Jak przygotować firmę na atak ransomware – praktyczny poradnik dla małych i średnich przedsiębiorstw

Przez
Józef Czarnecki
-
0
2
Rate this post

Z artykuły dowiesz się:

Ransomware w małej firmie – realne zagrożenie, nie straszak z mediów

Dlaczego małe i średnie firmy są łakomym kąskiem

Ransomware nie atakuje wyłącznie korporacji z drapaczy chmur. Większość kampanii jest w pełni zautomatyzowana i uderza tam, gdzie systemy są najsłabsze. Małe i średnie przedsiębiorstwa mają zwykle mniej zabezpieczeń, mniej procedur i mniej zasobów, by reagować na incydenty. Z punktu widzenia przestępcy to idealne połączenie: dużo cennych danych, mało ochrony i spora skłonność do zapłacenia okupu, aby jak najszybciej wznowić działalność.

Atakujący nie muszą nawet „wybierać” Twojej firmy. Boty skanują internet i wyszukują otwarte porty, publicznie widoczne usługi zdalnego pulpitu, stare wersje serwerów pocztowych czy systemów VPN. W momencie, w którym znajdą podatność, Twoja firma staje się anonimowym celem w wielkiej kampanii, a nie wybraną ofiarą. To ważne nastawienie: nie chodzi o to, czy komuś „opłaca się” atakować Twoją konkretną firmę, tylko czy dasz się złapać w rozrzucane sieci.

Małe firmy nie mają zazwyczaj dedykowanego działu bezpieczeństwa. Często „od IT” jest jedna osoba, która musi równocześnie naprawiać drukarki, kupować laptopy, konfigurować pocztę i jeszcze „coś tam z backupem ogarnąć”. W takich warunkach trudno zbudować solidną ochronę przed ransomware w firmie bez prostego, realnego planu i wsparcia z zewnątrz. Stąd tyle udanych ataków na biura rachunkowe, małe hurtownie, kancelarie czy firmy budowlane.

Jak wygląda typowy atak krok po kroku

Większość ataków ransomware da się opisać kilkoma powtarzalnymi etapami. Zrozumienie tej sekwencji bardzo pomaga w budowaniu obrony. Pierwszy krok to wejście do środka. Najczęstsze metody to:

  • phishing – wiadomości e-mail podszywające się pod kuriera, bank, serwis do podpisu dokumentów, „fakturę do opłacenia”;
  • słabe lub ponownie używane hasła do poczty, VPN, zdalnego pulpitu (RDP);
  • podatne, nieaktualne oprogramowanie dostępne z internetu (serwery, aplikacje webowe);
  • zdalny pulpit wystawiony „prosto w świat” bez VPN i dodatkowych zabezpieczeń.

Kiedy atakujący uzyska pierwszy dostęp, zwykle nie szyfruje od razu danych. Najpierw następuje rozpoznanie i eskalacja: skanowanie sieci, szukanie serwerów plików, serwerów kopii zapasowych, serwerów domenowych (AD), kont z uprawnieniami administratora. Przestępcy starają się także wyłączyć lub ominąć antywirusa, systemy EDR oraz usługi kopii w tle. Często dopiero po kilku dniach lub tygodniach przygotowań następuje właściwy etap ataku.

Gdy wszystko jest gotowe, zaczyna się szyfrowanie danych. Pliki na serwerach i komputerach użytkowników są zamieniane na bezużyteczną „kaszę”, a na ekranie pojawia się komunikat z żądaniem okupu. Coraz częściej towarzyszy temu groźba publikacji wykradzionych danych – zanim nastąpi szyfrowanie, pliki są kopiowane na serwery przestępców. Okup jest żądany w kryptowalutach, a atakujący zapewniają „wsparcie techniczne” przy płatności. Stawki są zwykle tak dobrane, by bolało, ale nadal było mniej bolesne niż długotrwały przestój.

Realny wpływ ataku ransomware na biznes

Skutki ataku ransomware najlepiej widać w codziennej pracy. System sprzedażowy nie działa, faktur nie da się wystawić, magazyn nie wydaje towaru, a klienci wiszą na telefonie. Nawet jeśli część procesów można prowadzić ręcznie, po kilku dniach chaosu przychodzi zmęczenie i rosną koszty. Nawet niewielki sklep internetowy czy biuro rachunkowe po parudniowym przestoju czuje to w przychodach i w relacjach z klientami.

Do tego dochodzi utrata zaufania. Klienci oczekują, że ich dane są chronione. Jeżeli w wyniku ataku wyciekną numery PESEL, dane finansowe czy inne wrażliwe informacje, trzeba liczyć się z reklamacjami, żądaniami wyjaśnień, a czasem z rezygnacją klientów. Coraz więcej firm, zwłaszcza większych, wymaga od partnerów biznesowych określonego poziomu bezpieczeństwa. Poważny incydent może zamknąć drogę do części kontraktów.

Nie można też pominąć kwestii regulacyjnych. Utrata lub ujawnienie danych osobowych może oznaczać konieczność zgłoszenia naruszenia do UODO i poinformowania osób, których dane dotyczą. To nie tylko dodatkowy stres, ale też ryzyko kar i obowiązki formalne. Do tego dochodzą koszty odzyskiwania systemów, analizy prawnej, ewentualnych negocjacji z przestępcami, usług firmy bezpieczeństwa czy – co coraz częstsze – uruchomienia polisy cyber. Krótko mówiąc: taniej i spokojniej jest zainwestować w przygotowanie niż w gaszenie pożaru.

Punkt startu – jak uczciwie ocenić obecny poziom bezpieczeństwa

Krótki „audyt kuchenny” dla właściciela i menedżera

Nie każda mała firma potrzebuje od razu formalnego audytu z grubym raportem. Na początek wystarczy prosty, szczery przegląd kluczowych obszarów. Dobrze, jeśli weźmie w nim udział właściciel, osoba odpowiedzialna za IT i ktoś z działu operacyjnego. Celem jest odpowiedź na kilka bardzo konkretnych pytań, zamiast zaklęcia „u nas jest raczej bezpiecznie”.

Podstawowe pytania, które warto zadać głośno:

  • Gdzie są nasze najważniejsze dane? (serwer plików, chmura, komputery pracowników, dyski zewnętrzne)
  • Kto ma do nich dostęp? (czy każdy do wszystkiego, czy jest podział na działy i role)
  • Jak robimy backup? (gdzie, jak często, czy testujemy odtwarzanie)
  • Jak wygląda zdalny dostęp do firmy? (VPN, RDP, TeamViewer, inne narzędzia)
  • Kto odpowiada za aktualizacje systemów i oprogramowania?

Przy okazji dobrze jest wypisać najważniejsze systemy: księgowość, CRM, system magazynowy, system produkcyjny, poczta, dokumenty współdzielone. Przy każdym z nich dopisuje się krótką informację, jak wygląda logowanie (hasło, MFA), backup, aktualizacje i kto jest dostawcą. Już sama ta prosta tabela daje lepszy obraz sytuacji niż ogólne przekonanie, że „informatyk coś tam ustawił”.

Kluczowym efektem takiego „audytu kuchennego” jest też wyznaczenie jednej osoby, która koordynuje obszar bezpieczeństwa. To nie musi być specjalista od cyber, ale ktoś, kto pilnuje, by tematy nie „spadały ze stołu”: przegląd backupów, przeszkolenie nowych pracowników, kontakt z firmą IT, gdy pojawi się podejrzana sytuacja. Brak jednoznacznie wskazanej osoby sprawia, że nikt de facto nie czuje się odpowiedzialny.

Typowe czerwone flagi w małych i średnich firmach

Podczas takiego wstępnego przeglądu szybko wychodzą na wierzch powtarzalne problemy. Pierwsza grupa to konta współdzielone typu „biuro”, „magazyn”, „projekt”, których używa kilka osób. Brak indywidualnych logowań oznacza brak możliwości prześledzenia, kto co robił, a przy odejściu pracownika często nikt nie zmienia hasła. To wymarzone środowisko dla atakującego.

Druga grupa czerwonych flag to zdalny dostęp. Zdalny pulpit wystawiony prosto do internetu, dostęp do panelu routera czy NAS-a z domyślnym hasłem, brak VPN, łączenie się z sieci firmowej do prywatnych komputerów w domu – te wzorce pojawiają się tak często, że niemal można odhaczać je z listy. Do tego dochodzi brak aktualizacji oprogramowania routera czy urządzeń sieciowych, bo „nikt tego nie rusza od instalacji”.

Trzeci obszar to brak procedur na wypadek awarii i ataku. Jeżeli jedyną strategią jest „zadzwonić do informatyka, jak coś się zepsuje”, to w przypadku poważnego ataku ransomware może być już za późno. Typowe problemy to brak spisanych numerów kontaktowych do dostawców, brak jasnej decyzji, kto ogłasza „stan awaryjny”, brak planu komunikacji z klientami i brak jakiejkolwiek dokumentacji systemów (loginów, zakresu odpowiedzialności, sposobu przywracania).

Co można sprawdzić samemu, a gdzie potrzebny specjalista

Część kontroli da się wykonać własnymi siłami, bez dużej wiedzy technicznej. Można:

  • sprawdzić, jakie są hasła do Wi-Fi i czy nie są to „12345678” albo nazwa firmy;
  • upewnić się, że na każdym komputerze jest aktywny, aktualny antywirus;
  • zobaczyć, czy systemy operacyjne mają włączone automatyczne aktualizacje;
  • wylistować, kto ma dostęp administracyjny do serwerów, routerów, systemów kluczowych;
  • poprosić pracowników o wskazanie, gdzie przechowują ważne pliki (lokalnie, na serwerze, w chmurze).

Są jednak obszary, których nie warto „uczyć się na żywym organizmie”. Konfiguracja firewalla, bezpieczne zestawienie VPN, przegląd uprawnień w Active Directory, sensowne ustawienie kopii zapasowych na poziomie serwerów czy konfiguracja EDR – to zadania dla doświadczonego specjalisty lub firmy zewnętrznej. Koszt kilku dni pracy fachowca jest niewielki w porównaniu z kosztami przestoju po ataku.

Zbliżenie laptopa z napisem o cyberbezpieczeństwie i ochronie przed ransomware
Źródło: Pexels | Autor: cottonbro studio

Ludzie jako pierwsza linia obrony – proste zasady dla całej załogi

Edukacja bez straszenia i slajdów „z piekła rodem”

Najlepszy firewall nie pomoże, jeśli pracownik bezrefleksyjnie wpisze login i hasło na fałszywej stronie „banku”. Dlatego przygotowanie firmy na atak ransomware musi obejmować ludzi, nie tylko sprzęt. Chodzi jednak o mądre szkolenia, a nie jednorazowy pokaz slajdów z obrazkami płonących serwerowni.

Dużo lepiej działa krótka, regularna edukacja niż coroczny, trzygodzinny wykład, który wszyscy próbują zapomnieć tuż po wyjściu z sali. W praktyce sprawdza się rytm: 30–45 minut raz na kwartał plus krótkie przypomnienia mailowe lub wewnętrzne komunikaty z konkretnymi przykładami. Dobrym pomysłem jest wykorzystanie prawdziwych (oczywiście zanonimizowanych) maili phishingowych, które faktycznie trafiły do firmy.

Kluczowe jest też zbudowanie kultury, w której zgłoszenie podejrzanej wiadomości jest powodem do pochwały, a nie do żartu. Jeśli ludzie boją się przyznać, że kliknęli w podejrzany link, dowiedziesz się o problemie dopiero wtedy, gdy ransomware zacznie szyfrować dane. Dużo lepiej, gdy pracownik popełni błąd, ale natychmiast się do tego przyzna – wtedy jest szansa na szybką reakcję.

Minimum higieny cyfrowej dla pracownika biurowego

Nie każdy musi być ekspertem od cyberbezpieczeństwa. Wystarczy, że każdy będzie stosował kilka prostych reguł. Podstawą jest zasada: nie otwieramy załączników i nie klikamy w linki z niespodziewanych wiadomości, zwłaszcza jeżeli pojawia się presja czasu („opłać natychmiast”, „konto zostanie zablokowane”). Lepiej zadzwonić do nadawcy, niż później tłumaczyć się z ataku.

Pracownicy powinni też znać proste triki pozwalające wyłapać podejrzane maile: sprawdzanie pełnego adresu nadawcy, najeżdżanie kursorem na link, aby zobaczyć faktyczny adres, wyczulenie na literówki w nazwach domen czy niepasującą treść (np. „księgowość” dostaje mail o aktualizacji konta na platformie deweloperskiej). Prosty plakat przy biurku z 5–7 zasadami działa często lepiej niż najpiękniejsza prezentacja.

Istotne jest też rozdzielenie świata prywatnego i służbowego. Na komputerach firmowych nie powinny lądować „domowe” programy, pirackie gry, dziwne rozszerzenia do przeglądarek czy oprogramowanie do ściągania filmów. Im mniej nieznanego oprogramowania, tym mniejsza szansa na złośliwe dodatki. Podobnie w drugą stronę – do pracy zdalnej nie powinno się używać prywatnych, nieserwisowanych komputerów domowych, na których korzysta cała rodzina.

Procedura „STOP” przy podejrzeniu zagrożenia

Szkolenie będzie miało sens tylko wtedy, gdy każdy będzie wiedział, co konkretnie zrobić w pierwszych minutach po zauważeniu czegoś podejrzanego. Dobrze sprawdza się prosta procedura „STOP”:

  • S – Stój: nie klikaj dalej, nie potwierdzaj, nie wpisuj żadnych danych;
  • T – Tnij połączenie: jeśli coś wygląda źle, odłącz internet (wyłącz Wi-Fi, wyjmij kabel sieciowy);
  • O – Ogłoś: natychmiast poinformuj osobę odpowiedzialną za IT lub przełożonego;
  • P – Poczekaj: nie próbuj samodzielnie „naprawiać” systemu, nie restartuj komputera bez polecenia.

Jak mówić o bezpieczeństwie, żeby ludzie naprawdę słuchali

Same zasady to za mało, jeśli sposób ich przekazywania usypia po pięciu minutach. Krótkie, oparte na przykładach spotkania działają najlepiej, gdy są „szyte na miarę” zespołu. Inaczej rozmawia się z handlowcami, inaczej z magazynem, a jeszcze inaczej z zarządem.

Dobrym podejściem jest powiązanie cyberbezpieczeństwa z codzienną pracą danej grupy: dla księgowości – fałszywe faktury i przelewy; dla obsługi klienta – podszywanie się pod klientów; dla kadrowych – wycieki danych osobowych. Zamiast prezentować abstrakcyjne „cyberzagrożenia”, pokazuje się: „ten konkretny mail, który wczoraj dostała Kasia z działu sprzedaży, był próbą ataku – rozłóżmy go na czynniki pierwsze”.

Szkolenia dobrze „przyprawić” czymś interaktywnym: krótkim quizem, wspólną analizą kilku maili czy symulacją rozmowy telefonicznej, w której ktoś próbuje wyciągnąć dane (social engineering). Żadnych egzaminów z definicji, raczej swobodna rozmowa i pytania w stylu: „co byś zrobił, gdyby…”. Ludzie dużo lepiej zapamiętują własne decyzje niż slajdy z teorią.

Proste nawyki dla kadry zarządzającej

Zarząd i właściciele często mają największe uprawnienia w systemach, a jednocześnie najmniej czasu na szkolenia. To mieszanka wybuchowa. Dla tej grupy przydaje się zestaw kilku „nawyków prezesa”: krótkich, ale konsekwentnie stosowanych zasad.

Jeśli chcesz pójść krok dalej, pomocny może być też wpis: Co oznacza wyciek danych z dużego sklepu internetowego?.

  • Oddzielne konto do codziennej pracy i do administracji – na co dzień logowanie na zwykłego użytkownika, konto z uprawnieniami administracyjnymi wyciągane tylko wtedy, gdy rzeczywiście trzeba coś zmienić.
  • Brak „świętych krów” w temacie haseł – właściciel nie jest zwolniony z MFA, rotacji haseł i zakazu zapisywania ich na kartce w notesie obok monitora.
  • Weryfikacja przelewów „na szybko” – ustalona procedura dodatkowego potwierdzania nietypowych płatności (telefon, komunikator), zwłaszcza gdy „prezes pisze z telefonu z prośbą o pilny przelew”.
  • Czas na krótkie podsumowanie bezpieczeństwa – raz na kwartał 15–20 minut na omówienie z osobą odpowiedzialną za IT, co się zmieniło, jakie były incydenty, czego brakuje.

Praktyka jest tu kluczowa: jeśli właściciel firmy sam obchodzi procedury („wyłączcie mi to MFA, za długo się loguje”), reszta zespołu szybko wyczuje, że bezpieczeństwo to tylko dekoracja.

Jak reagować na „śmieszne” naruszenia zasad

W każdej firmie pojawi się ktoś, kto zainstaluje grę na komputerze firmowym albo założy hasło „Janek123”. Podejście „przymknijmy na to oko” prędzej czy później zemści się w najmniej wygodnym momencie.

Zamiast od razu straszyć regulaminem i konsekwencjami, lepiej zastosować prosty model: krótkie wyjaśnienie, czym dane zachowanie grozi, poprawka (np. wymuszenie zmiany hasła, odinstalowanie programu) oraz jasny komunikat, że przy powtórce będzie traktowane to poważniej. Twardo co do zasad, miękko co do człowieka.

Pomaga też jasny, spisany dokument „zasady korzystania z komputera służbowego”, wręczony przy zatrudnieniu. Bez prawniczych akapitów, raczej kilka stron konkretów z przykładami: co wolno, czego nie, co robić w razie wątpliwości. Dostępne na intranecie lub w drukowanej formie, a nie w szufladzie działu HR pod stosem segregatorów.

Techniczne fundamenty odporności – co trzeba mieć „na start”

Sensowne kopie zapasowe zamiast „coś tam się kopiuje”

Backup jest ostatnią linią obrony przed ransomware. Jeśli zadziała, atak kończy się na nerwach i kilku godzinach pracy. Jeśli nie – przywracanie firmy do życia może zająć tygodnie. Kluczowa jest więc nie tylko sama kopia, ale to, jak jest zrobiona.

Dobrą, praktyczną zasadą jest podejście 3-2-1:

  • 3 kopie danych – dane produkcyjne plus co najmniej dwie kopie zapasowe;
  • 2 różne nośniki – np. serwer NAS i chmura, albo serwer backupowy i taśma;
  • 1 kopia offline lub odseparowana – niedostępna bezpośrednio z sieci firmowej.

W praktyce w małej firmie często oznacza to: automatyczny backup na lokalny serwer NAS oraz drugą kopię w chmurze, z ograniczonym dostępem administracyjnym. Dobrze, jeśli choć jedna z kopii jest odporna na nadpisanie przez ransomware (tzw. immutability), czyli np. wersjonowana i niewidoczna jako zwykły dysk sieciowy.

Najczęstszy błąd: kopia na dysku USB podpiętym na stałe do serwera. Gdy ransomware zaszyfruje zasoby sieciowe, potraktuje ten dysk jak każdy inny. Podobnie ma się sprawa z backupem, który „niby jest”, ale nikt nigdy nie próbował nic z niego przywrócić. Test odtwarzania choćby raz na kwartał to obowiązkowy punkt – inaczej backup istnieje tylko „na wiarę”.

Aktualizacje i łatki – mniej glamour, więcej efektu

Ataki ransomware często wykorzystują znane, dawno załatane luki. Jeśli systemy i oprogramowanie nie są aktualizowane, firma sama zostawia drzwi uchylone. Dlatego przydaje się prosty, ale konsekwentny proces zarządzania aktualizacjami.

W małych i średnich firmach sprawdza się model „okna serwisowego”: np. raz w miesiącu, po godzinach pracy, przechodzi się przez listę serwerów, komputerów i kluczowych aplikacji i wprowadza aktualizacje. Jeżeli korzysta się z usług firmy IT, dobrze jest mieć to opisane w umowie, a nie na zasadzie „jak pan będzie miał czas, to pan zaktualizuje”.

Kilka praktycznych zasad:

  • systemy operacyjne na stacjach roboczych – automatyczne aktualizacje włączone, z ewentualnym przesunięciem w czasie na noc;
  • serwery – aktualizacje planowane, ale nie odkładane „na święte nigdy”;
  • routery, firewalle, urządzenia sieciowe – regularny przegląd wersji oprogramowania (np. raz na kwartał) i wgrywanie nowych wersji po konsultacji z dostawcą;
  • oprogramowanie firmowe (np. programy księgowe) – aktualizacje zgodnie z zaleceniami producenta, ale z uwzględnieniem backupu przed większymi zmianami.

Warto też spisać, kto konkretnie odpowiada za którą grupę urządzeń. „Dostawca internetu coś tam aktualizuje” to nie jest plan. Krótka tabela: urządzenie – odpowiedzialny – częstotliwość przeglądu, często rozwiązuje więcej problemów niż najbardziej rozbudowany system ticketowy.

Antywirus, EDR i filtracja poczty – pierwsza linia techniczna

Na poziomie stanowisk pracy minimalny zestaw to aktualny system operacyjny, antywirus i włączona zapora systemowa. Coraz częściej klasyczny antywirus uzupełnia się lub zastępuje rozwiązaniem typu EDR (Endpoint Detection and Response), które potrafi wykrywać podejrzane zachowania, a nie tylko znane wirusy.

W małej firmie nie zawsze jest budżet na zaawansowane platformy, ale nawet prosta, centralnie zarządzana konsola antywirusa robi dużą różnicę. Administrator (lub firma IT) widzi, czy wszystkie komputery są chronione, jakie zagrożenia były blokowane i czy ktoś „wypada” z aktualizacji. Lepsze to niż bieganie z pendrive’em i ręczne instalowanie wszystkiego po kolei.

Kolejny filar to filtracja poczty. Większość ataków ransomware zaczyna się od maila, dlatego sensowny filtr antyspamowy z ochroną przed phishingiem to nie luksus, tylko standard. W przypadku poczty w chmurze (Microsoft 365, Google Workspace) często podstawowe mechanizmy już są, trzeba je tylko poprawnie skonfigurować: rekordy SPF, DKIM, DMARC, dodatkowe reguły dla załączników, blokada egzotycznych formatów plików. Kilka godzin pracy specjalisty może dramatycznie zmniejszyć liczbę podejrzanych wiadomości, które w ogóle trafiają do użytkowników.

Bezpieczny zdalny dostęp zamiast „RDP na świat”

Ransomware bardzo lubi źle zabezpieczony zdalny pulpit. Publicznie wystawione RDP z prostym hasłem to dla wielu grup przestępczych odpowiednik „promocji w sklepie”. Zdalny dostęp da się zorganizować bezpieczniej, nawet w małej firmie.

Podstawowy zestaw zasad:

  • zdalny dostęp wyłącznie przez VPN, najlepiej z MFA, a nie bezpośrednie RDP wystawione do internetu;
  • kontrola, kto faktycznie potrzebuje zdalnego dostępu – nie każdy pracownik musi łączyć się z siecią firmową spoza biura;
  • profile dostępu – np. handlowiec łączy się tylko do CRM i poczty, a nie do całej sieci, w tym serwerów produkcyjnych;
  • logowanie i monitorowanie – próby logowania z nietypowych krajów, nietypowe godziny, wiele nieudanych logowań z jednego adresu IP powinny generować alerty.

Jeżeli firma korzysta z narzędzi typu TeamViewer, AnyDesk czy innych rozwiązań do zdalnej pomocy, dobrze jest ustandaryzować sposób ich używania. Jeden, uzgodniony system, sensownie skonfigurowany, jest bezpieczniejszy niż „każdy informatyk zewnętrzny używa czegoś swojego, a potem zapomina wyłączyć”.

Zarządzanie hasłami i MFA w praktyce

Hasła są wciąż jednym z głównych punktów wejścia dla atakujących. Zamiast liczyć, że ludzie zapamiętają dwadzieścia skomplikowanych ciągów znaków, lepiej dać im narzędzia. Menedżer haseł (firmowy, a nie przypadkowy darmowy dodatek do przeglądarki) pozwala generować i przechowywać mocne hasła, a użytkownik musi pamiętać tylko jedno hasło główne.

Dobrze działa prosta polityka:

  • hasło główne do menedżera – długie, ale możliwe do zapamiętania (np. zestaw kilku nieoczywistych słów plus cyfry);
  • pozostałe hasła generowane losowo, unikalne dla każdego systemu;
  • dostęp do menedżera zabezpieczony MFA (aplikacja mobilna, fizyczny klucz lub przynajmniej SMS);
  • jasne zasady, co nie trafia do menedżera (np. hasła do bankowości, jeśli bank tego zabrania).

Włączenie uwierzytelniania wieloskładnikowego dla kluczowych systemów (poczta, systemy finansowe, VPN, panele administracyjne) odstrasza wielu atakujących, którzy polują właśnie na konta zabezpieczone tylko hasłem. Oczywiście MFA też trzeba zrobić z głową: najlepiej oparte na aplikacji lub kluczu sprzętowym, a nie wyłącznie na SMS, który w niektórych scenariuszach daje się obejść.

Segmentacja sieci – żeby jeden komputer nie „zaraził” całej firmy

W wielu małych firmach sieć wygląda tak: „wszyscy do wszystkiego”. Jeden duży worek, w którym siedzą komputery biurowe, serwer księgowy, drukarki, czasem nawet maszyny produkcyjne. Ransomware, które dostanie się do takiej sieci, może swobodnie się rozprzestrzeniać.

Segmentacja polega na podzieleniu sieci na mniejsze kawałki, tak by kompromitacja jednego segmentu nie oznaczała od razu kompromitacji całej organizacji. Z technicznego punktu widzenia mowa o VLAN-ach, oddzielnych podsieciach i regułach na firewallu, ale biznesowo można patrzeć na to prościej:

Dobrym uzupełnieniem będzie też materiał: Jakie narzędzia wspierają bezpieczeństwo małych i średnich firm? — warto go przejrzeć w kontekście powyższych wskazówek.

  • osobna sieć dla gości (Wi-Fi dla klientów, telefonów pracowników) odseparowana od zasobów firmowych;
  • osobna sieć dla serwerów i systemów krytycznych (np. produkcja, magazyn) z ograniczonym dostępem z komputerów biurowych;
  • ograniczenie komunikacji „wszyscy ze wszystkimi” – tylko to, co naprawdę jest potrzebne do pracy.

Taka przebudowa nie zawsze wymaga wymiany całej infrastruktury. Często już istniejący router czy przełączniki potrafią obsłużyć podstawową segmentację, wystarczy, że ktoś, kto się na tym zna, poświęci dzień–dwa na zaprojektowanie i wdrożenie nowego układu. To jedna z tych zmian, które są niewidoczne dla użytkownika, ale bardzo odczuwalne dla atakującego.

Monitoring i logi – żeby wiedzieć, co się dzieje

Ransomware nie zawsze uderza od razu z pełną mocą. Często atakujący najpierw rozpoznaje sieć, testuje uprawnienia, kopiuje dane. Bez minimalnego monitoringu te działania pozostają niewidoczne, aż do momentu zaszyfrowania wszystkiego, co się da.

Nawet w niewielkiej firmie da się zorganizować podstawową obserwację tego, co robią kluczowe systemy:

  • logowanie zdarzeń bezpieczeństwa na serwerach, firewallu, systemach zdalnego dostępu i krytycznych aplikacjach;
  • proste alerty: zbyt wiele nieudanych logowań, logowania z nietypowych krajów, nagły wzrost ruchu do zewnętrznych adresów, wyłączenie antywirusa;
  • regularny przegląd logów lub raportów (np. raz w tygodniu), zamiast zbierania ich „na wszelki wypadek” i nigdy nie otwierania.

Nie trzeba od razu inwestować w rozbudowany system klasy SIEM. Często wystarczy to, co już jest wbudowane w używane rozwiązania, plus kilka sensownie ustawionych raportów wysyłanych mailem do osoby odpowiedzialnej za IT. Chodzi o to, by pierwszą informacją o ataku nie był komunikat „Twoje pliki zostały zaszyfrowane”.

Procedury na wypadek ataku – „plan pożarowy” dla ransomware

Najlepsze zabezpieczenia nie dają stuprocentowej gwarancji. Dlatego oprócz zapobiegania potrzebny jest prosty, zrozumiały dla wszystkich „plan pożarowy” – co robimy, gdy mimo wszystko coś się stanie. Brak planu oznacza chaos, a chaos przy ataku ransomware kosztuje szczególnie dużo.

Jak rozpoznać, że dzieje się coś złego

W praktyce atak ransomware rzadko wygląda jak w filmach, gdzie wszystko gaśnie jednocześnie. Czasem pierwszy sygnał to pojedynczy pracownik, który nie może otworzyć pliku, dziwny komunikat o błędzie, nagłe „zamulenie” serwera. Jeżeli ludzie nie wiedzą, że to może być objaw ataku, próbują „kombinować” na własną rękę.

Najprostszy krok to stworzenie krótkiej listy symptomów, na które każdy ma reagować:

  • nagle zaszyfrowane pliki, zmiana rozszerzeń dokumentów, pojawienie się dziwnych nazw plików;
  • komunikat żądający okupu w zamian za odszyfrowanie danych lub „przywrócenie dostępu”;
  • nietypowe zapytania o hasła, okna logowania, których zwykle nie ma;
  • masowe znikanie plików z udziałów sieciowych, których nikt celowo nie usuwał;
  • nagłe wyłączenie lub „ciche” zniknięcie antywirusa z tac systemowych użytkowników.

Taką listę można dodać do krótkiej instrukcji bezpieczeństwa dla pracowników, razem z jednym zdaniem: „jeśli widzisz coś z tego – nie próbuj naprawiać sam, tylko natychmiast zgłoś”. To często oszczędza te najcenniejsze pierwsze minuty.

Co zrobić w pierwszych minutach ataku

Pierwsze kroki po wykryciu ataku decydują, czy zaszyfrowany będzie jeden komputer, czy cała firma. Nawet w niewielkiej organizacji warto mieć spisaną prostą procedurę „krok po kroku” – najlepiej wydrukowaną, bo przy poważnym incydencie dostęp do dokumentów w wersji elektronicznej może być ograniczony.

Podstawowy scenariusz może wyglądać tak:

  1. Odizolować podejrzane stanowisko – odłączyć komputer od sieci (wyjąć kabel, wyłączyć Wi‑Fi). Nie wyłączać od razu zasilania, chyba że ransomware nadal aktywnie szyfruje pliki i nic innego się nie da zrobić.
  2. Powiadomić osobę odpowiedzialną za IT – jasno określić, kto ma „prawo ogłosić alarm”. Może to być kierownik działu, właściciel, wyznaczony administrator. Chodzi o to, by informacja nie utknęła na poziomie „napisałem maila do informatyka”.
  3. Zebrać podstawowe informacje – kto zauważył problem, na jakim komputerze, co konkretnie się dzieje, o której godzinie. Krótka notatka na kartce papieru bywa tu bardziej skuteczna niż długi opis w Wordzie, którego i tak nie da się otworzyć.
  4. Powstrzymać „gaszenie pożaru” przez przypadkowych bohaterów – żadnego reinstalowania systemu, samodzielnego przywracania z kopii czy klikania w znalezione w sieci „cudowne deszyfratory”. To zabija ślady, które mogą być kluczowe do zrozumienia, co się stało.

Dobrze, jeśli taka procedura jest znana nie tylko jednej osobie. Właściciel firmy też bywa na urlopie, a ransomware, jak na złość, nie pyta o zgodę na wejście.

Rola zewnętrznych partnerów i ubezpieczyciela

Większość małych firm korzysta z pomocy zewnętrznej firmy IT, czasem także z ubezpieczenia cyber. Przy incydencie ransomware ważne jest, by wiedzieć zawczasu, kogo i w jakiej kolejności powiadomić. Szukanie numeru do opiekuna technicznego w trakcie ataku to klasyczny sport ryzykowny.

Przygotowując się na kryzys, warto:

  • ustalić z firmą IT, jak szybko jest w stanie zareagować na zgłoszenie krytyczne (SLA, dyżury, numery alarmowe poza godzinami pracy);
  • sprawdzić, czy w umowie jest mowa o wsparciu przy incydentach bezpieczeństwa, czy tylko „bieżącej administracji”;
  • jeśli firma ma polisę cyber – zapisać numer infolinii, procedurę zgłoszenia szkody i sprawdzić, jakie działania trzeba uzgodnić z ubezpieczycielem (np. zatrudnienie firmy zajmującej się cyfrową analizą śladów).

W pewnej rodzinnej firmie produkcyjnej „informatyk” okazał się dostępny tylko w godzinach 9–15, a atak przyszedł w nocy z piątku na sobotę. Gdy udało się go złapać w poniedziałek, ransomware zdążył zrobić swoje, a kopie w chmurze – nadpisane zaszyfrowanymi danymi – już niewiele pomagały. Kilka zdań dopisanych do umowy i numer całodobowego kontaktu z centrum reagowania znacznie zmniejszyłby skalę strat.

Programista w ciemnym biurze analizuje kod związany z cyberbezpieczeństwem
Źródło: Pexels | Autor: Tima Miroshnichenko

Odzyskiwanie po ataku – jak wrócić do działania bez płacenia okupu

Ransomware ma jeden główny cel: wymusić okup za odzyskanie danych lub za ich „nieopublikowanie”. W małej firmie presja bywa ogromna, bo każdy dzień przestoju boli wprost w portfel. Dobrze zaplanowane przywracanie danych i ciągłości pracy często pozwala przejść przez kryzys bez przelewania pieniędzy na konto przestępców.

Priorytety przywracania – co uruchomić jako pierwsze

Nieliczne firmy mają luksus pełnego odtworzenia wszystkiego jednocześnie. Najczęściej trzeba wybierać: co przywracamy w pierwszej kolejności, a co może poczekać. Odpowiedź „wszystko jest krytyczne” oznacza po prostu, że nikt się nad tym wcześniej nie zastanowił.

Przydaje się krótka lista systemów i usług posortowana według ważności biznesowej:

  • poziom 1 – absolutnie krytyczne (np. system sprzedażowy, księgowy, magazynowy, produkcja) – bez nich firma praktycznie stoi;
  • poziom 2 – bardzo ważne (np. poczta, CRM, systemy projektowe) – można wytrzymać 1–2 dni, ale dłuższy brak funkcjonowania powoduje realne straty;
  • poziom 3 – reszta (wewnętrzne narzędzia, mniej używane aplikacje, archiwa) – można przywracać później, gdy podstawowa działalność już „oddycha”.

Taka klasyfikacja pomaga też dostawcy IT. Zamiast desperackich telefonów „odpalcie wszystko naraz”, jest jasne, że pierwsze idą np. serwer księgowy i system fakturowania, a dopiero później portal intranetowy sprzed pięciu lat.

Bezpieczne używanie kopii zapasowych po incydencie

Paradoksalnie, przy ataku ransomware kopie zapasowe są jednocześnie ratunkiem i potencjalną pułapką. Odtworzenie backupu zawierającego już zainfekowane pliki może oznaczać powtórkę z rozrywki w ciągu kilku godzin.

Rozsądny proces odtwarzania obejmuje kilka kroków:

  1. Identyfikacja „czystego” punktu w czasie – trzeba ustalić, kiedy atakujący najprawdopodobniej uzyskali dostęp. Pomagają w tym logi, analiza zdarzeń, a czasem po prostu obserwacja: kiedy pojawiły się pierwsze anomalie.
  2. Testowe odtworzenie w odseparowanym środowisku – jeśli to możliwe, warto najpierw przywrócić kopię np. serwera plików na oddzielną maszynę lub w wirtualce odciętej od reszty sieci. Dzięki temu można sprawdzić, czy nie uruchamiają się podejrzane procesy, a antywirus nie zgłasza niepokojących sygnałów.
  3. Stopniowe przywracanie produkcji – zamiast uruchamiać wszystko równocześnie, lepiej robić to etapami: najpierw krytyczne systemy, potem reszta. Między etapami można znów przejrzeć logi i sprawdzić stabilność.

Jeśli firma korzysta z usług zewnętrznego dostawcy backupu, dobrze jest jeszcze przed atakiem ustalić, jak wygląda proces testowego odtworzenia i ile to trwa. Przy usługach w chmurze bywa to kwestia kilku kliknięć, ale przy kopiach na taśmach lub offline – już niekoniecznie.

Komunikacja z klientami i partnerami

Małe i średnie firmy często obawiają się przyznać do incydentu bezpieczeństwa. Tymczasem próba „zamiatania pod dywan” przynosi zwykle więcej szkody niż otwarta, przemyślana komunikacja. Jeśli atak utrudnia realizację zamówień lub potencjalnie dotyczy danych klientów, milczenie jest najmniej rozsądną opcją.

Na spokojnie, jeszcze przed incydentem, można przygotować kilka szablonów komunikatów:

  • krótką informację dla klientów o przerwie w działaniu systemu i przewidywanym czasie przywrócenia;
  • wersję rozszerzoną – używaną, gdy istnieje ryzyko naruszenia danych osobowych (uwzględniając obowiązki wynikające z RODO);
  • wewnętrzny komunikat dla pracowników – co wolno mówić i czego nie komentujemy bez uzgodnienia (np. szczegółów technicznych ataku).

Przy większym incydencie konieczne może być także formalne zgłoszenie naruszenia ochrony danych do organu nadzorczego. Tu przydaje się kontakt z prawnikiem lub inspektorem ochrony danych, jeśli firma go posiada. Reagowanie w stylu „wysyłamy losowe maile, bo coś słyszeliśmy o 72 godzinach” przeważnie nie kończy się dobrze.

Współpraca z zewnętrzną firmą IT – jak ustawić zasady gry

W wielu małych przedsiębiorstwach „dział IT” to wizytówka lokalnej firmy informatycznej albo znajomy specjalista „na telefon”. Takie modele potrafią działać bardzo dobrze, pod warunkiem że odpowiedzialności są jasno opisane, a nie „każdy myślał, że to ktoś inny”.

Co wpisać do umowy z dostawcą IT

Z punktu widzenia ochrony przed ransomware w umowie z partnerem IT liczy się kilka konkretnych punktów bardziej niż ogólniki „zapewnienie wysokiej jakości usług”. Warto je mieć czarno na białym:

Przy wyborze partnera IT dobrze jest zwrócić uwagę, czy proponuje on coś więcej niż sprzedaż licencji i urządzeń. Partner, który rozumie ryzyko biznesowe i bezpieczeństwo, zaproponuje analizę ryzyk, plan backupu, politykę haseł, wsparcie w szkoleniach. Jeżeli rozmowa sprowadza się tylko do listy produktów i cen, lepiej poszukać dalej. W sieci można znaleźć wiele poradników i analiz – dobrym przykładem są materiały, gdzie można przeczytać więcej o cyberbezpieczeństwo w praktycznym ujęciu dla firm.

  • Zakres odpowiedzialności za bezpieczeństwo – czy dostawca tylko „administrował serwerem”, czy także odpowiadał za aktualizacje, backupy, konfigurację firewalli i antywirusa.
  • Parametry czasowe reakcji – maksymalny czas na podjęcie działań przy zgłoszeniu krytycznym (np. incydent bezpieczeństwa, całkowita awaria systemu sprzedażowego).
  • Zakres monitoringu – czy firma IT jedynie dostarcza narzędzia, czy faktycznie monitoruje logi i reaguje na alerty.
  • Procedura testów odtwarzania – jak często są testowane kopie i kto potwierdza wynik testu (nie tylko mail „wszystko OK”, ale krótki protokół lub raport).
  • Sposób raportowania – regularne, zrozumiałe dla biznesu raporty: co zostało zrobione, jakie ryzyka wykryto, co należy poprawić po stronie firmy.

Taka umowa nie ma być narzędziem do „łapania za słówka” przy każdym drobiazgu, raczej wspólną mapą odpowiedzialności. Dobrze ustawiona współpraca IT–biznes przypomina duet kierowca–mechanik: każdy wie, za co odpowiada, ale obaj mają wspólny cel – żeby samochód dojechał do mety.

Jak rozmawiać z IT „po ludzku”, a nie tylko technicznie

Bezpieczeństwo bywa tematem, przy którym biznes i IT mówią różnymi językami. Z jednej strony słyszymy o portach, protokołach, EDR-ach i sandboxach, z drugiej – o terminach dostaw, płynności finansowej i relacjach z klientami. Jeżeli tych światów nie uda się połączyć, często powstają rozwiązania albo przesadnie skomplikowane, albo zbyt uproszczone.

Pomaga kilka nawyków komunikacyjnych:

  • zadawanie pytań „co się stanie, jeśli tego nie zrobimy?” zamiast „czy to jest konieczne?” – od razu widać, o jakie ryzyko chodzi;
  • prośba o przedstawienie opcji w stylu „wersja minimalna, rozsądna i luksusowa” – zamiast jednego, drogiego rozwiązania „bo tak się robi w korporacjach”;
  • ustalanie budżetu z góry, ale z marginesem na krytyczne inwestycje bezpieczeństwa – tak, by przy poważnym ryzyku nie trzeba było każdej złotówki negocjować przez miesiąc.

Czasem pomocne bywa też zaproszenie partnera IT na krótkie spotkanie z kluczowymi menedżerami. Gdy administrator usłyszy, jak firma faktycznie działa i skąd biorą się pieniądze, łatwiej mu zaproponować rozwiązania adekwatne do realiów, a nie do ulubionej konfiguracji z poprzedniego projektu.

Bezpieczeństwo jako element codziennego zarządzania firmą

Ransomware nie jest tylko „problemem informatyków”. To ryzyko biznesowe w równym stopniu, co awaria głównej maszyny, strata kluczowego klienta czy konflikt wspólników. Jeżeli bezpieczeństwo cyfrowe jest traktowane jak „koszt do ucięcia”, a nie element odporności całej firmy, wcześniej czy później pojawi się kryzys – pytanie tylko jak duży.

Regularne przeglądy bezpieczeństwa – mały „przegląd techniczny” raz na jakiś czas

Zamiast jednorazowego „projektu bezpieczeństwo” sensownie jest podejść do tematu jak do przeglądu samochodu – co jakiś czas, spokojnie, według listy. Nie musi to być zaawansowany audyt z tomem dokumentacji. Często wystarczy prosty, powtarzalny rytuał.

Przegląd może obejmować:

  • sprawdzenie stanu backupów: kiedy ostatnio testowano odtworzenie, czy wszystko zakończyło się sukcesem;

    • Najczęściej zadawane pytania (FAQ)

    Czy mała firma naprawdę jest atrakcyjnym celem dla ransomware?

    Tak. Dla przestępców małe i średnie firmy są często łatwiejszym celem niż korporacje. Mają cenne dane (faktury, dane klientów, dokumenty księgowe), ale zwykle słabsze zabezpieczenia, brak procedur i jedną osobę „od wszystkiego w IT”. To połączenie zachęca do ataku.

    Większość kampanii ransomware jest zautomatyzowana – boty skanują internet i szukają podatnych systemów. Twoja firma nie musi być „wybrana z nazwy”; wystarczy, że masz np. stary serwer pocztowy, otwarty RDP albo dziurawy VPN i automatyczny skaner po prostu wchodzi tam, gdzie się da.

    Jak wygląda atak ransomware krok po kroku w małej firmie?

    Najpierw jest wejście do środka – zwykle przez phishing (fałszywe maile z fakturą, kurierem, bankiem), słabe hasło do poczty lub zdalnego pulpitu, albo nieaktualny serwer wystawiony do internetu. Na tym etapie ofiara często nie zauważa niczego podejrzanego.

    Później napastnik robi rozpoznanie w sieci, szuka serwerów plików, backupów i kont administratorów, próbuje wyłączyć antywirusa i inne zabezpieczenia. Dopiero na końcu uruchamia szyfrowanie danych i zostawia komunikat z żądaniem okupu, coraz częściej po wcześniejszym skopiowaniu części plików na swoje serwery.

    Jakie są pierwsze sygnały, że firma może być podatna na atak ransomware?

    Typowe czerwone flagi w MŚP to m.in. wspólne konta „biuro”, „magazyn” używane przez kilka osób, brak indywidualnych logowań i brak zmiany haseł po odejściu pracownika. W takiej sytuacji trudno ustalić, kto co robił, a przejęcie jednego hasła daje szeroki dostęp.

    Druga grupa problemów to zdalny dostęp: RDP wystawiony prosto do internetu, logowanie do routera czy NAS-a domyślnym hasłem, brak VPN, łączenie sieci firmowej z prywatnymi komputerami w domu. Trzeci sygnał ostrzegawczy to pełna „wiara w informatyka” bez żadnych spisanych procedur na wypadek awarii czy ataku.

    Jak samodzielnie ocenić poziom bezpieczeństwa w małej firmie?

    Dobrym startem jest prosty „audyt kuchenny” z udziałem właściciela, osoby od IT i kogoś z operacji. Wystarczy szczerze odpowiedzieć na kilka pytań: gdzie są najważniejsze dane, kto ma do nich dostęp, jak robiony jest backup (jak często, gdzie, czy testowano przywracanie) oraz jak wygląda zdalny dostęp do firmy.

    Pomaga też spisanie kluczowych systemów (księgowość, CRM, magazyn, poczta) z dopiskiem, jak się do nich loguje (hasło, MFA), kto jest dostawcą i kto odpowiada za aktualizacje. Taka prosta tabela często obnaża więcej problemów niż drogi raport – i bywa pierwszym momentem, gdy ktoś zauważa, że „nikt tak naprawdę nie pilnuje backupu”.

    Jakie są najpoważniejsze skutki ataku ransomware dla MŚP?

    Najbardziej bolesny jest przestój. System sprzedażowy i magazynowy stają, nie da się wystawić faktur, odbierać towaru ani normalnie obsługiwać klientów. Nawet jeśli przez chwilę ratujecie się papierem i notatnikiem, po dwóch–trzech dniach rosną koszty, frustracja i ryzyko utraty kontraktów.

    Do tego dochodzą straty wizerunkowe i prawne: utrata zaufania klientów, konieczność wyjaśnień, możliwe rezygnacje ze współpracy, a przy wycieku danych osobowych – zgłoszenie incydentu do UODO, informowanie klientów, potencjalne kary i dodatkowe koszty prawne oraz techniczne. W skrócie: gaszenie pożaru zwykle jest wielokrotnie droższe niż sensowne przygotowanie.

    Czy warto płacić okup po ataku ransomware?

    Z perspektywy biznesowej pokusa jest duża, bo kwota okupu bywa tak dobrana, żeby „mniej bolało” niż długotrwały przestój. Jednak zapłata nie gwarantuje odzyskania wszystkich danych, nie cofa wycieku informacji i wzmacnia model biznesowy przestępców. Zdarza się też, że ta sama grupa wraca po czasie z kolejnym żądaniem.

    Dlatego kluczowe jest, aby przed atakiem mieć sprawdzone kopie zapasowe, procedurę awaryjną i kontakt do zewnętrznych specjalistów (firma IT, prawnicy, ubezpieczyciel cyber). Wtedy rozmowa o okupie nie odbywa się „pod ścianą”, tylko z chłodną oceną ryzyka i alternatyw.

    Jak przygotować prosty plan obrony przed ransomware w małej firmie?

    Na poziomie minimum warto: uporządkować konta użytkowników (koniec ze współdzielonym „biuro@”), włączyć silne hasła i – tam gdzie się da – uwierzytelnianie dwuskładnikowe, zabezpieczyć zdalny dostęp (VPN zamiast „gołego” RDP) oraz wdrożyć regularne, testowane kopie zapasowe, w tym jedną kopię odseparowaną od sieci firmowej.

    Równolegle dobrze jest wyznaczyć jedną osobę odpowiedzialną za bezpieczeństwo (nawet jeśli to nie jest etatowy specjalista), która będzie pilnować: aktualizacji systemów, szkoleń z phishingu dla pracowników, przeglądu backupów i kontaktu z firmą IT przy podejrzanych zdarzeniach. To nie musi być rozbudowana „strategia cyber”, ale konkretny, zapisany plan – najlepiej krótszy niż menu w osiedlowej pizzerii, za to faktycznie używany w kryzysie.

    Co warto zapamiętać

  • Ransomware uderza w małe i średnie firmy tak samo chętnie jak w korporacje, bo ataki są masowe i zautomatyzowane – wystarczy jedna podatność, by stać się przypadkową ofiarą.
  • MŚP są szczególnie atrakcyjnym celem: mają cenne dane, słabsze zabezpieczenia, brak dedykowanego działu bezpieczeństwa i dużą presję, by szybko wznowić działalność, więc częściej płacą okup.
  • Typowy atak to nie „nagły wybuch”, tylko proces: wejście (phishing, słabe hasła, nieaktualne systemy, otwarty RDP), ciche rozpoznanie sieci i eskalacja uprawnień, a dopiero potem szyfrowanie i szantaż publikacją danych.
  • Skutki ataku bezpośrednio uderzają w operacje firmy: zatrzymany system sprzedaży, magazyn, księgowość, obsługa klienta – kilka dni chaosu potrafi trwale odbić się na przychodach i relacjach z klientami.
  • Poza przestojem dochodzi utrata zaufania i ryzyko formalne: możliwy wyciek danych osobowych, obowiązek zgłoszeń do UODO, reklamacje klientów, kary, koszty prawne i techniczne – „gaszenie pożaru” jest znacznie droższe niż przygotowania.
  • Prosty, szczery „audyt kuchenny” (gdzie są dane, kto ma dostęp, jak działają backupy, jak wygląda zdalny dostęp, kto pilnuje aktualizacji) już na starcie porządkuje sytuację lepiej niż zaklęcia typu „u nas jest raczej bezpiecznie”.

Te artykuły mogą Cię zainteresować:

Poprzedni artykułCo oznaczają te słowa w menu? Krótki słownik restauracyjny bez stresu
Następny artykułOliwa extra vergine: jak czytać etykiety i wybierać dobrą do sałatek i smażenia
Józef Czarnecki
Józef Czarnecki
Józef Czarnecki to współtwórca FratelliCiechanow.pl, który łączy pasję do kuchni z podejściem „najpierw test, potem publikacja”. Specjalizuje się w przepisach codziennych i włoskich inspiracjach, szczególnie w cieście na pizzę, sosach i domowych wypiekach. Każdy przepis dopracowuje w kilku wariantach, mierząc czasy, temperatury i gramatury, a wnioski opisuje prostym językiem. W treściach o zdrowym odżywianiu opiera się na aktualnych zaleceniach i wiarygodnych źródłach, unikając dietetycznych sensacji. Recenzje lokali przygotowuje rzetelnie: notuje skład, jakość, obsługę i powtarzalność, a oceny uzasadnia konkretem.