Analiza cyberbezpieczeństwa w małych i średnich przedsiębiorstwach: Jak zabezpieczyć firmę w cyfrowym świecie

Atak na małą firmę zwykle nie zaczyna się od przełamania firewalla. Zaczyna się od przejętej skrzynki właściciela, fałszywej faktury, nieaktualnej wtyczki w sklepie internetowym albo konta wykonawcy, któremu po zakończeniu współpracy nikt nie odebrał dostępu.

Dlatego analiza cyberbezpieczeństwa w MŚP nie powinna być listą posiadanych programów. Jej celem jest ustalenie, które zdarzenie może zatrzymać sprzedaż, zablokować wystawianie faktur, ujawnić dane klientów lub pozbawić firmę dostępu do bankowości. Dopiero wtedy wiadomo, gdzie wydać pieniądze i czego nie kupować.

Firma zatrudniająca kilkanaście osób nie potrzebuje infrastruktury projektowanej jak dla banku. Potrzebuje jednak porządku: aktualnej listy kont, działających kopii zapasowych, uwierzytelniania wieloskładnikowego i procedury reagowania na incydenty. Bez tych podstaw drogi system bezpieczeństwa będzie jedynie generował alerty, których nikt nie obsłuży.

Najpierw sprawdź, co naprawdę może zatrzymać firmę

Pierwszym etapem analizy powinna być inwentaryzacja zasobów. Nie chodzi o rozbudowany arkusz tworzony przez kilka miesięcy, lecz o praktyczną listę rzeczy, bez których przedsiębiorstwo nie może normalnie pracować.

Trzeba spisać co najmniej:

  • systemy biznesowe, takie jak poczta, CRM, ERP, sklep internetowy, program księgowy i system magazynowy;
  • miejsca przechowywania danych: serwery, komputery, dyski sieciowe, Microsoft 365, Google Workspace, Dropbox oraz inne usługi chmurowe;
  • urządzenia służbowe i prywatne używane do pracy;
  • konta administratorów, właścicieli, pracowników i zewnętrznych wykonawców;
  • domeny internetowe, hosting, certyfikaty, repozytoria kodu i profile firmowe w mediach społecznościowych;
  • dostawców IT mających zdalny dostęp do infrastruktury.

Najwięcej niespodzianek zwykle pojawia się przy kontach i usługach kupionych kilka lat wcześniej. Była agencja nadal może mieć dostęp do panelu sklepu, były pracownik do firmowego Dysku Google, a domena internetowa może być przypisana do prywatnego adresu e-mail osoby, która już nie współpracuje z firmą.

Samo znalezienie zasobu nie wystarcza. Przy każdym systemie należy określić:

  • kto jest jego właścicielem biznesowym;
  • kto ma uprawnienia administracyjne;
  • jakie dane są w nim przechowywane;
  • jak długo firma może pracować bez tego systemu;
  • czy istnieje kopia zapasowa;
  • jak wygląda odzyskanie dostępu po awarii lub przejęciu konta.

Dla sklepu internetowego największym problemem może być sześciogodzinny przestój sprzedaży. Dla biura rachunkowego — utrata dokumentów klientów przed terminem rozliczeń. Dla firmy produkcyjnej — niedostępność systemu magazynowego, przez którą towar fizycznie leży na hali, ale nie można go wydać.

Ryzyko należy oceniać przez konsekwencje, a nie przez techniczne nazwy podatności. Luka w mało używanym systemie testowym może mieć niski priorytet. Brak drugiego składnika logowania na skrzynce osoby zatwierdzającej przelewy jest problemem pilnym.

W praktyce minimalny audyt powinien odpowiedzieć na następujące pytania:

  • Czy wszystkie konta byłych pracowników i wykonawców są wyłączone?
  • Czy administratorzy korzystają z osobnych kont do zwykłej pracy?
  • Czy na poczcie, bankowości, hostingu i usługach chmurowych działa MFA?
  • Czy aktualizowane są także routery, serwery NAS, wtyczki WordPressa i aplikacje branżowe?
  • Czy wiadomo, kto otrzymuje alerty o wygasającym certyfikacie lub domenie?
  • Czy firma potrafi odtworzyć dane z kopii zapasowej?
  • Czy istnieje numer telefonu do osoby, która podejmie decyzję w razie ataku poza godzinami pracy?

Na tym etapie nie warto zaczynać od testu penetracyjnego. Jeżeli firma ma aktywne konta byłych pracowników, nie używa MFA i nigdy nie testowała backupu, zaawansowane testy potwierdzą głównie problemy, które już można wskazać bez atakowania infrastruktury.

Zabezpieczenia, które dają największy efekt

Najwyższy priorytet mają poczta elektroniczna, konta administracyjne i kopie zapasowe. To w tych obszarach pojedynczy błąd najczęściej prowadzi do poważnego incydentu.

Pierwszym działaniem powinno być włączenie uwierzytelniania wieloskładnikowego na:

  • poczcie właścicieli i pracowników;
  • kontach administratorów;
  • panelu hostingu i rejestratora domeny;
  • systemach księgowych;
  • chmurze firmowej;
  • repozytoriach kodu;
  • narzędziach do zdalnego dostępu;
  • profilach reklamowych i firmowych kontach społecznościowych.

Kod SMS jest lepszy niż samo hasło, ale nie powinien być docelowym rozwiązaniem dla najważniejszych kont. Aplikacje uwierzytelniające oraz sprzętowe klucze bezpieczeństwa lepiej chronią przed przejęciem sesji i częścią ataków phishingowych. Klucze warto wdrożyć przynajmniej dla właścicieli, administratorów i osób mających dostęp do płatności.

Niedogodność jest realna: pracownicy gubią telefony, zmieniają urządzenia i czasem blokują sobie dostęp. Dlatego razem z MFA trzeba przygotować kody awaryjne, drugi składnik zapasowy oraz procedurę odzyskania konta. Przechowywanie wszystkich kodów ratunkowych w jednym arkuszu dostępnym dla całej firmy niweczy sens zabezpieczenia.

Drugim priorytetem jest backup, ale nie taki, który istnieje wyłącznie jako zielony komunikat w panelu. Kopia zapasowa jest użyteczna dopiero wtedy, gdy firma potrafi z niej odtworzyć plik, skrzynkę lub cały system.

Rozsądnym punktem wyjścia jest zasada 3-2-1:

  • trzy kopie danych, licząc dane robocze;
  • dwa różne nośniki lub środowiska;
  • jedna kopia poza podstawową infrastrukturą.

Przynajmniej jedna kopia powinna być odseparowana od zwykłych kont administratorów. Jeśli ransomware może zalogować się do systemu backupowego tym samym kontem, którym zarządza się serwerem, istnieje ryzyko zaszyfrowania lub usunięcia także kopii.

Test odtwarzania należy wykonywać regularnie. Dla małego biura wystarczający może być test kwartalny, natomiast sklep internetowy, system produkcyjny lub firma obsługująca dużą liczbę transakcji powinny sprawdzać wybrane odtworzenia częściej. Test musi mierzyć nie tylko to, czy dane wróciły, lecz również:

  • ile trwało odzyskanie;
  • kto znał hasła i procedurę;
  • jak dużo danych utracono od ostatniej kopii;
  • czy aplikacja uruchomiła się poprawnie;
  • czy backup obejmował wszystkie potrzebne elementy.

Trzecim obszarem jest zarządzanie uprawnieniami. Pracownik nie powinien mieć dostępu „na wszelki wypadek”. Jedno przejęte konto z prawami administratora może pozwolić napastnikowi wyłączyć ochronę, skasować backup i przejąć kolejne systemy.

Szczególnie niebezpieczne są konta współdzielone. Gdy pięć osób korzysta z jednego loginu, nie da się wiarygodnie ustalić, kto wykonał operację, a po odejściu pracownika trzeba zmieniać hasło wszystkim. Lepszym rozwiązaniem są indywidualne konta, role użytkowników i rejestrowanie działań administracyjnych.

Czwarty priorytet to aktualizacje. Trzeba objąć nimi nie tylko Windows i pakiet biurowy, lecz także:

  • przeglądarki i ich rozszerzenia;
  • telefony służbowe;
  • routery, zapory sieciowe i urządzenia NAS;
  • systemy sklepów internetowych;
  • wtyczki i motywy CMS;
  • aplikacje do zdalnego dostępu;
  • oprogramowanie księgowe i magazynowe.

Krytyczne podatności w usługach dostępnych z internetu powinny być obsługiwane w dniach, nie po zakończeniu kwartału. Jednocześnie automatyczna aktualizacja nie zawsze jest bezpieczna dla starszych aplikacji branżowych. Jeśli poprawka może zatrzymać produkcję lub sprzedaż, trzeba najpierw wykonać kopię, sprawdzić zgodność i przygotować możliwość wycofania zmiany. Brak procesu jest zły, ale instalowanie wszystkiego bez testu również potrafi wywołać kosztowny przestój.

Ochrona komputerów powinna obejmować nowoczesny system antywirusowy lub EDR, szyfrowanie dysków i automatyczne blokowanie ekranu. EDR daje więcej informacji o zachowaniu procesów i może szybciej wykrywać nietypowe działania, lecz wymaga obsługi alertów. Kupowanie rozbudowanego systemu bez wyznaczenia osoby, która będzie go nadzorować, zwykle kończy się ignorowaniem komunikatów.

Menedżer haseł jest praktyczniejszy niż polityka zmuszająca pracowników do częstej zmiany haseł według przewidywalnego schematu. Pozwala tworzyć długie, unikalne hasła i bezpieczniej przekazywać dostępy. Problemem bywa opór zespołu oraz sytuacje, w których pracownicy zaczynają zapisywać w nim również kody odzyskiwania do wszystkich najważniejszych usług. Dostęp do samego menedżera musi być chroniony mocnym hasłem głównym i MFA.

Plan naprawczy bez blokowania działalności

Wyniki analizy trzeba zamienić na zadania z właścicielem, terminem i kryterium wykonania. Zapis „poprawić bezpieczeństwo poczty” niczego nie rozwiązuje. Zadanie powinno brzmieć na przykład: „Do 31 sierpnia włączyć MFA na wszystkich skrzynkach, usunąć nieużywane konta, wyłączyć automatyczne przekazywanie wiadomości poza firmę i ustawić osobę odpowiedzialną za alerty administratora”.

Dobrze działa podział na trzy poziomy.

Do wykonania natychmiast:

  • włączenie MFA na poczcie, chmurze i kontach administracyjnych;
  • wyłączenie kont byłych pracowników;
  • zmiana domyślnych oraz współdzielonych haseł;
  • aktualizacja systemów dostępnych bezpośrednio z internetu;
  • sprawdzenie, czy istnieje działająca kopia danych krytycznych;
  • ograniczenie zdalnego dostępu do infrastruktury;
  • zabezpieczenie panelu domeny i hostingu.

Do wykonania w ciągu 30 dni:

  • uporządkowanie ról i uprawnień;
  • wdrożenie menedżera haseł;
  • szyfrowanie dysków laptopów;
  • test odtworzenia danych;
  • przygotowanie procedury przyjmowania i odbierania dostępów;
  • określenie sposobu zgłaszania podejrzanych wiadomości;
  • utworzenie listy kontaktów na wypadek incydentu.

Do wykonania po zabezpieczeniu podstaw:

  • wdrożenie EDR na komputerach i serwerach;
  • centralne zbieranie logów;
  • segmentacja sieci;
  • przegląd bezpieczeństwa dostawców;
  • testy penetracyjne;
  • ćwiczenia reakcji na ransomware lub przejęcie poczty;
  • automatyzacja wykrywania i obsługi alertów.

Plan powinien uwzględniać koszt przestoju. Jeśli godzina niedostępności sklepu kosztuje firmę 10 tys. zł utraconej sprzedaży, rozwiązanie skracające odtworzenie z ośmiu godzin do jednej może być ważniejsze niż kolejny moduł raportowy. Jeżeli natomiast firma może przez dzień pracować na dokumentach papierowych, inwestowanie w bardzo drogi system wysokiej dostępności nie musi być uzasadnione.

Trzeba także przygotować prostą procedurę reagowania na incydent. Powinna zmieścić się na jednej lub dwóch stronach i określać:

  1. Kto podejmuje decyzję o odłączeniu urządzenia lub systemu?
  2. Kto kontaktuje się z administratorem IT, hostingiem i dostawcą chmury?
  3. Gdzie znajdują się kopie zapasowe i dane dostępowe?
  4. Jak zabezpieczyć logi oraz inne ślady zdarzenia?
  5. Kto ocenia wpływ incydentu na dane osobowe?
  6. Kto informuje klientów, pracowników i kontrahentów?
  7. Jak firma będzie działać, gdy poczta lub system księgowy pozostaną niedostępne?

W przypadku naruszenia ochrony danych osobowych administrator ocenia ryzyko dla osób, których dane dotyczą. Jeżeli naruszenie wymaga zgłoszenia, termin wynosi co do zasady 72 godziny od jego stwierdzenia. Nie każdy incydent informatyczny jest naruszeniem podlegającym zgłoszeniu, ale każdy powinien zostać udokumentowany i oceniony.

Część przedsiębiorstw może podlegać dodatkowym wymaganiom sektorowym lub obowiązkom wynikającym z przepisów wdrażających dyrektywę NIS2. Regulacje dotyczą nie tylko samych zabezpieczeń technicznych, lecz także zarządzania ryzykiem, ciągłości działania, bezpieczeństwa dostawców oraz zgłaszania poważnych incydentów. Zakres obowiązków zależy między innymi od sektora, rodzaju usług i wielkości podmiotu, dlatego nie należy automatycznie zakładać, że każda mała firma jest objęta tymi samymi wymaganiami.

Szkolenie pracowników należy oprzeć na sytuacjach, które naprawdę zdarzają się w firmie. Jednogodzinny wykład raz w roku ma ograniczoną wartość. Więcej daje regularne przećwiczenie kilku scenariuszy:

  • prośby o zmianę numeru rachunku kontrahenta;
  • pilnego przelewu zleconego rzekomo przez prezesa;
  • fałszywego logowania do Microsoft 365 lub Google;
  • dokumentu udostępnionego przez nieznaną osobę;
  • telefonu od „informatyka” proszącego o kod MFA;
  • znalezionego pendrive’a;
  • utraty służbowego laptopa lub telefonu.

Zasada powinna być prosta: zmianę numeru rachunku i nietypowe polecenie przelewu potwierdza się drugim kanałem, używając wcześniej znanego numeru telefonu. Nie należy oddzwaniać na numer podany w podejrzanej wiadomości.

Największą słabością szkoleń jest karanie pracownika za zgłoszenie pomyłki. Osoba, która kliknęła link i boi się reakcji przełożonego, może ukrywać zdarzenie przez kilka godzin. W tym czasie napastnik zdąży przejąć sesję, ustawić przekierowanie poczty i wysłać wiadomości do kontrahentów. Szybkie zgłoszenie jest dla firmy cenniejsze niż szukanie winnego.

FAQ

Czy mała firma rzeczywiście może być celem cyberataku?
Tak. Wiele ataków jest zautomatyzowanych. Przestępcy masowo wysyłają phishing, sprawdzają wycieki haseł i skanują internet w poszukiwaniu nieaktualnych systemów. Nie muszą wcześniej znać firmy ani wybierać jej ręcznie.

Czy zwykły antywirus wystarczy?
Nie. Antywirus nie zabezpieczy przejętej skrzynki pocztowej, słabego hasła do hostingu, błędnie udostępnionego folderu ani braku kopii zapasowej. Ochrona urządzeń jest potrzebna, ale powinna działać razem z MFA, aktualizacjami, kontrolą dostępów i backupem.

Jak często przeprowadzać analizę bezpieczeństwa?
Pełny przegląd warto wykonywać przynajmniej raz w roku oraz po wdrożeniu ważnego systemu, zmianie dostawcy IT, przejęciu firmy, migracji do chmury lub poważnym incydencie. Konta użytkowników i powodzenie backupu należy sprawdzać częściej, najlepiej co miesiąc lub kwartał — zależnie od tempa zmian i znaczenia danych.

Czy backup w chmurze wystarczy?
Nie zawsze. Synchronizacja nie jest tym samym co kopia zapasowa. Usunięty lub zaszyfrowany plik może zostać zsynchronizowany na wszystkich urządzeniach. Trzeba sprawdzić historię wersji, okres przechowywania, możliwość masowego odtworzenia oraz to, czy administrator lub napastnik może usunąć wszystkie kopie.

Czy do pracy zdalnej wystarczy VPN?
Nie. VPN szyfruje połączenie, ale nie naprawia zainfekowanego laptopa ani nie chroni przed wyłudzeniem hasła. Urządzenie powinno mieć aktualizacje, szyfrowanie dysku, ochronę endpointu, blokadę ekranu i ograniczone uprawnienia użytkownika.

Kiedy potrzebny jest test penetracyjny?
Po uporządkowaniu podstaw. Test ma sens, gdy firma zna swoje systemy, instaluje aktualizacje, stosuje MFA i potrafi reagować na wykryte problemy. W przeciwnym razie raport będzie kosztowną listą oczywistych zaniedbań.

Kiedy zatrudnić zewnętrznego specjalistę?
Gdy nikt w firmie nie potrafi sprawdzić konfiguracji poczty, backupu, sieci i uprawnień albo gdy przedsiębiorstwo obsługuje płatności, przetwarza duże zbiory danych klientów, prowadzi e-commerce lub utrzymuje usługi dostępne z internetu. Zewnętrzna pomoc jest potrzebna również po wykryciu włamania — szczególnie wtedy, gdy trzeba zabezpieczyć materiał dowodowy i ustalić skalę zdarzenia.

Ile kosztuje podstawowe zabezpieczenie MŚP?
Koszt zależy od liczby użytkowników i posiadanych licencji. Część funkcji, takich jak MFA, szyfrowanie urządzeń czy filtrowanie poczty, może być już zawarta w używanym pakiecie chmurowym. Dodatkowy menedżer haseł, ochrona endpointów i backup zwykle oznaczają wydatek od kilkunastu do kilkudziesięciu złotych miesięcznie na użytkownika lub urządzenie. Najdroższe są jednak wdrożenie, konfiguracja i późniejsza obsługa. Narzędzie za 20 zł miesięcznie, którego nikt nie skonfigurował i nie monitoruje, nie jest realnym zabezpieczeniem.

Pierwszą decyzję można podjąć bez zamawiania rozbudowanego audytu: włącz MFA na poczcie, chmurze, hostingu i kontach administratorów, a następnie odtwórz jeden ważny plik z backupu. Jeśli któregoś z tych zadań nie da się wykonać od ręki, właśnie tam znajduje się luka, którą trzeba usunąć przed zakupem kolejnego systemu.

Leave a reply

Your email address will not be published. Required fields are marked *

Ciasteczka

Kontynuując przeglądanie strony, wyrażasz zgodę na używanie plików Cookies. Więcej informacji znajdziesz w polityce prywatności.