Cyberbezpieczeństwo w małej i średniej firmie – ważne dla przedsiębiorców

Które firmy są zagrożone atakami?

70% firm w Polsce spotkało się z sytuacją, która zagrażała bezpieczeństwu danych i systemów IT przedsiębiorstwa. Jednocześnie sami przedsiębiorcy oceniają swoją cyberodporność nisko.

Dla firm cyberataki mogą być bardzo kosztowne. Eksperci oceniają, że przeciętny koszt ataku to ponad milion zł. Jednak całkowity koszt, jaki ponosi firma, może być trudny do oszacowania, zwłaszcza jeśli dochodzi do utraty danych czy zaufania partnerów biznesowych i osłabienia pozycji na rynku.

Rosnące ryzyko cyberataków

Czynniki, które spowodowały wzrost ryzyka cyberataków:

1. Praca zdalna lub hybrydowa
   Zagrożenia wynikające z pracy zdalnej powstawały w związku z tym, że:

• pracownicy używali niezabezpieczonych komputerów, otwierając tym samym drogę do ataków na sieci firmowe;
• kopie zapasowych zasobów sporządzano niesystematycznie i umieszczano je wyłącznie w miejscu utworzenia;
• dane firmowe nie były w ogóle lub były w niewystarczającym stopniu szyfrowane.

2. Wybuch wojny w Ukrainie
   Z jednej strony zwiększył się poziom dezinformacji w mediach społecznościowych, z drugiej – powszechnym zagrożeniem stały się ataki hakerskie. Celem hakerów pozostaje przede wszystkim wykradanie kluczowych danych firm czy instalowanie złośliwego oprogramowania.

Co to jest cyberbezpieczeństwo?

Najczęściej cyberbezpieczeństwo jest kojarzone z przeciwdziałaniem atakom z zewnątrz na sieci teleinformatyczne. Jest to jednak szersza kwestia i dotyczy zarówno instytucji publicznych, jak i prywatnych.

Definicja cyberbezpieczeństwa

Cyberbezpieczeństwo obejmuje:

• zapewnienie ochrony i przeciwdziałanie zagrożeniom, które dotykają cyberprzestrzeni. Cyberprzestrzeń to ogólnoświatowe środowisko informacyjne, czyli zarówno infrastruktura IT, jak i dane, Internet, sieci telekomunikacyjne, systemy komputerowe, a także osadzone w nich procesory i kontrolery;
• funkcjonowanie w cyberprzestrzeni.

Co oznacza cyberbezpieczeństwo w małej i średniej firmie?

W małej i średniej firmie cyberbezpieczeństwo oznacza:

1. Proces i działania, które mają chronić dane i systemy wewnętrzne firm – np. oprogramowanie do planowania zasobów przedsiębiorstwa (ERP) czy narzędzia do zarządzania relacjami z klientami (CRM) – przed zagrożeniami, jakie niesie za sobą cyberatak.
2. Przeciwdziałanie cyberzagrożeniom, które mogą dotykać każdego procesu w firmie, w tym: sprzedaży, marketingu, obsługi klienta, kadr, finansów. Szczególną uwagę trzeba jednak zwrócić na:

• systemy i aplikacje (np. systemy do zarządzania finansami i księgowością, aplikacje zapewniające przejazdy osobowe pracowników);
• urządzenia do przetwarzania informacji (np. laptopy, tablety);
• elementy sterowania komunikacją, takie jak serwer i sieć, która jest pomostem między klientami a serwerami;
• działania pracowników określane jako błąd użytkownika (np. ujawnienie przez pracownika hasła do komputera innym osobom, kliknięcie przez pracownika na link przesłany w zainfekowanym mailu).

Jakie ataki grożą firmom?

Ataki typu ransomware
Jest to szkodliwe oprogramowanie wykorzystywane do szyfrowania danych. Celem takiego ataku jest wymuszenie okupu za odzyskanie danych. Metody działania i narzędzia używane przez cyberprzestępców nie wymagają żadnych specyficznych uprawnień ani działań po stronie atakowanego. Większość ataków typu ransomware zaczyna się od złośliwej wiadomości e-mail. Atak powoduje blokadę podstawowych funkcji na komputerze albo komórce, zmuszając pracownika firmy do zapłacenia okupu za przywrócenie kontroli nad urządzeniami.

Ataki phishingowe
Jest to metoda oszustwa, która polega na nakłonieniu adresata do podjęcia określonego działania, np. kliknięcia w zainfekowany link lub pobrania dokumentu. Atak ma na celu instalację złośliwego oprogramowania, które umożliwia kolejne naruszenia, np.:

• wyłudzenie poufnych informacji, takich jak dane logowania, dane kart kredytowych;
• zainfekowanie komputera szkodliwym oprogramowaniem;
• nakłonienie firmy lub pracowników do określonych działań.

DoS (Denial of Service)
Atak ten polega na wysyłaniu dużej liczby danych, zapytań i informacji z wielu (nawet setek tysięcy) komputerów z całego świata, co powoduje przeciążenie liczbą operacji i – w efekcie – niedostępność serwerów.

The Inside Attack (atak z wewnątrz)
Przykładem ataku z wewnątrz jest sytuacja, gdy pracownik odchodzi z pracy, ale wciąż ma kontakt z firmą (aktywne konta do logowania, dostęp do aplikacji firmowych, usług firmowych). Dlatego należy zadbać o usunięcie kont byłego pracownika i zmianę haseł do wszystkich usług, do których miał dostęp.

Jakie są konsekwencje cyberataków?

Konsekwencje cyberataków to:

1. Utrudnienie lub paraliż normalnych funkcji przedsiębiorstwa – zwłaszcza kiedy właściciele firmy bądź pracownicy nie mają dostępu do danych, np. nie mogą zalogować się zdalnie na skrzynkę pocztową lub uzyskać dostępu do dysku w chmurze.
2. Spowolnione działanie urządzeń i aplikacji, nagłe znikanie plików i folderów z urządzenia lub pojawianie się nowych czy rozsyłanie spamu przez urządzenia (komputer, telefon).
3. Dotkliwą i kolejną najczęstszą konsekwencją cyberataków są straty finansowe firm:

• przerwy w działalności spowodowane cyberatakiem oznaczają utratę przychodów: dane publikowane przez NASK wskazują, że 2/3 firm, które padły ofiarą cyberataku, odnotowały związany z nim znaczny spadek przychodów;
• kosztowna może być również utrata lub uszkodzenie danych – w wielu przypadkach kolejnym i istotnym kosztem są naprawy sprzętu lub infrastruktury i praca związana z tymi naprawami.

4. W długiej perspektywie cyberatak negatywnie wpływa na wizerunek firmy na rynku

Jak się zabezpieczać przed cyberatakami?

Inwestycje w technologie
Najdroższe są wydatki na technologię. Budżet związany z cyberbezpieczeństwem oczywiście będzie zależeć od możliwości firmy, ale zdaniem ekspertów nie powinien spadać poniżej 3% całkowitych nakładów inwestycyjnych firmy.

Pieniądze powinny zostać przeznaczone na konkretne rozwiązania technologiczne polegające na zabezpieczeniu komputerów i urządzeń mobilnych oraz ich aktualizację, ponieważ to właśnie na nich najczęściej są przechowane najcenniejsze dane.

Chodzi o bieżącą aktualizację oprogramowania, wykonywanie zapasowych kopii danych i przekazywanie ich do innych lokalizacji, uwierzytelnianie silnym hasłem, identyfikację i uwierzytelnianie metodami biometrycznymi.

Cyberszkolenia
Świadomość cyberzagrożeń powinni mieć przede wszystkim menedżerowie i kadra zarządzająca. Ich zadaniem jest upowszechniać ją wśród pracowników, ponieważ to właśnie pracownicy są często najsłabszym ogniwem firmy w cyberprzestrzeni:

• jedna trzecia pracowników używa tego samego hasła na wielu platformach;
• jedna czwarta wciąż zapomina zablokować komputer, gdy wstaje od biurka;
• jedna piąta przechowuje hasło dostępowe na kartce znajdującej się na biurku, na widoku.

UWAGA!
Pracownicy powinni mieć dostęp do aktualnych informacji o procedurach postępowania w sytuacji cyberzagrożenia i cyberataku istniejących w firmie. Jeśli takich procedur nie ma, warto je stworzyć.

Polityka cyberbezpieczeństwa
Za stworzenie polityki cyberbezpieczeństwa najczęściej odpowiada administrator bezpieczeństwa danych bądź specjalista IT (to może być pracownik przedsiębiorstwa lub ekspert zewnętrzny).

Jest to zbiór reguł dotyczących postępowania z danymi i dostępami do systemów, w tym odpowiednia polityka haseł i danych dostępu. Zadbanie o silne hasła, wyłączanie kont po wielokrotnych próbach logowania i korzystanie z zasady uwierzytelnienia dwuskładnikowego (two-factor authentication, 2FA) to przykłady dobrych praktyk, które mogą być promowane w ramach polityki bezpieczeństwa firmy.

Pracownicy w firmie muszą mieć świadomość tego, jak są pozyskiwane dane, kto ma uprawienia do ich przetwarzania, czy i gdzie dane są przechowywane i wreszcie na jakich warunkach odbywa się ich niszczenie. Polityka obejmuje również sprzęt (laptopy, tablety) – zasady ich aktualizacji, przechowywanie urządzeń, zasady zgłaszania utraty danych i kradzieży.

Szkolenia specjalistyczne
Szkolenia pokażą, w jaki sposób reagować na cyberataki. Prostsze szkolenia instrukcyjne mają na celu przekazywanie wiedzy o metodach zapobiegania cyberatakom, takich jak uwierzytelnianie silnym hasłem i jego regularna zmiana.

W przypadku szkoleń zewnętrznych należy zwrócić uwagę, czy szkolenie jest dostosowane do specyfiki mniejszych firm, w tym – czy jego dostawca może wykazać się rekomendacjami od klientów.

Standardowy pakiet szkoleniowy powinien objąć kwestię rozpoznawania sytuacji ataku cybernetycznego (pierwsze niepokojące sygnały), zapoznanie ze sposobami działania hakera, podstawy stosowania socjotechnik, przegląd podstawowych typów ataków występujących wśród MŚP (dotyczące używania sprzętu, skrzynki pocztowej, stron internetowych), procedur działania po ataku w firmie.

Monitorowanie zabezpieczeń
Warto regularnie monitorować funkcjonujące w firmie zabezpieczenia przed cyber przestępczością, np.:

• systematycznie audytować używany sprzęt i oprogramowanie,
• sprawdzać aktualność programów do walki z cyberzagrożeniami,
• weryfikować zmiany haseł dostępowych.

Audyt IT
Ma on na celu sprawdzenie, czy system informatyczny firmy we właściwy sposób chroni jej majątek, utrzymuje integralność danych i dostarcza właściwych informacji. Audyt pozwala również na sprawdzenie reakcji pracowników w sytuacjach zagrażających cyberbezpieczeństwu (testy penetracyjne), które służą wykryciu luk w zabezpieczeniach.

UWAGA!
Zakres audytu powinien zostać dopasowany indywidualnie do potrzeb i sytuacji firmy, „uszyty na miarę”.

Artykuł pochodzi z książki:
Instrukcje księgowego. 100 praktycznych procedur z bazą narzędzi online

Opracowanie merytoryczne  
Ewa Sławińska
Na podstawie Informatora pt. „Cyberbezpieczeństwo w małej i średniej firmie” – opublikowanego na www.biznes.gov.pl zaktualizowanego na dzień 27 lutego 2025 r.