Ransomware przestał być problemem korporacji i globalnych gigantów. W 2025 roku ponad 68% ataków w Polsce dotyczyło firm z sektora MŚP. Dlaczego? Bo małe i średnie przedsiębiorstwa często traktują bezpieczeństwo IT jako koszt, a nie inwestycję. Atakujący wiedzą, że firmy z 10-50 pracownikami rzadko mają dedykowany SOC, rzadziej testują kopie zapasowe, a w przypadku paraliżu są skłonne zapłacić okup, by szybko wrócić do pracy. Ten artykuł to konkretny, krok po kroku plan obrony przed szyfrowaniem danych. Jeśli szukasz kompleksowego przeglądu strategii kopii, zacznij od poradnika backupu firmowego.
Jak wygląda atak ransomware krok po kroku?
Nowoczesne ransomware to nie skrypt uruchamiany jednym kliknięciem. To operacja wywiadowcza trwająca dni lub tygodnie. Typowy timeline ataku na firmę w Warszawie wygląda następująco:
- Dzień 1-7: Infiltracja. Phishing, exploit kit na nieaktualnym oprogramowaniu lub przejęte poświadczenia z wycieków (dark web). Atakujący zyskuje wstępny dostęp (Initial Access).
- Dzień 8-14: Eksploracja (Reconnaissance). Skanowanie sieci, wyliczanie uprawnień, wyszukiwanie kontrolerów domeny, serwerów backupu, urządzeń sieciowych.
- Dzień 15-20: Eskalacja i persystencja. Przejęcie konta administratora, instalacja backdoorów, wyłączenie logowania, kradzież danych (double extortion).
- Dzień 21: Szyfrowanie. Uruchomienie ładunku, masowe szyfrowanie plików, wyświetlenie notatki z żądaniem okupu, groźba publikacji danych.
Kluczowa obserwacja: w 92% przypadków atakujący celują w backup jako pierwszy element do zniszczenia. Jeśli Twoje kopie są widoczne w sieci i dostępne przy użyciu standardowych kont domenowych, staną się celem numer jeden. Dlatego rozumienie rodzajów kopii i ich izolacji jest fundamentem obrony.
7 warstw ochrony przed ransomware
Bezpieczeństwo to warstwy. Żadne pojedyncze narzędzie nie da 100% ochrony. Oto sprawdzone filary, które należy wdrożyć równolegle:
| Warstwa | Co robi | Trudność wdrożenia | Koszt (MŚP) |
|---|---|---|---|
| 1. Patch Management | Automatyczne aktualizacje OS i aplikacji | Niska | 0 PLN |
| 2. MFA (2FA) | Drugi krok weryfikacji logowania | Średnia | 0-50 PLN/mc |
| 3. Immutable Backup | Kopie tylko do odczytu, odporno na zapis | Wysoka | 1500+ PLN/mc |
| 4. Segmentacja Sieci | Izolacja VLAN, blokada ruchu lateralnego | Wysoka | 3000+ PLN jednorazowo |
| 5. EDR/XDR | Detekcja zachowań, izolacja endpointów | Średnia | 100-250 PLN/stanowisko/mc |
| 6. Szkolenia Phishingowe | Symulacje ataków, świadomość pracowników | Niska | 500-1500 PLN/rok |
| 7. Plan Reagowania (IR) | Procedury krok po kroku po incydencie | Średnia | Czas zarządu/IT |
„Nie chodzi o to, by nie zostać zaatakowanym. Chodzi o to, by atak nie przerwał działania firmy. Różnica leży w architekturze backupu i czasie reakcji." — Raport CERT Polska, Incydenty IT w MŚP 2025
Ile czasu zajmuje przywrócenie danych? Scenariusze
Różnica między firmą z procedurą a firmą bez niej jest mierzona w tygodniach. Poniżej realistyczne szacunki dla typowego biura 20-osobowego w Warszawie:
- Brak backupu / Płatny okup: 3-7 dni negocjacji + 1-3 dni deszyfracji + 2-5 dni weryfikacji spójności. Całkowity przestój: 7-15 dni. Ryzyko niezapłacenia: 40% (brak klucza).
- Backup lokalny (bez immutability): Jeśli nie został uszkodzony, przywrócenie: 8-24h. Jeśli uszkodzony: jak wyżej.
- Backup hybrydowy z immutable: Izolacja stacji zainfekowanych: 2h. Przywrócenie z chmury: 12-36h (zależnie od łącza). Całkowity przestój: 1-2 dni.
Wdrożenie zasady 3-2-1-1-0 skraca czas przestoju nawet o 78%. Koszt wdrożenia to ułamek średniej straty z przestoju (ok. 42 000 PLN/dzień dla MŚP).
Czy zapłacenie okupu to rozwiązanie?
Statystyki są bezlitosne: 34% firm, które zapłaciło okup, nie odzyskało pełnych danych. 28% zostało zaatakowanych ponownie w ciągu 12 miesięcy. Płatność okupu finansuje dalszą działalność grup przestępczych i jest sprzeczna z zaleceniami ABW, Policji oraz UODO. Co więcej, w wielu jurysdykcjach płatność na sankcjonowane podmioty jest nielegalna.
Jedyną etyczną, legalną i ekonomicznie uzasadnioną drogą jest posiadanie przetestowanego, odpornego na modyfikacje backupu. Procedura odtwarzania musi być gotowa przed incydentem, nie w jego trakcie. Jeśli chcesz zweryfikować, czy Twoje obecne zabezpieczenia spełniają wymogi 2026 roku, wykorzystaj nasz kreator lub zapoznaj się z wymogami NIS2 backup, które coraz częściej stanowią punkt odniesienia dla audytorów.
