Articolul acesta nu e despre tehnologii de securitate, ci despre cele 5 decizii pe care le ia un director și care fac diferența între o firmă pe care atacatorii o aleg și una pe care o ocolesc.
IMM-urile au devenit ținta preferată a atacatorilor de ransomware, iar majoritatea atacurilor exploatează lipsuri de management, nu lipsuri tehnice.
Decizia 1: Cine are acces la ce
Într-o firmă de 100 de oameni, accesul la sisteme s-a extins în timp fără ca cineva să țină socoteala. Cineva avea nevoie de o aplicație, i s-a dat acces. Cineva a plecat, accesul a rămas. Un consultant a venit pentru un proiect, contul lui n-a fost dezactivat la final.
După câțiva ani, ai 200–300 de conturi active prin diverse sisteme. Nimeni nu știe câte sunt sau ale cui.
Pentru un atacator care a obținut acces inițial, dezordinea asta e cadou. Cu câteva ore de explorare, găsește un cont uitat care are acces la tot, sau identifică un fost angajat ale cărui credențiale încă funcționează.
Întrebările pe care le pui IT-ului
- Câte conturi active avem în sistemele importante (email, ERP, CRM, VPN, file share)?
- Câți angajați activi avem? Diferența?
- Ce proces avem când pleacă cineva? Cine anunță IT-ul, în cât timp se închid conturile, cine confirmă?
Răspunsul tipic în firmele mid-market: “Ar trebui să verific”, “Depinde de departament”, “Fiecare manager se ocupă”. Toate trei înseamnă același lucru: nu există proces, există improvizație.
Ce ceri să se întâmple
Un proces scris, simplu, pe o pagină. HR anunță IT-ul cu o săptămână înainte de plecare. IT-ul are o checklist cu toate sistemele – email, VPN, ERP, CRM, telefonie, badge, cloud, GitHub dacă e cazul. La data plecării, toate se închid în aceeași zi. O persoană din IT confirmă că s-a făcut, prin email, către HR și manager.
Și o revizuire trimestrială: lista conturilor active vs. lista angajaților activi. Diferența se închide. 30 de minute pe trimestru.
Decizia 2: MFA pe tot ce contează
Asta e decizia cu impactul cel mai mare pentru costul cel mai mic. Și e și cea mai prost luată în firmele mid-market.
Vectorul dominant de atac în 2025 e compromiterea credențialelor. Un angajat folosește aceeași parolă la firmă ca pe un site personal. Site-ul e spart, parola apare în dump-uri publice, atacatorul o încearcă pe email-ul de firmă. Funcționează.
Există un control care blochează scenariul ăsta complet: autentificarea în doi pași (MFA). Pe email, pe VPN, pe sisteme cloud, pe orice serviciu cu acces la date sau sisteme critice. Dacă atacatorul are parola dar nu și telefonul angajatului, nu intră.
MFA e inclus gratuit în Microsoft 365, Google Workspace, și majoritatea soluțiilor moderne. Cost: zero. Cost operațional pentru utilizatori: o secundă pe zi, o aprobare de notificare push.
Decizia ta ca director
MFA obligatoriu pe toate sistemele critice. Fără excepții, fără “vedem mai târziu”, fără “doar pentru cei care vor”.
Atenție la rezistența internă. Angajații vor zice că e enervant. IT-ul intern, dacă nu are autoritate de la conducere, va ceda. Vei primi cereri de exceptare: “directorul X nu vrea, e prea ocupat”, “vânzătorul Y se plânge că pierde timp”. Răspunsul tău e simplu: nu există excepții, mai ales pentru conturi cu acces important. Conturile directorilor sunt fix conturile pe care un atacator le vrea cel mai mult.
Întrebarea pe care o pui peste 3 luni: câte conturi nu au MFA activ? Răspunsul corect e zero. Orice altceva e o problemă.
Decizia 3: Backupul există sau backupul funcționează
Aproape toate firmele mid-market au backup. Aproape niciuna nu l-a testat.
“Backupul există” înseamnă că rulează un job automat care copiază date undeva. Dacă jobul nu dă erori, toată lumea presupune că e ok. “Backupul funcționează” înseamnă că, în caz de incident, datele pot fi restaurate efectiv într-un timp acceptabil.
Diferența dintre cele două apare doar la primul incident, când e prea târziu.
Am văzut firme care credeau că au backup pentru că primeau email-uri “completed successfully”, dar la nevoie au descoperit că de luni de zile backup-ul salva doar fișiere goale. Sau backup salvat pe același sistem care fusese criptat. Sau backup care funcționa, dar restaurarea unei singure baze de date dura 3 zile – timp pe care firma nu-l avea.
Ce ceri să se întâmple
- Restaurare reală o dată pe trimestru. Nu verificare că jobul rulează, ci restaurare efectivă a unui set de date pe un sistem de test
- Cel puțin o copie a backup-ului izolată de rețeaua firmei. Dacă atacatorul compromite Active Directory, nu trebuie să poată ajunge automat și la backup
- Un timp clar de recuperare estimat: dacă mâine pică tot, în câte ore suntem operaționali la 50%? În câte zile la 100%?
Întrebarea pe care o pui trimestrial: când a fost ultima restaurare reală, ce s-a restaurat, cât a durat, ce am învățat? Dacă răspunsul e “n-am făcut testare reală în acest trimestru”, backup-ul tău e o iluzie.
Decizia 4: Cine ia deciziile dacă mâine pică tot
Majoritatea firmelor mid-market n-au discutat scenariul ăsta niciodată. Iar primele 24 de ore ale unui incident determină 60–70% din costul total.
Cum arată un incident tipic: undeva în jur de 3 dimineața, sistemele nu mai răspund. Cineva sună IT-ul intern. IT-ul nu știe exact ce să facă, sună directorul. Directorul nu știe la cine să sune extern. 4–6 ore se duc în panică, deciziile se iau prost sub presiune. Cineva ia o decizie care înrăutățește situația – de exemplu, restartează un server și pierde dovezile pe care firma de cybersecurity le-ar fi folosit pentru investigare.
Ce ai nevoie scris pe 2 pagini, undeva accesibil
- Cine sună pe cine, în ce ordine, cu ce numere de telefon (IT extern, firmă de cybersecurity sau MSSP cu care ai contract de incident response, avocat, asigurător dacă ai poliță cyber)
- Cine din firmă are autoritatea să decidă oprirea sistemelor pentru a limita propagarea
- Cine comunică cu angajații, clienții, furnizorii în primele 24 de ore, și ce comunică
- Obligații legale de notificare: GDPR în 72 de ore către ANSPDCP, NIS2 în 24 de ore către DNSC dacă firma intră sub incidență. Cine se ocupă de raportare?
- Plătim sau nu plătim răscumpărarea dacă apare cererea? Recomandarea oficială DNSC e: nu plătiți, nu negociați. Decide asta acum, nu sub presiune
2 pagini, de citit sub stres, cu numere de telefon și roluri clare. Tipărit, scanat, în Drive-ul personal al directorului, pe telefon. Nu pe rețeaua firmei (care poate fi indisponibilă în incident).
Decizia 5: Cum verifici că ce ai decis se și întâmplă
Cea mai frecventă greșeală în firmele mid-market nu e lipsa deciziilor. E faptul că deciziile se iau, IT-ul confirmă că le-a implementat, și apoi nimeni nu mai verifică.
Un an mai târziu, când apare un incident, se descoperă că MFA nu era activ pe toate conturile, backup-ul nu mai funcționa de 3 luni, procedura de offboarding nu fusese aplicată pentru ultimii 5 angajați.
Ce ceri să se întâmple: o cadență fixă, trimestrială, 1–2 ore. Tu pui întrebări concrete, IT-ul aduce răspunsuri verificabile.
Întrebările concrete pentru ședința trimestrială
- Câte conturi active avem? Câți angajați activi avem? Diferența?
- Câte conturi nu au MFA activ?
- Când a fost ultima restaurare reală de backup? Cât a durat?
- Câte vulnerabilități critice publicate în ultimele 3 luni avem nepatch-uite?
- Ce am amânat din lista de la trimestrul trecut și de ce?
Întrebările astea nu cer cunoștințe tehnice de la tine. Cer doar răspunsuri concrete. Iar dacă răspunsul e “n-am verificat” sau “ar trebui să mă uit”, asta e în sine informație utilă – arată o zonă unde firma n-are vizibilitate.
Cât costă, cât economisești
Pentru o firmă de 80–150 de angajați, implementarea celor 5 decizii costă, în general, sub 30.000 EUR în primul an. Costuri anuale ulterioare: 8.000–15.000 EUR.
Costul mediu al unui incident ransomware reușit pentru aceeași firmă: 250.000–800.000 EUR. Recovery + downtime + contracte pierdute + costuri legale + posibilă răscumpărare. Plus impactul reputațional, care nu se calculează dar se simte luni de zile.
Raportul nu e apropiat. E o întrebare de când, nu de dacă, vei fi atacat. Atacatorii lucrează pe volum și aleg ținte ușoare. Decizia ta e dacă firma ta e ușoară sau nu.
Checklist: 10 întrebări pentru tine ca director
- Există o listă a tuturor conturilor active în sistemele importante?
- Diferența dintre conturile active și angajații activi e zero?
- MFA e activ pe email, VPN și sisteme critice pentru toți utilizatorii?
- Backup-ul a fost restaurat efectiv în ultimul trimestru?
- Există cel puțin o copie a backup-ului izolată de rețeaua firmei?
- Există un plan scris de incident, pe 2 pagini, cu numere de telefon?
- Știe cineva din firmă cui sună la 3 dimineața dacă pică tot?
- S-a discutat decizia de plată/non-plată a răscumpărării anterior, nu sub presiune?
- Există o cadență trimestrială de revizuire a securității cu IT-ul?
- Cine din firmă răspunde personal dacă mâine apare un incident?
Dacă ai răspuns “nu” sau “nu știu” la mai mult de 3 întrebări, ai oportunități clare de îmbunătățire. Lucrurile astea nu se rezolvă peste noapte, dar nici nu durează un an. Cele 5 decizii de mai sus, implementate disciplinat, scot firma din lista atacatorilor în 3–4 luni.
Dacă vrei să înțelegi unde e expusă firma ta
Dacă nu ești sigur cum stai pe zonele de mai sus sau vrei să verifici ce lipsește, poți începe cu o discuție scurtă în care analizăm situația actuală și identificăm prioritățile reale pentru compania ta.