Szukasz konkretnej informacji? Skorzystaj z naszej wyszukiwarki

Telefon, komputer, dane mieszkańców. Cyberprzestępcy wiedzą, gdzie uderzyć

Wspólnota Mieszkaniowa
26 czerwca 2026

W świecie, w którym zarządca nieruchomości ma w kieszeni dane lokatorów, a przestępcy nie śpią, cyberbezpieczeństwo przestaje być dodatkiem – staje się warunkiem przetrwania. Dlatego dużo taniej jest zapobiegać, niż leczyć skutki – ostrzega ekspert Rafał Budzicki, przypominając, że w branży, która wciąż lekceważy cyfrowe ryzyka, każdy utracony telefon czy nieaktualny system może oznaczać katastrofę. 

Jak rozumieć pojęcie cyberbezpieczeństwa w kontekście zarządzania nieruchomościami mieszkaniowymi?

Jest to ogół działań, zasad i narzędzi mających na celu zapewnienie ciągłości działania oraz ochronę danych, którymi operuje organizacja. W kontekście zarządzania nieruchomościami oznacza to przede wszystkim zabezpieczenie informacji dotyczących mieszkańców oraz systemów wykorzystywanych do administrowania budynkami. Warto pamiętać, że zarządca ma dostęp do danych osobowych lokatorów, a jednocześnie odpowiada za bezpieczeństwo nieruchomości – jednego z najcenniejszych zasobów, jakie posiadają właściciele. Dlatego kwestia cyberbezpieczeństwa w tej branży ma szczególnie duże znaczenie i wymaga odpowiedniego podejścia. 

I jak pan ocenia to podejście? 

Z mojego doświadczenia wynika, że mniejsze firmy często traktują cyberbezpieczeństwo jako sprawę w najlepszym razie drugorzędną, a branża nieruchomościowa pod tym względem wyraźnie pozostaje w tyle. Brak świadomości zagrożeń, których ciągle przybywa w szybko rozwijającym się świecie technologii oraz błędne przekonanie, że one nas nie dotyczą albo że kwestiami bezpieczeństwa można zająć się później, prowadzą do niemiłych sytuacji. A warto pamiętać, że z higieną i bezpieczeństwem w świecie cyfrowym i jest podobnie jak ze zdrowiem – dużo taniej zapobiegać niż leczyć skutki. 

Dwa podstawowe narzędzia, jakimi posługuje się zarządca w codziennej pracy, to telefon komórkowy i komputer. Zacznijmy od telefonu – czy cyberprzestępcy mogą za jego pośrednictwem zyskać dostęp do danych, które powinny być chronione? 

Telefon to w praktyce pełnoprawny komputer, na którym aplikacja do wykonywania połączeń jest tylko jedną z wielu. Dlatego zagrożenia związane z jego używaniem są podobne do tych, które dotyczą komputerów. Różnica polega na tym, że telefon nosimy zawsze przy sobie, co dodatkowo zwiększa ryzyko jego utraty lub przejęcia nad nim kontroli. Podstawą jest więc odpowiednie zabezpieczenie urządzenia – ustawienie kodu PIN lub innego mechanizmu blokady, który uniemożliwi dostęp osobom niepowołanym. Choć może się to wydawać oczywiste, w praktyce bywa lekceważone. Zdarzają się przypadki, gdy użytkownicy uznają, że nie mają nic do ukrycia, w efekcie nie stosują żadnych zabezpieczeń, a utrata telefonu prowadzi do poważnych konsekwencji – np. przejęcia konta Google czy dostępu do innych usług. 

Trzeba pamiętać, że zabezpieczenia takie jak odcisk palca, rozpoznawanie twarzy czy kod PIN chronią nie tylko sam telefon, ale także wiele aplikacji zainstalowanych na urządzeniu, w tym aplikacje bankowe. Choć do wykonywania operacji finansowych banki stosują dodatkowe mechanizmy bezpieczeństwa, to jednak słaby lub łatwy do odgadnięcia kod odblokowujący telefon staje się poważnym zagrożeniem. Jeżeli taka pierwsza linia obrony zostanie złamana, napastnik może uzyskać dostęp nie tylko do danych zapisanych w telefonie, lecz także do kolejnych aplikacji chronionych tym samym zabezpieczeniem. 

Na przykład do poczty elektronicznej. 

Przejęcie dostępu do poczty jest poważnym zagrożeniem. Adres e-mail często służy do odzyskiwania zapomnianych haseł w innych usługach. Jeśli cyberprzestępca przejmie konto pocztowe, może w prosty sposób zresetować hasła do mediów społecznościowych czy innych serwisów używanych przez zarządcę nieruchomości. W takiej sytuacji ofiara traci kontrolę nad tymi usługami, a napastnik może dodatkowo zmienić przypisany adres e-mail. W efekcie nawet po odzyskaniu dostępu do skrzynki właściciel konta może już nie mieć możliwości przywrócenia kontroli nad przejętym serwisem. O ile w ogóle uda się odzyskać dostęp do konta, bo w wypadku niektórych darmowych usług może okazać się to niemożliwe. 

Jak pan ocenia skuteczność zabezpieczania telefonu odciskiem palca? Czy jest stuprocentowo pewne? 

Nie ma zabezpieczeń stuprocentowo pewnych. Skuteczność tej metody w dużej mierze zależy od modelu telefonu i zastosowanej w nim technologii. Jak łatwo się domyśleć, nowsze technologie są doskonalsze i bezpieczniejsze. Warto mieć świadomość, że zabezpieczenia biometryczne są podatne na ataki fizyczne na właścicielu, np. zmuszenie do odblokowania telefonu, jak również mogą być skopiowane (odcisk z żelu, silikonowa kopia). Dlatego warto traktować biometrię jako wygodne uzupełnienie zabezpieczeń, a nie jedyną linię obrony, a przed zakupem telefonu sprawdzić opinie na temat rodzajów i jakości zabezpieczeń, jaki rozważany przez nas model oferuje.  
 

Jakie zasady bezpieczeństwa należy wdrożyć używając telefonu? 

Podstawową zasadą jest włączone zabezpieczenie urządzenia – niestety, wciąż wiele osób nie stosuje żadnej blokady albo korzysta tylko z najprostszego rozwiązania. Po drugie, warto ustawić automatyczną blokadę ekranu po krótkim czasie bezczynności. Dzięki temu, jeśli odłożymy telefon, a ktoś go podniesie, urządzenie będzie już zabezpieczone. Po trzecie, należy korzystać z kont przypisanych do systemu operacyjnego – np. Apple ID czy konta Google. Daje to dwie ważne korzyści: możliwość zlokalizowania zagubionego telefonu oraz zdalnego zablokowania lub usunięcia z niego danych. W praktyce takie funkcje niejednokrotnie pozwalają odnaleźć zgubione urządzenie. Kolejna kwestia to oprogramowanie ochronne. W przypadku iOS, gdzie zainstalowanie aplikacji spoza App Store jest praktycznie niemożliwe, dodatkowy program antywirusowy nie wnosi wiele. Inaczej w Androidzie – jeśli użytkownik instaluje aplikacje wyłącznie ze Sklepu Play, ryzyko jest niewielkie, ale w przypadku tzw. sideloadingu, czyli instalowania programów z innych źródeł, warto zadbać o dodatkową ochronę.  

Na komputerze program antywirusowy jest już niezbędny. I teraz – czy to musi być oprogramowanie płatne, z którego korzystamy na zasadzie abonamentu, czy wystarczy prosty bezpłatny pakiet? 

Tak, zgadzam się, że program antywirusowy na komputerze to konieczność. Ważne jednak, aby korzystać tylko z jednego – instalowanie dwóch różnych naraz jest nieefektywne, spowalnia działanie komputera i może nawet obniżać poziom bezpieczeństwa zamiast go zwiększać. Jeśli chodzi o wybór między wersją darmową a płatną to warto pamiętać, że skuteczność i wygoda użytkowania bywają bardzo różne. Kluczowe kryteria to oczywiście poziom ochrony, ale istotne są także dodatkowe funkcje, łatwość obsługi oraz wpływ programu na wydajność komputera. Zdarza się, że niektóre antywirusy obciążają starsze urządzenia, co w praktyce utrudnia codzienną pracę. Darmowe rozwiązania często zapewniają podstawową ochronę, ale bywają zbyt natarczywe – zasypują komunikatami albo ograniczają funkcjonalność. Dlatego w wielu przypadkach optymalnym wyborem okazują się programy płatne, które łączą skuteczność z wygodą pracy.

Przejdźmy do systematycznej aktualizacji systemów operacyjnych. 

Aktualizacje powinny być absolutnym standardem, najlepiej ustawione w trybie automatycznym, wtedy nie ryzykujemy, że ktoś zapomni kliknąć odpowiedni przycisk i system pozostanie nieaktualny. Choć dla wielu osób wydaje się to oczywistością, w praktyce – zwłaszcza w mniejszych firmach – wciąż bywa traktowane jako coś opcjonalnego. 

Tymczasem brak regularnych aktualizacji oznacza narażenie się na luki bezpieczeństwa, które cyberprzestępcy chętnie wykorzystują. Właśnie dlatego warto zadbać, by ten proces był nie tylko systematyczny, ale i maksymalnie zautomatyzowany. W praktyce często tej świadomości nie ma, albo bywa świadomie ignorowana. Obsługujemy na przykład firmę, która wciąż pracuje na komputerach z systemem Windows XP i pomimo naszych sugestii i nacisków nie udało się jej przekonać do zmiany systemu na nowszy. 

Naprawdę ktoś jeszcze używa Windows XP w pracy? 

Tak, Windows XP bywa używany w niektórych firmach – i to jest ogromne zagrożenie. Warto podkreślić, że już 14 października Microsoft zakończy wsparcie również dla Windowsa 10, który obecnie jest najpopularniejszym systemem operacyjnym w Polsce. To nie oznacza, że komputery z Windows 10 przestaną działać, ale że nie będą już otrzymywać aktualizacji bezpieczeństwa. Każdy system operacyjny ma swoje podatności i regularnie odkrywane są w nim nowe luki. Gdy producent przestaje je łatać, komputer staje się podatny na włamania i przejęcie kontroli. 

Czy warto robić backupy danych z komputera? 

Pytanie nie brzmi „czy warto”, tylko raczej „jak je robić?”, bo tworzenie kopii zapasowych to absolutna konieczność. Backup danych jest równie istotny jak polityka haseł, a mimo to, szczególnie w małych firmach, bywa zaniedbywany. Tymczasem to proste i stosunkowo tanie rozwiązanie – wystarczy zewnętrzny dysk albo przestrzeń w chmurze, np. w ramach Microsoft 365, gdzie każdy użytkownik ma do dyspozycji nawet 1 TB miejsca. Kluczowe są dwie rzeczy: regularność oraz kontrola poprawności backupów. Zdarza się, że ktoś jest przekonany, że ma kopię, a potem okazuje się, że plików nie da się odtworzyć – wówczas taki backup jest bezwartościowy. Dobrą praktyką jest stosowanie zasady „3-2-1”: trzy kopie danych, na dwóch różnych nośnikach i jedna w innej lokalizacji. Chodzi o to, by nie trzymać wszystkich kopii w jednym miejscu, bo w razie awarii, pożaru czy ataku ransomware możemy stracić zarówno komputer, jak i podłączony do niego dysk. Dlatego kopia powinna być także offline, a najlepiej przechowywana w innym miejscu, np. w chmurze albo na zaszyfrowanym dysku wyniesionym poza biuro. 

Jak często należy robić backup? Raz w miesiącu, raz na kwartał? 

To zależy od specyfiki firmy – od tego, ile danych powstaje i jak trudno byłoby je odtworzyć. W małych firmach, gdzie generuje się niewiele informacji, kopia zapasowa raz w tygodniu może być wystarczająca. Natomiast tam, gdzie kilka osób intensywnie pracuje na wspólnych plikach, utrata nawet kilku godzin pracy może być kosztowna i wtedy kopie warto robić częściej. Najczęściej stosuje się model łączący różne okresy: backupy tygodniowe, miesięczne i kwartalne. Dzięki temu mamy możliwość odtworzenia nie tylko najnowszych danych, ale także starszych, co ma znaczenie np. w przypadku infekcji ransomware, które może uaktywnić się dopiero po dłuższym czasie, albo gdy dopiero po kilku tygodniach zauważymy brak ważnego pliku. Dobrym rozwiązaniem jest strategia backupów GFS, czyli Grandfather-Father-Son, polegająca na wykonywaniu przyrostowych kopii zapasowych co tydzień oraz pełnych backupów raz w miesiącu, a dodatkowo przechowywanie kwartalnych archiwów dla bezpieczeństwa (albo dziennych-miesięcznych-kwartalnych w przypadku organizacji z większą rotacją danych). 

Poproszę o zestaw podstawowych porad. Jaką zbudować poprawną politykę haseł do aplikacji i urządzeń? 

Przede wszystkim nie wolno używać tych samych haseł w różnych systemach. Jeśli jedno z nich wycieknie – a zdarza się to regularnie – cyberprzestępcy automatycznie sprawdzają tę samą kombinację loginu i hasła w innych popularnych serwisach. W efekcie dostęp do jednego mało istotnego konta może im otworzyć drogę do całej naszej cyfrowej tożsamości. Dobre hasło powinno się składać z kilkunastu znaków i być trudne do odgadnięcia, dobrą praktyka jest jednoczesne używanie dużych i małych liter, cyfr oraz znaków specjalnych. Ważne, aby nie były to hasła słownikowe ani oczywiste schematy. Sprawdza się metoda tworzenia dłuższych zlepków losowych słów, połączonych znakami specjalnymi – takie hasło jest trudne do złamania, a jednocześnie łatwiejsze do zapamiętania niż ciąg przypadkowych znaków. Obecnie eksperci, m.in. Microsoft czy CERT, zalecają raczej stosowanie jednego mocnego hasła do danego systemu niż jego częstą zmianę. Oraz włączenie uwierzytelnienia wieloskładnikowego, bo właśnie ono stanowi dziś kluczową linię obrony i należy je stosować wszędzie, gdzie to możliwe. Problemem pozostaje zarządzanie wieloma hasłami, bo w praktyce każdy z nas ma ich przynajmniej kilkadziesiąt. Dlatego warto korzystać z menedżerów haseł. Dobrym przykładem jest Bitwarden – bezpieczny, otwartoźródłowy program, który jest w pełni funkcjonalny nawet w wersji darmowej, pozwalający wygodnie przechowywać hasła i synchronizować je między urządzeniami. 

Czy bezpieczne jest korzystanie z otwartych, publicznych sieci Wi-Fi, niewymagających logowania?  

Nie. To zawsze wiąże się z ryzykiem. Zagrożeniem jest nie tylko bezpośrednie włamanie do naszego komputera – jeśli system nie ma aktualizacji czy dobrze skonfigurowanego firewalla – ale także ataki typu Man-in-the-Middle. W takim scenariuszu przestępca przechwytuje nasz ruch sieciowy, a nawet może podstawić fałszywą stronę banku czy portalu społecznościowego, aby wyłudzić dane logowania. Oczywiście, ryzyko zależy od miejsca – w urzędzie miasta intencje raczej nie są złe, ale w kawiarniach, hotelach czy innych publicznych punktach nigdy nie mamy pewności, kto jeszcze podpiął się do sieci. Dlatego poza biurem i domem podstawą jest korzystanie z własnego internetu mobilnego.

Reasumując, nawet zarządcy działający w formie jednoosobowej działalności gospodarczej, powinni korzystać z usług firm informatycznych, które co jakiś czas będą dokonywać audytu cyberbezpieczeństwa sprzętu wykorzystywanego do pracy. 

Wsparcie informatyczne to inwestycja, a nie koszt. Certyfikowane audyty bezpieczeństwa bywają drogie, ale już stała współpraca z zaufanym informatykiem potrafi znacząco podnieść poziom ochrony przy stosunkowo niewielkich nakładach. Co ważne, wiele działań można wdrożyć samodzielnie, inwestując tylko czas. Mam na myśli regularne aktualizacje systemu operacyjnego i oprogramowania, migrację z Windows 10, który wkrótce traci wsparcie, wykonywanie i testowanie kopii zapasowych, w tym przechowywanie jednej poza biurem, szyfrowanie danych na komputerze (np. BitLocker), korzystanie z kont użytkowników bez uprawnień administratora, dbanie o aktualność urządzeń sieciowych. Pamiętajmy, że najsłabszym ogniwem jest człowiek. Dlatego warto inwestować w szkolenia, nawet proste i tanie webinary czy kursy online, które pozwalają budować podstawową świadomość cyberzagrożeń.