gorsza, skutki bywają podobne niezależnie od skali: przestoje, utrata danych, paraliż pracy, ryzyko prawne (RODO) i koszty odzyskiwania. Dobra wiadomość: większości incydentów można zapobiec, a jeśli nawet do nich dojdzie – można mieć plan, który ograniczy straty do minimum.
Artykuł sponsorowany
1) Zrozum, skąd bierze się ransomware (najczęstsze wektory ataku)
Ransomware prawie nigdy nie „wpada z powietrza”. Najczęstsze drogi wejścia to:
- phishing (podszyte faktury, linki do „dokumentu”, fałszywe logowania do M365),
- przejęte konta (brak MFA, słabe hasła, wycieki haseł),
- niezałatane podatności (stare systemy, wtyczki, VPN, routery),
- zdalny dostęp wystawiony do internetu (RDP bez zabezpieczeń, słabe VPN),
- zainfekowane urządzenia użytkowników (pendrive, prywatny laptop, brak EDR).
Zabezpieczenie firmy to więc nie jeden program antywirusowy, tylko „warstwy”: dostęp, endpointy, sieć, backup, monitoring i proces.
2) Fundament: kopie zapasowe, które faktycznie ratują firmę
Jeśli chcesz „przetrwać” ransomware i awarię, backup to absolutne minimum. Ale musi być zrobiony dobrze.
Zasada 3-2-1 (standard bezpieczeństwa)
- 3 kopie danych (produkcyjne + 2 kopie),
- 2 różne nośniki (np. serwer/NAS + chmura),
- 1 kopia poza siedzibą / odseparowana (offsite, najlepiej z immutability).
Najczęstsze błędy backupu
- backup na tym samym NAS-ie co dane (ransomware zaszyfruje wszystko),
- brak testów odtwarzania,
- backup tylko „serwera”, a dane pracowników są na laptopach,
- brak backupu usług chmurowych (M365/Google) – a ransomware potrafi usunąć/zaszyfrować dane również tam.
Co wdrożyć praktycznie
- automatyczny backup krytycznych danych (serwery, bazy, pliki firmowe),
- backup danych użytkowników (OneDrive/Drive z politykami, ewentualnie backup endpointów),
- backup poczty i dokumentów w chmurze (osobna warstwa),
- cykliczne testy odtwarzania (np. raz w miesiącu/kwartał),
- ustalenie RPO/RTO:
- RPO: ile danych możesz stracić (np. 1 godzina),
- RTO: jak szybko musisz wrócić do pracy (np. 4 godziny).
3) MFA i kontrola dostępu – najszybszy „win” przeciwko przejęciom kont
Jeśli dziś miałbyś zrobić tylko jedną rzecz poza backupem: włącz MFA wszędzie.
Co zabezpieczyć MFA
- poczta i konta M365/Google,
- VPN,
- panele administracyjne (hosting, domena, CMS),
- konta finansowe, bankowość,
- narzędzia zdalnego dostępu.
Dodatkowe zasady
- osobne konta administracyjne (admin nie służy do maila),
- zasada najmniejszych uprawnień,
- szybki offboarding (odejście pracownika = natychmiastowe wyłączenie dostępów),
- menedżer haseł i polityka silnych haseł.
4) Endpoint security: EDR zamiast „gołego antywirusa”
Tradycyjny antywirus często nie wystarcza, bo ransomware zmienia się szybko. Dlatego standardem w firmach jest dziś EDR (Endpoint Detection & Response), który monitoruje zachowania i wykrywa podejrzane akcje (np. masowe szyfrowanie plików).
Co powinno być wdrożone na komputerach:
- EDR/anty-malware klasy biznes,
- szyfrowanie dysków (BitLocker/FileVault),
- ograniczenie praw lokalnych adminów,
- blokady uruchamiania podejrzanych plików/makr,
- kontrola urządzeń zewnętrznych (USB) w zależności od profilu ryzyka.
Dlaczego to ważne: ransomware często startuje na jednym laptopie i rozprzestrzenia się dalej. EDR + segmentacja sieci potrafią zatrzymać incydent na poziomie „jednej stacji”, zamiast całej firmy.
5) Aktualizacje i podatności: patch management, czyli mniej „otwartych drzwi”
Wiele ataków to wykorzystanie znanych podatności, które mają już łatki. Problem w tym, że firmy ich nie wdrażają.
W praktyce potrzebujesz:
- harmonogramu aktualizacji (systemy, aplikacje, przeglądarki, wtyczki),
- aktualizacji urządzeń sieciowych (routery, firewalle, AP),
- wycofywania sprzętu i systemów EOL (end-of-life),
- kontroli wtyczek i CMS (WordPress to częsty cel, jeśli jest zaniedbany).
6) Sieć: segmentacja i zasada „nie ufaj wszystkim w LAN”
Jeśli w firmie wszystko jest w jednej sieci, ransomware ma autostradę do serwerów i zasobów.
Co robi różnicę:
- VLAN-y: użytkownicy, serwery, drukarki, IoT, goście,
- ograniczenia ruchu między VLAN-ami,
- osobna sieć dla gości,
- blokady niepotrzebnych usług (np. SMB tam, gdzie nie jest potrzebny),
- firewall z sensownymi regułami.
7) Ochrona poczty i antyphishing
Phishing to nadal numer 1. Najlepsze firmy robią to warstwowo:
- filtry antyspam/antyphishing,
- DMARC, SPF, DKIM (ochrona domeny przed podszywaniem),
- szkolenia użytkowników + symulacje phishingu,
- szybka ścieżka zgłaszania podejrzanych maili (jeden przycisk, jedna procedura).
Dobrze skonfigurowana poczta potrafi uciąć ogromną część ryzyka.
8) Plan na awarię i ransomware: IR + DR w wersji „dla ludzi”
Najlepsze zabezpieczenia to jedno, ale w kryzysie liczy się reakcja. Wiele firm traci godziny, bo nikt nie wie, co robić.
Minimalny plan reagowania (Incident Response)
Powinien odpowiadać na pytania:
- kto decyduje o odłączeniu sieci?
- kto kontaktuje się z dostawcą IT?
- jak izolujemy zainfekowane urządzenia?
- jak zabezpieczamy dowody (logi, kopie)?
- jak komunikujemy się wewnętrznie (np. gdy poczta nie działa)?
Minimalny plan ciągłości (Disaster Recovery)
- lista krytycznych systemów,
- kolejność odtwarzania,
- dane dostępowe do backupów w bezpiecznym miejscu,
- procedura uruchomienia „trybu awaryjnego” (np. praca na urządzeniach zastępczych).
9) Testuj: bez testów nie wiesz, czy jesteś bezpieczny
W bezpieczeństwie działa zasada: jeśli czegoś nie testujesz, to tego nie masz.
Co warto testować:
- odtwarzanie backupu (regularnie),
- logowanie alarmów z monitoringu,
- procedury offboardingu,
- podatności (skan podatności / audyt),
- scenariusz „co robimy, gdy padnie internet/poczta/serwer”.
10) Minimalny plan wdrożenia w 30 dni (dla MŚP)
Jeśli chcesz szybko podnieść bezpieczeństwo, zacznij od tego:
Tydzień 1
- MFA na poczcie i kluczowych kontach,
- wprowadzenie menedżera haseł,
- przegląd uprawnień i kont admin.
Tydzień 2
- EDR na wszystkich urządzeniach,
- szyfrowanie dysków,
- aktualizacje systemów i aplikacji.
Tydzień 3
- backup 3-2-1 + odseparowana kopia,
- pierwszy test odtworzenia.
Tydzień 4
- segmentacja sieci (minimum: goście vs. firma),
- polityki antyphishing,
- mini-procedura incydentu (1 strona, jasne kroki).
To daje ogromny wzrost odporności bez „przebudowy całego świata”.
Podsumowanie
Zabezpieczenie firmy przed ransomware i awarią to kombinacja trzech rzeczy: prewencji (MFA, EDR, aktualizacje, segmentacja, antyphishing), odporności (backup 3-2-1, testy odtwarzania, plan DR) oraz reakcji (procedury IR i jasne role). Największy błąd to liczyć na jedno narzędzie — prawdziwa ochrona działa warstwowo.
Jeśli chcesz zabezpieczyć swoją firmę, warto poszukać firmy, która jest specjalistą od kompleksowej obsługi informatycznej w Warszawie i innych miastach w Polsce.
Apple CarPlay – jak włączyć i skonfigurować w samochodzie?
Jak zmienić język przeglądarki Google Chrome?
Adapter Bluetooth do komputera – jaki kupić?
Telewizory Samsung 55 cali – jakość w rozsądnej cenie
Wolfenstein: The New Order – wymagania sprzętowe
Jaki mikrofon do komputera wybrać do rozmów i streamowania?
Ceny procesorów Intel Core 14. generacji
Kondycja baterii w iPhone – kiedy wymienić ogniwo?