Michał Pietruczyk
Wróć do bloga
Bezpieczeństwo IT

Backup 3-2-1: ochrona przed ransomware i awarią

„Mamy backup” to nie to samo co „sprawdziliśmy, że da się go odtworzyć”. Wyjaśniam zasadę 3 kopii po ludzku: gdzie trzymać dane, ile to kosztuje i jak upewnić się, że backup naprawdę zadziała, zanim przyjdzie ransomware. Z konkretnymi narzędziami i cenami.

9 lutego 20267 min czytania
backupransomwarebezpieczeństwoNIS2

32% małych firm w Polsce nie robi żadnego backupu. Jednocześnie Polska w pierwszej połowie 2025 roku stała się najczęściej atakowanym ransomware krajem na świecie, a CERT Polska odnotował 176 incydentów ransomware - wzrost o 26% rok do roku. 2/3 małych i średnich firm, które utraciły dane bez backupu, zbankrutowało. To nie straszenie - to statystyki. W tym artykule tłumaczę zasadę 3-2-1 po ludzku, pokazuję co konkretnie wdrożyć (narzędzia, ceny, chmura vs lokalnie), wyjaśniam RPO i RTO prostym językiem, i dzielę się wnioskami z lat konfigurowania backupów w firmach od 5 do 200 osób. Jeśli po lekturze będziesz mieć pytania - napisz, chętnie pomogę.

W skrócie

W skrócie: najlepsza ochrona przed ransomware i awarią to zasada 3-2-1 - trzymaj 3 kopie danych, na 2 różnych nośnikach, z czego 1 poza siedzibą firmy. Dodaj kopię offline (air-gapped), szyfruj backup i testuj odtwarzanie minimum raz na kwartał. Dla firmy 20-osobowej to ok. 300-600 zł miesięcznie - ułamek kosztu jednego dnia przestoju po ataku.

Dlaczego firmy tracą dane

Ransomware

88% naruszeń w MŚP

Złośliwe oprogramowanie szyfruje wszystkie pliki na dyskach i żąda okupu za ich odblokowanie. W 2025 r. ransomware odpowiadał za 88% naruszeń bezpieczeństwa w małych i średnich firmach. Średni koszt takiego incydentu (bez okupu): ponad 1,5 mln USD.

Awaria sprzętu

~co 10. dysk / 3 lata

Prawie co dziesiąty dysk twardy psuje się w ciągu 3 lat (8,6%). Serwer, NAS, dysk w laptopie - to mechanika, która się po prostu zużywa. Bez kopii zapasowej dane znikają bezpowrotnie.

Błąd ludzki

Najczęstsza przyczyna

Przypadkowe usunięcie plików, nadpisanie bazy danych, sformatowanie złego dysku - każdemu może się zdarzyć. To najczęstsza przyczyna utraty danych w firmach, a jednocześnie najtańsza do zabezpieczenia backupem.

Awaria chmury / usługi

Brak gwarancji dostawcy

Wiele osób myśli, że Microsoft 365 sam robi backup - niestety nie. To Twoja odpowiedzialność. Usunięte maile, pliki z SharePointa czy bazy z Dynamics znikają na zawsze po 30-93 dniach.

Dane: CERT Polska, ESET, SATinfo24, Google/Backblaze[1][3][4][14]

Zasada 3-2-1 - prosto i konkretnie

Zasada 3-2-1 to naprawdę wszystko, czego potrzebujesz do bezpiecznego backupu - i jest prostsza niż się wydaje. Działa niezależnie od wielkości firmy.[7][8]

3

Trzy kopie danych

Oryginał + dwie kopie zapasowe. Jeśli masz tylko jedną kopię, to awaria jednego nośnika = utrata wszystkiego.

Przykład:Serwer (oryginał) + NAS w serwerowni (kopia 1) + chmura (kopia 2)

2

Dwa różne nośniki

Kopie na dwóch fizycznie różnych typach nośników. Dysk + taśma, NAS + chmura, SSD + zewnętrzny HDD. Jeden typ awarii nie niszczy obu kopii.

Przykład:NAS (dyski lokalne) + Backblaze B2 / Wasabi (chmura obiektowa)

1

Jedna kopia poza siedzibą

Minimum jedna kopia poza fizyczną lokalizacją firmy. Chroni przed pożarem, zalaniem, kradzieżą, ransomware szyfrującym całą sieć lokalną.

Przykład:Automatyczna replikacja do chmury co noc, albo dysk zewnętrzny wywożony do drugiego biura

Chcesz iść krok dalej? Jest rozszerzenie 3-2-1-1-0: dodatkowa „1” to kopia offline (odcięta od sieci - ransomware jej nie dosięgnie), a „0” to zero błędów w backupie (sprawdzasz po każdym zadaniu, czy backup jest w porządku).

Schemat zasady 3-2-1

3 kopie danych (wliczając oryginał) · 2 różne typy nośników · 1 kopia poza siedzibą

KOPIA 1
Serwer produkcyjny

Oryginał - dane, na których pracujesz. To już jest pierwsza z trzech kopii.

Nośnik: dysk serwera
KOPIA 2
NAS / Dysk lokalny

Backup na osobnym urządzeniu w firmie. Chroni przed awarią serwera, ale nie przed pożarem czy ransomware.

Nośnik: dysk NAS (inny typ)
KOPIA 3
Chmura (offsite)

Kopia poza firmą - w chmurze lub drugim biurze. Przetrwa pożar, kradzież i ransomware szyfrujący sieć.

Nośnik: chmura (offsite)
3
kopie danych
(wliczając oryginał)
2
typy nośników
(dysk serwera + NAS/chmura)
1
kopia offsite
(poza siedzibą firmy)

Co konkretnie wdrożyć - narzędzia i ceny

Dobra, zasadę 3-2-1 już znasz - ale co konkretnie kupić i skonfigurować? Oto narzędzia, które sam wdrażam w firmach od 5 do 200 osób.

Veeam Backup & Replication

Darmowa wersja dla małych firm (do 10 serwerów/komputerów). Płatna: od ~1 000 zł/rok za maszynę.
Co robi:Backup serwerów, maszyn wirtualnych, Microsoft 365, baz danych

Standard branżowy. Darmowa wersja wystarczy dla większości firm do 30 osób. Obsługuje Hyper-V, VMware, fizyczne serwery Windows/Linux.

Synology NAS + Hyper Backup

NAS 2-bay: 1 500-3 000 zł + dyski. Oprogramowanie: w cenie.
Co robi:Lokalna kopia zapasowa z replikacją do chmury

Idealne jako lokalna kopia #1. Hyper Backup pozwala na automatyczną replikację do S3, Backblaze, Wasabi.

Backblaze B2 / Wasabi

Backblaze B2: ~25 zł/TB/mies. Wasabi: ~28 zł/TB/mies. Brak opłat za pobieranie (egress).
Co robi:Chmura obiektowa - kopia offsite

70-75% taniej niż AWS S3. Bez opłat za transfer danych. Idealne jako kopia offsite w zasadzie 3-2-1.

Windows Server Backup / rsync

Wbudowane w system - 0 zł.
Co robi:Backup plików i dysków na poziomie OS

Podstawowe narzędzia. Dobre jako uzupełnienie, słabe jako jedyne rozwiązanie (brak deduplikacji, brak zarządzania retencją).

Veeam Backup for Microsoft 365

Od ~12 zł/użytkownika/mies.
Co robi:Backup Exchange Online, SharePoint, OneDrive, Teams

Microsoft NIE robi pełnego backupu Twoich danych w M365. To Twoja odpowiedzialność. Veeam lub konkurencja (Acronis, AvePoint) to konieczność.

Ceny orientacyjne na 2025/2026[9][10]

RPO i RTO - ile stracisz, jak szybko wrócisz

Dwa skróty, które brzmią strasznie, ale w praktyce odpowiadają na proste pytania: ile danych stracisz i jak długo firma stoi po awarii. Warto je znać, żeby wybrać backup dopasowany do Twojej firmy.

RPORecovery Point Objective - czyli po prostu: ile pracy tracę?

Ile danych mogę stracić?

RPO = 1 godzina → backup co godzinę → stracisz max 1h pracy

Typowe wartości:Mała firma: 24h (backup nocny). Firma z ERP: 1-4h. E-commerce: 15 min.

RTORecovery Time Objective - czyli: jak szybko wracam do działania?

Jak szybko muszę wrócić do pracy?

RTO = 4 godziny → po awarii musisz działać w ciągu 4h

Typowe wartości:Mała firma: 8-24h. Firma z ERP: 2-4h. E-commerce: 30 min-1h.

Im niższe RPO i RTO chcesz mieć, tym więcej zapłacisz - ale nie zawsze musisz celować w zero. Backup raz na dobę (RPO 24h) jest tani, choć stracisz cały dzień pracy. Replikacja w czasie rzeczywistym daje RPO bliskie zeru, ale wymaga dedykowanej infrastruktury. Klucz? Znaleźć równowagę między kosztem backupu a kosztem przestoju. Chętnie pomogę Ci to policzyć.

RPO vs RTO - wizualizacja

RPO
← Ile danych stracisz →
Awaria
RTO
← Czas do przywrócenia →
Ostatni backup
Pełne przywrócenie
RPO = 1h
Backup co godzinę → stracisz max 1h pracy
RTO = 4h
Po awarii wrócisz do pracy w ciągu 4 godzin

Checklist: Czy Twój backup jest bezpieczny?

Przejdź przez te 10 pytań - każde „tak” to punkt dla Ciebie. Każde „nie” to coś, nad czym warto się pochylić.

1

Czy robisz backup codziennie (automatycznie, nie ręcznie)?

Ręczne kopiowanie na pendrive raz na tydzień to nie backup.

2

Czy masz kopię poza siedzibą firmy (chmura, drugie biuro)?

Backup na dysku obok serwera nie przeżyje pożaru ani ransomware.

3

Czy kiedykolwiek testowałeś przywracanie z backupu?

Backup, którego nie da się przywrócić, nie istnieje.

4

Czy backup obejmuje WSZYSTKIE krytyczne dane (serwer, ERP, poczta, pliki)?

Backup samych plików bez bazy ERP = po awarii odtworzysz dokumenty, ale nie faktury.

5

Czy backup jest zaszyfrowany?

Niezaszyfrowany backup w chmurze to wyciek danych czekający na okazję.

6

Czy masz kopię offline (air-gapped, niedostępną z sieci)?

Ransomware szyfruje wszystko w sieci - włącznie z NAS-em podłączonym do LAN.

7

Czy wiesz, jakie masz RPO i RTO?

Jeśli nie wiesz ile danych stracisz i ile potrwa odtwarzanie - nie masz strategii.

8

Czy backup Microsoft 365 / poczty jest robiony osobno?

Microsoft nie robi pełnego backupu Twoich danych. Usunięte maile znikają po 30 dniach.

9

Czy dostajesz powiadomienia o błędach backupu?

Backup, który cicho przestał działać 3 miesiące temu, to brak backupu.

10

Czy ktoś jest odpowiedzialny za monitoring backupu?

Backup bez nadzoru = tykająca bomba.

Z mojego doświadczenia

Przez lata konfigurowałem backup w firmach każdej wielkości - od 5-osobowych biur rachunkowych po firmy ze 150 stanowiskami i wieloma lokalizacjami. Kilka historii, które dobrze pokazują, na co uważać:

90% firm nie testuje odtwarzania z backupu

Największy i najczęstszy grzech. Firma ma Veeam, NAS, wszystko skonfigurowane - ale nikt nigdy nie sprawdził, czy odtworzenie faktycznie działa. U jednego klienta okazało się, że backup bazodanowy Comarch Optima zapisywał uszkodzone pliki od 4 miesięcy. Gdyby serwer padł - strata danych za cały kwartał. Teraz u każdego klienta robię test odtwarzania co kwartał.

Backup na NAS w tej samej serwerowni to nie backup offsite

Widzę to regularnie: serwer + NAS stojące na tej samej półce. Pożar, zalanie, przepięcie - tracisz oba naraz. Klient z branży budowlanej stracił tak dokumentację projektu za 2 lata - serwer i NAS zalane, obie kopie zniszczone. Od tego czasu zawsze konfiguruję replikację do chmury jako trzecią kopię.

Ransomware szyfruje też podłączonego NAS-a

Częsty błąd: NAS zamontowany jako dysk sieciowy (Z:\\) widoczny dla wszystkich komputerów. Ransomware szyfruje wszystko, do czego ma dostęp - włącznie z mapowanymi dyskami. Rozwiązanie: backup przez dedykowane konto z oddzielnym hasłem, NAS niedostępny dla użytkowników jako dysk sieciowy, plus osobna kopia air-gapped.

Microsoft 365 - backup nie jest wliczony

Klient - kancelaria prawna, 15 osób - usunął przypadkowo folder na SharePointe z dokumentami klienta. Po 90 dniach Microsoft usunął go z kosza na zawsze. Odzyskanie? Niemożliwe. Microsoft jasno mówi w swoich warunkach: backup danych to odpowiedzialność użytkownika. Od tamtej pory konfiguruję Veeam for M365 każdemu klientowi na Microsoft 365.

Koszt backupu vs koszt braku backupu

Pełny backup 3-2-1 dla firmy 20-osobowej to ok. 300-600 zł miesięcznie (NAS + chmura + darmowy Veeam). Jeden dzień przestoju po ransomware? 10 000-50 000 zł w utraconej produktywności, plus koszt odtwarzania, plus utrata reputacji. Widziałem firmę, która zapłaciła 80 000 zł za odzyskanie danych z zaszyfrowanych dysków - a wynik nie był 100%. Backup za 400 zł/mies. by temu zapobiegł. Jeśli nie wiesz, od czego zacząć - odezwij się, pomogę Ci to zaplanować.

NIS2 - regulacje, które wymuszają backup

Od 2026 roku dyrektywa NIS2 (wdrożona w Polsce jako nowelizacja ustawy o KSC) wymaga, żebyś miał procedury backupu i disaster recovery - jeśli Twoja firma działa w jednym z kluczowych sektorów.[12][13]

  • Dotyczy firm powyżej 50 pracowników lub 10 mln EUR obrotu w 18 sektorach (energetyka, transport, produkcja, żywność, chemia, IT, zdrowie)
  • Co musisz mieć: politykę backup, testy odtwarzania, plan ciągłości działania (BCP), procedury obsługi incydentów
  • Kary: do 10 mln EUR lub 2% globalnego obrotu rocznego - kwota wyższa
  • 6 miesięcy na rejestrację, 12 miesięcy na wdrożenie systemu zarządzania bezpieczeństwem (ISMS)
  • Nawet jeśli Twoja firma nie podlega NIS2 bezpośrednio - Twoi klienci mogą tego od Ciebie wymagać, bo jesteś częścią ich łańcucha dostaw

Oblicz, ile miejsca potrzebujesz na backup

Przygotowałem kalkulator backup 3-2-1, który oblicza potrzebną pojemność, koszt chmury i czas odtwarzania na podstawie Twoich danych - ilość serwerów, rozmiar baz, retencja, RPO. Wpisz swoje dane i zobacz, ile to kosztuje.

Kalkulator backup 3-2-1Audyt backupu - bezpłatna konsultacja

Zobacz, jak to wygląda w praktyce

Case Study

DR Active/Passive - ERP wróci w godzinę, nie za 3 dni

Veeam Replication, pfSense HA, Failover IP

Case Study

Comarch Optima w chmurze z backup i pełnym DR

Veeam Backup, WireGuard VPN, Zabbix

Powiązane usługi i artykuły

Usługa

Backup i disaster recovery - od 1 500 zł

Konfiguracja, monitoring i testowane przywracanie

Blog

Awaria serwera - jak przygotować firmę, zanim będzie za późno

Blog

Ile kosztuje informatyk? Etat vs outsourcing IT w 2026

Najczęstsze pytania

Co to jest zasada backup 3-2-1?

Zasada 3-2-1 to standard tworzenia kopii zapasowych: przechowuj 3 kopie danych, na 2 różnych nośnikach (np. NAS + chmura), z czego 1 kopia poza siedzibą firmy. Dzięki temu nawet pożar, kradzież czy ransomware nie zniszczy wszystkich kopii jednocześnie.

Jak chronić firmę przed ransomware?

Najskuteczniejsza ochrona przed ransomware to backup 3-2-1 z kopią offsite odporną na szyfrowanie (immutable backup), regularne aktualizacje systemów, MFA na wszystkich kontach, szkolenia pracowników z rozpoznawania phishingu oraz segmentacja sieci. Nawet jeśli atak się powiedzie, dobry backup pozwala przywrócić dane w godzinach, nie tygodniach.

Jak często testować backup?

Backup należy testować minimum raz na kwartał - pełne odtworzenie testowe na oddzielnym środowisku. Samo sprawdzenie, czy zadanie backupu się zakończyło, nie wystarczy. Dopiero próba przywrócenia danych potwierdza, że backup naprawdę działa i dane są kompletne.

Czy Microsoft 365 robi backup za mnie?

Nie. Microsoft nie robi pełnego backupu Twoich danych w Microsoft 365 - to odpowiedzialność użytkownika. Usunięte maile, pliki z SharePointa czy OneDrive znikają bezpowrotnie po 30-93 dniach. Potrzebujesz osobnego narzędzia (np. Veeam for Microsoft 365), żeby mieć własną kopię.

Źródła

  1. [1]CERT Polska - Dwukrotny wzrost incydentów w 2025 roku
  2. [2]ITReseller - Polska światowym liderem wykrywania ataków ransomware w 2025
  3. [3]ESET - Polskie firmy pod presją ransomware
  4. [4]SATinfo24 - 1/3 małych firm w Polsce nie tworzy kopii zapasowych
  5. [5]Newseria Biznes - Utrata danych może dla firm oznaczać bankructwo
  6. [6]wprost.pl - Utrata danych doświadcza co piąta firma
  7. [7]Intelion - Zasada 3-2-1, fundament bezpiecznego backupu
  8. [8]Play Expert - Reguła 3-2-1-1-0: strategia backupu
  9. [9]Backblaze - Cloud Storage Pricing (B2 vs S3 vs Azure)
  10. [10]Veeam - Packaging & Pricing
  11. [11]Rovens - Koszty przestoju IT: ile firma traci na godzinę awarii?
  12. [12]Dyrektywa NIS2 - nowe obowiązki dla firm w 2026 roku
  13. [13]Prawo.pl - NIS2 w Polsce: obowiązki dla firm w 2026 roku
  14. [14]ITwiz - 2025 rokiem ransomware: rekordowa fala cyberataków
Michał Pietruczyk
Autor
Michał Pietruczyk

12 lat w IT - od banku, przez Kancelarię Prezydenta RP, do własnej firmy. Outsourcing IT dla firm, które nie mogą sobie pozwolić na przestoje.

Poznaj mnie lepiej

Powiązane artykuły

Bezpieczeństwo IT

NIS2 weszło w życie - 5 rzeczy do zrobienia w tym tygodniu

3 kwietnia 2026 ustawa weszła w życie. Odebrałem więcej telefonów niż zwykle - właściciele firm pytają: czy mnie to dotyczy? Oto 5 rzeczy, które powinieneś zrobić w tym tygodniu. Z perspektywy informatyka, który już wdrażał to u klientów.

3 kwi 2026·7 min
Czytaj
Bezpieczeństwo IT

Phishing w firmie - jak ochronić pracowników i nie stracić danych

W zeszłym roku ratowałem trzy firmy po atakach phishingowych. Księgowa kliknęła link - atakujący miał dostęp do 200 skrzynek. Pokazuję, jak wyglądają prawdziwe ataki, po czym je rozpoznać, co realnie wdrożyć, żeby się chronić, i ile to kosztuje. Z perspektywy informatyka, który wolałby, żebyś nie musiał do niego dzwonić w panice.

22 mar 2026·11 min
Czytaj
Bezpieczeństwo IT

NIS2 w praktyce - co musisz wdrożyć w swojej firmie

3 kwietnia 2026 wchodzi w życie ustawa, która dotyczy więcej firm, niż się wydaje - i o której słyszałem od klientów „to chyba nie o nas”. Tłumaczę, kogo to dotyczy, jakie są realne terminy, co musisz mieć od strony technicznej i dlaczego „nic nie zrobiłem” zaczyna kosztować. Bez paragrafów, z przykładami z praktyki.

11 mar 2026·10 min
Czytaj