Jakie systemy musimy zabezpieczyć w pierwszej kolejności?

Kolejność: e-Urząd Skarbowy (najwyższy priorytet), KSeF, ZUS PUE, Comarch Optima/Enova365/Symfonia, e-mail biznesowy, bankowość firmy + bankowość klientów (wszystkie autoryzacje przelewów), CRM, panel WWW. MFA na każdym z nich, hasła unikalne w menedżerze haseł.

Co to BEC i dlaczego dotyczy nas szczególnie?

BEC (Business Email Compromise) to przejęcie lub podszycie konta biznesowego dla wyłudzenia przelewu. Biura rachunkowe są szczególnie narażone, bo autoryzują przelewy klientów codziennie. FBI IC3 zaraportowało 2,9 mld USD strat z BEC w 2023 r. Jeden podszyty mail = strata pięciocyfrowa.

Czy KSeF jest bezpieczny?

Sam KSeF jest stabilny i certyfikowany. Ryzyko to konta dostępowe biura i klientów: phishing tokenu, brak MFA, współdzielone hasła. Konfiguracja MFA dla KSeF jest dziś standardem branżowym; pełnomocnicy bez MFA = ryzyko.

Czy NIS2 dotyczy biura rachunkowego?

Z dużym prawdopodobieństwem nie. Biuro nie jest w załączniku I ani II UKSC. Strefa szarości: jeśli świadczycie usługi dla podmiotu kluczowego (np. szpital publiczny) jako jego krytyczny dostawca ICT - klient może wymagać klauzul cyber w umowie. Sprawdzenie zakresu w pillarze NIS2/UKSC.

Jakie jest minimum, by spełnić art. 32 RODO?

MFA na kontach krytycznych, szyfrowanie at-rest dysków (BitLocker), backup 3-2-1 z testem odzysku, regularne aktualizacje ERP, kontrola dostępu (każdy pracownik z osobnym loginem), audit log w systemie księgowym, szkolenie zespołu, audyt zewnętrzny raz w roku jako dowód regularnego testowania skuteczności.

Co z umowami powierzenia z klientami?

Każdy klient = osobna umowa powierzenia art. 28 RODO. Biuro jest procesorem danych klienta (jego pracowników, kontrahentów). Wzór musi obejmować: cel i zakres przetwarzania, środki techniczne, podpowierzenia (np. dostawca chmury), audyty, retencję, terminy zgłaszania naruszeń (zwykle 24h do klienta).

Kiedy najlepiej zrobić audyt zewnętrzny?

Poza sezonem podatkowym - czerwiec lub październik. Marzec, kwiecień i styczeń są zablokowane sprawozdaniami rocznymi i JPK. Audyt zajmuje 5 dni roboczych (CyberAudyt); remediacja krytycznych ustaleń - kolejne 7 dni. Plan najlepiej w kwartał, kiedy nie ma terminów ustawowych.

Ile kosztuje minimalna higiena cyber dla biura?

Roczny budżet 8-25 tys. zł dla biura 5-25 osób: Microsoft 365 Business Premium z EDR (~25-30 zł/użytkownik/miesiąc), backup chmurowy z immutable 200-600 zł/miesiąc, audyt zewnętrzny CyberCerber, ubezpieczenie cyber 3-15 tys. zł. Mniej niż koszt jednego ataku BEC.

Co zrobić, gdy pracownik kliknie w fałszywą fakturę?

Natychmiast: odłączcie stację od sieci, zachowajcie logi, zmieńcie hasła kluczowych kont (eUS, bankowość, ERP), sprawdźcie ostatnie przelewy, zgłoście do CERT Polska. Jeśli klient firmy stracił pieniądze - zgłoszenie do UODO w 72h. Każdy taki incydent zasługuje na post-mortem zespołu.

Czy mogę dawać klientom dostęp do KSeF i Optima przez VPN?

Tak, ale: VPN z MFA (nie samym hasłem), osobny login dla każdego klienta (nie współdzielony), ograniczone uprawnienia (tylko dane jego firmy), audit log każdego dostępu, klauzula cyber w umowie z klientem. Bez tego = ryzyko cross-contamination przy pierwszym ataku.

Co z ubezpieczeniem cyber - czy się opłaca?

Dla biura z bazą 50+ klientów - zazwyczaj tak. Polisa 3-15 tys. zł rocznie pokrywa: koszty incydentu, karę RODO do limitu polisy, koszty IR, czasem szkody klienta. Ubezpieczyciel wymaga MFA + backup + audyt cyber. ROI: 1 udany BEC = wielokrotność rocznej składki.

Cyberbezpieczeństwo biura rachunkowego - praktyczny przewodnik

Q: Czy nasze 5-osobowe biuro naprawdę musi się tym zająć?

Tak. Multiplikator klientów oznacza, że jedno włamanie do biura = wyciek danych finansowych 20-200 klientów. Atakujący ekonomicznie preferują biura nad pojedyncze firmy. Verizon DBIR 2024: 43% naruszeń dotyczy firm <1 000 osób.

Cyberbezpieczeństwo biura rachunkowego stoi na sześciu fundamentach: MFA na każdym koncie eUS, KSeF, ERP (Comarch Optima, Enova365, Symfonia), backup bazy klientów z kopią offline, segmentacja sieci, regularne aktualizacje, szkolenie zespołu z BEC i phishingu, zewnętrzny audyt raz w roku, najlepiej poza sezonem podatkowym. 43% ataków celuje w MŚP (Verizon DBIR 2024), a biura rachunkowe są klasą szczególnie narażoną przez multiplikator klientów.

1. Dlaczego biuro rachunkowe jest celem

Trzy powody, dla których biura rachunkowe są nadreprezentowane wśród polskich MŚP-ofiar:

Multiplikator klientów. Jedno włamanie do biura = dostęp do danych finansowych 20-200 klientów. Atakujący ekonomicznie preferuje cel, który jednym ruchem otwiera wiele kont. Z perspektywy atakującego biuro rachunkowe jest “zbiorczym węzłem” wartym wielokrotnie więcej niż pojedyncza firma.

Sezonowość. Terminy ustawowe (25 dnia każdego miesiąca dla VAT, 30 kwietnia dla PIT, 31 marca dla CIT, JPK, KSeF) tworzą okna presji. Atak na koniec marca = księgowa pod presją podpisze prawie każdy dokument, żeby spełnić termin klienta. Atakujący to wie i czasuje ataki.

BEC dziwnie skuteczny. Księgowa codziennie autoryzuje przelewy klientów. Jeden sfałszowany mail “od CEO klienta” z prośbą o pilny przelew na nowy numer konta dostawcy = realna strata. FBI IC3 zaraportowało 2,9 mld USD globalnych strat z BEC w 2023 r. Polskie biura rachunkowe są w tym statystyce zawyżone.

Multipikatorowy charakter ryzyka oznacza, że biuro rachunkowe powinno mieć wyższy poziom higieny cyber niż zwykły MŚP-klient. Klient ma jedno konto bankowe - biuro ma 50.

Pogłębione tematy: Dlaczego biuro jest celem cyberataku.

2. Trzy warstwy obrony - zastosowane do biura rachunkowego

Warstwa 1 - Dostęp do systemów księgowych i fiskalnych

MFA na e-Urzędzie Skarbowym i KSeF. Najwyższy priorytet. Konto eUS daje dostęp do JPK, deklaracji, zezwoleń i pełnomocnictw klientów. Konto KSeF - do faktur i tokenów uwierzytelniających. Bez MFA jedna sfałszowana strona logowania = przejęcie obu.

MFA na Comarch Optima, Enova365, Symfonia. Wszystkie trzy najpopularniejsze polskie ERP-y oferują MFA. Większość biur tego nie włącza. Konfiguracja zajmuje 15-30 minut na konto, blokuje 99% automatycznych ataków na hasło.

Pełnomocnicy i klauzule. Każdy pełnomocnik (księgowa, asystentka) - osobny login, osobne MFA. Nigdy współdzielone “ksiegowa@biuro.pl”. Audit log w ERP pokazuje, kto autoryzował każdy dokument - to wymóg art. 32 RODO + dowód w przypadku sporu z klientem.

Aktualizacje ERP. Comarch publikuje patche dla Optima/XL/Enova zazwyczaj w 2-3 tygodniu miesiąca. Symfonia (Sage) podobnie. Procedura: subskrypcja alertów producenta, test na środowisku kopii bazy, wdrożenie produkcyjne poza godzinami pracy (najlepiej weekend), weryfikacja kluczowych operacji księgowych przed poniedziałkiem.

Pogłębione tematy: Pierwszy tydzień - 5 kroków, Aktualizacje Comarch i Symfonia.

Warstwa 2 - Dane klientów

Backup bazy klientów w regule 3-2-1. Wszystkie bazy ERP, archiwum JPK, archiwum dokumentów PDF, archiwum maili korespondencji z klientami. Lokalny NAS w biurze + chmura z immutable (S3 Object Lock) + jedna kopia offline rotująca. RPO ≤24h, RTO ≤48h.

Test odzysku raz na miesiąc. Próbne odtworzenie bazy jednego klienta. Co kwartał - pełen test odtworzenia środowiska na zapasowej maszynie wirtualnej. Statystyka branżowa: 1 na 5 backupów nie odtwarza się prawidłowo. Biuro w trakcie ataku ransomware dowiedzieć się tego nie powinno.

Szyfrowanie at-rest. BitLocker na laptopach i stacjach, szyfrowanie bazy ERP (jeśli dostawca oferuje opcję), szyfrowany backup. Wymóg art. 32 RODO - UODO interpretuje brak szyfrowania danych finansowych jako poważne uchybienie.

Segmentacja: klient ≠ dostęp do bazy innych klientów. Jeśli dajecie klientom zdalny dostęp do KSeF/Optima przez VPN - każdy klient w osobnym kontekście, ograniczone uprawnienia, audit log. Jeden zaatakowany klient nie może powodować cross-contamination.

Warstwa 3 - Ochrona przed BEC i phishingiem

SPF + DKIM + DMARC dla domeny biura. Bez DMARC w polityce reject każdy może wysłać mail “od was” do klienta z prośbą o przelew. Konfiguracja w 4-8 tygodni: start w p=none, zbieranie raportów, przejście na p=reject po weryfikacji.

Pisemna procedura weryfikacji przelewów. Każda zmiana numeru konta dostawcy klienta, każdy przelew zagraniczny powyżej ustalonego progu (typowo 10-30 tys. zł), każde pilne polecenie “od szefa klienta” - weryfikacja telefoniczna na znany numer (nie z maila). Procedura znana zespołowi, ćwiczona w szkoleniu.

Szkolenie zespołu - 3 godziny rocznie. Moduł 1 (60 min): rozpoznawanie BEC - fałszywy CEO, fałszywa faktura, podmiana numeru konta. Moduł 2 (30 min): phishing podszywający się pod eUS/KSeF/ZUS. Moduł 3 (30 min): bezpieczne hasła + MFA dla wszystkich systemów. Moduł 4 (30 min): postępowanie po incydencie. Moduł 5 (30 min): symulowany phishing test końcowy.

Symulacje phishingu raz w miesiącu. Narzędzia: KnowBe4, Sophos Phish Threat, Gophish self-hosted. Cel klikalności poniżej 5% w 12 miesiącach.

Deepfake’i głosowe w 2026 r. Nowy wektor: atakujący klonuje głos CEO klienta z LinkedIn-owego nagrania (60 sekund wystarczy) i dzwoni do księgowej. Obrona ta sama co dla maila: weryfikacja drugim kanałem, hasło-fraza ustalone wcześniej.

Pogłębione tematy: Szkolenie zespołu - program 3-godzinny, Phishing i bezpieczeństwo poczty.

3. Compliance - co dotyczy biura rachunkowego

Podwójna rola RODO. Biuro jest jednocześnie administratorem (własne dane pracowników, kontaktów handlowych) i procesorem (dane klientów - art. 28 RODO). To wymusza dwie polityki ochrony danych pod jednym dachem.

Umowy powierzenia z klientami. Każdy klient = osobna DPA art. 28. Klient jest administratorem, biuro procesorem. Wzór musi zawierać: cel i zakres (księgowość, kadry, JPK, KSeF), kategorie osób (pracownicy klienta, kontrahenci), środki bezpieczeństwa, podpowierzenia, audyt, retencję, terminy zgłaszania naruszeń (zwykle 24h do klienta).

Tajemnica zawodowa księgowego. Kodeks etyki Stowarzyszenia Księgowych w Polsce (SKwP) nakłada osobny obowiązek poufności. Reżim równoległy do RODO - naruszenie obu = podwójna odpowiedzialność.

Retencja danych. Ordynacja podatkowa - 5 lat dla dokumentacji księgowej; Kodeks pracy - 10 lat dla akt osobowych (50 lat dla niektórych zatrudnionych przed 2019 r.). Polityka usuwania musi te terminy respektować - usunięcie za wcześnie = naruszenie ustaw fiskalnych, usunięcie za późno = naruszenie RODO.

NIS2 - zwykle nie dotyczy. Bookkeeping nie jest w załączniku I ani II UKSC. Wyjątek: biuro jako krytyczny dostawca ICT dla podmiotu kluczowego (np. zarządzanie systemami księgowymi szpitala) - klient może wymagać klauzul cyber w umowie. Pełny test w pillarze NIS2/UKSC.

Pogłębione tematy: RODO w biurze rachunkowym, Procesor czy administrator?, Umowa powierzenia z biurem.

4. Vendor stack: Comarch, Enova, Symfonia

Comarch Optima / ERP XL. Najbardziej rozpowszechniony w PL biurach. MFA dostępne w wersjach Optima 2023+. Patche miesięczne. Comarch publikuje listę CVE - subskrybujcie alerty. Ryzyko: starsze instalacje XL na nieaktualnym Windows Server.

Enova365 (Soneta). Druga najpopularniejsza platforma. Cloud-native opcja (Enova Cloud). MFA wbudowane w cloud version, opcjonalne w on-prem. Patch cadence ~comparable to Comarch.

Symfonia (Sage). Trzeci w popularności. Trzy poziomy: Symfonia ERP, Symfonia Mała Księgowość, Symfonia Premium. MFA dostępne, harmonogram aktualizacji Sage.

Insert. Mniejszy segment, popularny u solo-księgowych. MFA dostępne, mniejszy ekosystem dodatków.

enova365 + iFirma + InfaktPro dla mikro-segmentu. SaaS, MFA wbudowane, mniejsza kontrola własna - przerzucenie odpowiedzialności na dostawcę chmury z DPA art. 28.

Niezależnie od wyboru: MFA na koncie głównym + MFA na każdym pełnomocniku, regularne aktualizacje, audit log włączony, polityka silnych haseł.

5. Budżet

Roczne widełki dla typowego biura 5-25 osób, 20-100 klientów. Ceny brutto, 2026 r.

0-1 000 zł rocznie. MFA na wszystkich kontach (bezpłatne w Microsoft 365), SPF/DKIM/DMARC (jednorazowa konfiguracja), BitLocker, polityka pisemna, ręczna weryfikacja przelewów drugim kanałem.
1 000-5 000 zł rocznie. Microsoft 365 Business Premium z EDR (~25-30 zł/użytkownik/miesiąc), NAS Synology 4-bay + dyski (jednorazowo 3 000-5 000 zł), backup chmurowy z immutable 200-400 zł miesięcznie, zarządzane DMARC.
5 000-15 000 zł rocznie. Roczny audyt zewnętrzny (CyberAudyt CyberCerber - wycena w cenniku), profesjonalny phishing simulator (KnowBe4, Sophos) 20-40 zł na użytkownika miesięcznie, ubezpieczenie cyber 3-10 tys. zł.
15 000-30 000 zł rocznie. SOC w retainer, dedykowany pentest co rok, IOD outsourcing 800-2 500 zł miesięcznie, ISO 27001 (jeśli wymóg klienta korporacyjnego).

Punkt odniesienia: koszt jednego ataku BEC u biura ze średnim portfelem klientów to 50-300 tys. zł plus utrata reputacji. Pierwsza fala wdrożenia (Tydzień 1-12 z planu 30-60-90) - 5-15 tys. zł.

Pogłębione tematy: Budżet cyber dla biura, Ubezpieczenie cyber dla MŚP.

6. Plan 30-60-90 dni - z uwzględnieniem cyklu podatkowego

Tydzień 1-2: Inwentaryzacja + MFA (poza sezonem podatkowym!)

Najlepiej w czerwcu, lipcu, sierpniu lub październiku. NIE w marcu, kwietniu, styczniu (terminy roczne) ani 23-25 dnia miesiąca (VAT). Inwentaryzacja kont, MFA na eUS, KSeF, ZUS PUE, ERP, bankowość, e-mail. HIBP check dla domeny biura.

Tydzień 3-4: Backup + bezpieczne dyski

Wdrożenie backupu 3-2-1 dla bazy ERP, archiwum JPK, archiwum PDF. Pierwszy test odzysku. BitLocker na wszystkich laptopach. Migracja haseł do menedżera firmowego (Bitwarden Teams).

Tydzień 5-8: Poczta + BEC

SPF + DKIM + DMARC od p=none do p=reject. Pisemna procedura weryfikacji przelewów. 3-godzinne szkolenie zespołu z BEC. Pierwsza symulacja phishingu - pomiar bazowy klikalności.

Tydzień 9-12: Audyt zewnętrzny

CyberAudyt CyberCerber - raport po polsku w 5 dni z priorytetami CVSS. Remediacja ustaleń krytycznych w 7 dni, wysokich w 30 dni. Audyt wpisany do kalendarza co 12 miesięcy. Polityka bezpieczeństwa IT.

Po 90 dniach: trzy warstwy obrony, podwójna polityka RODO (administrator + procesor), DPA z każdym klientem, plan reagowania na incydent.

7. CyberCerber dla biura rachunkowego

CyberCerber dostarcza zewnętrzną ocenę podatności specjalnie dla biur - terminy poza sezonem podatkowym, raport po polsku, zrozumiały dla właściciela i księgowej, nie tylko dla informatyka. Trzy produkty: PreScan (bezpłatny skan diagnostyczny w 24h), CyberAudyt (audyt CyberCerber - pełna ocena podatności z przeglądem konfiguracji ERP, raport w 5 dni), Pentest (symulowany atak dla biur z wymogiem korporacyjnym lub podmiotów regulowanych). Gwarancja na CyberAudyt: jeśli raport nie zawiera co najmniej trzech działań naprawczych, pełen zwrot.

Bezpłatne skanowanie wstępne - 24 godziny, bez instalacji niczego u was. Cennik pakietów. Strona usługi dla biur rachunkowych.

8. FAQ

(See faq field in frontmatter - 12 atomic Q/A pairs rendered as FAQPage JSON-LD.)

9. Powiązane przewodniki

Porównania:

SPF vs DKIM vs DMARC - jak działają razem

Linki do głównego przewodnika SMB: