Po co firmie w ogóle VPN i czego ma realnie pilnować
VPN w firmie: nie „gadżet IT”, tylko kanał zaufany
Firmowy VPN to nie aplikacja „do obejrzenia Netflixa z innego kraju”, tylko element infrastruktury, który tworzy zaufany, szyfrowany tunel między zasobami firmy a pracownikami. Jego podstawowa rola jest prosta: wszystko, co wychodzi poza sieć biurową, ma być chronione tak, jakby dalej znajdowało się w środku.
VPN w firmie powinien przede wszystkim:
Chronić dane w ruchu – loginów, dokumentów, baz danych, rozmów VoIP, paneli administracyjnych, API.
Ograniczać dostęp – tylko osoby uprawnione mają możliwość połączenia się z określonymi systemami (CRM, ERP, serwery plików, panele www).
Umożliwiać pracę zdalną – w taki sposób, jakby pracownik siedział fizycznie w biurze: z dostępem do wewnętrznych zasobów i aplikacji.
Łączyć oddziały i biura – tworząc jedną, spójną, logiczną sieć ponad wieloma lokalizacjami.
Dawać IT narzędzia kontroli – logowanie, raporty, możliwość szybkiego odcięcia dostępu, gdy coś jest nie tak.
Bez zaufanego VPN ruch pracownika w hotelu, kawiarni czy z domowej sieci idzie „na żywca” przez dostawców łącza i sieci pośredniczące. To w przypadku pracy prywatnej jest już problemem, ale w przypadku dostępu do systemów finansowych, danych klientów czy repozytoriów kodu – staje się ryzykiem biznesowym.
„VPN prywatny” vs „VPN firmowy”: dwie zupełnie inne bajki
Wiele osób wrzuca do jednego worka aplikację VPN z telefonu i rozwiązanie VPN dla firmy. Na poziomie haseł marketingowych to podobne produkty („szyfrujemy ruch, zmieniamy IP”), ale ich cele i wymagania są zupełnie inne.
nie jest spięty z twoją infrastrukturą (serwerami, siecią biurową),
nie oferuje centralnego zarządzania kontami użytkowników,
nie integruje się z katalogiem użytkowników (AD, Azure AD, Okta, itp.),
ma regulaminy i polityki projektowane pod użytkownika indywidualnego, nie biznes.
VPN firmowy to inny świat. Jego zadania to między innymi:
bezpieczne podłączanie komputerów pracowników do wewnętrznej sieci firmy,
nadawanie różnych poziomów dostępu (np. księgowość widzi co innego niż dział sprzedaży),
integracja z istniejącą infrastrukturą (firewalle, serwery, systemy uwierzytelniania),
raportowanie zdarzeń bezpieczeństwa, audyt, zgodność z procedurami i normami (np. ISO 27001).
Używanie darmowego VPN „dla Kowalskiego” jako fundamentu bezpieczeństwa dla firmy jest jak wykorzystanie darmowej skrzynki e‑mail z reklamami do obsługi działu prawnego. Może się da, przez chwilę działa, ale skala ryzyka jest nieadekwatna do oszczędności.
Najważniejsze scenariusze użycia VPN w firmie
VPN w środowisku biznesowym ma kilka powtarzalnych zastosowań. W każdym z nich darmowe rozwiązanie konsumenckie wypada źle lub co najmniej wątpliwie.
Typowe scenariusze:
Praca zdalna i hybrydowa – pracownicy logują się do sieci firmowej z domu, z podróży służbowych, z coworkingu. Przez VPN idą połączenia do serwerów plików, systemu CRM, ERP, poczty, repozytoriów kodu czy serwerów SSH.
Dostęp do paneli administracyjnych – systemy takie jak WordPress, panel hostingu, routery, firewalle, panele aplikacji chmurowych są dostępne tylko z wewnętrznej sieci lub wybranych adresów IP VPN.
Łączenie oddziałów – kilka biur, magazyn + biuro, biuro + serwerownia. Stałe tunele site-to-site VPN spinają te lokalizacje w jedną logiczną całość.
Dostęp do środowisk developerskich i testowych – deweloperzy łączą się do serwerów testowych, które są celowo odcięte od świata.
Bezpieczny dostęp do chmury – część firm ogranicza dostęp do kluczowych usług chmurowych (np. panel AWS, Azure) tylko z adresów IP firmowego VPN.
Każdy z tych scenariuszy wymaga przewidywalności, kontroli i zaufania do dostawcy tunelu VPN. Darmowa aplikacja z anonimową firmaną z egzotycznej jurysdykcji nie jest naturalnym kandydatem do tej roli.
Czego firmowy VPN nie załatwia – i dlaczego to ważne w kontekście darmówek
VPN bywa traktowany jak „magiczna tarcza”. To błąd, który często prowadzi do lekkomyślnego sięgnięcia po darmowe rozwiązania. Sam fakt „szyfrowania tunelu” nie rozwiązuje wielu innych problemów.
VPN nie zapewnia:
aktualizacji systemów i aplikacji na komputerach pracowników,
ochrony przed malware na stacjach roboczych (tu nadal potrzebne są EDR/antywirus i higiena użytkownika),
kopii zapasowych danych – backup to oddzielny proces i narzędzia,
kultury bezpieczeństwa – jeśli pracownicy klikają w każdy załącznik, żaden VPN nie pomoże.
VPN jest jednym z klocków w układance. Użycie darmowego, nieprzewidywalnego narzędzia na tym krytycznym, „szkieletowym” poziomie jest jak budowanie domu na niepewnym fundamencie i inwestowanie za to w piękną elewację. Da się, ale kierunek jest odwrotny niż powinien.
Dlaczego darmowy VPN kusi małe firmy i kiedy to „prawie działa”
Mechanizm pokusy: „to tylko internet, nie bank”
W małych i średnich firmach bardzo często pojawia się myśl: „Przecież my nie jesteśmy bankiem ani szpitalem, po co nam drogie rozwiązania?”. Z tej perspektywy darmowy VPN wygląda jak rozsądna oszczędność, zwłaszcza gdy potrzeba wydaje się chwilowa.
Typowe argumenty, które prowadzą do instalacji darmowej apki VPN na służbowym laptopie:
„Trzeba tylko na chwilę wejść na panel zarządzania stroną z hotelu.”
„To tylko logowanie do CRM-u, tam nie ma przecież supertajnych danych.”
„Właściciel firmy używa tej samej apki na prywatnym telefonie i jest zadowolony.”
„W sklepie z aplikacjami ma tysiące dobrych opinii, więc nie może być aż tak źle.”
Takie podejście ignoruje jedną rzecz: ktoś kiedyś musi się włamać tylko raz. Nie ma znaczenia, czy to było logowanie „tylko do CRM-u”, jeśli w tym CRM-ie są dane wszystkich klientów, historia kontaktów, e‑maile, telefony i notatki handlowe.
Popularne mity wokół ocen i haseł „no-logs”
Najczęściej pojawia się przekonanie, że:
„Skoro w sklepie ma 4,7 gwiazdek, to jest bezpieczny.”
„W opisie jest ‘no logs’ i ‘miliony użytkowników’, więc można zaufać.”
Oceny w sklepach z aplikacjami w ogromnej większości nie dotyczą bezpieczeństwa. Użytkownicy wystawiają gwiazdki za:
szybkość połączenia,
brak reklam (na pierwszy rzut oka),
łatwość użycia,
to, czy działa Netflix z USA.
Prywatność i bezpieczeństwo są oceniane przez specjalistów na podstawie architektury rozwiązania, jurysdykcji, polityki logowania, praktyk bezpieczeństwa, audytów. Tego w opiniach konsumenckich z reguły nie ma. Hasło „no logs” bywa czysto marketingowe. Bez niezależnego audytu i przejrzystej polityki danych równie dobrze mogłoby znaczyć „logujemy wszystko, ale nie chwalimy się tym głośno”.
Kiedy darmowy VPN „prawie działa” i nie jest dramatem
Istnieją sytuacje, w których ograniczone użycie darmowego VPN nie jest od razu katastrofą. Chodzi o scenariusze, w których przez tunel nie przepływają dane firmowe ani poświadczenia dostępu do kluczowych systemów.
Przykładowe dopuszczalne zastosowania (z głową):
Testy i research techniczny – administrator lub specjalista testuje, jak zachowuje się strona z innych krajów, czy reklamy geolokalizowane działają poprawnie, bez logowania na jakiekolwiek konta firmowe.
Materiały szkoleniowe – szkoleniowiec nagrywa wideo, jak działa serwis w różnych krajach, używając do tego oddzielnego komputera bez dostępu do danych firmy.
Dostęp do publicznych treści – pracownik ogląda webinary lub dokumentację w serwisach dostępnych tylko z określonych krajów, ale bez logowania danymi firmowymi.
Warunek jest prosty: żadnych loginów służbowych, żadnych danych klientów, żadnych paneli administracyjnych. Nawet wtedy lepiej, by taki eksperyment odbywał się na oddzielnym, testowym środowisku, a nie na głównym laptopie prezesa.
Moment, w którym „darmowa zabawa” staje się ryzykiem operacyjnym
Granica jest przekroczona w chwili, gdy:
pracownik na darmowym VPN loguje się do poczty firmowej, CRM, ERP, panelu hostingu,
z darmowej aplikacji VPN korzysta się na stałe, a nie tylko incydentalnie,
darmowy VPN staje się oficjalnym „rozwiązaniem do pracy zdalnej”,
nikt w firmie nie ma pojęcia, gdzie trafiają logi, dane i metadane.
W tym momencie oszczędność kilku–kilkunastu euro miesięcznie na użytkownika zamienia się w otwartą furtkę do danych firmy. I to w sposób, nad którym nie ma się żadnej kontroli: pośrednik widzi loginy, może manipulować ruchem, a ty nie masz do niego żadnego kontaktu poza formularzem supportu dla użytkowników indywidualnych.
Jak działają darmowe VPN-y od środka: model biznesowy i ukryte koszty
Jeśli nie płacisz pieniędzmi, płacisz sobą – co to znaczy przy VPN
Utrzymanie sieci serwerów VPN kosztuje realne pieniądze: serwery, transfer, administracja, rozwój oprogramowania, bezpieczeństwo. Jeśli aplikacja jest „za darmo”, to konto musi się zgadzać w inny sposób. Zwykle wchodzą w grę dane użytkownika, jego uwaga lub zasoby sprzętowe.
Najprostsza zasada brzmi: produkt, za który nie płacisz, z dużym prawdopodobieństwem czyni produktem ciebie. W przypadku VPN oznacza to często:
sprzedaż danych i metadanych o ruchu,
wstrzykiwanie reklam w przeglądarce,
wykorzystywanie twojego urządzenia jako „węzła” dla innych użytkowników,
dołączanie dodatkowego oprogramowania (toolbary, „optimizery”, inne śmieci).
Dla użytkownika prywatnego też jest to kiepski układ, ale jeszcze jakoś da się argumentować, że „świadomie ryzykuje”. Dla firmy, która przetwarza cudze dane i ma obowiązki prawne, to prosta droga do konfliktu z RODO, klientami i własnym działem prawnym.
Główne modele zarabiania na darmowych VPN-ach
Najczęściej spotykane metody monetyzacji darmowych usług VPN:
Sprzedaż danych i metadanych – dostawca może logować:
godziny połączeń,
przybliżoną lokalizację,
odwiedzane domeny (DNS),
typy usług (np. streaming, social media, poczta),
czas spędzony w określonych serwisach.
Te dane są następnie anonimizowane (w teorii) i sprzedawane firmom analitycznym, reklamowym, marketingowym.
Reklamy i wstrzykiwanie skryptów – część rozwiązań podmienia reklamy w przeglądarce na „swoje” lub wstrzykuje dodatkowe skrypty śledzące. Technicznie przypomina to atak typu MITM, tylko z błogosławieństwem użytkownika, który zaakceptował regulamin.
Sprzedaż pasma – model, w którym twoje urządzenie staje się elementem sieci (proxy/botnet dla „premium” klientów). Twoje IP i łącze są wykorzystywane do ruchu, którego nie kontrolujesz. W firmie to prosta ścieżka do problemów, gdy przez twój IP pójdą działania wątpliwe prawnie.
Bundle z innym oprogramowaniem – instalator VPN dołącza dodatkowe programy (paski narzędzi, pseudoantywirusy, „przyspieszacze”), które monetyzują użytkownika w inny sposób.
Dlaczego „darmowe” często kończy się drożej niż abonament
W klasycznym excelu koszt darmowego VPN‑a to „0 zł miesięcznie”. Problem w tym, że tabela nie pokazuje kosztu przestojów, incydentów bezpieczeństwa i gaszenia pożarów. Te wydatki pojawiają się dopiero po fakcie, a wtedy jest już za późno na negocjacje z dostawcą.
Typowe ukryte koszty, które wychodzą na wierzch dopiero przy realnym użyciu w firmie:
Czas IT – darmowe narzędzie nie ma wsparcia, nie ma dokumentacji pod firmy, nie ma sensownych logów. Każde „nie działa” oznacza ręczne grzebanie po stacjach, a nie analizę centralnych logów.
Przestoje – darmowe serwery są przeładowane. Niby działa, ale zrywają się sesje z CRM‑em, wideokonferencje się rwą, ludzie nie mogą się zalogować do paneli. Różnica między 99,9% a 95% dostępności to nie kosmetyka, tylko realne godziny przestoju.
Brak SLA i kogokolwiek „po drugiej stronie” – przy awarii infrastruktury biznesowej dzwoni się do opiekuna, eskaluje zgłoszenie, żąda przywrócenia usługi. Przy darmowej aplikacji VPN można co najwyżej napisać maila na helpdesk „free tier” i liczyć na cud.
Bezpieczeństwo „na słowo honoru” – nie ma audytu, nie ma raportów SOC 2 / ISO 27001, nie ma wglądu w procesy. Ryzyko trzeba przyjąć „na wiarę”, co może się zemścić przy pierwszym poważnym audycie czy incydencie.
Paradoks polega na tym, że kilka–kilkanaście licencji na przyzwoite, biznesowe rozwiązanie VPN to zwykle ułamek kosztu jednego dnia przestoju sprzedaży lub jednego sensownego prawnika od RODO.
Gdzie kończy się „techniczny kompromis”, a zaczyna hazard
Czasem w środowisku IT panuje myślenie: „wiemy, że to nie jest idealne, ale rozumiemy ryzyko, więc możemy pozwolić sobie na obejście”. To działa przy prototypowaniu, testach, środowiskach labowych. Przy dostępie do systemów produkcyjnych takie półśrodki przeradzają się w klasyczny hazard.
Można to sobie ułożyć w prosty schemat:
Poziom „ok, umiemy tym zarządzić” – tymczasowe, odizolowane środowisko testowe; brak danych klientów; brak integracji z produkcją; pełna świadomość, co się dzieje z ruchem.
Poziom „ryzyko kontrolowane” – małe środowisko pilotażowe na narzędziu SaaS z darmowym planem, ale: są logi, jest umowa, jest podmiot w UE lub z SCC, jest możliwość przejścia na plan płatny z audytem.
Poziom „hazard” – darmowa aplikacja od anonimowej spółki z egzotycznej jurysdykcji, bez umowy, bez wsparcia, używana do dostępu do produkcyjnej poczty, ERP i repozytoriów kodu.
Problem z darmowym VPN w firmie polega na tym, że bardzo łatwo i niemal niezauważalnie przesuwa on organizację z poziomu „umiemy tym zarządzić” do „graliśmy w kasynie i postawiliśmy cały budżet IT na zero”.
Konkretne zagrożenia przy użyciu darmowego VPN w środowisku firmowym
Podsłuch i kradzież haseł dostępowych
Kluczowe zagrożenie jest brutalnie proste: dostawca VPN znajduje się pomiędzy użytkownikiem a internetem. Nawet jeśli sporo ruchu idzie po HTTPS, pozostaje mnóstwo metadanych i newralgicznych miejsc, w których można coś przechwycić lub osłabić.
Potencjalne vektory ataku wyglądają tak:
Rejestrowanie metadanych logowania – kto, kiedy, na jaką domenę, z jakiego urządzenia. Dla kogoś, kto sprzedaje dane, to złota kopalnia; dla kogoś, kto chce przeprowadzić atak ukierunkowany – gotowa mapa ruchu.
Wymuszanie słabszych szyfrów / protokołów – źle skonfigurowany (lub złośliwy) VPN może wymuszać starsze wersje protokółów TLS/SSL, które da się łatwiej złamać lub podsłuchać.
Przekierowanie DNS – zamiana serwerów DNS na własne pozwala podszywać się pod serwisy, jeśli dojdzie do manipulacji certyfikatami lub błędów użytkownika („kliknę, bo przeglądarka ostrzega, ale przecież muszę się zalogować”).
W środowisku domowym takie ryzyko jest już nieprzyjemne. W firmie oznacza otwartą drogę do przejęcia kont poczty, VPN‑a firmowego, systemów finansowo‑księgowych, repozytoriów kodu czy narzędzi CI/CD.
Wstrzykiwanie ruchu i malware przez tunel
Większość administratorów myśli o VPN jako o „rurze” z bezpiecznym ruchem. W przypadku darmowych usług ta rura może mieć nieoczekiwane rozgałęzienia.
Dostawca, który kontroluje wyjście twojego ruchu do internetu, może:
wstrzykiwać reklamy i skrypty śledzące – to pół biedy, jeśli mówimy tylko o banerach, ale skrypt to kod, który można rozszerzyć, dołożyć do niego dodatkowe funkcje, dziś śledzenie, jutro np. keylogger w formie złośliwej biblioteki JS,
podmieniać treści stron – np. formularze logowania; wizualnie strona wygląda tak samo, ale dane lecą w inne miejsce lub są kopiowane „po drodze”,
kierować ruch przez podejrzane węzły pośrednie – część darmowych VPN wykorzystuje publiczne lub „partnerskie” serwery, o których nikt w firmie nie wie. To dodatkowe punkty potencjalnego ataku.
Skutkiem jest sytuacja, w której tunel, który miał chronić przed zagrożeniami z internetu, sam staje się ich źródłem. Przy nowoczesnej architekturze aplikacji webowych bywa to szczególnie niebezpieczne, bo większość logiki i tak dzieje się po stronie przeglądarki użytkownika.
Wykorzystanie firmowego IP i zasobów jako „węzła” dla obcych
Jeden z mniej omawianych, ale bardzo problematycznych modeli biznesowych to sytuacja, w której darmowy VPN traktuje urządzenia użytkowników jako dodatkowe węzły sieci.
Skutki dla firmy mogą być wyjątkowo bolesne:
Ruch o nieznanej treści przez IP firmy – ktoś z drugiego końca świata może robić skanowanie portów, łamanie haseł, a nawet ataki DDoS, a wszystko to wychodzi w logach operatora jako ruch z adresu IP twojej firmy.
Ryzyko blacklist i reputacji – jeśli przez twój adres IP przejdzie spam lub ataki na inne firmy, możesz wylądować na listach blokujących, co odbije się na wysyłce maili do klientów albo na dostępie do usług partnerów.
Utrudnione dochodzenie prawdy – przy dochodzeniu incydentu trzeba udowodnić, że „to nie my, to aplikacja VPN”. Bez logów i centralnego zarządzania bywa to po prostu niemożliwe.
W skrajnych przypadkach zarząd dowiaduje się o problemie nie od działu IT, tylko z pisma od prokuratury lub kancelarii drugiej strony, która twierdzi, że z waszego adresu IP wyszedł atak. To nie jest abstrakcja, takie historie realnie się zdarzają.
Brak kontroli nad tym, gdzie faktycznie lądują dane
Darmowe VPN‑y bardzo rzadko umożliwiają precyzyjny wybór jurysdykcji, w której dane będą przetwarzane na poziomie prawnym, a nie tylko „serwer w danym kraju”. Ruch może być fizycznie przekierowywany przez różne centra danych, zależnie od obciążenia, kosztów czy umów partnerskich.
W praktyce oznacza to, że:
dane klientów z UE mogą „po cichu” przelecieć przez kraje, w których nie obowiązuje RODO ani podobne standardy,
metadane ruchu mogą być przechowywane poza zasięgiem europejskich organów nadzorczych,
w razie wycieku trudno nawet ustalić, w której jurysdykcji doszło do naruszenia.
Bez formalnej umowy powierzenia i bez jasnej polityki przechowywania logów nie ma jak tego później obronić przed klientem, UODO czy sądem.
Konflikt z własną polityką bezpieczeństwa i audytami
Wiele firm ma już dziś podstawowe polityki bezpieczeństwa: minimalne wymagania dla dostawców, kryteria zatrudniania podwykonawców, wytyczne dla pracy zdalnej. Darmowy VPN bardzo często jest wprost sprzeczny z takim dokumentem, nawet jeśli nikt tego jeszcze formalnie nie zauważył.
Przy audycie (wewnętrznym lub zewnętrznym) może się okazać, że:
stosowane są narzędzia, których nikt nie zatwierdził ani nie ocenił pod kątem ryzyka,
pracownicy korzystają z aplikacji zainstalowanych „na własną rękę” na służbowych laptopach,
nie ma żadnego rejestru procesorów danych ani nawet informacji, że taki podmiot istnieje w łańcuchu przetwarzania.
To klasyczny przykład tzw. shadow IT, tylko podniesiony do kwadratu, bo dotyka bezpośrednio ruchu sieciowego i dostępu do danych. Audytorzy lub klienci korporacyjni nie przejdą nad tym do porządku dziennego.
Źródło: Pexels | Autor: Stefan Coders
Darmowy VPN a prawo: RODO, tajemnica przedsiębiorstwa, odpowiedzialność zarządu
RODO: kto jest administratorem, a kto procesorem w scenariuszu z VPN
Z punktu widzenia RODO sytuacja z VPN nie jest magią – to po prostu kolejny podmiot, który może przetwarzać dane osobowe. Jeśli przez tunel przechodzą loginy użytkowników, maile, dane w CRM‑ie, to dostawca VPN staje się procesorem danych w rozumieniu RODO.
To pociąga za sobą kilka konkretnych obowiązków dla firmy:
Umowa powierzenia przetwarzania – musi istnieć formalny dokument określający zakres i zasady przetwarzania danych przez dostawcę VPN.
Weryfikacja adekwatności zabezpieczeń – administrator (czyli twoja firma) ma obowiązek ocenić, czy procesor zapewnia odpowiedni poziom bezpieczeństwa (art. 28 RODO).
Rejestr czynności przetwarzania – obecność dostawcy VPN powinna znaleźć się w dokumentacji, która trafia na biurko inspektora ochrony danych lub audytora.
Darmowe VPN‑y w ogromnej większości nie zawierają żadnych umów powierzenia, nie oferują dokumentacji pod RODO i nie podpisują klauzul umownych wymaganych przez klientów biznesowych. W efekcie firma korzystająca z nich stawia się w pozycji administratora, który używa „dzikiego” procesora, nad którym nie ma kontroli.
Transfer danych poza EOG i problem z jurysdykcją
Jeśli dostawca VPN ma siedzibę poza Unią Europejską i nie stosuje standardowych klauzul umownych ani nie podlega decyzji stwierdzającej odpowiedni stopień ochrony, to każde użycie go do przetwarzania danych osób z UE oznacza transfer danych poza EOG.
Przy darmowych usługach rzadko kiedy wiadomo:
gdzie faktycznie znajdują się serwery i logi,
jak długo są przetwarzane metadane,
czy istnieją dalsi podwykonawcy (np. z państw o niskich standardach ochrony danych).
W razie kontroli UODO tłumaczenie się „to tylko darmowa aplikacja, przecież wszyscy jej używają” nie zadziała. Organ nadzorczy patrzy na faktyczne przetwarzanie danych i łańcuch podmiotów, a nie na argument „przecież to tylko technologia”.
Tajemnica przedsiębiorstwa a „obcy” w środku tunelu
Oprócz danych osobowych istnieje jeszcze drugi, często cenniejszy zasób: informacje stanowiące tajemnicę przedsiębiorstwa. Kodeks cywilny definiuje je szeroko – wszystko, co ma wartość gospodarczą, nie jest powszechnie znane i do czego firma podejmuje rozsądne kroki, aby to chronić.
Do tej kategorii zwykle zalicza się m.in.:
bazy klientów i leadów,
strategie cenowe i ofertowe,
kody źródłowe i dokumentację techniczną,
wewnętrzne procedury i raporty analityczne.
Jeśli taki ruch przechodzi przez darmowy VPN, którego operator może mieć dostęp do metadanych i treści (w zależności od konfiguracji), to bardzo trudno obronić tezę, że firma „podejmuje rozsądne kroki, aby je chronić”.
W potencjalnym sporze sądowym z konkurentem (np. o przejęcie know‑how przez byłego pracownika) może się okazać, że argument „my chronimy nasze dane” jest osłabiony właśnie przez stosowanie nieautoryzowanych, darmowych narzędzi sieciowych.
Odpowiedzialność zarządu i „należyta staranność”
Członkowie zarządu mają obowiązek dochowania należytej staranności w zarządzaniu spółką, w tym w obszarze bezpieczeństwa informacji. To nie oznacza, że muszą sami konfigurować firewalle, ale oczekuje się od nich, że zapewnią adekwatne środki ochrony do skali działalności.
Użycie darmowego VPN w roli kluczowej infrastruktury zdalnego dostępu bardzo trudno obronić jako „należycie staranne” podejście. Szczególnie gdy na rynku istnieją:
rozwiązania klasy biznesowej za rozsądne stawki per użytkownik,
Naruszenie ochrony danych w kontekście darmowego VPN nie kończy się na „wstydzie w mediach”. Pojawia się konkretna tabela opłat, którą ktoś w firmie musi pokryć – bezpośrednio lub pośrednio.
Najczęstsze kategorie kosztów, które w praktyce wychodzą dopiero po incydencie:
kary administracyjne – w przypadku RODO mogą być dotkliwe nawet dla średniej firmy, szczególnie gdy organ uzna, że wykorzystanie niesprawdzonego VPN było rażącym zaniedbaniem,
roszczenia cywilne klientów – po wycieku danych coraz częściej pojawiają się pozwy zbiorowe lub indywidualne roszczenia o odszkodowanie,
koszty działań naprawczych – wdrożenie na szybko „prawdziwej” infrastruktury zdalnego dostępu, audyty powłamaniowe, dodatkowe licencje,
utracone lub opóźnione kontrakty – partnerzy korporacyjni potrafią wstrzymać współpracę do czasu wyjaśnienia incydentu i przeprowadzenia ponownego audytu bezpieczeństwa,
koszty komunikacji kryzysowej – przygotowanie oświadczeń, infolinii dla klientów, obsługa PR, praca prawników.
Paradoks polega na tym, że firmy decydują się na darmowy VPN, żeby „zaoszczędzić kilka tysięcy rocznie”, a potem płacą wielokrotność tej kwoty, gdy temat trafi do inspektora lub sądu.
Odpowiedzialność osobista menedżerów IT i IOD
Choć główny ciężar prawny spoczywa na zarządzie, w praktyce po incydencie pojawia się pytanie: kto to zaakceptował? Wtedy na dywanik trafiają CTO, CIO, szefowie bezpieczeństwa, często także inspektor ochrony danych.
Jeśli w dokumentach istnieją zapisy o minimalnych standardach bezpieczeństwa dostawców, a mimo to w firmie funkcjonował darmowy VPN bez jakiejkolwiek umowy i oceny ryzyka, to trudno obronić się argumentem „nie wiedzieliśmy”.
Konsekwencje bywają różne:
od odpowiedzialności dyscyplinarnej i utraty stanowiska,
przez osobiste roszczenia regresowe w skrajnych przypadkach rażącego niedbalstwa,
po trwały ślad w reputacji zawodowej w wąskim gronie branżowym.
Dlatego nawet jeśli nacisk na „tanie” rozwiązanie pochodzi z góry, menedżer odpowiedzialny za IT powinien mieć na biurku notatkę ryzyka, jasno opisującą skutki wejścia w model darmowego VPN. Brak takiego dokumentu to problem sam w sobie.
Dlaczego „zaufany, polecany darmowy VPN” dalej jest zły dla firmy
Reputacja wśród użytkowników a wymagania biznesu
Popularne rankingi VPN‑ów w sieci oceniają przede wszystkim komfort użytkownika domowego: prędkość, liczbę serwerów, możliwość oglądania serwisów streamingowych, może prostotę aplikacji. To zupełnie inna lista priorytetów niż w firmie.
W środowisku biznesowym kluczowe są aspekty, które w takich zestawieniach prawie się nie pojawiają:
przejrzyste umowy i możliwość ich negocjacji,
modele odpowiedzialności i ubezpieczenia OC dostawcy,
integracja z istniejącą infrastrukturą (AD/LDAP, IdP, logowanie SSO),
dostępność logów technicznych pod audyt i reagowanie na incydenty.
To, że „wszyscy polecają” dany darmowy VPN na forach dla graczy czy cyfrowych nomadów, nie ma żadnego przełożenia na jego przydatność jako elementu krytycznej infrastruktury firmy. To inna liga wymagań i inny poziom odpowiedzialności za skutki awarii.
„No‑logs policy” kontra realne potrzeby śledcze w firmie
Bardzo medialnym hasłem jest „no‑logs policy”. Dla użytkownika prywatnego brzmi atrakcyjnie. Dla firmy – niekoniecznie.
W razie incydentu bezpieczeństwa, wycieku danych lub sabotażu wewnętrznego dział bezpieczeństwa potrzebuje:
informacji, kto, kiedy i z jakiego adresu łączył się z zasobami,
możliwości korelacji zdarzeń z logami serwerów i aplikacji,
danych technicznych, które pomogą odtworzyć wektor ataku.
Darmowy VPN pochwali się, że „nic nie loguje”, ale jednocześnie nie da żadnego wsparcia, gdy trzeba wyjaśnić, skąd wzięło się nietypowe połączenie do wrażliwego systemu z nietypowego kraju.
Rozwiązania biznesowe często oferują kontrolowane logowanie, z podziałem na dane operacyjne (niezbędne do bezpieczeństwa) i minimalizację danych osobowych. Taka konfiguracja pozwala chronić prywatność pracowników, a jednocześnie nie wiąże rąk przy dochodzeniu przyczyn incydentu.
Darmowy, ale jednak marketingowy – zbieranie danych w tle
Nawet „zaufany” darmowy VPN zwykle ma jakiś model monetyzacji. Popularne schematy to:
sprzedaż danych statystycznych i telemetrycznych w zagregowanej formie,
wykorzystywanie zachowań użytkowników do profilowania pod reklamę,
tworzenie „premium” wersji płatnych finansowanych ruchem z bezpłatnej.
Na poziomie użytkownika indywidualnego można uznać, że jest to akceptowalny kompromis. Dla firmy, która wysyła przez tunel zapytania do aplikacji biznesowych, to ryzyko wycieku wzorców działania, godzin pracy, kluczowych systemów i stosu technologicznego.
Nawet jeśli dane są „anonimizowane”, z perspektywy konkurenta lub podmiotu przeprowadzającego atak wystarczy często sama wiedza, jakie domeny są odwiedzane najczęściej i jaki jest typowy wolumen ruchu. To podpowiada, gdzie boleśnie uderzyć.
„Przecież mamy wersję Pro” – dlaczego to nadal nie jest rozwiązanie firmowe
Część dostawców darmowych VPN oferuje płatne plany „Pro” lub „Premium”. Marketingowo wygląda to jak naturalna ścieżka rozwoju: najpierw za darmo, potem za niewielką opłatą. Problem w tym, że takie oferty bardzo często są projektowane wciąż z myślą o kliencie indywidualnym.
Nawet jeśli płacisz, wciąż możesz nie dostać:
własnej umowy z indywidualnie uzgodnioną odpowiedzialnością,
możliwości whitelistingów IP, rozdzielnych profili dostępowych czy integracji z VPN‑em site‑to‑site,
dedykowanego wsparcia technicznego i SLA adekwatnego do pracy 24/7,
pełnej dokumentacji do audytów (ISO 27001, SOC 2, raporty pen‑testów).
Efekt jest taki, że firma płaci, ale wciąż nie ma tego, co najważniejsze z punktu widzenia ryzyka. To trochę jak kupienie „półprofesjonalnego” sprzętu – lepszy od hobbystycznego, ale w krytycznym momencie i tak zawiedzie.
„Bo i tak używamy tylko do oglądania czegoś po pracy” – szara strefa na służbowych urządzeniach
Częsty argument w firmach brzmi: „pracownicy mają darmowy VPN tylko po to, żeby obejrzeć coś po godzinach w hotelu, przecież nie używają go do pracy”. Niestety, granica między „tylko prywatnie” a „przez przypadek” szybko się zaciera.
Typowy scenariusz wygląda tak:
pracownik łączy się po pracy z darmowym VPN na służbowym laptopie,
zapomina wyłączyć tunelu i rano normalnie zaczyna dzień pracy,
połączenia do firmowych systemów lecą już przez darmowy węzeł,
w logach partnerów lub operatora pojawia się ruch z nietypowych lokalizacji.
Formalnie firma nie ma żadnej kontroli ani nad tym, gdzie kończy się ten ruch, ani jakie dane przechodzą przez obcy serwer. A jednocześnie w razie incydentu za konsekwencje odpowiada organizacja, nie pracownik.
Alternatywy dla darmowego VPN: jakie opcje w ogóle istnieją
Klasyczne VPN‑y biznesowe (IPsec, SSL) – kiedy mają sens
Najbardziej oczywista alternatywa to klasyczne, komercyjne VPN‑y biznesowe: urządzenia lub usługi oparte o IPsec lub SSL/TLS, często oferowane jako część rozwiązań firewalli nowej generacji.
Sprawdzają się szczególnie, gdy:
firma ma stabilną, relatywnie przewidywalną infrastrukturę on‑premise lub w jednym głównym data center,
przeważa dostęp do wewnętrznych sieci (np. plików, drukarek, systemów ERP) zamiast rozproszonych aplikacji SaaS,
potrzebna jest ścisła kontrola ruchu na poziomie sieci, a nie tylko aplikacji.
Minusy? Takie rozwiązania mogą być kosztowne w utrzymaniu i skomplikowane przy rosnącej liczbie lokalizacji czy pełnym przejściu do chmury. Jeśli firma szybko się skaluje lub korzysta z wielu usług SaaS, rozbudowane hub‑and‑spoke na VPN potrafią stać się wąskim gardłem.
SD‑WAN z wbudowanym szyfrowaniem – dla firm z wieloma lokalizacjami
Dla organizacji rozwleczonych geograficznie (oddziały, sklepy, magazyny) naturalnym kierunkiem są rozwiązania SD‑WAN. Oferują one szyfrowanie ruchu między lokalizacjami i centralą, optymalizację ścieżek, a także lepsze wykorzystanie łącz internetowych niż klasyczne MPLS.
Kluczowe zalety w porównaniu z „domowym” VPN:
centralne zarządzanie politykami dostępu i priorytetyzacją ruchu,
skrojone pod firmy SLA i wsparcie techniczne,
integracja z zaporami, filtrowaniem treści i rozwiązaniami bezpieczeństwa na brzegu sieci.
Z perspektywy mniejszych firm barierą bywa wejściowy koszt i złożoność. Dlatego SD‑WAN najlepiej sprawdza się, gdy liczba lokalizacji jest na tyle duża, że chaos z setkami pojedynczych tuneli VPN stałby się nie do opanowania.
Zero Trust Network Access (ZTNA) – gdy większość systemów jest w chmurze
Coraz popularniejszym podejściem jest ZTNA, czyli dostęp do zasobów bez budowania tradycyjnego tunelu sieciowego. Użytkownik nie „wchodzi” do całej sieci firmowej, tylko dostaje ściśle określony dostęp do konkretnych aplikacji, na podstawie tożsamości, kontekstu urządzenia i reguł polityki.
ZTNA ma największy sens, gdy:
większość kluczowych systemów jest już w chmurze (SaaS, PaaS, IaaS),
pracownicy łączą się z różnych lokalizacji, w tym z sieci publicznych,
firma chce ograniczyć zaufanie do urządzenia końcowego i nadaje priorytet tożsamości użytkownika.
Nie jest to „magiczna różdżka”, bo wymaga inwestycji w porządny system tożsamości (IdP), MFA, polityki warunkowego dostępu i dobrej segmentacji aplikacji. Jednak w perspektywie kilku lat taki model zwykle redukuje powierzchnię ataku bardziej niż dokładanie kolejnych tuneli VPN‑owych.
Bezpośredni dostęp do SaaS z kontrolą tożsamości (IdP, CASB)
Dla wielu mniejszych organizacji okazuje się, że klasyczny VPN jest w ogóle zbędny, bo 80–90% zasobów to aplikacje SaaS: CRM, poczta, komunikatory, systemy księgowe. Zamiast budować tunel do sieci, sensownie jest skupić się na kontroli tożsamości i ruchu do chmury.
Praktyczne komponenty takiego podejścia to m.in.:
centralny dostawca tożsamości (IdP) z logowaniem SSO do wszystkich kluczowych usług,
wymuszone logowanie wieloskładnikowe (MFA), najlepiej oparte o aplikacje uwierzytelniające lub klucze sprzętowe,
narzędzia CASB monitorujące dostęp do aplikacji w chmurze i wykrywające nietypowe zachowania,
polityki dostępu oparte na kontekście (lokalizacja, rodzaj urządzenia, pora dnia).
Takie podejście nie rozwiąże problemu dostępu do pojedynczych zasobów on‑premise, ale w wielu firmach redukuje potrzebę „pełnego” VPN do jednego, dobrze opanowanego rozwiązania dla wąskiej grupy użytkowników (np. dział księgowości łączący się z lokalnym systemem bazodanowym).
VPN jako usługa zarządzana (MSSP) – gdy nie ma własnego zespołu bezpieczeństwa
Jeśli wewnętrzny zespół IT jest mały i zajęty bieżącą obsługą użytkowników, sensowną opcją bywa powierzenie tematu zdalnego dostępu i ochrony ruchu zewnętrznemu dostawcy typu MSSP (Managed Security Service Provider).
Korzyści takiego modelu w porównaniu z samodzielnym składaniem „tanich klocków”:
dostawca bierze na siebie konfigurację, monitoring i reagowanie na incydenty w kanale VPN,
firma dostaje z góry zdefiniowane procedury i raporty pod audyty i RODO,
łatwiej oszacować całkowity koszt – zwykle jako stawka per użytkownik lub per lokalizacja.
Pułapka polega na wyborze najtańszego MSSP, który formalnie zapewni usługę, ale w praktyce nie będzie miał zasobów na rzeczywisty monitoring. Tu potrzebna jest rozsądna weryfikacja kompetencji i referencji, a nie tylko porównanie cenników.
Model hybrydowy: VPN tylko tam, gdzie naprawdę potrzebny
Bibliografia
NIST Special Publication 800-77: Guide to IPsec VPNs. National Institute of Standards and Technology (2020) – Wytyczne dot. projektowania i zabezpieczania firmowych VPN IPsec
NIST Special Publication 800-46 Revision 2: Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security. National Institute of Standards and Technology (2016) – Zalecenia dla bezpiecznego dostępu zdalnego i roli VPN w firmach
ISO/IEC 27001: Information security, cybersecurity and privacy protection — Information security management systems — Requirements. International Organization for Standardization (2022) – Norma zarządzania bezpieczeństwem informacji, kontekst dla użycia VPN
