Polska na 1. miejscu w danych ESET o ransomware. Co to znaczy dla Twojej firmy?
W pierwszej połowie 2025 roku Polska zajęła pierwsze miejsce w raporcie ESET dotyczących wykrytych ataków ransomware. Wyprzedziliśmy nawet Stany Zjednoczone. Według tego raportu 6% wszystkich globalnych incydentów obserwowanych przez ESET dotyczyło polskich firm i instytucji.
To nie jest abstrakcyjna statystyka dla specjalistów IT. To dotyczy każdej firmy, która trzyma faktury, dane klientów, maile albo dokumenty na komputerze lub w chmurze.
Co to jest ransomware i dlaczego to boli
Ransomware to złośliwe oprogramowanie, które szyfruje pliki na Twoim komputerze i serwerach. Po zaszyfrowaniu nie masz do nich dostępu — faktury, baza klientów, umowy, maile, zdjęcia produktów. Wszystko zablokowane.
Potem pojawia się żądanie okupu. Zapłać w kryptowalutach, dostaniesz klucz do odszyfrowania. Nie zapłacisz i możesz nie odzyskać danych. W części ataków dochodzi też do wycieku plików.
Tyle teorii. W praktyce wygląda to tak:
Właściciel biura rachunkowego w poniedziałek rano włącza komputer. Zamiast pulpitu — ekran z komunikatem. Wszystkie pliki klientów zaszyfrowane. Deadline podatkowy za trzy dni. Żądanie okupu w bitcoinie.
Płaci albo nie płaci — w obu przypadkach traci. Albo pieniądze, albo dane, albo klientów, albo wszystko naraz.
Dlaczego akurat małe firmy?
Logika przestępcza jest prosta: duże korporacje mają działy IT, systemy bezpieczeństwa i procedury reagowania na incydenty. Małe firmy mają jednego pracownika który „zna się na komputerach” i kopię zapasową na pendrivie podpiętym do komputera.
Według raportu Verizon z 2025 roku ransomware pojawia się w 88% naruszeń bezpieczeństwa dotyczących MŚP — dla dużych firm ten odsetek wynosi 39%. Małe firmy są nieproporcjonalnie częstym celem.
Najczęstsze drogi wejścia do firmy:
– Phishing — pracownik otwiera załącznik z „faktury” albo klika w link z „powiadomieniem o paczce”. Gotowe.
– Skradzione dane logowania — hasło do VPN albo poczty, kupione w darknecie za kilka dolarów, daje atakującemu dostęp do całej sieci firmowej.
– Niezaktualizowane oprogramowanie — znana luka w systemie, poprawka dostępna od miesięcy, nikt jej nie zainstalował.
Co zrobić — konkretnie i bez wydawania fortuny
**Backup 3-2-1 — i to działa.**
Trzy kopie danych, na dwóch różnych nośnikach, jedna poza biurem lub w chmurze. Kopia na pendrivie podpiętym do komputera nie liczy się — ransomware ją też zaszyfruje. Kopia w chmurze podpięta do komputera też może być zagrożona — sprawdź czy masz włączone wersjonowanie plików.
Dla małej firmy wystarczy prosty, regularnie testowany backup w chmurze albo na odłączanym nośniku trzymanym poza biurem. Narzędzie jest ważne, ale ważniejsza jest regularność i to, czy naprawdę umiesz z niego odtworzyć pliki.
**Aktualizacje — nie odkładaj na „potem”.**
Większość ataków ransomware wykorzystuje luki, na które łatki istniały od miesięcy. Włącz automatyczne aktualizacje systemu Windows i wszystkich aplikacji. Jeśli masz router firmowy — sprawdź kiedy ostatnio był aktualizowany. Jeśli nie wiesz — prawdopodobnie nigdy.
**MFA na wszystkich kontach firmowych.**
Microsoft 365, Gmail, VPN, system księgowy — wszędzie gdzie da się włączyć weryfikację dwuetapową, włącz. Skradzione hasło bez drugiego składnika uwierzytelnienia jest bezużyteczne dla atakującego.
**Przeszkol pracowników — choćby na godzinę.**
Nie potrzebujesz kursu. Wystarczy że pokażesz zespołowi jak wygląda fałszywa faktura w e-mailu, co zrobić gdy coś budzi wątpliwości i do kogo zgłosić podejrzaną wiadomość. Jeden świadomy pracownik może zatrzymać atak zanim się zacznie.
**Sprawdź uprawnienia i dostęp zdalny.**
Jeśli każdy w firmie ma konto administratora, to problem jest większy niż sam wirus. Ogranicz uprawnienia tam, gdzie nie są potrzebne. Sprawdź też, czy zdalny pulpit, VPN i poczta mają mocne hasła i MFA. To często właśnie tam atakujący szukają najłatwiejszego wejścia.
Zanim to Ciebie dotknie
CERT Polska odnotował w 2024 roku 147 incydentów ransomware — 87 z nich zgłosiły podmioty biznesowe. To i tak wystarczy, żeby traktować temat poważnie, nawet jeśli Twoja firma nie wydaje się atrakcyjnym celem.
Pytanie nie brzmi „czy moja firma może zostać zaatakowana”. Brzmi „jak szybko wróciłbym do pracy gdyby jutro rano wszystkie dane były zaszyfrowane”.
Jeśli nie znasz odpowiedzi — zacznij od sprawdzenia podstaw.