Ransomware 2026: jak działa i jak przygotować firmę na atak

Przez
Jakub Zalewski
-
0
4
Rate this post

Nawigacja:

Cel firmy w starciu z ransomware 2026

Firmy szukające odpowiedzi na temat ransomware w 2026 roku zazwyczaj nie potrzebują kolejnej teorii, tylko instrukcji, jak przetrwać realny atak. Chodzi o zrozumienie, co robią napastnicy, które zabezpieczenia działają, a które są bardziej „pod audyt”, oraz jak zbudować plan, który wytrzyma kontakt z praktyką, awarią i stresem.

Fundamentalnym celem nie jest „nigdy nie zostać zaatakowanym”, bo to obietnica z folderów marketingowych, lecz: zminimalizować szansę udanego ataku, ograniczyć jego skutki i móc w rozsądnym czasie wrócić do działania bez płacenia okupu.

Czym jest ransomware w 2026 roku i czym różni się od „klasyki”

Od prostego szyfrowania plików do przemysłu wymuszeń

Ransomware w 2026 roku to już nie tylko program, który „zaszyfruje pliki”. To model biznesowy cyberprzestępców oparty na kilku elementach: szyfrowaniu danych, blokowaniu systemów, kradzieży informacji, groźbach publikacji i naciskaniu na firmę z różnych stron, aby wymusić okup w kryptowalutach.

Pierwsze fale ransomware wyglądały stosunkowo prymitywnie. Użytkownik klikał niebezpieczny załącznik, pliki na jego komputerze były szyfrowane, pojawiał się komunikat z żądaniem stosunkowo niewielkiej kwoty. Często był to atak masowy, bez szczególnego dopasowania do ofiary, a napastnik nie znał ani branży, ani rozmiaru firmy.

Od kilku lat funkcjonuje natomiast rozwinięty ekosystem Ransomware-as-a-Service (RaaS). Główne gangi tworzą i rozwijają oprogramowanie, budują infrastrukturę (panele administracyjne, strony do negocjacji, serwery do wycieków danych) i „wynajmują” je afiliantom. Ci ostatni specjalizują się w włamaniu do konkretnych firm, prowadzeniu rekonesansu i przeprowadzeniu samego ataku. Zyski z okupu są dzielone według ustalonych prowizji.

Ten model powoduje, że próg wejścia dla napastników jest niski. Osoba, która nie potrafi napisać nawet prostego skryptu, może korzystać z gotowego panelu: wybiera kampanię, docelową firmę, formę żądania okupu. Oprogramowaniem i kryptografią zajmuje się ktoś inny. To profesjonalizacja przestępczości, porównywalna z tym, co działo się w legalnym świecie IT, gdy pojawiły się chmury i modele SaaS.

Jak zmienił się krajobraz zagrożeń po 2020

W latach 2017–2020 głośne były kampanie w stylu WannaCry czy NotPetya, które rozprzestrzeniały się szybko, wykorzystując luki techniczne i często działając bez rozróżnienia, kogo uderzają. Wiele firm traktowało te incydenty jako „incydent dekady”. Później okazało się, że był to dopiero wstęp.

Obecnie dominują precyzyjne, planowane ataki, a nie przypadkowe zarażenia. Napastnicy spędzają dni lub tygodnie w środowisku ofiary, zanim doprowadzą do zaszyfrowania danych. Obserwują, które systemy są krytyczne, gdzie są kopie zapasowe, jak wygląda rozkład zmian w produkcji, jakie terminy mają kontrakty z kluczowymi klientami.

Kluczowa zmiana polega na tym, że sam szyfrator nie jest jedynym narzędziem nacisku. Standardem stały się:

  • podwójne wymuszenia – szyfrowanie + kradzież danych, groźba publikacji lub sprzedaży;
  • potrójne wymuszenia – dodatkowo presja na klientów, partnerów, czasami ataki DDoS, aby zwiększyć chaos;
  • ataki udające ransomware, w których głównym celem jest wyciek informacji, a zaszyfrowanie to tylko „dymna zasłona”.

Zmieniła się także dynamika zgłoszeń. Część firm, szczególnie z sektorów wrażliwych (opieka zdrowotna, prawo, usługi profesjonalne), unika ujawniania ataku, bo boi się utraty reputacji i konsekwencji regulacyjnych. Z drugiej strony, nowe obowiązki notyfikacji incydentów (np. w kontekście RODO czy regulacji sektorowych) wymuszają większą transparentność.

Dlaczego statystyki z raportów bywają mylące

Wiele raportów bezpieczeństwa prezentuje imponujące wykresy dotyczące liczby ataków ransomware, średnich kwot okupu, czasu przestoju. Przy interpretacji tych danych dobrze jest mieć z tyłu głowy kilka ograniczeń.

Po pierwsze, nie wszystkie incydenty są raportowane. Małe i średnie firmy, które nie podlegają ścisłemu nadzorowi branżowemu, często „załatwiają sprawę po cichu”, czasem nawet decydując się na zapłatę okupu bez formalnego zgłaszania incydentu. Statystyki bazują wtedy głównie na przypadkach, które trafiły do ubezpieczyciela, firm reagowania na incydenty albo organów publicznych.

Po drugie, różne organizacje inaczej definiują „atak ransomware”. Dla jednych to tylko sytuacja, gdy doszło do szyfrowania danych. Dla innych – także incydenty, w których nastąpił wyciek danych i żądanie okupu, ale bez faktycznego zaszyfrowania systemów. Zdarzają się też kampanie „pseudo-ransomware”, gdzie zaszyfrowanie jest pozorne, a pliki można odzyskać bez klucza.

Po trzecie, dostawcy rozwiązań bezpieczeństwa mają naturalny interes w podkreślaniu skali zagrożenia. Sam fakt, że coś jest publikowane w raporcie, nie oznacza jeszcze manipulacji, ale liczby często są dobierane tak, aby podkreślić argument „bez nas będzie tylko gorzej”. Sceptyczne podejście i porównywanie danych z wielu źródeł jest rozsądniejsze niż poleganie na jednym opracowaniu.

Dlaczego małe i średnie firmy są atrakcyjnym celem

Popularne jest założenie, że ransomware to przede wszystkim problem korporacji, szpitali i instytucji publicznych. Tymczasem w 2026 roku małe i średnie firmy (MŚP) są dla wielu gangów głównym targetem. Powody są dość proste.

Po pierwsze, MŚP zwykle nie mają rozbudowanych zespołów bezpieczeństwa ani całodobowego monitoringu. Często kilka osób w dziale IT odpowiada jednocześnie za użytkowników, infrastrukturę, wdrożenia, a bezpieczeństwo jest „dodatkowym obowiązkiem”. To tworzy luki organizacyjne, których nie zniweluje sama technologia.

Po drugie, poziom digitalizacji rośnie szybciej niż dojrzałość bezpieczeństwa. Firmy korzystają z chmury, zdalnych dostępów, systemów ERP i CRM, ale procedury zarządzania dostępami, aktualizacjami, kopią zapasową pozostają na poziomie „robimy, co możemy”. Z punktu widzenia napastnika to środowisko, w którym próg wejścia jest niski, a zysk z ataku wystarczający.

Po trzecie, wiele MŚP jest silnie uzależnionych od ciągłości działania – kilka dni przestoju oznacza poważny problem z realizacją kontraktów, płynnością finansową, a nawet wynagrodzeniami. To sprzyja presji: zarząd może być bardziej skłonny do rozważenia płatności okupu niż duża korporacja, która ma rozbudowany plan ciągłości działania (BCP) i rezerwy finansowe.

Jak działa współczesny atak ransomware – łańcuch zdarzeń od A do Z

Wejście do sieci: phishing, luki, zdalne dostępy

Atak ransomware w 2026 roku jest procesem, a nie jednorazowym kliknięciem. Zaczyna się od zdobycia pierwszej stopy w drzwiach, czyli początkowego dostępu do sieci lub konta użytkownika. Praktyka pokazuje, że napastnicy wykorzystują kilka powtarzających się wektorów.

Najczęstszy to nadal phishing. Pracownik otrzymuje e-mail, który wygląda jak:

  • faktura od znanego dostawcy,
  • informacja z firmy kurierskiej,
  • wezwanie z urzędu,
  • wiadomość związana z rekrutacją, zamówieniem lub płatnością.

W wiadomości jest załącznik (np. „faktura.docm”) lub link prowadzący do strony podszywającej się pod usługi Microsoft 365, Google Workspace lub wewnętrzny portal. Po otwarciu załącznika lub wprowadzeniu danych logowania może dojść do zainstalowania złośliwego oprogramowania lub przejęcia konta użytkownika.

Drugim kluczowym wektorem są podatne zdalne dostępy: RDP, VPN, panele do zarządzania serwerami, systemy do zdalnej pracy. Napastnicy przeglądają Internet w poszukiwaniu otwartych usług, korzystając z narzędzi podobnych do Shodan. Następnie próbują:

  • wykorzystać znane luki w oprogramowaniu (np. w bramach VPN),
  • użyć wykradzionych haseł z wycieków danych,
  • brutalnie łamać słabe hasła (brak MFA, prosty login i hasło).

Trzeci obszar to nieaktualne aplikacje i serwery, wystawione do Internetu. To mogą być serwisy WWW, systemy pocztowe, stare wersje oprogramowania do obsługi klientów, panel sklepu, a nawet zapomniane narzędzia testowe. Jeżeli od lat nie były aktualizowane, prawdopodobieństwo istnienia znanych luk jest bardzo duże. Dla napastnika to zaproszenie – luka ma gotowe exploity, które można niemal zautomatyzować.

Faza „cichej obecności”, ruch boczny i eskalacja uprawnień

Gdy pierwszy dostęp zostanie zdobyty, rzadko dochodzi od razu do szyfrowania. Napastnik woli najpierw „rozejrzeć się” po środowisku. To etap, podczas którego atak często mógłby zostać wykryty, ale w praktyce bywa ignorowany lub mylony z normalną aktywnością.

Typowe działania w tej fazie to:

  • instalacja backdoora – narzędzie zapewniające powrót do systemu nawet po zmianie hasła czy restarcie,
  • wyłączanie lub omijanie zabezpieczeń – modyfikacja ustawień antywirusa, EDR, logowania,
  • rekonesans domeny i sieci – sprawdzanie, jakie są segmenty sieci, serwery, udziału plików, konta administracyjne, systemy kopii zapasowych.

Napastnicy coraz częściej korzystają z podejścia „living off the land”, czyli używania narzędzi już obecnych w systemie: PowerShell, PSExec, WMI, oficjalnych agentów RMM (Remote Monitoring and Management), skryptów administracyjnych. Taka aktywność dużo trudniej odróżnić od zwykłej pracy administratorów, szczególnie tam, gdzie logi nie są systematycznie analizowane.

Ważnym celem jest eskalacja uprawnień. Posiadanie konta zwykłego pracownika jest tylko początkiem. Napastnik próbuje zdobyć hasła administratorów, tokeny sesji, klucze dostępowe do chmury. Może to robić poprzez:

  • podsłuchiwanie ruchu sieciowego,
  • odczytanie zapisanych haseł w przeglądarkach,
  • wykorzystanie luk w konfiguracji Active Directory,
  • atak na narzędzia do zarządzania systemami (np. serwer do dystrybucji oprogramowania).

Im wyższe uprawnienia uda się przejąć, tym większa kontrola nad środowiskiem. W skrajnych przypadkach napastnik zdobywa dostęp domenowy z prawem do zarządzania praktycznie wszystkim: komputerami, serwerami, politykami bezpieczeństwa, kopiami zapasowymi.

Szyfrowanie, niszczenie kopii zapasowych i kradzież danych

Kiedy napastnik uzna, że ma wystarczającą kontrolę, przechodzi do przygotowania właściwego uderzenia. Ten etap jest często mylnie utożsamiany z początkiem ataku, tymczasem w rzeczywistości to finał dłuższego procesu.

Po pierwsze, wykonywana jest kradzież danych. Z serwerów plików, poczty, baz danych pobierane są informacje uznane za cenne z punktu widzenia szantażu: dane klientów, rejestry medyczne, dane finansowe, projekty, kody źródłowe, korespondencja zarządu. Dane są pakowane, szyfrowane i wysyłane na serwery kontrolowane przez napastnika. Często odbywa się to etapami, aby nie zwrócić uwagi na nagły wzrost ruchu.

Po drugie, celem stają się kopie zapasowe. Napastnik stara się:

  • usunąć lub zaszyfrować backupy przechowywane w tej samej infrastrukturze,
  • unieważnić konta, którymi zarządza się kopiami,
  • zaszkodzić replikacjom do zapasowych centrów danych lub chmury,
  • zaszyfrować lub usunąć tzw. shadow copies oraz lokalne punkty przywracania.

Dopiero gdy środowisko obronne zostanie osłabione, uruchamiane są moduły szyfrujące. Zwykle atak jest planowany na czas minimalnej obecności IT (noc, weekend, okres świąteczny). Szyfrator:

  • przechodzi po dyskach lokalnych i udziałach sieciowych,
  • identyfikuje określone typy plików (np. dokumenty, bazy danych, projekty),
  • szyfruje zawartość przy użyciu silnych algorytmów kryptograficznych,
  • dodaje rozszerzenia lub zmienia nazwy plików.

Komunikat o okupie, negocjacje i presja psychologiczna

Gdy szyfrowanie dobiegnie końca, użytkownicy zauważają pierwsze symptomy: brak dostępu do plików, komunikaty o błędach baz danych, niedziałające aplikacje. W tym samym czasie na ekranach lub w katalogach z zaszyfrowanymi plikami pojawia się notka z żądaniem okupu. Jej forma bywa różna, ale elementy są podobne:

  • informacja o zaszyfrowaniu danych i ewentualnie kradzieży informacji,
  • kwota okupu (często w kryptowalucie) lub instrukcja kontaktu po wycenę,
  • termin zapłaty i groźba publikacji danych lub trwałego usunięcia kluczy,
  • czasem „dowód” – fragment odszyfrowanych danych lub lista katalogów, do których napastnik miał dostęp.

Na tym etapie część organizacji wciąż żyje nadzieją, że awaria jest „lokalna” i szybko odwracalna. To kilka kluczowych godzin, w których zarząd i IT muszą podjąć decyzję o trybie reagowania. Gangi ransomware wykorzystują ten chaos, zwiększając presję – potrafią:

  • kontaktować się bezpośrednio z zarządem lub działem prawnym (adresując e-maile imiennie),
  • dzwonić na numery firmowe, powołując się na konkretne pliki lub kontrakty,
  • wysyłać zrzuty ekranu z wewnętrznych systemów, aby pokazać skalę kompromitacji.

Negocjacje zwykle prowadzone są przez szyfrowane komunikatory lub „panele” na stronach .onion w sieci Tor. Po stronie ofiary nierzadko pojawia się zewnętrzny negocjator (firma IR, broker cyberubezpieczeniowy). Przebieg rozmów nie jest schematyczny: czasem udaje się znacząco obniżyć kwotę, innym razem grupa jest nieprzejednana i gra na eskalację konfliktu. Deklaracje typu „po zapłacie usuniemy dane i damy klucz” nie są prawnie egzekwowalne – ostatecznie ofiara opiera się na zaufaniu do przestępców, co samo w sobie jest paradoksem.

Uproszczeniem jest przekonanie, że „wszyscy płacą”. W praktyce część firm decyduje się na brak płatności, licząc na odbudowę z kopii i minimalizację strat reputacyjnych. Inne płacą, ale i tak mierzą się z wyciekiem, bo grupa decyduje się sprzedać dane konkurencji lub ponownie je wykorzystać. Rynek ransomware nie jest homogeniczny – są gangi, które dbają o „reputację” (dotrzymują słowa, aby kolejne ofiary czuły się „bezpieczniej” płacąc), i takie, które działają chaotycznie, bez długoterminowej strategii.

Haker w czarnej bluzie używa tabletu z czaszką i napisem Hacker Attack
Źródło: Pexels | Autor: Lucas Andrade

Główne typy ransomware w 2026 roku i profile celów

„Big game hunting”: ataki na duże organizacje

Pod pojęciem „big game hunting” kryją się kampanie wymierzone w duże podmioty: korporacje, grupy kapitałowe, sieci handlowe, operatorów usług krytycznych. Typowy scenariusz zakłada:

  • długi okres rozpoznania (tygodnie, czasem miesiące),
  • eksfiltrację ogromnych wolumenów danych (serwery plików, systemy HR, finanse, własność intelektualna),
  • koordynowany atak na wiele segmentów sieci i regionów jednocześnie.

Motywacja jest prosta: maksymalizacja potencjalnego okupu. Wysokie przychody ofiary, regulowane branże, wrażliwe dane klientów – to wszystko podbija stawkę. Typowe „big game” to firmy:

  • z rozbudowaną infrastrukturą on-premise połączoną z chmurą,
  • posiadające rozproszone oddziały z lokalnymi serwerami,
  • silnie uzależnione od systemów OT/ICS (produkcja, logistyka, energia).

Wbrew pozorom duża organizacja nie zawsze jest trudniejszym celem. Często posiada dobre narzędzia, ale słaby spójny nadzór lub zbyt skomplikowaną strukturę odpowiedzialności. To, co z zewnątrz wygląda na „fortecę”, od środka bywa konglomeratem historycznych kompromisów i wyjątków od reguł.

Ransomware-as-a-Service: masowe kampanie na MŚP

Model Ransomware-as-a-Service (RaaS) przypomina franczyzę: operator udostępnia infrastrukturę, panel zarządzania, szyfrator i system rozliczeń, a tzw. afilianci zajmują się pozyskiwaniem ofiar i prowadzeniem kampanii. W 2026 roku ten segment jest głównym silnikiem ataków na małe i średnie firmy.

Afilianci wybierają cele według prostych kryteriów: branża, rozmiar, region, widoczna ekspozycja usług do Internetu. Skupiają się na segmentach, gdzie:

  • IT jest outsourcowane i rozproszone między wielu dostawców,
  • zmiany w konfiguracji odbywają się „na telefon”, bez formalnego procesu,
  • wysoka jest presja czasowa na utrzymanie usług (logistyka, usługi dla biznesu, administracja lokalna).

W tym modelu złośliwe oprogramowanie bywa standaryzowane, ale sposób wejścia do sieci i eskalacji uprawnień zależy od umiejętności konkretnego afilianta. Stąd rozstrzał jakościowy: od prymitywnych kampanii phishingowych po zaawansowane wykorzystanie luk w powszechnie stosowanych urządzeniach sieciowych.

„Double extortion” i „triple extortion” – szantaż wielopoziomowy

Klasyczne szyfrowanie danych z żądaniem okupu to już tylko część pejzażu. W 2026 roku standardem stał się model double extortion:

  1. zaszyfrowanie danych,
  2. groźba publikacji wykradzionych informacji, jeśli okup nie zostanie zapłacony.

Rozszerzeniem jest „triple extortion”, w której gang:

  • wywiera presję nie tylko na ofiarę, ale także na jej klientów lub partnerów,
  • straszy zgłoszeniem incydentu do regulatorów, jeśli firma próbowałaby „zamiatać pod dywan”,
  • tworzy dedykowane strony z wyszukiwarką danych, aby ułatwić mediom i konkurencji przeglądanie wycieków.

Ofiarami takich kampanii padają szczególnie podmioty przetwarzające dane wrażliwe: sektor medyczny, edukacja, kancelarie prawne, firmy HR, fintechy. Nawet jeśli same systemy uda się przywrócić z kopii, ryzyko reputacyjne i regulacyjne związane z ujawnieniem danych klientów pozostaje.

Ransomware wymierzone w łańcuch dostaw

Coraz popularniejszym celem są dostawcy usług IT i oprogramowania, przez których przebiega ruch lub przetwarzane są dane wielu innych firm. Atak na jednego integratora czy dostawcę systemu fakturowania może otworzyć drogę do dziesiątek, a nawet setek organizacji.

Typowy scenariusz wygląda następująco:

  • kompromitacja środowiska dostawcy (konto administratora, serwer RMM, panel aktualizacji),
  • wstrzyknięcie złośliwych komponentów do aktualizacji oprogramowania lub skryptów zarządzających,
  • rozsianie ransomware po środowiskach klientów poprzez „zaufany” kanał.

Dla małej firmy korzystającej z zewnętrznego IT sytuacja jest szczególnie kłopotliwa: to nie ona podejmowała decyzje konfiguracyjne, ale konsekwencje odczuwa bezpośrednio. Profil celów obejmuje więc nie tylko producentów oprogramowania, lecz także lokalnych integratorów, firmy hostingowe, operatorów chmurowych z wąskiej niszy czy dostawców rozwiązań branżowych (np. systemy POS, oprogramowanie magazynowe).

Ransomware w chmurze i ataki na środowiska hybrydowe

Upowszechnienie chmury nie zlikwidowało ransomware, a jedynie przesunęło część działań. Gangi interesują się:

  • kontami uprzywilejowanymi w Azure AD / Entra ID, AWS IAM, Google Cloud IAM,
  • magazynami danych typu S3, Blob Storage, bucketami z kopiami zapasowymi,
  • środowiskami bazodanowymi zarządzanymi w modelu PaaS.

Szyfrowanie w chmurze nie zawsze przypomina klasyczny scenariusz z plikami na dysku. Częstsze jest po prostu usuwanie lub sabotowanie zasobów, blokowanie kont, zmiana konfiguracji polityk retencji i wersjonowania. W części przypadków atak przyjmuje formę „wymuszenia administracyjnego”: napastnik grozi trwałym usunięciem zasobów lub opublikowaniem zrzutów z baz danych, jeśli okup nie wpłynie w terminie.

Ofiarami są nie tylko podmioty „cloud-native”. Ataki dotyczą głównie środowisk hybrydowych, w których:

  • tożsamości użytkowników i administratorów są zintegrowane między on-premise a chmurą,
  • dostępy do chmury są słabo segmentowane, a konta serwisowe mają szerokie uprawnienia,
  • kopie zapasowe z systemów lokalnych są wysyłane do chmury w sposób możliwy do przechwycenia przez przejęte konto.

Ataki na systemy OT/ICS i środowiska produkcyjne

Ransomware w świecie OT i ICS ma swoją specyfikę. Celem nie zawsze jest same zaszyfrowanie kontrolerów czy HMI – często wystarczy uderzenie w systemy wspierające: planowanie produkcji, logistykę wewnętrzną, magazyn, systemy jakości. Gdy nie da się wydrukować zleceń produkcyjnych ani etykiet logistycznych, linia stojąca fizycznie „gotowa” i tak nie produkuje.

W 2026 roku rośnie odsetek ataków, w których:

  • początkowy dostęp zdobywany jest przez sieć biurową lub VPN pracownika,
  • ruch boczny przenosi się na segment produkcyjny przez słabo odizolowane sieci,
  • zaszyfrowane zostają serwery inżynierskie, systemy receptur, archiwa danych z maszyn.

Tutaj napastnicy liczą mniej na groźbę publikacji danych (choć czasem kradną dokumentację technologiczną), a bardziej na presję biznesową związaną z przestojem linii. Profilem celu są producenci z:

  • ciągłymi procesami (chemia, spożywka, farmacja), gdzie zatrzymanie i restart są skomplikowane,
  • wysokim stopniem automatyzacji i „odchudzoną” kadrą inżynierską,
  • wieloma starszymi systemami, które trudno załatać lub zaktualizować.

Realne skutki ataku ransomware dla firmy

Przestój operacyjny i koszty przywracania

Pierwszym, najbardziej widocznym skutkiem jest utrata ciągłości działania. Systemy nie działają lub działają częściowo, użytkownicy nie mogą wykonywać podstawowych czynności, zamówienia nie są realizowane. Skala problemu bywa zaskoczeniem, bo wiele firm nigdy nie testowało scenariusza jednoczesnej utraty kilku kluczowych systemów.

Przywracanie po ataku jest zwykle znacznie bardziej kosztowne niż wdrożenie prewencji. W praktyce obejmuje:

  • analizę kryminalistyczną (IR/forensics), aby zidentyfikować punkt wejścia i zakres kompromitacji,
  • czyszczenie i reinstalację stacji roboczych oraz serwerów,
  • odbudowę środowisk z kopii zapasowych i testy integralności danych,
  • wdrożenie dodatkowych zabezpieczeń „na gorąco”, często w pośpiechu i z licznymi wyjątkami.

Ten etap trwa nie dni, lecz nierzadko tygodnie. Nawet jeśli część usług uruchamia się względnie szybko, to powrót do normalnego rytmu pracy bywa rozciągnięty w czasie. Pracownicy muszą nadrabiać zaległe zlecenia, wprowadzać dane z papieru, obsługiwać zdenerwowanych klientów.

Chaos organizacyjny, przeciążenie ludzi i błędy wtórne

W standardowych prezentacjach ransomware bywa przedstawiane jako „incydent techniczny”. W rzeczywistości to kryzys organizacyjny. Z dnia na dzień trzeba:

  • zmienić sposób pracy (część procesów przechodzi na papier lub proste arkusze),
  • koordynować komunikację między działami bez typowych narzędzi (e-mail, komunikatory, systemy zgłoszeń),
  • podjąć dziesiątki decyzji, przy ograniczonym dostępie do danych i pod silną presją czasu.

IT i bezpieczeństwo pracują praktycznie non stop. Przygnieceni ilością zadań, są bardziej podatni na błędy wtórne: pochopne przywrócenie serwera z zainfekowanym obrazem, niewłaściwa segmentacja sieci w trakcie „gaszenia pożaru”, pomijanie testów po odtworzeniu z kopii. To właśnie w tym okresie mogą powstać nowe luki, które za kilka miesięcy ktoś znowu wykorzysta.

Konsekwencje prawne i regulacyjne

Jeżeli w incydencie doszło do wycieku danych osobowych, w grę wchodzą obowiązki wynikające z RODO i innych przepisów branżowych. W praktyce oznacza to konieczność:

  • oceny, jakie dane zostały naruszone i czy istnieje ryzyko dla praw i wolności osób,
  • zgłoszenia incydentu do właściwego organu nadzorczego w określonym czasie,
  • ewentualnego poinformowania osób, których dane dotyczą.

Koszty wizerunkowe i utrata zaufania interesariuszy

Skutki ataku często najsilniej uderzają w obszary, których nie da się „odtworzyć z backupu”: relacje z klientami, partnerami i pracownikami. Zaufanie bywa budowane latami, a jeden incydent potrafi je solidnie nadwyrężyć. Nawet jeśli technicznie uda się wrócić do stanu sprzed ataku, w głowach ludzi pozostaje pytanie: „czy ta firma panuje nad swoimi systemami?”.

Najbardziej problematyczna jest komunikacja. Organizacje oscylują między dwoma skrajnościami:

  • nadmierną otwartością, kiedy zbyt wczesne i niezweryfikowane informacje pogłębiają chaos (np. przedwczesne zapewnienia, że „dane nie wyciekły”, które tydzień później trzeba odwołać),
  • paraliżem komunikacyjnym, w którym centrala milczy, a informacje „wyciekają” z wewnętrznych maili, nagłówków prasy lub wypowiedzi sfrustrowanych pracowników.

Firmy, które wcześniej przećwiczyły scenariusze kryzysowe, zwykle radzą sobie lepiej. Mają przygotowane szablony komunikatów, listę kanałów kontaktu z klientami, wstępnie uzgodnioną narrację prawną i marketingową. Tam, gdzie takich przygotowań nie było, komunikacja zaczyna przypominać łatanie dziur w locie, co potęguje wrażenie chaosu.

Do tego dochodzi aspekt wewnętrzny. Pracownicy widzą, że systemy nie działają, plotki krążą po organizacji, a jednocześnie oficjalna informacja pojawia się z opóźnieniem lub jest zbyt ogólnikowa. Efekt bywa przewidywalny: spadek morale, konflikty między działami („IT nic nie robi”, „biznes naciska na skróty”), wzrost rotacji w kluczowych zespołach technicznych.

Negocjacje z gangiem i dylemat „płacić czy nie płacić”

W 2026 roku zdecydowana większość większych ataków ransomware obejmuje fazę negocjacji. Często prowadzone są przez wyspecjalizowane podmioty po obu stronach – po stronie gangów występują „operatorzy klienta”, a po stronie ofiary pojawiają się firmy doradcze, brokerzy cyberubezpieczeń, prawnicy. Nie jest to jednak uporządkowany proces z jasnymi regułami, raczej gra z partnerem, który nie podlega żadnym regulacjom.

Typowe elementy takiej sytuacji to:

  • presja czasu – zegar odliczający do publikacji danych, groźby zwiększenia kwoty okupu, „promocje” za szybką płatność,
  • niepewność co do intencji napastników – brak gwarancji, że po zapłaceniu dane rzeczywiście zostaną usunięte lub klucze deszyfrujące zadziałają,
  • nierównowaga informacji – grupa przestępcza często wie więcej o stanie systemów ofiary niż sama organizacja w pierwszych dniach incydentu.

Decyzja o zapłaceniu lub odmowie rzadko jest czarno-biała. W grę wchodzą m.in.:

  • status kopii zapasowych (czy są kompletne i niezmodyfikowane),
  • charakter wykradzionych danych (np. tajemnice handlowe, dane zdrowotne),
  • ryzyka prawne związane z potencjalnym finansowaniem zorganizowanej przestępczości lub podmiotów objętych sankcjami,
  • polisa cyberubepieczeniowa i jej zapisy (co jest, a co nie jest pokrywane).

O ile w debacie publicznej często pada proste hasło „nie płacimy szantażystom”, w praktyce firmy znajdują się w szarej strefie kompromisów. Część decyduje się negocjować, licząc na skrócenie przestoju lub zmniejszenie ryzyka publikacji danych. Inne przyjmują twarde stanowisko i stawiają na odtworzenie wszystkiego z backupu, mimo wyższych kosztów krótkoterminowych.

Rola cyberubepieczeń w kontekście ransomware

Cyberubepieczenia jeszcze kilka lat temu bywały traktowane jako „magiczna poduszka bezpieczeństwa” na wypadek ransomware. Po serii głośnych incydentów i rekordowych wypłat sytuacja jest inna. Ubezpieczyciele zaostrzają kryteria przyznawania polis, wprowadzają limity odpowiedzialności, franszyzy i liczne wyłączenia.

Typowe elementy polisy w 2026 roku obejmują m.in.:

  • wsparcie zespołu reagowania na incydenty (IR) i specjalistów od negocjacji,
  • pokrycie części kosztów przywracania systemów i usług zewnętrznych,
  • kompensację części strat wynikających z przestoju (do określonego limitu i przy spełnieniu konkretnych warunków),
  • częściowe pokrycie kosztów obsługi prawnej i komunikacji kryzysowej.

Jednak zakres ochrony silnie zależy od spełnienia wymogów minimalnych. Coraz częściej należą do nich:

  • wdrożona i egzekwowana polityka MFA na kontach uprzywilejowanych,
  • regularne testy kopii zapasowych i procedur ich odtwarzania,
  • system EDR/XDR z centralnym zarządzaniem i monitoringiem,
  • udokumentowany proces zarządzania podatnościami.

W praktyce oznacza to, że polisa nie zastępuje inwestycji w bezpieczeństwo, lecz je wymusza. Tam, gdzie wymagania ubezpieczyciela są traktowane jako formalność „pod formularz”, realna ochrona może okazać się ograniczona – zwłaszcza jeśli incydent uwidoczni rażące zaniedbania, np. brak podstawowych aktualizacji czy pełne uprawnienia lokalnego administratora dla wszystkich użytkowników.

Jak przygotować firmę na atak ransomware

Ocena ryzyka biznesowego zamiast „listy technicznych checkboxów”

Skuteczna odporność na ransomware nie zaczyna się od zakupu kolejnego narzędzia, ale od zrozumienia, co dokładnie w danej organizacji może stanąć i z jakim skutkiem. Dla jednej firmy najgorszy scenariusz to utrata systemu produkcyjnego, dla innej – brak dostępu do CRM i systemu fakturowania, dla jeszcze innej – wyciek dokumentacji projektowej.

Praktyczny punkt startowy to prosta, ale szczera analiza:

  • jakie systemy są absolutnie krytyczne i po ilu godzinach/dniach przestoju biznes zacznie tracić realne pieniądze,
  • jakie dane miałyby największe konsekwencje, gdyby zostały upublicznione,
  • które procesy są zależne od pojedynczego narzędzia (np. jednego systemu magazynowego),
  • jak wygląda scenariusz „jednoczesnej” utraty kilku usług – nie tylko w teorii, ale w realnym dniu roboczym.

Wynik takiej analizy zwykle obala kilka mitów funkcjonujących w organizacji. Okazuje się, że część systemów uważanych za „zapasowe” jest w praktyce krytyczna, a niektóre procesy „papierowe” już od dawna nie istnieją, choć tak opisują je procedury. To z kolei wpływa na priorytety inwestycji i na to, co faktycznie trzeba chronić w pierwszej kolejności.

Segmentacja sieci i ograniczanie „pola rażenia”

Jednym z głównych czynników wpływających na skutki ransomware jest to, jak daleko atak może się rozprzestrzenić. Różnica między incydentem ograniczonym do kilku stacji a pełzającą katastrofą na poziomie całej organizacji często sprowadza się do jakości segmentacji sieci i uprawnień.

Kluczowe kierunki działań to m.in.:

  • oddzielenie środowisk – osobne segmenty dla produkcji, biura, strefy gościnnej, systemów administracyjno-finansowych; ograniczenie ruchu między nimi do ściśle zdefiniowanych kanałów,
  • kontrola dostępu do zasobów wspólnych – ograniczenie uprawnień do udziałów sieciowych, magazynów plików, serwerów aplikacyjnych; brak „wszyscy mają wszystko”,
  • „least privilege” dla kont serwisowych – unikanie sytuacji, w której pojedyncze konto techniczne ma pełne prawa do całej infrastruktury,
  • separacja zarządzania – inne konta do administracji systemami, inne do codziennej pracy, najlepiej z użyciem osobnych stacji lub przynajmniej odseparowanych sesji.

Segmentacja nie rozwiązuje problemu sama w sobie, ale ogranicza skutki błędów. Nawet jeśli dojdzie do kompromitacji jednej stacji roboczej lub działu, atak nie przejdzie automatycznie na systemy krytyczne. W praktyce to właśnie ograniczenie „pola rażenia” często decyduje o tym, czy incydent da się opanować w ciągu kilku dni, czy walka potrwa tygodnie.

Strategia kopii zapasowych dostosowana do realiów ransomware

Backupy w kontekście ransomware to obszar pełen mitów. Najczęściej pojawiają się dwa: „robimy kopie, więc jesteśmy bezpieczni” i „wystarczy jedna codzienna kopia całości”. Ataki z ostatnich lat pokazują, że napastnicy aktywnie polują na repozytoria backupów, a ich zniszczenie lub zaszyfrowanie jest jednym z pierwszych kroków po uzyskaniu szerszych uprawnień.

Realnie użyteczna strategia opiera się na kilku warstwach:

  • kopia odseparowana logicznie lub fizycznie – backupy niedostępne z poziomu standardowych kont domenowych, trzymane w osobnej domenie, innym tenancie chmurowym lub w rozwiązaniu typu „air gap”,
  • wersjonowanie i nieusuwalność (immutability) – mechanizmy uniemożliwiające łatwe nadpisanie lub skasowanie historycznych wersji przez przejęte konto,
  • testy odtwarzania – regularne, udokumentowane próby przywrócenia kluczowych systemów, a nie tylko raporty „backup zakończył się sukcesem”,
  • priorytety – zdefiniowana kolejność przywracania (które systemy muszą wstać w ciągu pierwszych 24–48 godzin, a które mogą poczekać).

Przy planowaniu trzeba brać pod uwagę nie tylko samą technologię, ale także ludzi i procedury. Jeżeli jedyną osobą znającą szczegóły konfiguracji backupu jest jeden administrator, a dokumentacja jest szczątkowa, w kryzysie może zabraknąć czasu na odkrywanie na nowo, „jak to działało”. Dodatkowo, w środowiskach hybrydowych trzeba jasno określić, które kopie są w chmurze, które lokalnie, i jakie są zależności między tymi lokalizacjami.

Minimalizacja skutków błędu użytkownika i phishingu

Znaczna część realnych ataków zaczyna się od prostego błędu człowieka: kliknięcia w załącznik, wprowadzenia danych na fałszywej stronie, zaakceptowania nietypowego żądania logowania. Szkolenia użytkowników są potrzebne, ale same w sobie nie rozwiążą problemu. Skuteczne podejście łączy kilka elementów.

Z perspektywy technologicznej kluczowe są m.in.:

  • filtry poczty i sandboxing załączników – redukują liczbę złośliwych wiadomości docierających do użytkownika,
  • kontrola aplikacji (allowlisty) i ograniczenie makr – jeśli środowisko na to pozwala, blokowanie uruchamiania nieautoryzowanego oprogramowania i makr z niezaufanych źródeł,
  • MFA tam, gdzie to możliwe – zwłaszcza dla dostępu do VPN, poczty i systemów chmurowych,
  • monitoring anomalii – wychwytywanie nietypowych logowań, masowych pobrań danych, nietypowych ruchów z kont użytkowników.

Po stronie „miękkiej” dobrze sprawdza się podejście oparte na konkretnych przykładach i scenariuszach. Zamiast ogólnego straszenia „atakami hakerskimi”, użytkownicy powinni wiedzieć:

  • jak wygląda typowy mail z podszyciem się pod ich organizację lub partnera,
  • co zrobić w praktyce, gdy zauważą podejrzaną wiadomość lub zachowanie komputera (prosty, znany numer telefonu/mail do zgłoszenia),
  • że zgłoszenie „fałszywego alarmu” nie będzie karane ani wyśmiewane – w przeciwnym razie ludzie zaczną ukrywać wątpliwości.

Procedury reagowania na incydent i „plan B” dla procesów

W wielu firmach dokument „procedura reagowania” istnieje wyłącznie na papierze albo w formie nieaktualnej instrukcji sprzed kilku reorganizacji. Ransomware brutalnie weryfikuje, na ile plan odpowiada rzeczywistości. Technologia to tylko część układanki – równie ważne jest to, kto i jak podejmuje decyzje.

Solidny fundament to:

  • jasno zdefiniowany zespół kryzysowy – nie tylko IT i bezpieczeństwo, ale także przedstawiciele biznesu, HR, komunikacji, prawnego,
  • progi eskalacji – kiedy incydent jest „lokalny”, a kiedy staje się kryzysem wymagającym zaangażowania zarządu,
  • kontakty do kluczowych partnerów – firmy IR, dostawcy IT, operatorzy chmurowi, ubezpieczyciel; numery i procedury dostępne również offline,
  • alternatywne kanały komunikacji – co się dzieje, gdy e-mail i komunikator firmowy nie działają (grupy telefoniczne, numery alarmowe, proste strony statusowe poza główną infrastrukturą).

Poza planem stricte technicznym, potrzebny jest także „plan B” dla kluczowych procesów biznesowych. Przykładowo:

  • jak przyjmować zamówienia, gdy system sprzedażowy jest niedostępny,
  • jak prowadzić wysyłkę towarów bez systemu WMS, choćby w ograniczonym trybie,

    • Najczęściej zadawane pytania (FAQ)

    Co to jest ransomware w 2026 roku i czym różni się od „starego” ransomware?

    Ransomware w 2026 roku to już nie tylko wirus szyfrujący pliki na jednym komputerze. To cały model biznesowy przestępców: szyfrowanie danych, blokowanie systemów, kradzież informacji, groźby publikacji oraz presja na firmę, klientów i partnerów, żeby wymusić okup w kryptowalutach. Często jest to działanie rozłożone na tygodnie, a nie jednorazowe „kliknięcie w zły załącznik”.

    Kluczowa różnica to profesjonalizacja. Funkcjonuje ekosystem Ransomware-as-a-Service (RaaS): jedne grupy tworzą narzędzia i infrastrukturę, inne specjalizują się w włamaniu i prowadzeniu ataku. Napastnik nie musi znać się na kryptografii – korzysta z gotowych paneli, serwerów wyciekowych i szablonów żądań okupu. To sprawia, że próg wejścia dla przestępców jest dużo niższy niż kilka lat temu.

    Jak wygląda typowy atak ransomware na firmę krok po kroku?

    Atak rzadko jest „jednym kliknięciem”. Zazwyczaj zaczyna się od zdobycia początkowego dostępu: przez phishing (fałszywe faktury, maile z „kuriera”, wezwania z urzędów), podatne zdalne dostępy (RDP, VPN, panele administracyjne) albo wykorzystanie znanych luk w oprogramowaniu. Często pierwszy etap wygląda jak zwykła pomyłka pracownika lub niegroźne ostrzeżenie z antywirusa.

    Potem napastnicy przemieszczają się po sieci, zwiększają uprawnienia, rozpoznają krytyczne systemy, lokalizują kopie zapasowe i dane wrażliwe. Dopiero na końcu uruchamiają szyfrowanie i zaczynają etap wymuszenia – dziś zwykle obejmujący także groźbę publikacji wykradzionych danych lub presję na klientów. Od pierwszego wejścia do sieci do widocznego „komunikatu o okupie” mija często kilkanaście dni.

    Dlaczego małe i średnie firmy są tak częstym celem ransomware?

    Małe i średnie firmy łączą w sobie dwa elementy: są wystarczająco zamożne, by zapłacić okup, ale jednocześnie zwykle mają słabsze zabezpieczenia organizacyjne i techniczne niż duże korporacje. Bez osobnego działu bezpieczeństwa wiele zadań jest „przy okazji” – jedna osoba administruje systemami, wspiera użytkowników i ma jeszcze „zająć się bezpieczeństwem”.

    Do tego dochodzi szybka cyfryzacja bez proporcjonalnego wzrostu dojrzałości bezpieczeństwa: chmura, zdalna praca, systemy ERP/CRM, ale procedury dostępów, aktualizacji i kopii zapasowych są prowizoryczne. Wiele MŚP nie może sobie pozwolić na długi przestój – każdy dzień awarii to ryzyko utraty kontraktów i płynności. To zwiększa szanse, że zarząd przynajmniej rozważy zapłatę okupu, co dla przestępców jest sygnałem, że „gra jest warta świeczki”.

    Czy statystyki ataków ransomware odzwierciedlają realną skalę problemu?

    Statystyki dają przybliżony obraz, ale nie są pełne. Wiele incydentów w ogóle nie trafia do raportów, zwłaszcza w MŚP, które nie są zobowiązane do szerokiego raportowania. Zdarza się, że firmy załatwiają sprawę „w ciszy”, czasem nawet płacąc okup, bez angażowania ubezpieczycieli czy organów nadzoru. W takich przypadkach nie ma śladu w publicznych zestawieniach.

    Drugim problemem są różnice definicyjne. Jedne organizacje liczą tylko incydenty z faktycznym szyfrowaniem danych, inne doliczają też wycieki z żądaniem okupu bez szyfrowania, a nawet „pseudo-ransomware”, gdzie zaszyfrowanie jest pozorne. Do tego dostawcy rozwiązań bezpieczeństwa chętnie eksponują liczby, które podkreślają skalę zagrożenia. Rozsądne podejście to porównywać wiele źródeł i patrzeć bardziej na trendy niż na pojedyncze liczby.

    Jakie są obecnie najczęstsze techniki wymuszeń w atakach ransomware?

    Samo szyfrowanie danych to już tylko jedna z form nacisku. Standardem stały się tzw. podwójne wymuszenia: przestępcy nie tylko blokują systemy, ale też kradną dane i grożą ich publikacją lub sprzedażą. Nawet jeśli kopie zapasowe pozwalają przywrócić działanie, problemem pozostaje szantaż związany z wyciekiem informacji o klientach, pracownikach czy kontraktach.

    Coraz częściej pojawia się też potrójne wymuszenie – oprócz szyfrowania i kradzieży danych napastnicy wywierają presję na klientów, partnerów biznesowych, a czasem prowadzą dodatkowe ataki (np. DDoS), żeby zwiększyć chaos i skłonność do negocjacji. Zdarzają się również ataki, które tylko udają klasyczne ransomware: szyfrowanie jest „zasłoną dymną”, a głównym celem jest cichy wyciek danych.

    Czy da się całkowicie uniknąć ataku ransomware, czy chodzi raczej o ograniczenie skutków?

    Obietnica „nigdy nie zostaniesz zaatakowany” to raczej materiał marketingowy niż realny cel. Przy dzisiejszej skali podatności, gęstości usług chmurowych i liczbie wektorów ataku sensowniejszym podejściem jest założenie, że próby ataku się zdarzą, a część z nich może być skuteczna przynajmniej na pierwszym etapie.

    Praktyczny cel firmy to: zmniejszyć szansę udanego ataku, ograniczyć jego skutki i móc w rozsądnym czasie wrócić do działania bez płacenia okupu. To oznacza połączenie kilku elementów: dobrze zaprojektowanych kopii zapasowych, planu ciągłości działania, sensownych procedur (np. reagowania na incydent), przeszkolonych ludzi i dopiero na to nałożoną technologię. Same „pudełka z logo security” bez organizacji i ćwiczeń w praktyce rzadko wystarczają.

    Jak firma może realnie przygotować się na atak ransomware, a nie tylko „pod audyt”?

    Kluczowe jest projektowanie działań pod realny incydent, a nie pod checklistę. Zamiast kupować kolejne narzędzie „bo wszyscy mają”, lepiej odpowiedzieć sobie na kilka prostych, ale niewygodnych pytań: czy wiemy, co jest dla nas krytyczne? czy mamy przetestowane przywracanie z kopii zapasowych (nie tylko same kopie)? kto podejmuje decyzje w pierwszych godzinach ataku i na podstawie jakich informacji?

    W praktyce dobrze sprawdzają się: regularne testy odtwarzania systemów, ćwiczenia typu „tabletop” (symulacja ataku przy stole z zarządem, IT, PR, prawnikiem), uporządkowanie dostępów i aktualizacji oraz rozsądne szkolenia pracowników z rozpoznawania prób phishingu. Mniej efektowne na prezentacji zarządczej, ale znacznie lepiej działające w dniu, kiedy na ekranach pojawia się żądanie okupu.

    Kluczowe Wnioski

  • Celem firmy nie jest całkowite uniknięcie ransomware (co w praktyce bywa nierealne), lecz ograniczenie ryzyka udanego ataku, zminimalizowanie szkód i powrót do działania bez płacenia okupu.
  • Ransomware 2026 to nie pojedynczy „wirus szyfrujący”, ale zorganizowany model biznesowy (Ransomware-as-a-Service) z podziałem ról: twórcy narzędzi, infrastruktura, afilianci od włamań i negocjacji.
  • Ataki są coraz bardziej celowane: przestępcy tygodniami badają środowisko ofiary, szukają kopii zapasowych, systemów krytycznych i wrażliwych terminów biznesowych, a szyfrowanie jest tylko jednym z elementów presji.
  • Standardem stały się podwójne i potrójne wymuszenia – oprócz szyfrowania dochodzi kradzież danych, groźba publikacji, presja na klientów i partnerów, czasem ataki DDoS dla zwiększenia chaosu.
  • Statystyki z raportów bezpieczeństwa są niepełne i często „podkręcone marketingowo”: wiele incydentów nie jest zgłaszanych, definicje ransomware się różnią, a dostawcy mają interes w pokazywaniu jak największej skali zagrożenia.
  • Małe i średnie firmy stały się głównym celem, bo mają coraz więcej krytycznych systemów, ale zwykle brak im dedykowanych zespołów bezpieczeństwa i całodobowego monitoringu; bezpieczeństwo jest dodatkiem do innych obowiązków IT.
  • Rzeczywiste ryzyko trudno ocenić na podstawie jednej liczby z raportu; potrzebne jest łączenie wielu źródeł, weryfikacja definicji i kontekstu, a nie przyjmowanie wykresów jako pełnego obrazu sytuacji.

Opracowano na podstawie

  • Internet Organised Crime Threat Assessment (IOCTA) – Ransomware. Europol (2023) – Trendy ransomware w Europie, modele RaaS, taktyki gangów
  • Cyber Threats to the Healthcare Sector. ENISA (2023) – Ransomware w sektorze zdrowia, skutki, statystyki i dobre praktyki
  • NIST Special Publication 1800-26: Data Integrity – Recovering from Ransomware and Other Destructive Events. National Institute of Standards and Technology (2020) – Praktyczny przewodnik odzyskiwania po ransomware i planowania ciągłości
  • Internet Crime Report. FBI Internet Crime Complaint Center (IC3) (2023) – Dane o zgłoszonych incydentach ransomware, stratach finansowych i trendach
  • Ransomware Trends 2023. CERT Polska / NASK (2023) – Analiza przypadków ransomware w Polsce, wektory wejścia i cele ataków
  • Data Breach Investigations Report. Verizon (2023) – Statystyki dot. ransomware, sektorów ofiar, technik wejścia i czasu trwania ataków
  • Global Threat Report. CrowdStrike (2024) – Opis ekosystemu Ransomware-as-a-Service, afiliantów i technik rekonesansu
  • Cost of a Data Breach Report. IBM Security (2023) – Koszty incydentów, wpływ na MŚP, przestoje i czynniki zwiększające straty

Inne wpisy, które mogą Ci się spodobać:

Poprzedni artykułNowoczesna aranżacja salonu w stylu loft – praktyczne wskazówki i inspiracje
Jakub Zalewski
Jakub Zalewski
Jakub Zalewski specjalizuje się w cyberbezpieczeństwie: od higieny cyfrowej po analizę incydentów i dobre praktyki dla firm. W artykułach opiera się na dokumentacji producentów, raportach branżowych i własnych testach konfiguracji, dzięki czemu porady są możliwe do odtworzenia krok po kroku. Zwraca uwagę na realne ryzyko, a nie straszenie, i zawsze doprecyzowuje założenia środowiska. Na AptekaPrima24h.pl opisuje m.in. MFA, kopie zapasowe, phishing i twarde ustawienia systemów, stawiając na odpowiedzialność i minimalizację błędów.