Když přemýšlíte o nákladech na únik informací, pravděpodobně se vám vybaví pokuty od regulačních orgánů. V reálu jsou však pokuty pouze částí mnohem širšího finančního dopadu. Únik informací může vyvolat právní a forenzní náklady, narušit obchodní operace, zpomalit týmy, poškodit důvěru zákazníků a vyžádat si měsíce práce na obnově.
Tyto náklady jsou zřídkakdy omezeny na jedinou fakturu nebo jedno mediálně zajímavé číslo. Projevují se ve fakturách za forenzní vyšetřování, právní poradenství, práci spojenou s informováním zákazníků, obnovu systémů, narušení chodu podniku, ztrátu produktivity a čas, který vedoucí týmy stráví řešením incidentu namísto řízení podniku.
Podíváme se na to, co únik informací skutečně stojí, a zaměříme se konkrétně na Spojené království, kde počet úniků informací významně roste(nové okno). Vysvětlíme vám, kam tyto náklady obvykle směřují a proč je prevence obvykle mnohem snáze kontrolovatelná než následná reakce.
Kolik stojí únik informací ve Spojeném království
Údaje vlády Spojeného království nám nabízejí užitečné poznatky, je však třeba je vnímat v souvislostech. Ve zprávě Cyber Security Breaches Survey 2025(nové okno) odhadly podniky průměrné náklady na svůj nejzávažnější únik informací nebo útok za posledních 12 měsíců na celkově 1 600 liber, což se zvyšuje na 3 550 liber po vyloučení organizací, které vykázaly nulové náklady.
Stejný průzkum uvádí, že se jedná o odhady založené na vlastním hlášení a mohou podhodnocovat plný finanční dopad. Náklady na únik informací jsou často podceňovány, pokud se podniky zaměřují pouze na bezprostřední incident, protože skutečný finanční dopad se promítá do narušení provozu, prací na obnově, ztráty času a dlouhodobějších komerčních následků.
Pro podniky ve Spojeném království, zejména pro malé a střední firmy (SMB), nemusí každý únik informací znamenat krizi nadnárodního rozsahu. I méně dramatický incident však může způsobit skutečnou finanční a provozní zátěž. Projekt společnosti Proton Data Breach Observatory a jeho analýza pro rok 2026 s názvem Co odhaluje Data Breach Observatory společnosti Proton v roce 2026 potvrzují, jak trvalé a rozšířené toto riziko je. Od začátku roku 2025 bylo nahlášeno 512 úniků informací, které odhalily více než 902 milionů záznamů, přičemž malé a střední podniky se na těchto sledovaných únicích podílely ze 63 %.
Přímé finanční náklady na únik informací jsou teprve začátek
Nejviditelnější náklady na únik informací jsou ty, které může podnik vyfakturovat. Pokud byly například odhaleny údaje o zákaznících nebo zaměstnancích, organizace možná bude muset využít služeb třetích stran. To může zahrnovat právní poradenství, forenzní vyšetřování, podporu při řešení incidentů, práce na zamezení šíření, obnovu systémů a komunikaci se zákazníky.
Pokud únik podléhá oznamovací povinnosti, pojí se s ním také rozsáhlé požadavky na dodržení samotného regulačního procesu, včetně vyhodnocení, dokumentace a podávání zpráv. Úřad ICO uvádí, že organizace jej musí informovat do 72 hodin od okamžiku, kdy se o úniku osobních údajů dozvědí, pokud je pravděpodobné, že povede k ohrožení práv a svobod jednotlivců.
Tyto přímé náklady často eskalují, protože současně probíhá několik pracovních procesů. Podnik může potřebovat vyšetřit, co se stalo, zajistit důkazy, zapojit pojistitele, podpořit dotčené uživatele, opravit systémy, resetovat přihlašovací údaje, zkontrolovat řízení přístupu a paralelně udržovat běžný provoz. To je jeden z důvodů, proč jsou úniky informací málokdy pociťovány jako jediný účet. Přicházejí jako kaskáda naléhavých a překrývajících se úkolů.
Regulační riziko může generovat další náklady. V rámci britského nařízení GDPR a zákona Data Protection Act 2018 může vyšší sazba správních pokut v závislosti na porušení dosáhnout až 17,5 milionu liber nebo 4 % celkového ročního celosvětového obratu, podle toho, která hodnota je vyšší. Stránka o vymáhání(nové okno) úřadu ICO také uvádí, že pokuty jsou i nadále udělovány za selhání v oblasti bezpečnosti a ochrany dat, takže diskuse o nákladech by neměla vymáhání práva považovat za teoretické.
To neznamená, že každý únik informací vede k pokutě nebo že každá pokuta se blíží zákonnému maximu. Znamená to však, že přímé finanční náklady na únik informací ve Spojeném království mohou rychle přesáhnout samotnou nápravu a přejít v regulační riziko, právní podporu a vnější kontrolu.
Větší náklady jsou často nepřímé
Přímé náklady na úniky informací se vyčíslují snáze, protože jsou měřitelné. Obtížnějším aspektem k posouzení je nepřímý dopad, který je často větší a dlouhodobější.
- Provozní odstávka: Únik informací může narušit prodej, poskytování služeb, finanční operace, zákaznickou podporu, zpracování mezd nebo přístup zaměstnanců k hlavním systémům. I když se samotný incident podaří dostat pod kontrolu relativně rychle, období obnovy se může protáhnout, zatímco týmy znovu budují systémy, ověřují integritu dat, aktualizují přihlašovací údaje, obnovují přístup a zpracovávají nahromaděnou práci.
- Odchod zákazníků: Ne každý zákazník odejde hned po úniku informací, ale některí ano, a škody mohou sahat daleko za okamžitá zrušení smluv. Firmy, které silně závisí na důvěře zákazníků, mohou pocítit dopad při obnovování smluv, obchodních jednáních nebo v důvěře partnerů. Pokud se týmy zaměřují pouze na oznámení a nápravu, podceňují finanční dopad úniku informací.
- Rostoucí náklady na pojištění: Vážný incident může ovlivnit budoucí prémiové sazby kybernetického pojištění, podmínky krytí nebo kontrolu bezpečnostních opatření ze strany pojistitele. I když pojištění zůstane k dispozici, organizace může po této události čelit náročnějšímu procesu obnovy smlouvy a dodatečným bezpečnostním požadavkům. To je součástí dlouhodobých následků úniku informací, které si mnohé firmy uvědomí až po odeznění bezprostřední krize.
Proč malé a střední podniky (SMB) často pociťují dopad citelněji
Je snadné se domnívat, že větší společnosti trpí vždy více, protože mají co ztratit. Ve finančním vyjádření je to často pravda. Menší organizace však mohou být zasaženy nepoměrně více, protože stejné kategorie nákladů dopadají na mnohem slabší provozní základnu.
Firmy s většími provozními a finančními zdroji mohou lépe absorbovat výdaje na právní služby, externí technickou podporu, odstávky a dlouhodobé narušení provozu. Malá firma nemusí mít vlastní bezpečnostní personál, podporu pro krizovou komunikaci ani volnou provozní kapacitu. Pokud malý tým ztratí možnost přistupovat k e-mailu, CRM softwaru, finančním systémům, úložišti souborů nebo záznamům o zákaznících i na krátkou dobu, škody mohou přímo ovlivnit příjmy a kontinuitu služeb.
Proto je nutné brát průměrná čísla nákladů na úniky informací v kontextu. Relativně mírná oficiální čísla mohou stále maskovat vážné narušení chodu malé firmy, zejména když skutečné břemeno spočívá v promarněném čase, přerušeném provozu, nouzových opatřeních a interních kapacitách. Zpráva britské vlády Cyber Security Breaches Survey 2025 výslovně uvádí, že její odhady nákladů na úniky informací založené na vlastních hlášeních mohou podhodnocovat skutečný ekonomický dopad.
Nástroj Data Breach Observatory od Protonu tento bod potvrzuje. Zjistil, že malé a střední podniky (SMB) byly nejčastějšími oběťmi mezi úniky informací sledovanými od ledna 2025, přičemž na jejich účet připadalo 63 % incidentů. Mezi úniky informací, které odhalily více než 100 000 záznamů, podle Protonu malé a střední podniky stále tvořily 60 % incidentů, přičemž malé firmy – zde definované jako organizace s 1–49 zaměstnanci – představovaly 42 %.
Menší firmy často odkládají preventivní investice, protože se domnívají, že útočníci se více zajímají o větší organizace. Pokud se firma nepovažuje za pravděpodobný cíl, mohou centralizovaná správa přihlašovacích údajů, sledování úniků informací, řízení přístupu a silnější ověření působit jako obtížně obhajitelné náklady. Problém je v tom, že jakmile k úniku informací dojde, absence těchto kontrolních mechanismů může způsobit, že incident bude mít závažnější dopad a jeho vyřešení bude nákladnější.
Toto riziko není teoretické. Průzkum VikingCloud 2025 SMB Threat Landscape zjistil, že téměř jeden z pěti malých a středních podniků uvedl, že úspěšný kybernetický útok by jej donutil zavřít, zatímco společnost Mastercard uvedla, že téměř jedna z pěti firem, které již útoku čelily, později vyhlásila bankrot nebo musela zavřít. Tato čísla pomáhají vysvětlit, proč se dopad úniku informací u menších firem často měří méně průměrnými oficiálními údaji a více tím, jak velké narušení provozu dokáže firma reálně přežít.
Co k nákladům přidávají britské zákony a směrnice
Britský regulační kontext sice není hlavním faktorem všech nákladů na úniky informací, ale může je výrazně zvýšit.
Oznámení
Pokud je pravděpodobné, že únik osobních údajů povede k riziku pro práva a svobody jednotlivců, musí být úřad ICO informován do 72 hodin od okamžiku, kdy se o incidentu dozvíte. Pokud je riziko vysoké, může být nutné bez zbytečného odkladu informovat také dotčené osoby. To vytváří náklady ještě dříve, než dojde na samotné vymáhání, protože organizace musí incident posoudit, zjistit, jaká data byla zasažena, zdokumentovat fakta a připravit komunikaci, která obstojí před dozorovými orgány i zákazníky.
Riziko sankcí
U firem, které zpracovávají velké objemy osobních údajů nebo jsou silně závislé na důvěře zákazníků, finanční riziko nekončí technickou nápravou. Vztahuje se i na následky toho, že budou vnímány jako ty, které selhaly při ochraně osobních údajů.
Náklady na regulační řízení
Jakmile se do věci zapojí úřad ICO, firmy mohou potřebovat právní podporu, čas na interní vyšetřování, podávání zpráv vedení, plánování externí komunikace a důkazy o nápravě. I v případech, kdy únik informací nevede k vysoké pokutě, proces stále spotřebovává značné množství času a peněz.
Náklady na prevenci lze obvykle kontrolovat snáze než náklady na řešení úniků informací
Důvod pro preventivní zabezpečení je jednoduchý: prevence je obvykle snáze kontrolovatelná než reakce na únik informací.
Firma si může naplánovat rozpočet na firemního správce hesel, lepší řízení přístupu, vynucování dvoufázového ověření (2FA), sledování úniků informací, plánování reakce na incidenty a školení uživatelů. Nemůže však zdaleka tak přesně naplánovat rozpočet na skutečný únik informací, který přeruší provoz, vynutí si nouzové výdaje a poškodí důvěru. Argument pro návratnost investic (ROI) spočívá ve snížení pravděpodobnosti, že se běžná, preventabilní slabina promění v nákladnou a narušující událost.
Proto je zabezpečení přihlašovacích údajů obzvláště důležité. Odhalení e-mailových adres, uživatelských jmen a hesel při incidentech představuje pro firmy významnou hrozbu. Pokud dojde ke kompromitaci přihlašovacích údajů, škoda často přesahuje samotný původní únik informací. Slabá, opakovaně používaná nebo špatně zabezpečená hesla mohou útočníkům umožnit přistupovat k dalším účtům, systémům a službám, což zvyšuje pravděpodobnost následné kompromitace. Proto by se konverzace vaší organizace o nákladech měla zaměřit na prevenci, nikoli pouze na reakci.
Pokud jeden z nejběžnějších vektorů úniku informací zahrnuje kompromitované přihlašovací údaje nebo data, která umožňují zneužití přihlašovacích údajů, pak investice, které zabraňují opakovanému používání hesel, zlepšují přehled a úroveň zabezpečení přihlašovacích údajů, řeší přímý faktor ovlivňující náklady, nikoli pouze teoretický.
Proton Pass for Business je správce hesel pro firmy postavený přesně na tomto typu praktické kontroly: pomáhá týmům bezpečněji vytvářet, ukládat a spravovat silné a jedinečné přihlašovací údaje v rámci celé organizace.
Získejte náskok před úniky informací dříve, než vaši firmu budou něco stát
Náklady na únik informací je nejlepší chápat jako kumulativní. Část z nich se projeví rychle v podobě právního poradenství, forenzního vyšetřování, práce na oznámení a obnově systémů. Velká část se však kumuluje postupně v důsledku ztráty produktivity, zpoždění práce, tlaku na obchodní vztahy a reputaci a delšího úsilí potřebného k obnovení důvěry. Zejména pro menší organizace může být toto širší narušení provozu likvidační, nikoli pouze nepříjemné: výzkum VikingCloud 2025 SMB Threat Landscape zjistil, že téměř jeden z pěti malých a středních podniků uvedl, že úspěšný kybernetický útok by jej donutil zavřít.
Proto konverzace o nákladech nemůže skončit pouze u pokut nebo požadavků na oznámení. Měla by vést k praktičtějším otázkám: která rizika lze snížit ještě předtím, než k incidentu dojde? A které kontrolní mechanismy usnadní zvládnutí následků, pokud k němu dojde?
Prevence je obvykle snáze spravovatelná než reakce. Zabezpečení přihlašovacích údajů je pro vaši organizaci tou nejlepší volbou, pokud jde o minimalizaci nákladů. Pokud bude vaše organizace zasažena únikem dat, povede to k opakovanému odhalení e-mailových adres, uživatelských jmen a hesel při různých incidentech. Slabé nebo opakovaně používané přihlašovací údaje mohou útočníkům usnadnit možnost přistupovat k dalším účtům nebo službám po počáteční kompromitaci.
Lepší hygiena přihlašovacích údajů, lepší řízení přístupu a praktické bezpečnostní nástroje sice neodstraní každé riziko, ale mohou snížit pravděpodobnost, že se jedno odhalené nebo opakovaně použité heslo promění v rozsáhlejší a nákladnější incident. Začněte sledovat odhalené přihlašovací údaje a snižte riziko úniku přihlašovacích údajů ve vaší organizaci s naším zabezpečeným správcem hesel pro firmy, nebo kontaktujte náš obchodní tým, abyste se dozvěděli více.
