Pokud existuje jedna věc, kterou by si váš technologický start-up měl odnést z roku 2025, pak je to, že žádná firma není příliš malá na to, aby se stala terčem kyberzločinců. Ve skutečnosti jsou malé a střední podniky nyní atraktivnějšími vyhlídkami pro ransomware než původní (legacy) podniky, a to díky jejich omezeným zdrojům a cenným údajům o zákaznících.

Start-upům často chybí znalosti nebo zdroje, které potřebují k tomu, aby ve svém podnikání včas činily dobrá rozhodnutí. Oslovili jsme odborníka na IT bezpečnost, který často spolupracuje s technologickými start-upy, abychom získali přehled o tom, co podniky potřebují vědět, když teprve začínají.

Gary Power, provozní ředitel a ředitel klientských služeb ve společnosti Power Consulting(nové okno), má 25 let zkušeností v odvětví outsourcovaného IT. Společnost Power Consulting úzce spolupracuje s podniky všech velikostí ve všech odvětvích a poskytuje služby včetně spravovaných IT služeb, strategického plánování IT a auditů a služeb v oblasti kybernetické bezpečnosti.

Mluvili jsme s Garym, abychom pochopili, kde technologické start-upy dělají chyby na začátku svého podnikání.

Vaše firma není příliš malá na opatření v oblasti kybernetické bezpečnosti

Pomocí naší Observatoře úniků dat Proton sledoval uniklá firemní data na dark webu, aby pochopil, na koho hackeři cílili a jak byly podniky napadeny. Odhalili jsme 794 úniků informací v celkovém počtu více než 300 milionů uniklých záznamů a ukázalo se, že menší organizace jsou stále více ohroženy.

Vaše firma může těžit ze zkoumání toho, jak a proč byly jiné podniky zasaženy úniky dat. Poznatky získané z Observatoře úniků dat, stejně jako naše doporučení týkající se kybernetické bezpečnosti pro technologické start-upy, naleznete v naší nejnovější elektronické knize, The breaches that broke 2025.

Stáhnout e-knihu

Ať už selhala jejich správa přihlašovacích údajů, nebo nedokázaly využít ochranná opatření, jako je koncové šifrování, zdá se, že malé a střední podniky dělají ve svých bezpečnostních postupech zásadní chyby. A pokud malé podniky zůstanou zranitelné vůči kybernetickým hrozbám, nakonec to poškodí průmyslová odvětví a inovace po celém světě tím, že to omezí růst podnikání.

Gary poznamenává, že klíčovou součástí adekvátní ochrany vaší firmy je změna vašeho myšlení, pokud jde o bezpečnostní opatření, která používáte.

„Zpočátku si zakladatelé obvykle kladou reaktivní otázky typu ‘Potřebujeme to?’ nebo ‘Není to pro naši velikost zbytečně moc?’ Jak dospívají, otázky se posouvají k ‘Co by nás skutečně zastavilo před napadením?’ a ‘Jak můžeme bezpečně škálovat, aniž bychom zpomalili podnikání?’“

Místo přeskakování kroků, jak se vaše firma etabluje, investujte do své kybernetické bezpečnosti hned od začátku. Koneckonců, jak říká Gary: „Nejúspěšnější zakladatelé si uvědomují, že bezpečnost je prostředkem, nikoli překážkou.“

Původní (legacy) nástroje nejsou automaticky bezpečné

Když je čas vybrat nástroje, jako jsou řešení pro e-mail, disk a správce hesel, které bude vaše firma používat, váš výběr hraje velkou roli. Gary varuje před předpokladem, že populární a moderní řešení budou automaticky tou nejbezpečnější volbou.

„Největším slepým místem je předpoklad, že bezpečnost je ‘implicitní’, protože používají moderní nástroje nebo cloudové platformy. Zakladatelé se často domnívají, že Microsoft 365, Google Workspace nebo AWS automaticky znamenají bezpečí. Ve skutečnosti většina úniků informací pramení ze špatné konfigurace, slabých kontrol identity, špatné hygieny přístupu a nedostatečného sledování – nikoli z exotických hackerských technik.“

Nemusí to znít pozitivně, ale je: Je mnohem těžší předvídat a předcházet sofistikovaným hackerským technikám, než je vybudovat silné postupy správy identity a sledování v rámci vaší sítě. K problémům, na které Gary upozorňuje, lze přistupovat pomocí následujícího:

Lidská chyba je vážnou hrozbou

Nezáleží na tom, zda jsou vaše nástroje bezpečné, pokud nejsou používány bezpečně. Lidská chyba je ve skutečnosti jednou z největších kybernetických hrozeb pro vaši firmu. Plochy útoků rostou exponenciálně díky složitosti moderních podnikových sítí, které vyžadují, aby si členové týmu vytvářeli desítky účtů s jedinečnými hesly a potenciálně k těmto účtům přistupovali ze svých osobních zařízení.

„Další velkou chybou je podceňování lidského rizika: phishing, opakované používání přihlašovacích údajů a nespravovaná zařízení jsou obvykle vstupní branou.

Tato rizika lze přičíst nedostatečnému povědomí o kybernetické bezpečnosti a nejasným očekáváním ohledně toho, jak nebo zda lze k vaší podnikové síti přistupovat prostřednictvím osobních zařízení členů týmu. Naštěstí je lze snadno řešit pomocí dvojího přístupu v podobě zásad a vzdělávání:

„Raná rozhodnutí se stávají trvalými výchozími nastaveními,“ říká Gary. „Modely identity, umístění dat, přístup správce a standardy zařízení se později neuvěřitelně těžko ruší – zejména jakmile jsou zapojeni zákazníci, investoři a regulátoři. Bezpečnostní dluh narůstá stejně jako technický dluh. Je mnohem levnější a méně rušivé nastavit dobrá svodidla včas, než dodatečně montovat kontroly po úniku informací, selhání auditu nebo odmítnutí kybernetického pojištění.“

Základy bezpečnosti jsou důležitější než nástroje

Nástroje nejsou jediným hlediskem, které musí podniky zvážit při vstupu na trh. Vaše IT infrastruktura bude diktovat, jak bezpečně mohou členové týmu pracovat, jak dobře můžete odhalit rizika a jak rychle můžete zmírnit problémy.

Gary vysvětluje, jak odborníci ze společnosti Power Consulting přistupují k nastavování IT a kybernetické bezpečnostní infrastruktury pro start-upy. „Zaměřujeme se na základy před naleštěnými nástroji.“

  • Nastavte silné zásady identity a správy přístupu, včetně MFA a principu „nejnižších privilegií“, což znamená, že lidé by měli mít přístup pouze k systémům, které potřebují.
  • Zabezpečte své koncové body, včetně osobních zařízení zaměstnanců, hned od prvního dne. Software pro správu zařízení vám může pomoci sledovat, kdo se přihlašuje do vaší sítě a odkud.
  • Používejte centralizované logování a sledování, aby problémy jako neoprávněný přístup nebo úniky informací z účtu nezůstaly bez povšimnutí.
  • Připravte se na událost pomocí vhodných nástrojů pro zálohování a obnovu, jako jsou neměnné zálohy (které nelze po vytvoření změnit) nebo ochrana mimo pracoviště (offsite), kam se kritická data odesílají a ukládají mimo vaše hlavní sídlo firmy.

Postavením svého podnikání na pevných základech nakonec investujete do bezpečnějšího podnikání pro svou budoucnost. Čas strávený budováním bezpečné infrastruktury stojí za peníze, které ušetříte, a riziko, kterému se z dlouhodobého hlediska vyhnete.

Udělejte si čas na správné nastavení

Gary doporučuje zaměřit se na architekturu vaší identity, protože to je oblast s nejvyšším dopadem na bezpečnost. Každý člen týmu má digitální identitu, která mu umožňuje přístup k datům a nástrojům, které potřebuje ve vaší podnikové síti, a dobrá konfigurace v tomto ohledu je do budoucna rozhodující.

„Špatná architektura identity se nejhůře napravuje – sdílené účty, slabé přijetí MFA a příliš mnoho správců vytvářejí dlouhodobé riziko,“ vysvětluje Gary. „Nekontrolované šíření nestrukturovaných dat je dalším velkým problémem; jakmile jsou citlivá data roztroušena po osobních discích, e-mailových schránkách a nespravovaných SaaS aplikacích, znovuzískání kontroly je bolestivé. A nakonec nedostatek dokumentace a vlastnictví v rané fázi vede ke zmatkům a slepým místům, jak týmy rostou.“