Bezpieczeństwo danych w firmie - RODO, backup i ochrona przed wyciekiem

Mity: 'Jesteśmy za mali, żeby nas zaatakować', 'Nasze dane nie są interesujące', 'Mamy antywirusa, to wystarczy'. Fakty z raportu CERT Polska za 2025 rok: 62% ataków ransomware w Polsce dotyczy firm zatrudniających mniej niż 50 osób. Nie dlatego, że są celem - dlatego, że są najłatwiejsze do zaatakowania. Średni koszt incydentu bezpieczeństwa w polskim MŚP: 380 000 zł (KPMG, 2025). Na tę kwotę składają się: odzyskiwanie danych i systemów (80 000-150 000 zł), utracone przychody podczas przestoju (50 000-200 000 zł na tydzień), kary RODO jeśli dotyczy danych osobowych (do 4% rocznego obrotu), utrata reputacji i klientów (niemierzalne, ale często najkosztowniejsze). Do tego dochodzi kwestia RODO. Od maja 2018 roku każda firma przetwarzająca dane osobowe (a przetwarzają wszystkie) musi spełniać wymogi rozporządzenia. UODO (Urząd Ochrony Danych Osobowych) nałożył w 2024-2025 ponad 35 milionów złotych kar na polskie firmy. Nie na korporacje - na zwykłe firmy, które nie zabezpieczyły danych klientów. Bezpieczeństwo danych to nie koszt - to ubezpieczenie przed katastrofą.

RODO to 99 artykułów i setki stron interpretacji. Dla MŚP liczy się 7 praktycznych wymagań. Wymaganie 1: Rejestr czynności przetwarzania. Dokument opisujący jakie dane zbierasz, w jakim celu, jak długo przechowujesz i kto ma do nich dostęp. Wymaganie 2: Polityka prywatności. Na stronie internetowej, w umowach z klientami, w regulaminie. Musi być konkretna - nie ogólnikowe 'przetwarzamy dane zgodnie z RODO'. Wymaganie 3: Umowy powierzenia danych. Z każdym podmiotem, który ma dostęp do danych Twoich klientów: hosting, CRM, system mailingowy, biuro rachunkowe. Wymaganie 4: Procedura zgłaszania naruszeń. Masz 72 godziny na zgłoszenie naruszenia do UODO od momentu wykrycia. Musisz mieć procedurę: kto zgłasza, komu, jak, jakie kroki podejmuje. Wymaganie 5: Prawo do usunięcia danych. Klient może zażądać usunięcia swoich danych - musisz być w stanie to zrobić ze WSZYSTKICH systemów. Wymaganie 6: Minimalizacja danych. Zbieraj tylko to, co potrzebujesz. Nie 'na wszelki wypadek'. Wymaganie 7: Bezpieczeństwo techniczne. Szyfrowanie, kontrola dostępu, backup. Wdrożenie podstawowej zgodności z RODO: 5 000-15 000 zł jednorazowo z prawnikiem specjalizującym się w ochronie danych.

Backup to najprostsze i najtańsze zabezpieczenie, które ratuje firmę przed utratą danych. A mimo to 43% polskich MŚP nie ma regularnego backupu (raport CyberMade, 2025). Reguła 3-2-1: 3 kopie danych, 2 różne nośniki, 1 kopia off-site (poza biurem/serwerem). W praktyce: kopia 1 - na serwerze produkcyjnym (oryginał), kopia 2 - automatyczny backup na inny serwer lub dysk (codziennie), kopia 3 - backup w chmurze u innego dostawcy (codziennie, szyfrowany). Co backupować: bazę danych CRM/ERP, dokumenty firmowe (umowy, oferty, faktury), konfigurację systemów, bazę wiedzy i dokumentację procesów, maile (jeśli nie używasz chmury). Automatyzacja: backup MUSI być automatyczny. Ręczny backup = brak backupu (ktoś zapomni, nie zdąży, jest na urlopie). Narzędzia: dla systemów chmurowych (Firebase, AWS, GCP) - automatyczne snapshoty bazy danych co 6-24h. Dla plików - Backblaze B2, AWS S3, Google Cloud Storage. Dla poczty - Google Workspace Vault lub Microsoft 365 backup. Koszt automatycznego backupu: 200-1 000 zł/mies. w zależności od ilości danych. Koszt utraty danych bez backupu: 100 000-500 000 zł. Matematyka jest oczywista.

W firmie 15-osobowej typowy scenariusz: wszyscy mają dostęp do wszystkiego. Każdy widzi dane finansowe, dane klientów, wynagrodzenia. To nie jest bezpieczeństwo - to tykająca bomba. Zasada Least Privilege: każdy pracownik ma dostęp TYLKO do danych, których potrzebuje do swojej pracy. Handlowiec widzi dane swoich klientów, nie wszystkich. Księgowa widzi faktury, nie pipeline sprzedażowy. Praktyk widzi projekty, nie marże. Wdrożenie kontroli dostępu w 4 krokach: Krok 1 - inwentaryzacja systemów i danych. Jakie systemy masz? Kto ma do nich dostęp? Krok 2 - matryca ról i uprawnień. Zdefiniuj 3-5 ról (admin, manager, pracownik, zewnętrzny) i przypisz uprawnienia do każdego systemu. Krok 3 - wdrożenie. Ustaw uprawnienia w każdym systemie zgodnie z matrycą. Włącz dwuskładnikowe uwierzytelnianie (2FA) dla wszystkich kont. Krok 4 - przegląd kwartalny. Co 3 miesiące: przejrzyj kto ma dostęp do czego, usuń konta byłych pracowników (natychmiast po odejściu), zweryfikuj czy uprawnienia są nadal adekwatne. Dodatkowe elementy: silne hasła (minimum 12 znaków, manager haseł jak 1Password lub Bitwarden), szyfrowanie dysków laptopów (BitLocker/FileVault), VPN dla zdalnego dostępu do systemów wewnętrznych.

Nie pytanie CZY dojdzie do incydentu bezpieczeństwa, ale KIEDY. Plan reakcji decyduje o tym, czy incydent kosztuje firmę 5 000 zł czy 500 000 zł. Plan reakcji na incydent (Incident Response Plan) w 5 krokach. Krok 1 - Wykrycie i ocena (pierwsze 2 godziny): co się stało? Jakie dane zostały naruszone? Czy atak nadal trwa? Kto jest odpowiedzialny za koordynację (wyznacz jedną osobę PRZED incydentem). Krok 2 - Powstrzymanie (godziny 2-6): odłącz zainfekowane systemy od sieci, zablokuj skompromitowane konta, zabezpiecz logi i dowody. Krok 3 - Zgłoszenie (do 72 godzin): jeśli naruszono dane osobowe - zgłoś do UODO (formularz online). Powiadom osoby, których dane naruszono, jeśli ryzyko jest wysokie. Powiadom ubezpieczyciela (jeśli masz ubezpieczenie cyber). Krok 4 - Odzyskiwanie (dni 1-7): przywróć systemy z backupu, zmień wszystkie hasła, przeskanuj systemy, przywróć operacje. Krok 5 - Analiza i zapobieganie (tydzień 2): co spowodowało incydent? Jakie luki wykorzystano? Co zmienić, żeby się nie powtórzył? Czy backup zadziałał? Ten plan powinien być wydrukowany i dostępny offline - bo w przypadku ransomware możesz nie mieć dostępu do systemów cyfrowych. Chcesz zabezpieczyć swoją firmę? Skontaktuj się - przeprowadzimy audyt bezpieczeństwa i wdrożymy odpowiednie systemy.