Jak budować odporność firm rodzinnych
Tym artykułem chciałem pokazać, że cyberbezpieczeństwo to dziś jeden z najważniejszych problemów firm rodzinnych i że istnieją konkretne, proste kroki, które każdy przedsiębiorca może wykonać już dzisiaj.
83% polskich firm doświadczyło ataku cybernetycznego w 2024 roku.
Przestępcy już dawno przestali włamywać się do systemów. Dziś wchodzą przez ludzi przez księgową, która odbiera telefon, pracownika, który klika link, wspólnika, który odpowiada na maila. Ten poradnik pokazuje, co zrobić, żeby się przed tym uchronić - bez budżetu IT, bez specjalisty, bez zbędnej teorii.
1. Najsłabsze ogniwo w firmie? Nie komputer. Człowiek.
Zajmuję się bezpieczeństwem cyfrowym i sztuczną inteligencja,doradzam firmom, jak korzystać z nowych technologii mądrzej i bezpieczniej. Ten artykuł jest jednocześnie podsumowaniem dyskusji panelowej, w której uczestniczyłem, i praktycznym poradnikiem - bo pytania zadawane przez przedsiębiorców pokazują wyraźnie, że temat jest pilny i że brakuje prostych, konkretnych odpowiedzi. Najczęstszy obraz, jaki wynika z rozmów z przedsiębiorcami: antywirus kupiony, odhaczymy. Hasło do WiFi: imię psa i rok. Backup? „No tak, mamy dysk zewnętrzny, gdzieś tu leżał.” Router - fabryczne hasło z 2019 roku.
To nie jest złośliwość. To po prostu brak wiedzy o tym, jak dzisiaj wygląda atak na firmę. A wygląda tak:
1. Pracownik dostaje telefon od 'szefa'. Głos brzmi identycznie. Prosi o pilny przelew.
2. Księgowa dostaje mail od 'dostawcy' ze zmiana numeru konta. Logotyp, stopka - wszystko się zgadza.
3. Wspólnik klika link z 'faktury' - i calа sieć firmy została zaszyfrowana ransomware.
Żadne z powyższych nie wymaga przebijania się przez antywirusa. Wszystkie trzy omijają techniczne zabezpieczenia, bo trafiają w człowieka - w zaufanie, rutynę i presje chwili.
W 2025 r. CERT Polska zarejestrował 260 783 incydentów - wzrost o 152% rok do roku. 97% z nich to oszustwa komputerowe, nie ataki techniczne. Polskie firmy są atakowane
średnio 1170 razy tygodniowo. Jeśli twoja firma jeszcze nie miala incydentu - to kwestia czasu, nie szczęścia.
PRZYPADEK Z ŻYCIA: Klonowanie głosu właściciela firmy
Kilkanascie miesiecy temu księgowa polskiej firmy produkcyjnej odebrała telefon od właściciela. Ten sam głos, ten sam akcent, ta sama maniera. Głos prosił o pilny, poufny przelew 178 000 zł.
Przelew wyszedł. Doświadczone księgowe nie rozpoznały fałszu, bo przestępcy sklonowali glos na podstawie zaledwie 4 minut nagrań z YouTube i branżowego wywiadu. Żadne z firmowych zabezpieczeń technicznych nie może nic pomóc - bo atak przyszedł przez telefon, od “zaufanej osoby”.
2. Tajne hasło, które ratuje firmowy przelew
To najprostsze i jednocześnie najskuteczniejsze narzędzie, jakie możesz wdrożyć dzisiaj. Bez kosztów. Bez specjalisty. Bez żadnej aplikacji.
Protokół 'słowo klucz'
Ustal w swoim najbliższym gronie - właściciel, księgowa, wspólnik, ewentualnie asystent - tajne słowo lub krótkie zdanie, które pada wyłącznie przy telefonicznych poleceniach wymagających natychmiastowego działania finansowego. Słowo całkowicie niezwiązane z pracą, życiem. Losowe słowo np. “księgowa” pyta jakie lubisz owoce - twoja odpowiedź - kosiarka igłowa”. Wiem, wydaje się, że jest to bez sensu ale takie ma być.
Zasada jest prosta:
1. Jeśli w rozmowie pada hasło klucz - działasz.
2. Jeśli hasło nie pada - weryfikujesz innym kanałem.
3. Jeśli rozmówca nie zna hasła - rozłączasz się.
Przestępca sklonuje głos twojego wspólnika ale nie zna waszego tajnego słowa. I właśnie na tym polega skuteczność tego mechanizmu - omija wszystkie techniczne ataki deepfake jednym prostym filtrem ludzkim.
⚠️ WAŻNE: Komu udostępniasz hasło klucz?
Hasło powinno znać absolutne minimum osób: właściciel, główna księgowa lub osoba odpowiedzialna za przelewy.
NIE udostępniaj go przez email, SMS ani komunikatory. Ustalcie je twarzą w twarz.
Zmieniajcie haslo co kilka miesiecy lub natychmiast po odejściu każdej osoby, która je znala.
Hasło nie powinno byc powiazane z firma, datami ani imionami - ma być losowe i nieprzewidywalne.
Protokół weryfikacji przelewu
Niezależnie od słowa klucz, wdroz w firmie prosty protokół dla każdego przelewu powyżej ustalonego progu (np. 5 000 lub 10 000 zl):
• KROK 1: Polecenie przyszlo przez telefon? Uprzejmie poinformuj, że oddzwonisz. Rozłącz się.
• KROK 2: Zadzwoń samodzielnie na znany ci numer szefa - ze swojej książki telefonicznej, NIE oddzwaniaj na ten sam numer.
• KROK 3: Zmiana danych bankowych dostawcy? Zawsze telefoniczne potwierdzenie na znany ci numer. Bez wyjątków.
Żaden autentyczny szef nie ukarze pracownika za 15 minut na weryfikację. Jeśli ktoś wywiera ogromna presja czasu przez telefon - to właśnie jest sygnał alarmowy.
3. Antywirus to nie tarcza. To tylko jedna cegła w murze.
Jednym z najgroźniejszych przekonań, z jakimi spotykam się w firmach rodzinnych, jest: “Mamy antywirusa, jesteśmy bezpieczni.” To zdanie - może was kosztować setki tysięcy złotych.
Antywirus to dobry i potrzebny element ochrony. Ale chroni głównie przed wirusami i złośliwym oprogramowaniem - a dzisiejsze ataki na małe firmy rzadko polegają na instalowaniu wirusa. Atakujący nie włamują się przez port TCP. Oni dzwonia przez telefon.
Anatomia dzisiejszego ataku - dlaczego antywirus nie reaguje:
Atakujący klonuje glos właściciela AI - antywirus nie analizuje rozmów telefonicznych. Pracownik sam otwiera fałszywy link - użytkownik go kliknął, więc jest 'legalne'. Przestępca loguje sie na skradzione hasło - wchodzi jako autoryzowany użytkownik.
Router z 2019 roku ma niezałataną “dziurę” - a antywirus nie aktualizuje oprogramowania routera.
Co naprawdę chroni Twoją firmę - 7 kroków, które warto zrobić
Bezpieczeństwo firmy to nie produkt. To architektura - jak cebula. Jeśli atakujący przebije jedna warstwe, następna go zatrzymuje. Oto siedem warstw, ktore naprawde chonia twoja firme:
• BACKUP (kopia zapasowa) - Zasada 3-2-1: 3 kopie danych, na 2 różnych nośnikach, 1 przechowywana poza firma (np. w chmurze). To jedyna skuteczna ochrona przed ransomware. Koszt: kilkadziesiąt zł miesięcznie.
• MFA (weryfikacja dwuetapowa) - Na firmowym mailu, bankowości, panelach ERP i CRM. Blokuje 99% automatycznych ataków na konta. Koszt: zero.
• Silne, unikalne hasła - Manager haseł (np. Bitwarden, 1Password) dla całego zespołu. 80% włamań zaczyna się od słabego lub powtórnego hasła. Koszt: 10-20 zl/miesiąc/użytkownik. (ale nawet jak nie chcesz inwestować, ustal hasło składające się z 20 znaków - małych, dużych liter, cyfr oraz znaków specjalnych).
• Aktualizacje systemów - Windows, przeglądarka, router, oprogramowanie. Niezałatane luki to 'otwarte okno' dla przestępców. Koszt: zero. (Więcej o tym napisałem w rozdziale 5)
• Procedury weryfikacji transakcji - Słowo klucz i protokół przelewu, opisane w rozdziale 2. Zatrzymuje fałszywe przelewy i oszustwa przez telefon.
• Szkolenia pracowników - Czlowiek to ostatnia i najczęściej jedyna skuteczna linia obrony przy atakach socjotechnicznych. Krótkie, regularne szkolenia sa lepsze niż jednorazowe certyfikaty. Nie oszczędzajcie na tym, to bardzo ważne. Dobre szkolenie nie zawsze jest drogie.
• Antywirus / EDR - Ważny i potrzebny, ale nie wystarczający. Dla firm średnich warto rozważyć EDR (Endpoint Detection & Response) zamiast klasycznego antywirusa.
4. Kiedy ostatnio aktualizowaleś router? (Szczera odpowiedź, proszę)
Postawmy sobie pytanie, które pada regularnie w rozmowach z przedsiebiorcami: Kiedy ostatnio aktualizowales oprogramowanie routera w swojej firmie? Założę się, że większość z was odpowie jedno z trzech: „nie wiem”, „nigdy” lub „mam router od operatora, niech oni sie tym zajmuja”.
I tutaj leży jeden z najczęściej ignorowanych problemów bezpieczeństwa w polskich firmach. Router to brama - jedyne urządzenie, przez które przechodzi cały ruch sieciowy firmy. Jesli ma nie zaktualizowane oprogramowanie, staje się otwartymi drzwiami dla atakującego.
Co ryzykujesz ze starym firmware routera?
Znane podatności, dla których istnieją gotowe narzędzia do ataku.
Możliwość przejęcia całego ruchu sieciowego firmy - w tym haseł i danych. Instalacja 'bramki' umożliwiającej długookresowe szpiegostwo.
Wykorzystanie routera jako punktu wyjścia do ataku na inne urządzenia w sieci.
Co robić konkretnie?
• Sprawdź, jaki router masz w firmie i wejdz na strone producenta - pobierz najnowszy firmware.
• Zmień domyślne hasło administracyjne routera (domyślnie często to 'admin/admin' lub 'admin/password').
• Włącz automatyczne aktualizacje, jeśli router to oferuje.
• Rozważ separację sieci: goście i kontrahenci na osobnym WiFi, bez dostępu do sieci firmowej.
• Jeśli router ma powyżej 5-7 lat i producent przestał publikować aktualizacje - czas na wymianę.
5. Jakie systemy Windows masz w firmie? To ważniejsze, niż myślisz.
Kolejne pytanie, które lubię zadawać właścicielom firm: Ile komputerów w twoim biurze działa na Windows 10? Wielu z was pewnie odpowie: 'Wszystkie. A co w tym złego?'
Otóż 14 października 2025 roku Windows 10 skończył główny cykl wsparcia. Oznacza to, ze Microsoft przestał publikować regularne aktualizacje zabezpieczeń. Każda luka wykryta po tej dacie pozostaje niezałatana - chyba że wykupisz płatne rozszerzone wsparcie (ESU), które i tak jest rozwiązaniem tymczasowym.
Komputer z systemem bez wsparcia to jak samochód bez aktualnych części zamiennych - jeździsz, ale przy pierwszej poważniejszej awarii okazuje się, że nie ma czego naprawić.
Tabela wersji Windows - co masz w firmie?
Jak sprawdzić wersję systemu na komputerach w firmie?
Naciśnij klawisz Windows + R, wpisz 'winver' i naciśnij Enter. Okno pokazuje dokładną wersję systemu. Przejdz przez kazdy komputer w firmie i zapisz wyniki - to powinno zajac okolo 15 minut. Wiem, powiedzie, że to banał - ale proszę mi wierzyć większość osób z jakimi rozmawiałem nie wiedziała jaką ma wersję.
6. Czy np. “dobreprogramy.pl” to dobre miejsce? Krótka odpowiedź: Nie.
Wiem, że to brzmi jak herezja dla wielu użytkowników, ale ten temat jest zbyt ważny, żeby go pominąć. Serwisy z oprogramowaniem zewnętrznych dostawcow - takie jak dobreprogramy.pl, soft32, softpedia i im podobne - są jednym z częstszych źródeł infekcji w firmach.
Problem nie polega na tym, że te serwisy działają w złej wierze. Problem polega na tym, że:
• Instalatory ze stron trzecich często zawierają dodatkowe oprogramowanie (adware, toolbary, program 'partnerskie'), które instaluje się obok głównego programu.
• Oprogramowanie może być starszą wersją zawierającą znane luki bezpieczeństwa.
• W przypadkach przestępczych - instalator może być podmieniony na zmodyfikowaną wersję z ukrytym złośliwym kodem.
• Wyniki wyszukiwarki Google dla popularnych programów (np. 'pobierz Adobe Reader') nierzadko okazują płatne reklamy prowadzące do “podróbek”.
Skąd więc pobierać oprogramowanie?
ZASADA: Zawsze z oficjalnych stron producenta.
Adobe Reader -> get.adobe.com | VLC -> videolan.org | 7-Zip -> 7-zip.org LibreOffice -> libreoffice.org | Google Chrome -> google.com/chrome
Dla systemów Windows 10/11: Microsoft Store jest bezpieczna alternatywa dla popularnych aplikacji.
W przypadku wątpliwości - wyszukaj nazwę programu + 'official download' lub 'official website'.
Jesli masz juz oprogramowanie pobrane ze stron trzecich - warto je odinstalowac i zainstalowac świeże z oficjalnego źródła. Tak, to trochę pracy. Ale to praca jednorazowa.
7. Sztuczna inteligencja w firmie: potęga i odpowiedzialność.
Jako ekspert AI nie mógłbym pominąć tego rozdziału. Sztuczna inteligencja zmienia sposób, w jaki pracujemy - i zmienia rowniez to, jak jestesmy atakowani. Chce wam dać rzetelny obraz obu stron tego równania.
AI jako narzędzie w twojej firmie - co daje
Dla małej firmy rodzinnej AI może być pierwszym pracownikiem, który nie śpi. Może przygotować projekt umowy, przetłumaczyć dokument, napisać maila, przeanalizować fakturę, zaplanować harmonogram. Używany świadomie - oszczędza godziny tygodniowo.
• Przygotowywanie korespondencji i ofert - AI skraca czas z godziny do kilku minut przy zachowaniu profesjonalnego języka.
• Analiza dokumentów - prześlij kontrakt lub regulamin i zapytaj, na co uważać.
• Wsparcie decyzyjne - opisz problem biznesowy i poprosić o analizę opcji. • Szkolenia wewnętrzne - AI może pomóc przygotować materiał szkoleniowy z cyberbezpieczeństwa dla twojego zespołu.
AI jako broń w rękach przestępcy - co ryzykujesz
To ten sam zestaw narzędzi, tylko używany przeciwko tobie. I tutaj zaczyna się poważna rozmowa.
• Klonowanie glosu: wystarczy kilkanaście sekund nagrania z YouTube, LinkedIna lub wywiadu branżowego. AI odtwarza glos niemal doskonale - włącznie z intonacja i charakterystycznymi manierami.
• Deepfake phishing: AI generuje wiadomości email w perfekcyjnej polszczyźnie, bez jednego błędu ortograficznego, stylizowane pod konkretnego nadawcę na podstawie jego poprzednich maili.
• Automatyzacja ataków: narzędzia AI mogą testować setki kombinacji haseł, analizować publicznie dostępne informacje o firmie i budować spersonalizowane preteksty ataków.
• Wzrost liczby ataków: ponad 400% wzrostu ataków wykorzystujących generatywna AI w 2024/2025 roku (CSIRT NASK). Klonowanie głosu wzrosło o 680% rok do roku.
Jak korzystać z AI bezpiecznie?
ZASADY BEZPIECZNEGO KORZYSTANIA Z AI W FIRMIE:
Nie wklejaj do chatbotów AI danych osobowych klientów, numerów kont, danych przetargowych ani tajemnic handlowych.
Korzystaj z firmowych, płatnych wersji narzędzi AI (np. Chat GPT Teams, Copilot for Business) - dane z bezpłatnych wersji mogą trafić do treningu modelu.
Sprawdzaj informacje wygenerowane przez AI - AI nie kłamie świadomie, ale może się mylić i podawać nieaktualne dane.
Ustal politike AI w firmie: co wolno, czego nie wolno, kto może korzystać i z jakich narzędzi.
8. Twój plan działania - co robić od poniedziałku?
Cyberbezpieczeństwo nie jest projektem. Jest procesem. Ale każdy proces ma punkt startowy. Oto co rekomenduje jako pierwsze kroki dla firmy rodzinnej, która chce realistycznie wzmocnic swoja odpornosc:
Ten tydzień (koszt: zero, czas: 2 godziny)
• Ustal słowo klucz z księgową i wspólnikami. Powiedz, kiedy i jak go używać. • Włącz weryfikację dwuetapowa (MFA/2FA) na firmowym emailu i bankowosci. • Sprawdź wersję Windows na komputerach (Windows + R -> winver). • Wyślij do zespołu zasadę: każdy przelew powyżej [X] zl wymaga potwierdzenia innym kanałem.
Ten miesiąc (koszt: niski, czas: 1 dzień)
• Wdroz menadżera haseł dla całego zespołu (Bitwarden, 1Password lub inne). • Sprawdź i zaktualizuj firmware routera. Zmień domyślne hasło administratora. • Upewnij się, że backup danych działa i ostatnio sprawdzony (wykonaj test odtworzenia).
• Zorganizuj 30-minutowe spotkanie z zespołem o najczęstszych zagrożeniach (phishing, vishing, BEC).
Najbliższy kwartał (inwestycja w bezpieczeństwo) •
Zaplanuj aktualizacje lub wymianę komputerów z Windows 10 lub starszym. • Rozważ audyt bezpieczeństwa IT (zewnętrzna ocena) - koszt od kilkuset do kilku tysięcy zł, w zależności od wielkości firmy.
• Opracuj prosta politykę bezpieczeństwa dla firmy - jedną stronę A4 z zasadami dla pracowników.
Podsumowanie: Firmy rodzinne są łatwym celem. Ale mogą to zmienić.
MŚP i firmy rodzinne padaja ofiara cyberatakow aż czterokrotnie częściej niż duże organizacje. Mniejsze budżety na IT, mniej procedur, wiecej zaufania do ustnych poleceń - to cechy, które przestępcy traktują jako zaproszenie.
Ale jest też odwrotna strona: firma rodzinna może zbudować kulturę bezpieczeństwa szybciej niż korporacja. Bo to jedna rozmowa przy kawie z księgową. Jeden mail do zespołu. Jedno hasło klucz.
Cyberbezpieczeństwo nie jest dla firm z oddziałem IT. Jest dla każdego, kto podpisuje przelewy, odbiera telefony i prowadzi relacje z klientami. Czyli dla was.
Trzy rzeczy do zrobienia dzisiaj:
1. Wprowadź słowo klucz dla pilnych zleceń telefonicznych. Zero kosztow, 10 minut. 2. Włącz 2FA na firmowym emailu i bankowości. Zero kosztow, 5 minut.
3. Ustal zasadę: każdy przelew powyżej X zl wymaga potwierdzenia innym kanałem. Jeden email, dziala od jutra.
Przestępca nie zna twojego słowa klucz. I wlasnie to moze uratowac twoja firme.
„W procesie tworzenia tego artykułu wykorzystano narzędzia AI jako wsparcie merytoryczne i redakcyjne."
