Większość incydentów w małych i średnich firmach nie bierze się z genialnych ataków. Bierze się z rzeczy, których nikt nie zrobił. Brak MFA, backup podłączony na stałe, konto byłego pracownika wciąż aktywne. Ta checklista porządkuje podstawy tak, żebyś mógł je po kolei sprawdzić i domknąć.

Konta i dostęp

To pierwsza rzecz, którą przejmuje atakujący, więc od niej zaczynamy.

  • Włączone MFA dla wszystkich kont, a nie tylko dla administratorów.
  • Konta imienne zamiast współdzielonych, żeby dało się ustalić, kto co zrobił.
  • Uprawnienia nadane według zasady minimalnego dostępu, bez rozdawania roli administratora na zapas.
  • Procedura odbierania dostępu w dniu odejścia pracownika.
  • Regularny przegląd kont, przynajmniej raz na kwartał.

Najczęstsza dziura, jaką znajduję przy audytach, to aktywne konto osoby, która odeszła pół roku temu. Ono nie ma właściciela, nikt go nie pilnuje, a nadal działa.

Urządzenia i aktualizacje

Sprzęt bez łatek to otwarte drzwi, przez które wchodzi się bez hałasu.

  • Automatyczne aktualizacje systemów i aplikacji, z kontrolą, czy faktycznie się wgrywają.
  • Szyfrowanie dysków w laptopach, żeby zgubiony sprzęt nie oznaczał wycieku danych.
  • Ochrona antywirusowa lub warstwa EDR na stacjach roboczych i serwerach.
  • Wycofanie z użycia systemów bez wsparcia producenta.

Co z prywatnymi urządzeniami

Jeśli pracownicy czytają pocztę na prywatnych telefonach, ustal minimalne zasady: blokada ekranu, aktualny system, możliwość zdalnego wymazania danych firmowych. Bez tego dane wychodzą z firmy w kieszeni.

Poczta i sieć

Poczta to nadal najczęstszy kanał ataku, głównie przez phishing.

  • Skonfigurowane SPF, DKIM i DMARC, żeby ograniczyć podszywanie się pod firmę.
  • Filtrowanie treści i załączników na wejściu.
  • Filtrowanie DNS, które blokuje wejście na złośliwe domeny.
  • Sieć podzielona tak, żeby gość i drukarka nie były w tym samym segmencie co serwery.

Kopie zapasowe

Backup to ostatnia linia obrony, więc musi działać naprawdę.

  • Kopie w modelu 3-2-1, z jedną kopią odseparowaną lub niezmienną.
  • Objęcie backupem także danych z Microsoft 365 lub Google Workspace.
  • Regularny test odtwarzania, a nie tylko sprawdzenie, czy zadanie się wykonało.
  • Ustalone RTO i RPO dla danych krytycznych.

Ludzie i procedury

Technologia nie pomoże, jeśli ktoś kliknie w link i poda hasło na fałszywej stronie.

  1. Krótkie, regularne szkolenia z rozpoznawania phishingu.
  2. Jasna ścieżka zgłaszania podejrzanych wiadomości i incydentów.
  3. Spisana procedura na wypadek ataku, z numerami telefonów i kolejnością działań.
  4. Wyznaczona osoba lub firma, która wie, co robić, gdy coś się wydarzy.

Jak z tego korzystać

Nie musisz odhaczyć wszystkiego naraz. Zacznij od kont i backupu, bo tu leży najwięcej ryzyka przy najmniejszym koszcie. Potem urządzenia, poczta, ludzie. Raz na kwartał wróć do listy i sprawdź, co się zmieniło, bo firma i zagrożenia nie stoją w miejscu.

Jeśli chcesz mieć pewność, że nic nie zostało pominięte, warto przejść przez to z kimś z zewnątrz. Zobacz, jak wygląda audyt bezpieczeństwa IT, albo powierz codzienne pilnowanie tych punktów w ramach obsługi informatycznej firm. Lepiej odhaczyć listę spokojnie teraz niż w trakcie incydentu.