Představte si, že přijdete v pondělí ráno do práce, zapnete počítač a místo známé plochy na vás vyskočí výhružná hláška: „Vaše soubory jsme zašifrovali. Za jejich odemčení zaplaťte 40 000 dolarů v bitcoinech." Faktury, smlouvy, účetnictví, fotky z realizací – všechno je rázem nečitelná změť znaků. Tohle není scénář z filmu. Tohle je ransomware a v Česku se s ním denně potýkají firmy, o kterých byste to nikdy neřekli.

Dobrá zpráva je, že ransomware není přírodní katastrofa, proti které jste bezmocní. Je to riziko, které se dá výrazně snížit několika rozumnými opatřeními. V tomto článku si vysvětlíme, co ransomware vlastně je, proč jdou útočníci čím dál častěji i po malých a středních firmách, jak se bránit a – což je možná nejdůležitější – co přesně dělat v prvních hodinách po napadení.

Co je ransomware a jak se k vám dostane

Ransomware (z anglického „ransom" – výkupné) je škodlivý program, který zašifruje data na vašich počítačích a serverech tak, že jsou bez speciálního klíče nepoužitelná. Tento klíč drží útočník a slibuje, že vám ho předá výměnou za výkupné. Modernější verze jdou ještě dál: data si nejdřív stáhnou k sobě a vyhrožují, že je zveřejní nebo prodají, pokud nezaplatíte. Tomu se říká „dvojité vydírání" a je nepříjemné v tom, že ani perfektní zálohy vás úplně neuchrání před únikem citlivých informací.

Jak se k vám škodlivý kód dostane? Nejčastějšími cestami jsou:

  • Phishingové e-maily – falešná faktura, fingovaná zpráva od kurýrní služby nebo „urgentní" požadavek od šéfa. Stačí, aby zaměstnanec klikl na přílohu nebo odkaz.
  • Zranitelnosti v neaktualizovaném softwaru – útočníci aktivně skenují internet a hledají servery a aplikace, které nemají nainstalované bezpečnostní záplaty.
  • Slabá nebo ukradená hesla – zejména u vzdáleného přístupu (RDP, VPN). Pokud nemáte vícefaktorové ověření, stačí jedno uniklé heslo.
  • Napadené dodavatelské řetězce – útok přijde přes legitimní software třetí strany, kterému důvěřujete.
⚠️
Většina úspěšných útoků nezačíná žádným geniálním hackerským trikem, ale obyčejným kliknutím unaveného člověka na špatný e-mail. Technologie jsou důležité, ale nejslabším článkem zůstává člověk – a právě proto je školení lidí tak zásadní.

Proč jdou útočníci i po malých firmách

Panuje rozšířený mýtus: „My jsme malá firma, kdo by se s námi obtěžoval?" Realita je přesně opačná. Malé a střední firmy jsou pro útočníky ideální terč – mají dost peněz na to, aby zaplatily výkupné, ale zpravidla nemají takovou úroveň zabezpečení jako velké korporace s celými bezpečnostními odděleními.

Navíc dnešní útoky často nejsou cílené na konkrétní firmu. Útočníci nasadí automatizované nástroje, které „loví" zranitelné systémy plošně po celém internetu. Je jim jedno, jestli jste pekárna, autoservis nebo účetní kancelář. Zajímá je jediné: dostanou se dovnitř, nebo ne?

73 %kybernetických útoků míří na malé a střední firmy
21 dníprůměrná doba výpadku provozu po útoku
60 %malých firem ukončí činnost do půl roku po vážném incidentu

Tato čísla nemají vyvolat paniku, ale připomenout, že jde o reálné podnikatelské riziko – stejné jako požár nebo povodeň. A stejně jako proti nim se proti ransomwaru dá pojistit a hlavně připravit.

Jak se bránit: sedm pilířů obrany

Účinná obrana není jeden zázračný produkt, ale vrstvení několika opatření. Když selže jedno, zachytí útok další. Tady je sedm pilířů, na kterých byste měli stavět.

1. Zálohy podle pravidla 3-2-1 (a aspoň jedna immutable)

Záloha je vaše záchranná síť. Pravidlo 3-2-1 říká: mějte 3 kopie dat na 2 různých typech médií a 1 kopii mimo firmu (offsite). Naprosto klíčové je, aby alespoň jedna záloha byla immutable – tedy neměnná, kterou nelze přepsat ani smazat, dokud neuplyne nastavená doba. Bez toho vám útočníci zašifrují i samotné zálohy a celá ochrana je k ničemu.

🔒
Záloha, kterou jste nikdy nezkusili obnovit, není záloha – je to zbožné přání. Pravidelně testujte obnovu dat. Nejhorší možný okamžik, kdy zjistíte, že zálohy nefungují, je ten, kdy je zoufale potřebujete. Rozdíl mezi zálohou a archivací jsme rozebrali v samostatném článku.

2. Vícefaktorové ověření (MFA)

MFA znamená, že k přihlášení nestačí jen heslo, ale je potřeba ještě druhý faktor – typicky kód z mobilní aplikace. I když útočníkům unikne heslo, bez vašeho telefonu se nikam nedostanou. MFA zapněte všude, kde to jde: e-mail, vzdálený přístup, cloudové služby, administrace.

3. Aktualizace a záplaty

Neaktualizovaný systém je jako otevřené okno do prvního patra. Operační systémy, aplikace i firmware na síťových prvcích aktualizujte pravidelně a co nejdříve. Většina úspěšných útoků zneužívá zranitelnosti, na které dávno existuje oprava – jen ji nikdo nenainstaloval.

4. EDR místo obyčejného antiviru

Klasický antivirus pozná jen známé hrozby podle „otisku". Moderní ochrana typu EDR (Endpoint Detection and Response) sleduje chování systému a dokáže odhalit i útok, který nikdy předtím neviděla – například podle toho, že nějaký proces začne náhle masivně šifrovat soubory.

5. Segmentace sítě

Rozdělte síť do oddělených částí. Když se útočník dostane do jedné oblasti, segmentace mu zabrání volně se šířit do celé firmy. Účetní oddělení nemusí mít přístup ke všemu, výroba nemusí vidět na servery a podobně.

6. Princip nejmenších oprávnění

Každý uživatel by měl mít přístup jen k tomu, co skutečně potřebuje ke své práci. Běžní zaměstnanci nepotřebují administrátorská práva. Čím méno účtů má vysoká oprávnění, tím menší škody útočník napáchá.

7. Školení lidí

Protože nejčastější vstupní branou je člověk, investice do pravidelného školení zaměstnanců se vyplatí mnohonásobně. Lidé, kteří poznají phishing a vědí, že mají raději jednou zbytečně zavolat na IT podporu, jsou vaše první obranná linie.

OpatřeníCo řešíNáročnost zavedení
Zálohy 3-2-1 + immutableObnova po útokuStřední
MFAUkradená heslaNízká
AktualizaceZneužití zranitelnostíNízká
EDRNeznámé hrozbyStřední
Segmentace sítěŠíření útokuVyšší
Školení lidíPhishing a sociální inženýrstvíNízká

Spustit audit zdarma

Prověříme bezpečnost vaší domény — výsledek do e‑mailu.

Co dělat, když ransomware udeří: krok za krokem

I při nejlepší obraně se může stát, že útok projde. V takovou chvíli rozhoduje rychlost a chladná hlava. Postupujte podle tohoto plánu:

  1. Okamžitě izolujte zasažená zařízení. Odpojte je od sítě – vytáhněte síťový kabel, vypněte Wi-Fi. Cílem je zastavit šíření. Nevypínejte ale počítače úplně, pokud vám to neporadí odborník; v paměti mohou být cenné stopy.
  2. Nezaplaťte výkupné jako první reakci. Zaplacení negarantuje, že data dostanete zpět, financuje další útoky a dělá z vás atraktivní terč do budoucna. Je to až úplně poslední možnost po konzultaci s odborníky.
  3. Kontaktujte odborníky. Zavolejte svého IT partnera nebo specialisty na kybernetickou bezpečnost. Čím dřív, tím lépe. Pomohou vyhodnotit rozsah, zajistit důkazy a naplánovat obnovu.
  4. Obnovte data ze záloh. Pokud máte funkční a čisté zálohy, je to vaše nejlepší cesta zpět. Před obnovou je ale potřeba mít jistotu, že je síť opět čistá – jinak útok proběhne znovu.
  5. Nahlaste incident. Některé firmy mají zákonnou povinnost hlásit kybernetické incidenty. Téma povinného hlášení rozebíráme v článku o směrnici NIS2. Pokud došlo k úniku osobních údajů, vstupuje do hry i GDPR.
ℹ️
Připravte si plán reakce na incident dřív, než ho budete potřebovat. Vědět předem, koho volat, kde jsou zálohy a kdo o čem rozhoduje, vám v krizi ušetří hodiny chaosu – a hodiny výpadku znamenají reálné peníze.

Prevence se vyplatí: čísla nelžou

Pořád se najdou firmy, které na bezpečnost šetří s tím, že „zatím se nic nestalo". Jenže ekonomika prevence je neúprosná. Investice do zabezpečení bývá zlomkem toho, co stojí náprava úspěšného útoku – nemluvě o ztracené důvěře zákazníků a poškozené pověsti.

Náklady na prevenci jsou viditelné a předem dané. Náklady na následky útoku jsou skryté, nečekané a často mnohonásobně vyšší.

Když si proti sobě postavíte měsíční náklady na rozumné zabezpečení a jednorázové náklady na obnovu po útoku (výpadek provozu, práce specialistů, případné pokuty, ztracené zakázky), výsledek je jasný. Prevence není výdaj, ale pojistka.

Nejčastější mýty o ransomwaru

  • „Máme antivirus, takže jsme v bezpečí." Antivirus je základ, ale moderní útoky umí klasickou ochranu obejít. Potřebujete vrstvenou obranu.
  • „Jsme moc malí, nikdo nás nenapadne." Útoky jsou často plošné a automatizované. Velikost firmy útočníky nezajímá.
  • „Stačí zaplatit a data dostaneme zpět." Část firem, které zaplatí, svá data neobnoví nikdy nebo jen částečně. A stávají se terčem znovu.
  • „Zálohy máme, takže se nemáme čeho bát." Pokud nejsou izolované a immutable, útočník je zašifruje spolu se zbytkem. A pokud je nikdy netestujete, nevíte, jestli fungují.

Co si odnést

  • Ransomware šifruje data a požaduje výkupné; moderní varianty navíc vyhrožují zveřejněním ukradených dat.
  • Malé a střední firmy jsou častým terčem, protože mají peníze, ale slabší zabezpečení.
  • Obrana stojí na vrstvení: zálohy 3-2-1 s immutable kopií, MFA, aktualizace, EDR, segmentace a školení lidí.
  • Při útoku: izolovat, nezaplatit jako první krok, volat odborníky, obnovit ze záloh, nahlásit incident.
  • Prevence je výrazně levnější než náprava následků a mívá podobu měsíční „pojistky".

Nejste si jistí, jak na tom vaše firma s odolností proti ransomwaru je? Nemusíte to řešit sami. Začněte nezávazným online auditem, který odhalí slabá místa, podívejte se na naše služby kybernetické bezpečnosti, nebo nám rovnou napište přes kontaktní formulář. Společně nastavíme obranu tak, abyste pondělní ráno trávili prací, a ne čtením výhružných hlášek.