Jak zabezpieczyć bazę 83 stałych klientów przed wyciekiem

Excel na pulpicie to pułapka

Właściciel hurtowni, pan Andrzej, prowadzi biznes od 7 lat. Przez ten czas uzbierał kontakty do 83 stałych odbiorców, którzy generują mu 74% miesięcznego obrotu. Każdy z tych kontaktów zawierał nie tylko numery telefonów, ale też wynegocjowane rabaty, terminy płatności i prywatne adresy właścicieli firm podwykonawczych. Cała ta wiedza leżała w jednym pliku o nazwie 'KLIENCI_2024.xlsx'. Plik nie miał hasła, a dostęp do niego miał każdy, kto usiadł przy komputerze w biurze – od handlowców po stażystę, który przyszedł na dwa tygodnie.

Problem polegał na tym, że każdy mógł ten plik skopiować na pendrive w mniej niż 12 sekund. Gdyby taki dokument trafił do konkurencji z ulicy obok, hurtownia pana Andrzeja mogłaby stracić kontrakty warte około 42 000 zł w skali jednego kwartału. Szczerze mówiąc, to była tykająca bomba, o której nikt głośno nie mówił, dopóki jeden z byłych pracowników nie założył własnej działalności. Wtedy pan Andrzej zrozumiał, że technologia ma służyć jemu, a nie ułatwiać kradzież jego własności intelektualnej przez osoby trzecie.

Zrobiliśmy szybki przegląd tego, co działo się w firmie przez ostatnie 3 miesiące. Okazało się, że plik z bazą był otwierany średnio 14 razy dziennie, ale nikt nie wiedział, kto dokładnie wprowadzał zmiany. Brak kontroli to pierwszy krok do chaosu. W Ambasadzie Innowacji nie bawimy się w trudne słowa – po prostu pokazaliśmy właścicielowi, że jego najcenniejszy zasób jest wystawiony na tacy. Działamy stabilnie i przewidywalnie, więc zamiast drogich programów z abonamentem, zaproponowaliśmy proste, fizyczne zabezpieczenia danych.

Każdy z pracowników mógł skopiować bazę 83 klientów na pendrive w mniej niż 12 sekund. To była tykająca bomba.

System uprawnień, który nie przeszkadza w pracy

Pierwszym krokiem było odebranie wszystkim dostępu do głównego pliku. Brzmi to radykalnie, ale to jedyna droga. Razem z panem Andrzejem ustaliliśmy, że handlowiec musi widzieć telefon klienta i jego historię zakupów, ale nie musi znać dokładnej marży, jaką firma na nim zarabia. Z kolei pani z księgowości potrzebuje NIP i terminów płatności, ale nie musi mieć wglądu w notatki handlowe o tym, który klient lubi dostawy rano, a który po południu. Podzieliliśmy dostęp na 3 wyraźne grupy uprawnień.

Wdrożenie zajęło nam dokładnie 4 dni robocze. Nie chcieliśmy sparaliżować pracy biura przy Alei NMP, więc zmiany wprowadzaliśmy etapami. Najpierw zabezpieczyliśmy sam serwer lokalny, który postawiliśmy w małej szafie rackowej w rogu biura. Dzięki temu dane zostają u Ciebie – nie ma ich w chmurze w USA czy Irlandii. Jeśli internet zgaśnie, hurtownia dalej może wystawiać dokumenty i sprawdzać ceny dla swoich 83 klientów. To jest właśnie suwerenność technologiczna, o którą walczymy dla naszych klientów.

Każdy pracownik dostał swoje własne hasło. Teraz, gdy ktoś otwiera plik, system zapisuje to w logach. Wiemy, że 12 listopada o godzinie 14:10 handlowiec przeglądał bazę. To nie jest inwigilacja, tylko odpowiedzialność. Jeśli coś zginie lub zostanie przypadkowo usunięte, wiemy, do kogo podejść i zapytać, co się stało. Konkret zamiast obietnic – pan Andrzej widzi teraz czarno na białym, kto pracuje na jego danych, a kto tylko je przegląda bez celu.

Dwuskładnikowe logowanie dla opornych

Największym wyzwaniem nie była technologia, ale przyzwyczajenia ludzi. Pracownicy przez 7 lat logowali się do Windowsa bez hasła. Musieliśmy ich nauczyć, że bezpieczeństwo wymaga tych dodatkowych 5 sekund rano. Wprowadziliśmy proste klucze bezpieczeństwa na USB dla dwóch kluczowych osób w firmie. Bez włożenia klucza do gniazda, komputer po prostu nie pokaże wrażliwych danych. To rozwiązanie jest niemal niemożliwe do złamania przez kogoś z zewnątrz, nawet jeśli zna hasło użytkownika.

Heads-up: Na początku było trochę narzekania, że to utrudnia życie. Jednak po krótkim szkoleniu, które trwało 1 godzinę i 15 minut, zespół zrozumiał, że chronią też własne stanowiska pracy. Gdyby baza wyciekła i firma upadła, oni straciliby zatrudnienie. Pokazaliśmy im na przykładzie innej firmy z regionu częstochowskiego, jak wyciek danych doprowadził do kary z urzędu w wysokości 18 000 zł. Taka kwota dla małego przedsiębiorcy to często być albo nie być.

Dziś baza 83 klientów jest bezpieczna. Zastosowaliśmy też mechanizm automatycznych kopii zapasowych, które robią się codziennie o godzinie 18:05, zaraz po zamknięciu biura. Jedna kopia zostaje na serwerze, a druga ląduje na zaszyfrowanym dysku, który właściciel zabiera ze sobą. To proste metody, które działają. Twoja własność, Twoje dane, Twoja kontrola – to nie są dla nas puste hasła, tylko codzienna praktyka w Ambasadzie Innowacji.

Bezpieczeństwo wymaga dodatkowych 5 sekund rano. To niska cena za ochronę firmy przed upadkiem.

Jak sprawdzić swoje zabezpieczenia w 10 minut

Jeśli prowadzisz firmę i masz chociaż 30 stałych klientów, zrób prosty test. Podejdź do komputera pracownika, gdy ten pójdzie na kawę. Jeśli możesz bez przeszkód otworzyć listę swoich odbiorców i wysłać ją sobie mailem, to znaczy, że nie masz żadnej ochrony. W 67 firmach, które obsłużyliśmy, aż w 47 z nich ten test wypadł negatywnie przy pierwszej wizycie. To pokazuje skalę problemu w naszym regionie. Ludzie ufają sobie nawzajem, ale technologia nie wybacza naiwności.

Zabezpieczenie bazy to nie jest wydatek rzędu kilkunastu tysięcy złotych. W przypadku hurtowni budowlanej pana Andrzeja, cały proces zamknął się w kwocie, która jest niższa niż koszt zakupu jednego nowego laptopa średniej klasy. To inwestycja w spokój. Teraz, nawet jeśli pracownik odejdzie do konkurencji, nie wyniesie owoców 7-letniej pracy właściciela w kieszeni na małym pendrive. Działamy stabilnie i sprawiamy, że IT przestaje być czarną magią dla szefa.

Na koniec warto dodać, że ochrona danych to też wymóg prawny. Od 2018 roku kary za brak należytej staranności w przechowywaniu danych osobowych są realne. My jednak nie straszymy urzędami, tylko skupiamy się na biznesie. Chcemy, żeby Twoja firma rosła bez obaw o to, że ktoś ukradnie Twój pomysł na sukces. Jeśli chcesz sprawdzić, jak u Ciebie wygląda sytuacja z bazą klientów, zapraszamy na krótką rozmowę przy kawie w naszym biurze przy al. Najświętszej Maryi Panny 24.