Jak chronić firmę przed ransomware? Praktyczny przewodnik backupu i odtwarzania danych dla MŚP

Atak, który może zatrzymać Twoją firmę na tygodnie

W marcu 2024 roku ALAB Laboratoria, jedna z największych sieci diagnostycznych w Polsce, padła ofiarą ataku ransomware. Napastnicy zaszyfrował dane dziesiątek tysięcy pacjentów i zażądali okupu. Kilka miesięcy wcześniej podobny los spotkał szpitale, firmy produkcyjne i małe gabinety stomatologiczne. Ransomware nie wybiera ofiar według wielkości. Wybiera je według bezradności.

Dane CERT Polska za rok 2024 są jednoznaczne: liczba skutecznych ataków ransomware na polskie organizacje wzrosła o ponad 40 procent rok do roku. Co istotniejsze, zdecydowana większość ofiar to firmy zatrudniające mniej niż 250 pracowników. Małe przedsiębiorstwa są atakowane częściej nie dlatego, że przechowują ciekawsze dane, lecz dlatego, że ich zabezpieczenia są łatwiejsze do pokonania i rzadziej dysponują sprawdzonym planem działania na wypadek kryzysu.

Ten artykuł to praktyczny przewodnik dla właścicieli i menedżerów firm MŚP, którzy chcą zrozumieć, jak naprawdę działa ochrona przed ransomware i co zrobić, żeby atak nie oznaczał końca działalności.

Dlaczego MŚP są głównym celem ataków ransomware?

Przez lata pokutowało przekonanie, że małe firmy są zbyt małe, żeby były interesującym celem dla hakerów. Cyberprzestępcy dawno obalili ten mit. Z ich perspektywy mała firma to obiekt o wysokim stosunku nagrody do ryzyka: przechowuje rzeczywiste dane finansowe, faktury, dane klientów i kontrakty, a jednocześnie niemal nigdy nie ma ani dedykowanego specjalisty ds. bezpieczeństwa, ani regularnych testów penetracyjnych, ani nawet przetestowanej kopii zapasowej.

Typowe słabe punkty polskiego MŚP to przestarzałe systemy operacyjne na serwerach i stacjach roboczych, brak segmentacji sieci, która pozwala wirusowi rozprzestrzenić się z jednego komputera na całą firmę, używanie tych samych haseł do wielu usług oraz brak jakiegokolwiek planu reagowania na incydent. Kiedy szyfrowanie danych się rozpoczyna, firma często przez wiele godzin nie zdaje sobie sprawy z tego, co się dzieje, a gdy wreszcie odkrywa zaszyfrowane pliki, okazuje się, że zainfekowana kopia zapasowa leży tuż obok zainfekowanych danych.

Realne koszty skutecznego ataku ransomware są wielokrotnie wyższe niż wartość żądanego okupu. Do rachunku trzeba doliczyć przestój operacyjny trwający przeciętnie od kilku dni do kilku tygodni, koszty odtworzenia danych i systemów, potencjalne kary z tytułu RODO za naruszenie ochrony danych osobowych, utratę reputacji u klientów i partnerów oraz koszty prawne. Firmy, które zapłaciły okup, nierzadko i tak nie odzyskały danych w pełni.

Zasada 3-2-1-1-0: złoty standard backupu w 2025 roku

Klasyczna zasada 3-2-1 od lat stanowiła fundament dobrego backupu: trzy kopie danych, na dwóch różnych nośnikach, z których jedna jest przechowywana poza siedzibą firmy. W erze ransomware ta reguła okazała się niewystarczająca. Przestępcy nauczyli się znajdować i szyfrować wszystkie kopie dostępne z sieci, łącznie z dyskami sieciowymi NAS i synchronizowanymi folderami w chmurze.

Branżowa odpowiedź to zasada 3-2-1-1-0. Dodatkowe jedynka i zero oznaczają: jedna kopia musi być odizolowana fizycznie od sieci (offline lub air-gap), a liczba błędów po weryfikacji przywracania wynosi zero. Ten ostatni element jest kluczowy i najczęściej pomijany: backup, którego nikt nigdy nie próbował przywrócić, to nie jest backup, to złudzenie bezpieczeństwa.

Praktyczna implementacja zasady 3-2-1-1-0 dla małej firmy wygląda następująco. Pierwsza kopia to dane produkcyjne na serwerze lub w stacji roboczej. Druga kopia to automatyczny backup na sieciowy dysk NAS w tej samej lokalizacji, najlepiej w wydzielonym segmencie sieci bez bezpośredniego dostępu dla użytkowników końcowych. Trzecia kopia trafia do usługi chmurowej z immutable storage, czyli niemodyfikowalnym magazynem odpornym na szyfrowanie. Czwarta kopia, ta kluczowa, to nośnik fizyczny wyłączony z sieci: dysk zewnętrzny obracany według harmonogramu rotacji, taśma LTO lub usługa backupu offline u zewnętrznego dostawcy.

Synchronizacja plików w usługach takich jak OneDrive, Google Drive czy Dropbox nie jest kopią zapasową. Jeśli ransomware zaszyfruje pliki na Twoim komputerze, synchronizacja błyskawicznie wyśle zaszyfrowane wersje do chmury, nadpisując oryginały.

Pięć kroków do skutecznej ochrony przed ransomware

Skuteczna ochrona przed ransomware to nie jeden produkt, lecz wielowarstwowa strategia. Każda warstwa niezależnie spowalnia lub blokuje atak, a razem tworzą środowisko, w którym konsekwencje incydentu są minimalne nawet wtedy, gdy napastnik zdoła pokonać pierwsze bariery.

Pierwszym krokiem jest segmentacja sieci. Sieć firmowa powinna być podzielona na odrębne segmenty VLAN: osobno dla stacji roboczych użytkowników, osobno dla serwerów, osobno dla systemów backupowych i osobno dla urządzeń IoT, kamer i drukarek. Kiedy ransomware zainfekuje komputer pracownika działu sprzedaży, segmentacja uniemożliwia mu bezpośrednie dotarcie do serwera plików lub systemu ERP. Każde połączenie między segmentami powinno przechodzić przez firewall z zdefiniowanymi regułami.

Drugi krok to wdrożenie backupu według zasady 3-2-1-1-0 z automatyzacją i alertami. Profesjonalne narzędzia takie jak Veeam Backup and Replication, Acronis Cyber Protect lub Nakivo umożliwiają harmonogramowanie zadań, szyfrowanie kopii i automatyczne raportowanie statusu. Każda nieudana kopia zapasowa powinna generować alert do administratora lub zewnętrznego dostawcy IT. Wiele małych firm odkrywa, że ich backup przestał działać kilka miesięcy przed atakiem i nikt tego nie zauważył.

Trzecim krokiem jest testowanie odtwarzania, nie samego tworzenia kopii. Standardem branżowym jest przeprowadzanie pełnego testu DR przynajmniej raz na kwartał. Test polega na faktycznym przywróceniu wybranych danych lub całego serwera w środowisku testowym i zmierzeniu czasu potrzebnego do przywrócenia operacyjności. Parametry RTO (Recovery Time Objective) i RPO (Recovery Point Objective) powinny być zdefiniowane z góry i weryfikowane przy każdym teście.

Czwarty krok to ochrona punktów końcowych na poziomie EDR, czyli Endpoint Detection and Response. Klasyczny antywirus wykrywa znane zagrożenia na podstawie sygnatur. EDR analizuje zachowanie procesów w czasie rzeczywistym i jest w stanie wykryć atak ransomware w fazie szyfrowania, zanim zdąży on zaszyfrować więcej niż kilka plików. Microsoft Defender for Business, dostępny w ramach licencji Microsoft 365 Business Premium, jest dobrym punktem startowym dla firm, które nie korzystają jeszcze z żadnego rozwiązania EDR.

Piąty krok to pisemny plan reagowania na incydent. Kiedy alarm zaczyna bić, nie ma czasu na myślenie o tym, co zrobić. Plan powinien precyzować, kto odpowiada za odizolowanie zainfekowanych systemów od sieci, kto powiadamia zarząd i klientów, w jaki sposób firma zgłasza incydent do CERT Polska i do Urzędu Ochrony Danych Osobowych (wymóg RODO w przypadku naruszenia danych osobowych). Płacenie okupu jest odradzane przez wszystkie organy ścigania i ekspertów ds. bezpieczeństwa: nie gwarantuje odzyskania danych, finansuje kolejne ataki i może naruszać przepisy dotyczące finansowania przestępczości.

Ile kosztuje ochrona przed ransomware w MŚP?

Pytanie o koszt zawsze powinno być zestawione z pytaniem o koszt braku ochrony. Według raportu IBM Cost of a Data Breach 2024 średni koszt naruszenia bezpieczeństwa danych dla małej firmy przekracza 3,5 miliona dolarów, wliczając w to przestój, odtworzenie systemów, koszty prawne i utratę klientów. Dla polskich MŚP wartości są niższe, ale proporcje pozostają podobne.

Licencja Veeam Essentials dla środowiska do 6 procesorów kosztuje od kilku do kilkunastu tysięcy złotych rocznie. Acronis Cyber Protect działa w modelu subskrypcyjnym, zaczynając od kilkuset złotych miesięcznie dla małego środowiska. Zewnętrzna usługa backupu zarządzanego u dostawcy IT, który przejął odpowiedzialność za monitorowanie i testowanie kopii, to zazwyczaj kilkaset do kilku tysięcy złotych miesięcznie w zależności od skali.

Wymogi NIS2 a ochrona przed ransomware

Artykuł 21 dyrektywy NIS2, której polska implementacja wchodzi w życie, wprost wymaga od objętych nią podmiotów wdrożenia planów ciągłości działania i odtwarzania po awarii. Zarządzanie kopiami zapasowymi i testowanie procedur DR to nie opcjonalne dobre praktyki w świetle NIS2, lecz twarde wymogi prawne. Firmy, które nie są w stanie udokumentować swoich procedur backupowych i wyników testów odtwarzania, narażają się na sankcje administracyjne sięgające do 10 milionów euro lub 2 procent globalnego rocznego obrotu.

Jeśli emTeq przeprowadzał dla Ciebie audyt IT pod kątem NIS2, kwestia backupu i planu DR powinna być jednym z pierwszych punktów do uregulowania. Jeśli nie wiesz, czy podlegasz dyrektywie, wróć do naszego przewodnika po NIS2 dla MŚP.

Backup to nie projekt, to proces

Skuteczna ochrona przed ransomware nie jest jednorazowym projektem do zrealizowania i odfajkowania. To ciągły proces, który wymaga regularnych testów, aktualizacji planu i dostosowywania do zmieniającego się środowiska IT firmy. Każde nowe urządzenie, każdy nowy system, każdy nowy pracownik zdalny to potencjalnie nowy punkt wejścia dla napastnika i nowy zasób, który musi być objęty polityką backupu.

Firmy, które regularnie testują swoje procedury odtwarzania, nie tylko są lepiej chronione przed ransomware. Są też lepiej przygotowane na awarie sprzętowe, błędy ludzkie i klęski żywiołowe. Dojrzałość backupowa firmy to w istocie dojrzałość operacyjna, która przekłada się na wymierne korzyści biznesowe.

Nie jesteś pewien, czy Twój obecny backup rzeczywiście zadziała w chwili próby? Audit IT emTeq obejmuje weryfikację infrastruktury backupowej, test faktycznego odtwarzania danych i ocenę gotowości planu DR. Skontaktuj się z nami i sprawdź swój stan ochrony zanim sprawdzą go za Ciebie cyberprzestępcy.