Wielu właścicieli małych firm wciąż uważa, że ataki ransomware przytrafiają się tylko szpitalom, światowym markom lub infrastrukturze publicznej. W rzeczywistości ryzyko ransomware w małych firmach jest jednym z najdobitniejszych przykładów tego, jak napastnicy konsekwentnie biorą na cel organizacje dysponujące cennymi danymi, ograniczonym czasem i słabszą obroną.
Najnowsze ustalenia Proton Data Breach Observatory pokazują, że MŚP często padają ofiarą naruszeń. Są one również nieproporcjonalnie reprezentowane w najbardziej dotkliwych incydentach, w tym naruszeniach dotyczących danych wysokiego ryzyka i wycieków dużych ilości rekordów.
Ransomware to problem związany z ciągłością działania firmy, bezpieczeństwem danych logowania i ochroną danych. Badanie Cyber Security Breaches Survey przeprowadzone przez rząd Wielkiej Brytanii wykazało, że 1% brytyjskich firm zidentyfikował incydenty ransomware w ciągu ostatnich 12 miesięcy, co stanowi wzrost z poziomu poniżej 0,5% w 2024 roku. W skali kraju przekłada się to na szacunkowo 19 000 firm.
Pomimo wzrostu popularności ransomware, próba wyłudzenia informacji (phishing) pozostaje najczęstszym typem cyberataku. Napastnicy najczęściej uzyskują dostęp do sieci firmowych poprzez ludzi, dane logowania i rutynowe procesy pracy, a nie poprzez cyberataki na dużą skalę. Mogą oni zasadniczo wykorzystać phishing, aby następnie przeprowadzić większy atak ransomware, jeśli wyczują szansę na większy zysk.
W przypadku małej firmy szkody wyrządzone przez ransomware mogą spowodować poważne zakłócenia w ciągłości działania. Członkowie zespołu tracą dostęp do plików i nie mogą kontynuować pracy, operacje spowalniają lub zostają wstrzymane, a klienci nie otrzymują odpowiednich usług. Jeśli dane osobowe zostaną zagrożone, pojawią się obowiązki sprawozdawcze. Praktyczna strategia walki z ransomware dla MŚP musi obejmować oba aspekty ataku: zapobieganie i to, jak odzyskać dane.
Jak działa ransomware?
Ransomware to rodzaj złośliwego oprogramowania, które uniemożliwia Ci dostęp do urządzeń lub danych, zazwyczaj poprzez szyfrowanie plików, a następnie żąda zapłaty w zamian za ich odszyfrowywanie. W wielu przypadkach napastnicy robią teraz więcej niż tylko blokowanie plików. Kradną również dane i grożą ich wyciekiem, jeśli okup nie zostanie zapłacony, co zmienia incydent zarówno w kryzys dostępności, jak i potencjalne naruszenia danych.
Ofiary często otrzymują instrukcje, aby komunikować się za pośrednictwem anonimowych wiadomości e-mail lub stron internetowych i płacić w kryptowalucie. Dla małych firm to rozróżnienie jest ważne, ponieważ kryptowaluta jest anonimowa, scentralizowana i nieuregulowana przez tradycyjne instytucje finansowe: śledzenie płatności jest niemal niemożliwe.
Wydarzenie związane z ransomware nie zawsze ogranicza się do utraty dostępu do plików. Może to również oznaczać, że informacje o klientach, dane pracowników, dokumentacja finansowa, umowy lub dane logowania zostały już wykradzione. Ransomware może prowadzić do utraty terminowego dostępu do danych osobowych, a tam, gdzie kopia zapasowa nie jest odpowiednia lub dostępna, nawet do ich trwałej utraty.
Łańcuch ataku jest zazwyczaj bardziej zwyczajny, niż mogłoby się wydawać. Łatwe do przeoczenia incydenty, które mogą prowadzić do ataku ransomware, obejmują:
- Kliknięcie w linki z próbą wyłudzenia informacji.
- Ujawnienie wielokrotnie używanych haseł w wyniku naruszenia danych.
- Pozostawienie niezabezpieczonej usługi zdalnego dostępu.
- Pozostawienie znanych luk w zabezpieczeniach bez odpowiednich poprawek.
Gdy napastnik uzyska dostęp do sieci firmowej, przemieszcza się wewnątrz niej, zwiększa uprawnienia, wyłącza ścieżki umożliwiające to, by odzyskać dane (tam gdzie to możliwe) i stosuje szyfrowanie lub wymuszenia tam, gdzie zaboli to najbardziej. Żadne pojedyncze narzędzie ani rozwiązanie nie zapobiegnie atakom ransomware. Zamiast tego organizacje muszą skupić się na ograniczaniu liczby łatwych dróg wejścia do swojej sieci.
Dlaczego małe firmy są nieproporcjonalnie częściej celem ataków
Małe firmy są atrakcyjnymi celami ataków ransomware z prostego powodu: przechowują cenne dane, które nie są tak dobrze chronione, jak powinny. Najnowsze ustalenia obserwatorium Proton pokazują, że MŚP odpowiadają za 63% naruszeń monitorowanych od stycznia 2025 r. i ponad 352 miliony rekordów, których dotyczył wyciek.
Odpowiadają one również za 61% naruszeń obejmujących dane wysokiego ryzyka, przy czym same małe firmy reprezentują 48% tych krytycznych incydentów. Wśród naruszeń ujawniających ponad 100 000 rekordów, MŚP stanowią 60%, a małe firmy 42%.
Małe firmy nie są nieostrożne. W rzeczywistości raport SMB Cybersecurity Report 2026 przygotowany przez Proton dowodzi, że małe firmy starają się poprawiać swoje cyberbezpieczeństwo. Problem polega na tym, że ich zabezpieczenia zawodzą w rzeczywistych warunkach. Niespójne egzekwowanie zasad, błąd ludzki, nawyki udostępniania dostępu i ograniczona wewnętrzna wydajność w zakresie bezpieczeństwa sprawiają, że małe firmy są kuszącym celem.
W badaniu przeprowadzonym przez Proton wśród 3000 liderów w firmach zatrudniających poniżej 250 pracowników, 39% stwierdziło, że incydenty wynikały z błędu ludzkiego, a 48% przyznało, że nie posiada wdrożonego menadżera haseł.
Większe firmy mogą mieć dedykowane zespoły reagowania, podzielone środowiska, przetestowane plany kopii zapasowych i zewnętrzne wsparcie w razie incydentów. Mniejsze firmy często mają jedną skromną funkcję IT, wsparcie z outsourcingu lub brak dedykowanego eksperta ds. bezpieczeństwa. Gdy uderza atak, firma jest zmuszona do podejmowania decyzji o wysoką stawkę pod presją operacyjną. Na tę presję właśnie liczą operatorzy ransomware.
Najczęstsze punkty wejścia dla ransomware w MŚP
Po przeanalizowaniu badań przeprowadzonych w Wielkiej Brytanii wiemy, że phishing pozostaje dominującym wektorem cyberprzestępczości dla firm. Ale dlaczego? Ponieważ phishing jest często pierwszym krokiem do kradzieży danych logowania, przejęcia konta (staje się ono zagrożone), dostarczenia złośliwego oprogramowania lub nadużycia zdalnego dostępu.
Słabe lub wielokrotnie używane dane logowania to kolejny poważny problem. Małe firmy często korzystają z udostępnianych loginów, haseł używanych w wielu usługach lub starych kont, które pozostają aktywne po zmianie stanowiska przez pracownika lub jego odejściu. Gdy napastnicy zdobędą jeden działający login, nie muszą włamywać się na konta. Mogą się po prostu zalogować.
Z tego miejsca słabo chronione konto administratora, odsłonięta konsola w chmurze lub punkt zdalnego dostępu bez uwierzytelniania dwustopniowego (2FA) może stać się pomostem do szerszego incydentu ransomware. Realistycznie rzecz biorąc, organizacje muszą wdrożyć 2FA, dostęp z minimalnymi uprawnieniami i regularne przeglądy uprawnień, aby ograniczyć łatwość ponownego użycia skradzionych danych logowania i zasięg, w jakim złośliwe oprogramowanie może się rozprzestrzeniać.
Niezałatane oprogramowanie to kolejny powracający punkt wejścia. NCSC zauważa, że oprogramowanie typu ransomware jest coraz częściej wdrażane przez odsłonięte usługi, takie jak RDP lub niezałatane urządzenia zapewniające dostęp zdalny, i zaleca naprawianie podatności w systemach dostępu zdalnego oraz systemach wychodzących do internetu natychmiast po udostępnieniu poprawek. Dla MŚP to właśnie tutaj przeoczone zdarzenie po cichu zamienia się w powierzchnię ataku.
Jak chronić się przed ransomware: podejście wielowarstwowe
Nie ma jednego mechanizmu kontrolnego, który mógłby zapobiec ransomware. Najskuteczniejsze podejście jest wielowarstwowe i praktyczne.
Zacznij od zarządzania tożsamością
Dane na kontach członków zespołu wymagają dokładnej ochrony, aby odeprzeć ataki ransomware. Wprowadź obowiązkowe uwierzytelnianie dwustopniowe wszędzie tam, gdzie to możliwe, na kontach krytycznych dla firmy, zwłaszcza w wiadomościach e-mail, narzędziach administratora, chmurze, platformach finansowych, punktach dostępu zdalnego i wszelkich systemach przechowujących dane osobowe klientów lub inne wrażliwe informacje umożliwiające identyfikację tożsamości (PII).
Popraw higienę haseł
Atakujący nie zawsze włamują się na konta. Często zalogują się przy użyciu skradzionych lub ponownie użytych danych logowania. Każde konto firmowe musi mieć unikalne, silne hasło, a współdzielony dostęp powinien zostać zastąpiony zarządzanym, bezpiecznym udostępnianiem danych logowania za pośrednictwem firmowego menadżera haseł, a nie przez arkusze kalkulacyjne, czaty czy wiadomości.
Własny raport Proton dla MŚP podkreśla, że nawet firmy dysponujące odpowiednimi narzędziami wciąż często powracają do niebezpiecznych nawyków udostępniania haseł. To właśnie tutaj bezpieczny firmowy menadżer haseł, taki jak Proton Pass for Business, może zmniejszyć ryzyko: pomaga zespołom tworzyć silne i unikalne dane logowania, bezpiecznie je przechowywać i udostępniać dostęp w kontrolowany, bezpieczny sposób.
Zarządzanie poprawkami musi być zdyscyplinowane
Aktualizacje zabezpieczeń systemów operacyjnych, aplikacji, VPN, narzędzi dostępu zdalnego i urządzeń brzegowych powinny być traktowane jako niezbędne elementy operacyjne, a nie opcjonalna konserwacja. Zainstaluj aktualizacje zabezpieczeń tak szybko, jak to możliwe i włącz automatyczne aktualizacje, jeśli to wykonalne.
Solidna ochrona poczty i sieci
Filtrowanie poczty, kontrola załączników, blokowanie znanych złośliwych witryn i ochrona bezpiecznego przeglądania zmniejszają prawdopodobieństwo dostarczenia ransomware w pierwszej kolejności. Ponieważ phishing jest tak powszechny, te mechanizmy kontrolne są niezbędne.
Reaguj na błąd ludzki
Nawet jeśli wdrożysz środki bezpieczeństwa i zasadę dotyczącą haseł, szkolenie z zakresu świadomości bezpieczeństwa jest nadal konieczne. Szkolenie pomaga pracownikom dostrzec podejrzane wiadomości e-mail i próby inżynierii społecznej, ale ludzie i tak będą popełniać błędy.
Silniejsze narzędzia lub funkcje i kontrola dostępu powinny to zakładać. NCSC wyraźnie zaleca szkolenia uświadamiające, ale badania Proton wskazują również, że samo szkolenie nie wyłapie każdego potknięcia. Dobre zaprojektowanie bezpieczeństwa zmniejsza szkody, gdy ktoś kliknie w link, sprawiając, że jeden błąd rzadziej staje się incydentem na pełną skalę, czy to poprzez uwierzytelnianie dwustopniowe, dostęp z najniższymi uprawnieniami, silniejszą ochronę wiadomości, segmentowany dostęp czy przetestowane kopie zapasowe wspierające odzyskiwanie danych.
Zadbaj o kopie zapasowe, zanim będą potrzebne
Kopie zapasowe muszą być regularne, odizolowane i przetestowane. ICO zaleca stosowanie podejścia 3-2-1: trzy kopie na dwóch różnych urządzeniach, z których jedna jest przechowywana poza siedzibą firmy. NCSC dodaje ważne ostrzeżenie operacyjne: ransomware mogło przeniknąć do Twojego środowiska przed wykryciem, dlatego kopie zapasowe powinny być skanowane przed przywróceniem, a same systemy kopii zapasowych powinny być chronione.
Powiązanie z danymi logowania: dlaczego hasła wciąż mają znaczenie w obronie przed ransomware
Łatwo pomyśleć o ransomware jako o złośliwym oprogramowaniu i zapomnieć, że hasła odgrywają rolę w udanym ataku. Jednak wiele incydentów związanych z ransomware zaczyna się od kradzieży, ponownego użycia lub nadużycia danych logowania.
Może to oznaczać pracownika ponownie używającego hasła z innej usługi, aktywne konto byłego kontrahenta, dane logowania administratora udostępniane kilku osobom lub odsłonięty punkt dostępu zdalnego chroniony tylko hasłem. Każdy z tych skrótów powiększa powierzchnię ataku.
To jeden z powodów, dla których silne zarządzanie danymi logowania powinno być częścią każdego planu odzyskiwania po ataku ransomware i ram zapobiegania. Unikalne hasła dla każdej usługi zmniejszają zasięg rażenia w przypadku kradzieży jednego loginu. MFA sprawia, że skradzione hasło jest mniej przydatne samo w sobie, podczas gdy scentralizowana przestrzeń dyskowa na dane logowania eliminuje potrzebę stosowania niebezpiecznych obejść.
Bezpieczne udostępnianie oznacza, że pracownicy otrzymują dostęp, którego potrzebują, poprzez kontrolowane i możliwe do śledzenia metody, a nie poprzez nieformalne udostępnianie haseł. Regularne sprawdzanie, kto ma dostęp do czego, wspiera również zasadę najniższych uprawnień, którą NCSC zaleca jako element ograniczania poruszania się napastnika wewnątrz sieci i rozprzestrzeniania się zagrożenia.
Pisaliśmy obszernie o zagrożeniach ransomware, przed którymi stoją MŚP. Raz za razem widzimy to samo: atakujący coraz częściej szukają firm, które łatwiej złamać, a nie tylko tych o najbardziej znanych nazwach.
Co zrobić, jeśli Twoja mała firma padnie ofiarą ataku
1. Opanuj incydent
Jeśli Twoja firma padnie ofiarą ataku, Twoim priorytetem jest opanowanie sytuacji. Odłącz zainfekowane urządzenia od sieci, wyłącz konta, których bezpieczeństwo zostało zagrożone (jeśli potrafisz je zidentyfikować), odizoluj ścieżki dostępu zdalnego, zabezpiecz dowody i unikaj zbyt szybkiego czyszczenia systemów, jeśli w przyszłości możesz potrzebować wsparcia informatyki śledczej.
2. Zgłoś incydent
NCSC radzi brytyjskim organizacjom zgłaszanie incydentów i udostępnia dedykowane wytyczne dotyczące reagowania na oprogramowanie ransomware oraz odzyskiwania danych. Przewodnik Proton dotyczący reagowania na incydenty jest również przydatnym źródłem informacji przy ustalaniu szerszego procesu podejmowania decyzji w zakresie ograniczania skutków, prowadzenia dochodzeń, komunikacji i odzyskiwania danych.
3. Nie płać okupu
NCSC oraz brytyjskie organy ścigania nie zachęcają, nie popierają ani nie aprobują płacenia żądań okupu. Zauważają one, że nie ma gwarancji odzyskania dostępu, systemy mogą nadal pozostać zainfekowane, będziesz finansować grupy przestępcze, a Twoja firma może z większym prawdopodobieństwem stać się celem ponownego ataku.
ICO również jasno stwierdza, że zapłacenie okupu nie zmniejsza ryzyka dla ludzi ani nie chroni informacji. Nawet jeśli zostanie zaoferowany klucz do odszyfrowywania, nie ma gwarancji, że zadziała lub że skradzione dane nie wyciekną w inny sposób.
4. Rozpocznij odzyskiwanie
Odzyskiwanie danych powinno koncentrować się na powolnym i bezpiecznym przywracaniu systemów. Oznacza to odbudowę z czystych kopii zapasowych, zweryfikowanie, czy ścieżka ataku została zamknięta, zmianę naruszonych danych logowania, ostrożne ponowne włączanie dostępu i dokumentowanie tego, co się stało. Jeśli kopie zapasowe są połączone z aktywnymi systemami lub nie zostały przetestowane, to właśnie w tym momencie firmy często odkrywają drugą awarię tuż po pierwszej. Dobry plan odzyskiwania danych po ataku ransomware tak naprawdę zaczyna się na długo przed wystąpieniem incydentu.
Brytyjskie obowiązki sprawozdawcze: kiedy konieczne może być zaangażowanie ICO
Jeśli incydent z udziałem oprogramowania ransomware dotyczy danych osobowych, może to stanowić naruszenie ochrony danych osobowych zgodnie z brytyjskim GDPR. ICO wyjaśnia, że sama utrata dostępu do danych osobowych może stanowić naruszenie, jeśli stwarza ryzyko dla osób fizycznych, oraz że musisz powiadomić ICO bez zbędnej zwłoki i, jeśli to możliwe, w ciągu 72 godzin, jeśli naruszenie może spowodować ryzyko dla praw i wolności osób. Jeśli ryzyko jest wysokie, należy również bez zbędnej zwłoki poinformować o tym osoby, których dane dotyczą.
Niektóre organizacje nadal zakładają, że jeśli szybko przywrócą systemy lub nie dojdzie do oczywistego publicznego wycieku, zgłaszanie incydentu jest niepotrzebne. Nie jest to bezpieczne założenie. Wytyczne ICO dotyczące ransomware wyraźnie odnoszą się do scenariuszy powiadomień o naruszeniach i jasno wskazują, że ocena zależy od ryzyka dla osób, a nie tylko od tego, czy skradzione pliki pojawiły się już online.
Ransomware to obecnie problem sektora MŚP
Małe firmy coraz częściej padają ofiarą ataków ransomware, a ich skutki mogą być dotkliwe, ponieważ napastnicy wykorzystują ich słabości. Najnowsze dane Proton dotyczące naruszeń uwidaczniają ten problem: zagrożenie jest wymierne, narasta i zakłóca ciągłość operacyjną.
Dobra wiadomość jest taka, że podstawowe działania mogą wykonać większość pracy za każdą małą firmę. Środki takie jak korzystanie z biznesowego menadżera haseł w celu wdrożenia 2FA i tworzenia unikalnych danych logowania, instalowanie poprawek, filtrowanie poczty, podnoszenie świadomości personelu, przegląd uprawnień, testowane kopie zapasowe i planowanie reagowania na incydenty mogą same w sobie nie wydawać się efektowne, ale razem robią znaczącą różnicę. Zmniejszają one szansę, że jedno skradzione hasło, jedna wiadomość phishingowa lub jedna odsłonięta usługa zdalna przerodzą się w awarię całej firmy.
