Mała firma nie potrzebuje działu bezpieczeństwa, tylko kilku dobrze ustawionych podstaw. Ta lista zbiera te, które dają najwięcej ochrony za najmniej pracy. Szersze wprowadzenie znajdziesz w poradniku cyberbezpieczeństwo dla małych firm.

0 / 12

Konta i dostęp

Urządzenia i dane

Windows 11
  1. Start, Ustawienia, Windows Update.
  2. Upewnij się, że aktualizacje nie są wstrzymane.
  3. Opcje zaawansowane, ustaw godziny aktywności (restart poza czasem pracy).
macOS
  1. Ustawienia systemowe, Ogólne, Uaktualnienie oprogramowania.
  2. Kliknij ikonę "i" przy uaktualnieniach automatycznych.
  3. Włącz wszystkie, zwłaszcza "Instaluj uaktualnienia zabezpieczeń i plików systemowych".
Windows 11 Pro
  1. Start, wpisz "BitLocker", wybierz "Zarządzaj funkcją BitLocker".
  2. Wybierz dysk, "Włącz funkcję BitLocker", zapisz klucz odzyskiwania w bezpiecznym miejscu.
Windows 11 Home
  1. Pełny BitLocker jest tylko w edycji Pro. W Home sprawdź Ustawienia, Prywatność i zabezpieczenia, Szyfrowanie urządzenia (dostępne tylko na sprzęcie z TPM i Secure Boot).
macOS
  1. Ustawienia systemowe, Prywatność i bezpieczeństwo, FileVault.
  2. Kliknij "Włącz", potwierdź hasłem administratora, zapisz sposób odzyskiwania (iCloud lub klucz).

3 kopie danych, na 2 różnych nośnikach, 1 przechowywana poza siedzibą (np. w chmurze).

Najważniejsze: przynajmniej jedna kopia odłączona od sieci - ransomware szyfruje też dyski sieciowe i podłączone chmury. Co jakiś czas sprawdź, czy z kopii naprawdę da się odtworzyć dane.

Zagrożenia i procedury

Gdy kontrahent "zmienia numer konta" mailem, zadzwoń pod numer, który już znasz (nie ten podany w wiadomości) i potwierdź zmianę głosowo.

Sam mail nie wystarcza, nawet jeśli wygląda znajomo i ma logo. Przestępcy włamują się na skrzynki i podmieniają numer na prawdziwej fakturze.

  1. Zaloguj się do panelu routera (adres z naklejki, zwykle 192.168.0.1 lub 192.168.1.1).
  2. Zmień domyślne hasło administratora routera na własne, mocne.
  3. Ustaw szyfrowanie WPA2 lub WPA3 i długie hasło do sieci.
  4. Dla klientów i gości włącz osobną sieć dla gości, odseparowaną od firmowej.

Dane klientów i reagowanie

Incydent (atak, wyciek, złośliwe oprogramowanie): formularz incydent.cert.pl albo cert@cert.pl, jak najszybciej.

Podejrzany SMS: przekaż wiadomość (prześlij dalej) na numer 8080 (CERT Polska).

Naruszenie danych osobowych: zgłoś do UODO w ciągu 72 godzin przez biznes.gov.pl (usługa "Zgłoś naruszenie ochrony danych osobowych"), podpis Profilem Zaufanym.

priorytet ▸ od czego zacząć
Jeśli masz zrobić dziś tylko trzy rzeczy: włącz weryfikację dwuetapową na bankowości i mailu, ustaw kopię zapasową odłączaną od sieci i wprowadź zasadę telefonicznego potwierdzania każdej zmiany numeru konta. To zamyka drogi ataku, które najczęściej kosztują małe firmy realne pieniądze.

Jak korzystać z checklisty

Odhaczaj punkty na bieżąco - przeglądarka zapamięta postęp na tym urządzeniu. Gdy skończysz, kliknij Drukuj / zapisz jako PDF. Wersja do druku ma rozwinięte wszystkie instrukcje, więc działa jak gotowa procedura bezpieczeństwa dla firmy - możesz ją dać pracownikowi albo dołączyć do dokumentacji.

Najczęstsze pytania

Tak, jeśli przetwarza dane osobowe klientów lub kontrahentów (a robi to niemal każda firma: faktury, umowy, mail). RODO nie zależy od wielkości firmy. Dla JDG obowiązki są prostsze, ale podstawy trzeba spełnić: minimalizacja dostępu, zabezpieczenie danych i zgłoszenie naruszenia do UODO w ciągu 72 godzin, jeśli wystąpi i grozi osobom, których dane dotyczą.
Od czterech rzeczy, które dają najwięcej za najmniej pracy: menedżer haseł, weryfikacja dwuetapowa na bankowości i mailu, kopia zapasowa danych oraz automatyczne aktualizacje. To zamyka najczęstsze drogi ataku na małą firmę: wyciek hasła, przejęcie konta i ransomware.
Odłącz zainfekowany komputer od sieci, żeby nie zaszyfrował dysków sieciowych i kopii. Nie płać okupu (to nie gwarantuje odzyskania danych i finansuje przestępców). Odtwórz dane z kopii zapasowej odłączonej od sieci. Zgłoś incydent do CERT Polska (incydent.cert.pl). Jeśli wyciekły dane osobowe, zgłoś naruszenie do UODO w ciągu 72 godzin.
Kliknij przycisk "Drukuj / zapisz jako PDF". Otworzy się okno drukowania przeglądarki - możesz wydrukować listę albo wybrać "Zapisz jako PDF" jako drukarkę. Wersja do druku jest uproszczona (bez menu i kolorów) i ma rozwinięte instrukcje, więc działa jak gotowa procedura dla firmy.