Cyberbezpieczeństwo małej firmy to zestaw trzech warstw: ochrona dostępu (silne hasła, MFA, aktualizacje), ochrona danych (kopie zapasowe w regule 3-2-1, szyfrowanie) i ochrona przed oszustwami (SPF/DKIM/DMARC, weryfikacja przelewów). Większość polskich MŚP potrzebuje 2-3 tygodni i mniej niż 5 000 zł, aby osiągnąć rozsądny poziom ochrony.
1. Kto w Polsce jest celem i dlaczego
Większość właścicieli MŚP wierzy, że są zbyt mali, żeby ktokolwiek się nimi zainteresował. Dane mówią coś przeciwnego.
W rocznym raporcie CERT Polska za 2024 r. zarejestrowano ponad 100 tysięcy zgłoszeń incydentów, a większość ofiar to małe i średnie firmy oraz osoby fizyczne (źródło: cert.pl). Verizon Data Breach Investigations Report 2024 podaje, że 43% wszystkich naruszeń dotyczy firm zatrudniających mniej niż 1 000 osób, a w segmencie poniżej 50 pracowników ransomware stanowi 88% przypadków szkodliwego oprogramowania. ENISA Threat Landscape 2024 wskazuje, że MŚP są drugą najczęściej atakowaną grupą w UE, zaraz po sektorze publicznym.
Trzy powody, dla których to się dzieje:
Po pierwsze - automatyzacja. Atak na małą firmę nie wymaga decyzji człowieka. Boty skanują cały polski Internet co kilka godzin szukając otwartych portów RDP, niezaktualizowanych systemów CMS i wyciekłych haseł. Jeśli wasz serwer pocztowy lub strona WWW są widoczne online, jesteście w kolejce.
Po drugie - asymetria. Atakującemu wystarczy zaszyfrowanie jednego stanowiska w gabinecie stomatologicznym, żeby zatrzymać rejestrację pacjentów na tydzień. Średni okup żądany w 2024 r. od polskiego MŚP to równowartość 200 000-800 000 zł według raportu Sophos State of Ransomware. Rzeczywista strata, czyli przestoje, utracona reputacja i kary RODO, bywa kilkukrotnie wyższa.
Po trzecie - zaufanie do dostawców. Małe firmy łączą się z dużymi (ZUS, KSeF, banki, partnerzy korporacyjni). To czyni je idealnym mostem do większego celu. Atak SolarWinds (2020) i seria MOVEit (2023) pokazały, że łańcuch dostaw bywa atakowany właśnie przez słabszy, mniejszy łącznik.
Najczęściej atakowane branże w polskim sektorze MŚP, według danych CERT Polska i ENISA, to opieka zdrowotna (gabinety stomatologiczne, kliniki estetyczne), usługi finansowe (biura rachunkowe), handel detaliczny oraz kancelarie prawnicze. Wszystkie łączy jedno - przetwarzają wrażliwe dane osobowe i są zależne od bieżącej dostępności systemów.
Jeśli zadajecie sobie pytanie “czy moja firma jest celem”, odpowiedź brzmi prawie zawsze “tak, dawno temu zostaliście zeskanowani, tylko o tym nie wiecie”. Szczegóły w artykule Czy moja firma jest celem ataku?.
2. Trzy warstwy obrony
<rect x="260" y="30" width="200" height="160" fill="#00C2A8" fill-opacity="0.18" stroke="#00C2A8" stroke-width="2" rx="10"/>
<text x="360" y="62" text-anchor="middle" font-weight="700" font-size="16">Warstwa 2</text>
<text x="360" y="86" text-anchor="middle" font-size="14" fill="#00C2A8">Dane</text>
<text x="360" y="118" text-anchor="middle" font-size="12" fill="#E8F8F6">Backup 3-2-1</text>
<text x="360" y="138" text-anchor="middle" font-size="12" fill="#E8F8F6">Szyfrowanie dysków</text>
<text x="360" y="158" text-anchor="middle" font-size="12" fill="#E8F8F6">Comiesięczny test</text>
<rect x="490" y="30" width="200" height="160" fill="#00C2A8" fill-opacity="0.24" stroke="#00C2A8" stroke-width="2" rx="10"/>
<text x="590" y="62" text-anchor="middle" font-weight="700" font-size="16">Warstwa 3</text>
<text x="590" y="86" text-anchor="middle" font-size="14" fill="#00C2A8">Oszustwa</text>
<text x="590" y="118" text-anchor="middle" font-size="12" fill="#E8F8F6">SPF + DKIM + DMARC</text>
<text x="590" y="138" text-anchor="middle" font-size="12" fill="#E8F8F6">Weryfikacja przelewów</text>
<text x="590" y="158" text-anchor="middle" font-size="12" fill="#E8F8F6">Szkolenia + symulacje</text>Każdą warstwę można wdrożyć samodzielnie lub zlecić. Wszystkie trzy razem dają około 80% redukcji ryzyka za 20% kosztu pełnego stacku klasy enterprise. To autorski model CyberCerber, który stosujemy w trzech polskich branżach (stomatologia, księgowość, medycyna estetyczna) podczas każdego audytu.
Warstwa 1 - Dostęp
Pytanie kontrolne: gdyby pracownik podał swoje firmowe hasło na fałszywej stronie logowania, czy atakujący wszedłby do skrzynki, banku, KSeF i CRM tak samo łatwo, jak ten pracownik?
Jeśli tak, nie macie warstwy dostępu.
Trzy podstawowe elementy kontroli dostępu:
MFA wszędzie, gdzie to możliwe. Microsoft podaje, że uwierzytelnianie wieloskładnikowe blokuje ponad 99% automatycznych ataków na konto. To największy zwrot z najmniejszego nakładu w całym świecie cyberbezpieczeństwa. Kolejność wdrożenia: e-mail biznesowy, bankowość, KSeF/e-Urząd Skarbowy, CRM, ZUS PUE, panel administracyjny strony WWW, narzędzia księgowe. W praktyce 2-4 godziny pracy administratora dla 10-osobowej firmy.
Menedżer haseł. Bitwarden Teams, 1Password Business albo Keeper. Koszt 3-8 USD na użytkownika miesięcznie. Eliminuje hasła zapisane w przeglądarkach na współdzielonych komputerach, pliki “hasla.xlsx” i powtarzanie tych samych haseł przez pracowników. Konfiguracja firmowa pozwala udostępniać hasła zespołowe bez wysyłania ich e-mailem.
Aktualizacje w 7 dni dla krytycznych podatności. CISA Known Exploited Vulnerabilities Catalog pokazuje, że ponad 90% udanych włamań wykorzystuje znane CVE, dla których łata była dostępna od miesięcy lub lat. Patch Tuesday Microsoftu (drugi wtorek miesiąca) to dobry rytm dla stacji roboczych. Dla serwerów i routerów - subskrypcja alertów producenta i wdrożenie poza godzinami pracy.
Jeśli macie pracowników zdalnych, dodajcie do tej warstwy zarządzanie urządzeniami końcowymi (Microsoft Intune, Jamf, Google Endpoint Management). Bez tego nie wiecie, czy laptop księgowej w domu ma włączone szyfrowanie dysku.
Pogłębione tematy: Polityka bezpieczeństwa IT - wzór i checklista, Jak wdrażać poprawki bezpieczeństwa - patch management dla MŚP.
Warstwa 2 - Dane
Pytanie kontrolne: gdyby dzisiaj w nocy ransomware zaszyfrował wszystkie firmowe komputery, ile danych firma traci bezpowrotnie i ile czasu zajmie wznowienie pracy?
Jeśli odpowiedzi nie znacie, nie macie warstwy danych.
Standardem branżowym jest reguła backupu 3-2-1: trzy kopie danych, na dwóch różnych nośnikach, jedna kopia poza biurem. Współczesne ransomware celowo wyszukuje i kasuje backupy lokalne, więc ostatni element (kopia offline lub w niezmienialnym magazynie chmurowym) jest dziś ważniejszy niż kiedykolwiek. Niektórzy dostawcy mówią o wariancie 3-2-1-1-0: jedna kopia immutable, zero błędów testów odzysku.
Konkretne wdrożenie dla 10-osobowej firmy: oryginał na stacjach roboczych lub serwerze plików w biurze, lokalne NAS (Synology, QNAP) wykonujące kopie codziennie, backup do chmury (Microsoft 365 Backup, Backblaze B2 z S3 Object Lock, Wasabi) przechowujący migawki przez 30+ dni.
Drugi element warstwy to szyfrowanie. BitLocker na laptopach z Windows Pro, FileVault na MacBookach. Telefony służbowe z włączoną blokadą biometryczną. To minimum, którego wymagają zarówno art. 32 RODO, jak i większość ubezpieczeń cyber dostępnych na polskim rynku.
Trzeci element to test odzysku. Backup, którego nie testowaliście, to nie backup, to nadzieja. Co miesiąc próbne odtworzenie jednego pliku, co kwartał odtworzenie pełnej maszyny lub bazy danych. Branżowe szacunki mówią, że jeden na pięć backupów nie odtwarza się prawidłowo, a firmy odkrywają to dopiero w prawdziwym kryzysie.
Razem: NAS 4-bay (3 000-5 000 zł jednorazowo), subskrypcja backupu chmurowego (50-150 zł miesięcznie), godzina pracy konfiguracyjnej. Mniej niż jeden dzień prawnika, a chroni przed znacznie droższym ryzykiem.
Pogłębione tematy: Backup firmy odporny na ransomware - reguła 3-2-1 w praktyce, Jak testować backup firmy, Ransomware i odporność na atak.
Warstwa 3 - Ochrona przed oszustwami
Pytanie kontrolne: jeśli ktoś dziś rano wysłał waszej księgowej e-mail “od was” z prośbą o pilny przelew na nowy numer konta dostawcy, czy zostałby wykonany?
Jeśli odpowiedź to “tak” lub “nie jestem pewny”, nie macie warstwy oszustw.
Atak BEC (Business Email Compromise) jest dziś najdroższą klasą oszustwa wymierzonego w MŚP. FBI Internet Crime Complaint Center zaraportowało 2,9 mld USD strat z BEC w 2023 r. Polskie biura rachunkowe są szczególnie narażone, bo prowadzą cudze rozliczenia i obracają płatnościami klientów; jeden udany podszyty mail to kilkadziesiąt tysięcy złotych straty.
Trzy elementy obrony:
Pełen zestaw uwierzytelniania poczty: SPF + DKIM + DMARC. SPF mówi, które serwery mogą wysyłać pocztę z waszej domeny. DKIM podpisuje wiadomości kryptograficznie. DMARC łączy obie warstwy i mówi, co robić z fałszywymi mailami. Bez DMARC w polityce reject każdy może wysłać e-mail “od was”. Konfiguracja zajmuje 2-4 godziny pracy z administratorem DNS. Najpierw uruchamia się DMARC w trybie p=none, żeby zbierać raporty. Po 4-8 tygodniach, gdy 100% dozwolonego ruchu przechodzi, przełącz się na p=reject.
Procedura weryfikacji przelewów drugim kanałem. Każda zmiana numeru konta dostawcy, każdy przelew zagraniczny powyżej ustalonego progu (typowo 5 000-20 000 zł), każde pilne polecenie “od szefa” wymaga weryfikacji telefonicznej na znany numer (nie na ten z maila). Pięć minut rozmowy oszczędza pięciocyfrową stratę. Procedura ma być pisemna i znana zespołowi.
Szkolenia z phishingu i symulacje. Krótkie 15-30 minutowe sesje co kwartał plus symulowane wiadomości phishingowe co miesiąc. Cel branżowy: poniżej 5% wskaźnika klikalności po 12 miesiącach. Same szkolenia nie wystarczą bez symulacji, a same symulacje bez szkoleń wywołują frustrację. Działają tylko razem.
W 2026 r. doszedł nowy wektor: AI deepfake’i głosowe. Atakujący klonuje głos CEO z nagrania na LinkedIn (60 sekund wystarczy) i dzwoni do księgowej. Obrona ta sama: weryfikacja drugim kanałem, hasło-fraza ustalone wcześniej z zespołem.
Pogłębione tematy: Phishing i bezpieczeństwo poczty firmowej, SPF, DKIM, DMARC - konfiguracja krok po kroku, BEC w polskim MŚP - fałszywa faktura jako wektor straty 200 000 zł, Cyber higiena pracowników - 7 nawyków, które blokują 80% ataków.
3. Czego nie trzeba robić
Większość artykułów o cyberbezpieczeństwie MŚP została napisana przez ludzi pracujących w korporacjach. Treść trafia do firmy zatrudniającej 12 osób z zerowym budżetem działu IT i każe wdrożyć rzeczy zaprojektowane dla banku z 5 000 stanowisk.
Pomijajcie poniższe, dopóki nie macie wcześniej wymienionych trzech warstw.
SIEM lub SOC-as-a-Service. System korelacji logów (Splunk, Elastic SIEM, Microsoft Sentinel) ma sens powyżej około 50 pracowników, kiedy ktoś rzeczywiście ma czas reagować na alerty. W 10-osobowej firmie SIEM bez analityka generuje 200 alertów dziennie, których nikt nie czyta. Efekt taki sam jak brak SIEM, tylko z fakturą miesięczną.
Certyfikacja ISO 27001. Sensowna, gdy klient korporacyjny tego wymaga w przetargu, gdy regulator branżowy wymusza, lub gdy konkurencja przegrywa właśnie dlatego, że ma certyfikat. Bez jednego z tych trzech powodów koszt wdrożenia (50 000-200 000 zł plus audyt) i utrzymanie (rocznie 20 000-50 000 zł) nie ma uzasadnienia biznesowego dla MŚP.
Pełnoetatowy specjalista bezpieczeństwa. Sensowny powyżej 30-50 pracowników. Poniżej tego progu lepsze są: outsourcowany audyt zewnętrzny raz w roku (jak CyberCerber), MSSP/SOC w retainerze dla firm regulowanych albo część etatu wewnętrznego informatyka dedykowana cyberowi.
Enterprise EDR z 24/7 obsługą. CrowdStrike Falcon Complete, SentinelOne Vigilance, Sophos MTR są świetnymi produktami i kosztują 30-80 zł na użytkownika miesięcznie razem z całodobowym SOC. Dla 10-osobowej firmy zwykły Microsoft Defender for Endpoint (P1 lub P2) w pakiecie z Microsoft 365 Business Premium jest wystarczający i kosztuje około 25 zł na użytkownika miesięcznie razem z e-mailem i pakietem biurowym.
NIS2 i pełne wdrożenie procesów zarządzania ryzykiem. Większość polskich MŚP nie podlega NIS2 (próg 50 pracowników lub 10 mln euro obrotu). Jeśli was nie dotyczy, nie wdrażajcie 10-elementowej listy z art. 21 NIS2; ta lista nie jest dla was. Sprawdzenie zakresu: Czy NIS2 dotyczy mojej firmy?, kontekst regulacyjny: NIS2 i UKSC dla MŚP.
Pełen test penetracyjny w pierwszym roku. Pentest ma sens dopiero po wdrożeniu trzech warstw obrony. Wcześniej dostarcza długą listę słabości, których nie macie czasu naprawić, plus poczucie bezsensu. Najpierw ocena podatności, potem (po remediacji) pentest. Różnice: Ocena podatności vs pentest - kiedy które potrzebujesz.
“Nie róbcie tego” jest często bardziej wartościowe niż “róbcie tamto” - oszczędza dziesiątki godzin i tysiące złotych wydanych na fałszywe priorytety.
4. Plan 30-60-90 dni
<circle cx="270" cy="100" r="14" fill="#00C2A8"/>
<text x="270" y="105" text-anchor="middle" font-size="11" font-weight="700" fill="#0F1923">3-4</text>
<text x="270" y="60" text-anchor="middle" font-size="12" fill="#00C2A8" font-weight="700">Tydzień 3-4</text>
<text x="270" y="140" text-anchor="middle" font-size="12">Backup</text>
<text x="270" y="158" text-anchor="middle" font-size="12">+ menedżer haseł</text>
<circle cx="450" cy="100" r="14" fill="#00C2A8"/>
<text x="450" y="105" text-anchor="middle" font-size="11" font-weight="700" fill="#0F1923">5-8</text>
<text x="450" y="60" text-anchor="middle" font-size="12" fill="#00C2A8" font-weight="700">Tydzień 5-8</text>
<text x="450" y="140" text-anchor="middle" font-size="12">Poczta</text>
<text x="450" y="158" text-anchor="middle" font-size="12">SPF/DKIM/DMARC</text>
<circle cx="610" cy="100" r="14" fill="#00C2A8"/>
<text x="610" y="105" text-anchor="middle" font-size="11" font-weight="700" fill="#0F1923">9-12</text>
<text x="610" y="60" text-anchor="middle" font-size="12" fill="#00C2A8" font-weight="700">Tydzień 9-12</text>
<text x="610" y="140" text-anchor="middle" font-size="12">Skan</text>
<text x="610" y="158" text-anchor="middle" font-size="12">+ remediacja</text>Plan zakłada firmę 5-20 osobową, jednego założyciela jako decydenta, dostęp do firmy zewnętrznej albo czas na samodzielną pracę z poradnikami.
Tydzień 1-2: Audyt i MFA wszędzie
Inwentaryzacja kont biznesowych: e-mail, bankowość, KSeF, ZUS PUE, CRM, hosting, panel WWW, narzędzia księgowe, narzędzia marketingowe, repozytoria plików. Włączenie MFA na każdym z nich. Preferowane są aplikacje typu Authenticator (Microsoft, Google) lub klucze sprzętowe YubiKey dla kont kluczowych. SMS jest ostatnią opcją, ponieważ jest podatny na SIM swapping. Sprawdzenie wycieków waszej domeny w bazie Have I Been Pwned (haveibeenpwned.com). Jeśli pojawią się stare maile firmowe, reset haseł i włączenie MFA. Zewnętrzne, darmowe skanowanie wstępne - zamów PreScan w CyberCerber - pokazuje, co widzi atakujący, zanim wejdzie.
Tydzień 3-4: Backup i menedżer haseł
Wybór i wdrożenie backupu 3-2-1. Dla większości MŚP: NAS w biurze plus chmura z immutable. Pierwszy test odzysku (jeden plik, jedna baza danych) i wpis do kalendarza powtarzania co miesiąc. Wybór firmowego menedżera haseł. Migracja haseł zespołowych (Wi-Fi, współdzielone konta dostępu, panele administracyjne). BitLocker lub FileVault na wszystkich laptopach pracowników.
Tydzień 5-8: Bezpieczeństwo poczty
Konfiguracja SPF plus DKIM dla domeny firmowej (administrator hostingu albo poczty). DMARC w trybie p=none plus zbieranie raportów. Narzędzia: dmarcian, Postmark DMARC, Valimail. Po 4 tygodniach analizy raportów i poprawkach przejście na p=quarantine, po kolejnym miesiącu na p=reject. Pisemna procedura weryfikacji przelewów drugim kanałem. Krótkie szkolenie zespołu (30 minut). Pierwsza symulacja phishingu (Gophish self-hosted, KnowBe4 free tier, Sophos Phish Threat). Pomiar bazowy klikalności.
Tydzień 9-12: Skan zewnętrzny i remediacja
Zewnętrzna ocena podatności (pakiet dostępny w CyberCerber). Raport po polsku z priorytetami CVSS w 5 dni roboczych. Naprawienie ustaleń krytycznych w 7 dni, wysokich w 30 dni - to standard branżowy. Wpisanie audytu zewnętrznego do kalendarza co 12 miesięcy. RODO art. 32 wymaga regularnego testowania skuteczności środków; nie wskazuje konkretnej daty, ale “regularne” jednoznacznie oznacza co najmniej raz w roku. Polityka bezpieczeństwa IT - dokument z procesami i odpowiedzialnościami, oparty na wzorze (link poniżej).
Po 90 dniach firma ma trzy warstwy obrony, dokumentację zgodną z art. 32 RODO, plan reagowania na incydent, kalendarz powtarzających się działań i jedną osobę świadomą, gdzie firma stoi. To więcej, niż ma większość polskich MŚP.
Wzór polityki i checklisty: Polityka bezpieczeństwa IT małej firmy. Sekwencyjny plan codzienny: 5 kroków pierwszego tygodnia.
5. Budżet
Realistyczne widełki kosztów dla 10-osobowej firmy w skali rocznej. Wszystkie ceny brutto, stan 2026 r.
Wariant 0 zł (tylko czas). MFA na wszystkich kontach, podstawowy SPF/DKIM/DMARC, BitLocker, polityka pisemna, ręczna weryfikacja przelewów, regularny patch management. Daje 60-70% ochrony przy 20-40 godzinach pracy w pierwszym miesiącu. Każda firma powinna to mieć - bez tego dalsze inwestycje mają mniejszą wartość.
Do 1 000 zł rocznie. Menedżer haseł (Bitwarden Teams około 4-6 USD na użytkownika miesięcznie), darmowe narzędzia DMARC (dmarcian community, Postmark), darmowy phishing simulator (Gophish self-hosted), bezpłatne skanowanie wstępne CyberCerber. Wciąż w segmencie DIY.
1 000-5 000 zł rocznie. Microsoft 365 Business Premium (włącza EDR Defender, MFA wymuszone, conditional access) około 25-30 zł na użytkownika miesięcznie. NAS Synology DS 4-bay z dyskami (3 000-5 000 zł jednorazowo, plus 200-400 zł rocznie backup chmurowy). Zarządzane DMARC (Postmark, EasyDMARC) 50-150 USD miesięcznie. Tu sięga 80% polskich MŚP po pierwszym roku wdrożenia.
5 000-15 000 zł rocznie. Roczny zewnętrzny audyt podatności (CyberCerber - zobacz cennik), profesjonalny phishing simulator (KnowBe4, Sophos) 20-40 zł na użytkownika miesięcznie, ubezpieczenie cyber dla małej firmy (1 000-15 000 zł rocznie według KNF). Dla firm regulowanych, z klientami korporacyjnymi lub po pierwszym incydencie.
Powyżej 15 000 zł rocznie. SOC w retainerze, MSSP, pełny pentest co rok, dedykowany SIEM. Tu zaczyna się świat firm 50+ osób i regulowanych branż (NIS2, ISO 27001). Większość MŚP tu nie jeździ.
Punkt odniesienia: przeciętna polska firma 10-osobowa wydaje na kompletny stack cyber około 0,5-1,5% rocznego obrotu. Pierwsza fala wdrożenia (Tydzień 1-12 powyżej) - od 0 do 5 000 zł.
Więcej: Ubezpieczenie cyber dla małej firmy - kiedy się opłaca i ile kosztuje.
6. FAQ
Czy 10-osobowa firma naprawdę musi się tym zająć? Tak. Verizon DBIR 2024 wskazuje, że 43% naruszeń dotyczy firm poniżej 1 000 osób, a ransomware stanowi 88% przypadków szkodliwego oprogramowania w segmencie poniżej 50 pracowników. Boty nie wybierają celów; skanują wszystko, co widoczne online.
Od czego zacząć, jeśli nic dotychczas nie zrobiliśmy? Włączcie MFA na koncie pocztowym i bankowym dzisiaj. To zajmuje 30 minut na konto i blokuje ponad 99% automatycznych ataków. Dalej w kolejności z planu 30-60-90 dni powyżej.
Czy nasze biuro księgowe, klinika lub gabinet podlega NIS2? Z dużym prawdopodobieństwem nie. Próg to 50 pracowników lub 10 mln euro obrotu, plus przynależność do sektorów z załączników I/II dyrektywy. Większość polskich MŚP nie spełnia warunków. Test w trzech krokach: Czy NIS2 dotyczy mojej firmy?.
Co zrobić, gdy podejrzewamy atak właśnie teraz? Odłączcie zaatakowane systemy od sieci, nie wyłączajcie ich (utracicie ulotne dowody). Zachowajcie logi. Zgłoście CERT Polska przez cert.pl/zglos. Jeśli dotknięte są dane osobowe - UODO w 72 godziny. Pełna procedura: Atak hakerski - pierwsze 60 minut.
Jak rozróżnić ocenę podatności od testu penetracyjnego? Ocena podatności mapuje słabości (co jest podatne, jak naprawić). Pentest sprawdza eksploatację (czy słabość rzeczywiście da się wykorzystać). Większość MŚP zaczyna od oceny podatności. Pełny opis różnic: Ocena podatności vs pentest.
Czy darmowy antywirus wystarczy? W 2026 r. nie. Standardem są rozwiązania klasy EDR, które wykrywają zachowanie procesów, nie tylko sygnatury. Microsoft Defender for Endpoint w pakiecie Microsoft 365 Business Premium wystarcza dla większości MŚP. Więcej: EDR dla małej firmy.
Czy mogę zapłacić okup, jeśli ransomware nas złapie? Najpierw sprawdźcie, czy istnieje darmowy dekryptor w bazie No More Ransom. Tylko 8% płacących odzyskuje wszystkie dane (Sophos State of Ransomware). Zapłata finansuje kolejny atak. To ostatnia opcja, nie pierwsza.
Co o sztucznej inteligencji w cyberatakach? W 2026 r. realny problem to AI-generowany phishing (lepsza polszczyzna, lepsze konteksty) i deepfake’i głosowe w atakach BEC. Obrona ta sama: MFA odporne na phishing (FIDO2), weryfikacja drugim kanałem, regularne szkolenia. Szczegóły: Jak rozpoznać phishing - 6 sygnałów w 2026.
Ile kosztuje pełen audyt CyberCerber? Trzy produkty: PreScan (bezpłatny skan diagnostyczny w 24h), CyberAudyt (audyt CyberCerber - pełna ocena podatności z raportem po polsku, 5 dni roboczych), Pentest (symulowany atak dla podmiotów regulowanych). Wycena w cenniku lub konsultacja przez /contact.
Ile czasu zajmuje wdrożenie podstawowej higieny cyber? Plan 30-60-90 dni opisany powyżej zakłada 2-4 godziny tygodniowo przez 3 miesiące plus jeden 5-dniowy zewnętrzny audyt. Realistyczne dla firmy 10-osobowej, którą prowadzi jedna osoba decyzyjna.
Co jeśli mam zewnętrznego informatyka, który mówi, że wszystko jest pod kontrolą? Zlecicie raz w roku niezależny zewnętrzny audyt podatności (CyberCerber albo inną firmę). Niezależna weryfikacja jest standardem. Art. 32 RODO i większość ubezpieczeń cyber tego wymagają. Wewnętrzna ocena nigdy nie zastąpi spojrzenia z zewnątrz. Pomocnicze kryteria wyboru: Jak wybrać firmę cyberbezpieczeństwa.
Czy musimy szyfrować dyski służbowe? Tak. BitLocker na laptopach z Windows Pro, FileVault na MacBookach. Blokada biometryczna na telefonach służbowych. Wymaga tego art. 32 RODO i większość ubezpieczeń cyber. Konfiguracja zajmuje 15 minut na urządzenie. Pełen kontekst: RODO i bezpieczeństwo danych.
7. Następny krok
Najprostszą drogą do sprawdzenia, gdzie stoicie dziś, jest bezpłatne skanowanie wstępne CyberCerber. To pasywna ocena, która pokazuje, co widzi atakujący przed wejściem do waszej infrastruktury. Wyniki w 24 godziny, bez zobowiązań, bez instalacji niczego u was.
Zamów bezpłatne skanowanie wstępne
Jeśli wiecie już, że potrzebujecie pełnego audytu, sprawdźcie cennik pakietów lub napiszcie bezpośrednio: contact@cybercerber.com.
8. Powiązane przewodniki
Cały przewodnik po cyberbezpieczeństwie MŚP w CyberCerber składa się z jednego pillaru tematycznego (tej strony) i sześciu klastrów rozwijających poszczególne wątki, plus sześciu sąsiednich pillarów covering zagrożenia, ocenę podatności, RODO, NIS2, phishing i ransomware. Zacznijcie od tych, które najbardziej pasują do waszej dzisiejszej sytuacji.
Sąsiednie przewodniki: