Kancelaria zgłosiła się do nas po incydencie u zaprzyjaźnionej firmy, który uświadomił wspólnikom prostą rzecz: dane w Microsoft 365 nie są automatycznie chronione przed skasowaniem, ransomware ani błędem pracownika. Do tego dochodziła świadomość, że część klientów kancelarii to podmioty objęte NIS2, więc pytania o bezpieczeństwo łańcucha dostaw były kwestią czasu.
Sytuacja na wejściu
Poczta, dokumenty i komunikacja zespołu działały w Microsoft 365, ale bez niezależnego backupu. Konta chronione były wyłącznie hasłem, a na stacjach pracował klasyczny antywirus, który nie dawał zespołowi IT żadnego wglądu w to, co dzieje się na urządzeniach. Kancelaria nie miała też uporządkowanej dokumentacji bezpieczeństwa, od której zaczyna się rozmowa o NIS2.
Dlaczego to było pilne
W zawodzie prawnika utrata dokumentu albo wyciek korespondencji to nie tylko problem techniczny, ale realne ryzyko odpowiedzialności zawodowej. Samo Microsoft 365 chroni infrastrukturę Microsoftu, nie chroni jednak firmy przed jej własnym błędem: skasowaną sprawą, przejętym kontem czy złośliwym szyfrowaniem plików synchronizowanych z chmurą.
Jak poprowadziliśmy wdrożenie
Zaczęliśmy od backupu, bo to on daje natychmiastową sieć bezpieczeństwa. Równolegle włączyliśmy MFA i dostęp warunkowy, żeby zamknąć najczęstszą drogę ataku, czyli przejęcie konta. Dopiero potem weszła warstwa EDR i porządkowanie dokumentacji pod NIS2, aby zmiany były trwałe, a nie jednorazową akcją.
Całość rozłożyliśmy tak, by nie zatrzymać pracy kancelarii. Zmiany w logowaniu wprowadzaliśmy grupami, z krótkim instruktażem dla zespołu, a nie jednego dnia dla wszystkich.
Co się zmieniło
Dziś kancelaria ma niezależny backup z przetestowanym odtwarzaniem, logowanie odporne na wyciek hasła i realny wgląd w bezpieczeństwo stacji. Co równie ważne, ma dokumentację i procedury, które porządkują temat NIS2, zanim stanie się on pilny pod presją kontroli lub pytań od klientów.