Firmy často fungují na technologický dluh. Hackne je dvanáctiletý kluk z Indie

Jaké typy kyberútoků jsou dnes nejčastější?

Nejčastěji firmy řeší útoky ransomwaru, trvá to už posledních pět let, možná i více. Je to výnosný byznys a má už několik různých variant.

Ransomware zašifruje data a útočníci chtějí po firmě za navrácení dat výkupné. Platit, nebo neplatit?

Zašifrování dat a výkupné byl první model útoků, od té doby už ransomware prošel generačními obměnami. Další verzí je, že útočníci ukradnou data, pak je zašifrují, chtějí výkupné a hrozí, že pokud je nedostanou, tak data zveřejní. Variací je také, že prodají přístup do vaší firmy dalším útočníkům. Obecně je však důležité neplatit, protože tím povzbuzujeme byznys model útočníků. Navíc nemáme jistotu, že útočníci i po zaplacení data stejně někomu neprodají. V některých zemích může být jednatel, který rozhodl o zaplacení výkupného útočníkům, dokonce stíhán pro napomáhání organizovanému zločinu.

Jaká jiná východiska kromě placení jsou?

Nejčastěji se stává, že je poškozena jen část organizace nebo firmy, třeba jen třicet nebo šedesát procent. Je proto možné nepoškozenou část firmy izolovat, zabezpečit a postupně získat zpět napadenou část dat, například obnovováním ze záloh.

Jsou české firmy připravené na nový zákon o kyberbezpečnosti NIS2, nebo je změna zastihne nepřipravené?

I větší a technologicky vyspělejší firmy, které už dnes podléhají regulaci, zůstávají často zranitelné. Nejvíce ohrožené jsou však středně velké, až větší firmy – jsou atraktivním cílem, protože mají peníze, fungují digitálně a mají co ztratit. Zároveň si ale často ještě nevybudovaly vlastní bezpečnostní tým. Až dosud převažoval postoj: „Na komplexní kyberzabezpečení nemáme rozpočet, tak raději neuděláme nic, nebo jen to nejnutnější.“ Spoléhaly na to, že útok je třeba mine. Nyní tyto firmy vyčkávají, jak přesně bude nový zákon vypadat, aby se nepouštěly do kroků navíc. O prodlení tedy nejde – spíš o strategické vyčkávání.

Zašifrovali jsme vám firemní data, dejte nám peníze. Expert na kyberbezpečnost vysvětluje, jak vyjednávat s hackery

26. 6. 2025 ▪ 8 min. čtení

Určuje nový zákon o kyberbezpečnosti, že se bude vztahovat na firmy podle počtu zaměstnanců?

Ano, kromě kritéria ročního obratu nad deset milionů eur a vybraných odvětví je tam také kritérium počtu zaměstnanců nad padesát. Ale nemyslím si, že by NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) hned začal obcházet a pokutovat malé firmy. To určitě není cílem. Alespoň ne v prvních dvou letech platnosti zákona.

Jaké tedy mají být první kroky firmy, která dosud nedělala pro kyberbezpečnost nic a nyní chce začít?

Spousta těchto firem funguje na takzvaný technologický dluh. Používají třeba Windows XP nebo 2003, pracují s 25 let starou technikou a poslední člověk, který věděl, jak funguje, odešel před deseti lety do důchodu. V této situaci má smysl začít s úklidem a dostat ten podnik technologicky do roku 2025. Když bude mít moderní operační systém, moderní aplikace a bude používat běžná zabezpečení jako dvoufaktorovou autentizaci, spousta věcí se tím sama vyřeší. Je to mnohem lepší než žít na systému, který už výrobce dvanáct let nepodporuje a umí jej hacknout dvanáctiletý kluk z Indie.

Musí si na to firmy někoho najímat, nebo to zvládnou většinou svépomocí?

Jako střední beru podnik od dvou set do dvou tisíc zaměstnanců. Většinou jejich IT nebo security oddělení buď vůbec neexistuje, nebo je poddimenzované. Ti ajťáci většinou dělají, co mohou, ale nelze očekávat, že v jednom nebo dvou lidech zvládnete všechno, od tiskárny po detekci hackerského útoku. Taková firma může zainvestovat a posílit své IT a security oddělení, a dramaticky tak zvýšit své náklady na zaměstnance a technologie.

Druhá možnost je, že jednorázově zaplatí externí firmě, třeba systémovému integrátorovi nebo konzultační společnosti, a pojme to spíše projektově. Řekne: My se chceme letos posunout o významný krok tímto směrem, udělejte to. A až našetříme další peníze, provedeme další krok. Třetí možnost – a to je trend posledních pár let – je security outsourcing, tedy forma poskytování bezpečnosti jako služby. Dodavatel kyberbezpečnosti provozuje security za danou firmu a ona se tak může soustředit na svůj hlavní byznys. Tato varianta je v Česku stále oblíbenější, je to trend, který přišel z Velké Británie a USA.

Nabízejí tyto externí firmy záruky, že pod jejich správou k úspěšnému útoku určitě nedojde?

Možná to bude ostré tvrzení, ale pokud nějaká firma říká, že pod jejich správou vás nikdo nehackne, tak lže. Není možné tohle zaručit. Kyberbezpečnostní firma může pouze garantovat, že udělá maximum podle posledního vývoje v oboru. Může také zaručit – a my to rovněž zaručujeme –, že pokud vás někdo hackne, do dvou hodin s vámi ten útok začnou řešit. Budete mít k dispozici tým, který se specializuje na řešení bezpečnostních incidentů a souboj s hackery. V dnešní době přitom už díky technologickému pokroku máme k dispozici technologie, které umožňují efektivní obranu. To nebylo dřív samozřejmostí. Míra zabezpečení je tak dnes více než technologickými možnostmi limitována rozhodnutím vedení. Jednu dobu také bylo mezi firmami a pojišťovnami populární nabízet pojištění proti kyberútokům, ale mnoho pojišťoven od toho ustupuje, protože útoků je opravdu hodně a finančně na tom krvácely.

Které zabezpečovací principy by každá firma měla mít, aby byla alespoň základním způsobem chráněná?

Znovu zdůrazním, že software, hardware a služby musí být současné a aktuální, nikoli zastaralé. Ze security oblastí je to dále zálohování dat, které je proti ransomwarovým útokům efektivní obranou. Nemělo by se samozřejmě zálohovat na systémy, které jsou připojené ke stejné síti, již zálohují. Je to logické, protože cílem útočníků je ty zálohovací servery najít a napadnout zálohy. Když se jim to podaří, ještě posilují svou pozici při požadování výkupného. Pokud má firma kvalitní zálohy, které dejme tomu jednou měsíčně odveze do odděleného data centra nebo do trezoru, je v daleko lepší pozici, protože jí hrozí maximálně ztráta dat za poslední měsíc, a nemusí se tedy tak moc s útočníky bavit. Dále je to vícefaktorová autentizace. Všichni ji známe z mobilního bankovnictví. Přístup do důležitého systému pouze pomocí jména a hesla je špatně, v dnešní době už by tohle vůbec nemělo být. Nějaké potvrzení, ať už minimálně pomocí SMS nebo přes aplikaci, je velmi žádoucí. Bezpečnost přihlášení to zvyšuje několikanásobně.

Kybernetická bezpečnost

Stáhněte si přílohu v PDF

Dá se na kyberútok nějak připravit?

Ano, dá a velmi to pak zjednodušuje situaci. Firma by například měla vědět, kdo je v případě útoku zodpovědný danou situaci řešit. A nemusí to být nutně security pracovník – ten často neexistuje, ale třeba člen boardu nebo IT manažer. Musí být jasné, kdo bude v minutách a hodinách po útoku koordinovat průchod tou situací a co k tomu potřebuje. Často to s klienty simulujeme. Na čtyři hodiny si sedneme na jedno místo a představíme si, že právě ve firmě přestaly fungovat všechny počítače. Útok se zhoršuje, hackeři říkají, že půjdou do médií, že v nich zveřejní špinavá tajemství o vaší firmě. Vzácná situace je, že firma řekne, že na obranu mají určený postup a že ho před půl rokem testovali. Většinou jde spíše o brainstorming, kdy se vedení rozhoduje, co kdo bude dělat. Ale už tento nácvik velmi pomůže utřídit si myšlenky, a když skutečně k útoku dojde, už trochu vědí, jak postupovat.

Zažil jsem třeba situaci, kdy CFO firmy řekl: Tak bychom to obnovili ze záloh, ne? Šéf IT ale upozornil, že před dvěma lety dané systémy zálohovat přestali, protože se krátil rozpočet. Výsledkem simulace bylo, že o půl roku později ta firma zálohování obnovila. CFO pochopil, že kdyby opravdu přišel útok ransomwarem, tak z jeho rozhodnutí by firma nebyla schopna se bránit.

Text vznikl ve spolupráci se společností PwC.

Článek byl publikován ve speciální příloze HN Kybernetická bezpečnost.