Przejdź do treści

Słownik cyberbezpieczeństwa

Ponad 60 pojęć z RODO, NIS2, ochrony danych i higieny cyber, wyjaśnionych prostym językiem dla właścicieli MŚP. Każdy termin ma odsyłacze do głębszych przewodników.

B

  • BEC (Business Email Compromise (kompromitacja firmowej poczty))

    BEC to atak, w którym napastnik przejmuje lub podszywa się pod konto biznesowe (najczęściej CEO lub dostawcy) by wyłudzić przelew. Klasyczny scenariusz: pilny mail z prośbą o przelew na nowy numer konta dostawcy. FBI IC3 zaraportowało 2,9 mld USD strat z BEC w 2023 r. - najdroższa klasa ataku na MŚP.

D

  • Dane osobowe (Dane osobowe w rozumieniu RODO)

    Dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4 ust. 1 RODO). Obejmują imię, nazwisko, PESEL, adres, e-mail, numer telefonu, dane biometryczne, dane lokalizacyjne, identyfikatory internetowe. Szczególne kategorie (zdrowie, biometria, rasa) podlegają surowszej ochronie z art. 9 RODO.

  • DKIM (DomainKeys Identified Mail)

    DKIM (DomainKeys Identified Mail) to standard dodający kryptograficzny podpis cyfrowy do każdego wysyłanego maila. Serwer odbierający weryfikuje podpis kluczem publicznym z DNS domeny nadawcy - potwierdza autentyczność i brak modyfikacji w transporcie. DKIM razem z SPF i DMARC tworzy kompletne uwierzytelnianie poczty.

  • DMARC (Domain-based Message Authentication, Reporting and Conformance)

    DMARC to standard uwierzytelniania poczty (RFC 7489), który łączy SPF i DKIM oraz mówi serwerom odbierającym, co robić z wiadomościami niespełniającymi kontroli - przepuścić, kwarantanna, czy odrzucić. Bez DMARC w polityce reject każdy może wysłać fałszywy mail z waszej domeny.

E

  • EDR (Endpoint Detection and Response)

    EDR to klasa oprogramowania, która monitoruje zachowanie procesów na stacjach końcowych i wykrywa wczesne fazy ataków (np. proces masowo szyfrujący pliki = ransomware) zanim szkoda się rozprzestrzeni. W 2026 r. standard dla MŚP - klasyczny antywirus sygnaturowy nie wystarcza.

I

  • ISO 27001 (ISO/IEC 27001 - System zarządzania bezpieczeństwem informacji (ISMS))

    ISO 27001 to międzynarodowy standard zarządzania bezpieczeństwem informacji (ISMS), aktualne wydanie 2022. Wersja 2022 zawiera 93 kontrole w Annex A pogrupowane w 4 tematach: organizacyjne (37), ludzie (8), fizyczne (14), technologiczne (34). Certyfikacja przeglądana co 3 lata przez niezależnego audytora.

M

  • MFA (Multi-Factor Authentication (uwierzytelnianie wieloskładnikowe))

    MFA to mechanizm uwierzytelniania wymagający co najmniej dwóch niezależnych dowodów tożsamości - zazwyczaj coś, co wiesz (hasło) i coś, co masz (telefon, klucz sprzętowy). Microsoft podaje, że MFA blokuje ponad 99% automatycznych ataków na konto. Standard branżowy dla kont biznesowych w 2026 r.

N

  • Naruszenie ochrony danych (Naruszenie ochrony danych osobowych (data breach) w rozumieniu RODO)

    Naruszenie ochrony danych to zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych osobowych (art. 4 ust. 12 RODO). Wymaga zgłoszenia do UODO w 72 godziny od stwierdzenia (art. 33). Przy wysokim ryzyku - powiadomienia osób (art. 34).

  • NIS2 (Dyrektywa (UE) 2022/2555 o cyberbezpieczeństwie sieci i systemów informacyjnych)

    NIS2 to dyrektywa UE 2022/2555 z 14 grudnia 2022 r. nakładająca obowiązki zarządzania ryzykiem cyber i raportowania incydentów na podmioty kluczowe i ważne. W Polsce wdrożona nowelizacją UKSC, w mocy od 3 kwietnia 2026 r. Termin rejestracji: 3 października 2026 r.

O

  • Ocena podatności (Vulnerability Assessment (zewnętrzna ocena podatności IT))

    Ocena podatności to systematyczne badanie powierzchni ataku organizacji - porty, usługi, certyfikaty, poczta, aplikacje webowe - identyfikujące znane słabości z priorytetami CVSS. W odróżnieniu od pentestu nie próbuje eksploatować podatności, tylko je mapuje. Punkt wyjścia dla MŚP przed pełnym testem penetracyjnym.

P

  • Phishing (Inżynieria społeczna przez fałszywe wiadomości)

    Phishing to atak inżynierii społecznej, w którym napastnik podszywa się pod zaufany podmiot (bank, NFZ, KSeF, klient) aby wyłudzić login, hasło lub instalację malware. 41% ataków na MŚP zaczyna się od phishingu (Verizon DBIR 2024). Pierwsza obrona: SPF + DKIM + DMARC, MFA, szkolenia, symulacje.

R

  • Ransomware (Złośliwe oprogramowanie szyfrujące z żądaniem okupu)

    Ransomware to złośliwe oprogramowanie, które szyfruje pliki ofiary i żąda okupu w zamian za klucz odszyfrowujący. Najczęstsze wektory wejścia w Polsce: phishing, wystawiony RDP bez NLA, kompromitacja łańcucha dostaw. W 2024 r. ransomware stanowił 88% przypadków malware w segmencie firm poniżej 50 osób (Verizon DBIR).

  • RODO (Rozporządzenie o Ochronie Danych Osobowych)

    RODO to unijne rozporządzenie 2016/679 obowiązujące od 25 maja 2018 r., które reguluje przetwarzanie danych osobowych w UE. Dotyczy każdej polskiej firmy bez progu wielkości; egzekwowane przez UODO; kary do 20 mln euro lub 4% rocznego obrotu globalnego.

S

  • SPF (Sender Policy Framework)

    SPF (Sender Policy Framework) to rekord DNS TXT wskazujący serwery uprawnione do wysyłania poczty z danej domeny. Serwer odbierający weryfikuje IP nadawcy - jeśli nie ma go na liście, wiadomość może trafić do spamu lub zostać odrzucona. SPF bez DKIM i DMARC nie chroni nagłówka From przed spoofingiem.

U

  • UKSC (Ustawa o krajowym systemie cyberbezpieczeństwa)

    UKSC to polska ustawa z 5 lipca 2018 r. (Dz.U. 2018 poz. 1560), nowelizowana 19 lutego 2026 r. dla wdrożenia NIS2. Obowiązuje od 3 kwietnia 2026 r. Określa krajowe obowiązki podmiotów kluczowych i ważnych, w tym rejestrację, raportowanie incydentów i kary.