Mnoho vlastníků malých firem se stále domnívá, že útoky ransomwaru se týkají pouze nemocnic, globálních značek nebo veřejné infrastruktury. Ve skutečnosti je riziko ransomwaru pro malé firmy jedním z nejjasnějších příkladů toho, jak útočníci soustavně cílí na organizace s cennými daty, omezeným časem a slabší obranou.
Nedávná zjištění observatoře úniků dat (Data Breach Observatory) společnosti Proton ukazují, že malé a střední podniky jsou častými obětmi úniků informací. Jsou také neúměrně zastoupeny v nejničivějších incidentech, včetně úniků zahrnujících vysoce riziková data a expozice velkého množství záznamů.
Ransomware představuje problém pro kontinuitu podnikání, zabezpečení přihlašovacích údajů a ochranu dat. Průzkum úniků informací v oblasti kybernetické bezpečnosti vypracovaný britskou vládou zjistil, že 1 % britských firem identifikovalo incidenty s ransomwarem v předchozích 12 měsících, což je nárůst oproti méně než 0,5 % v roce 2024. V celostátním měřítku to odpovídá odhadem 19 000 podnikům.
Navzdory nárůstu ransomwaru je phishing stále nejčastějším typem kybernetického útoku. Útočníci nejčastěji získávají přístup do firemních sítí prostřednictvím lidí, přihlašovacích údajů a běžných pracovních postupů, nikoli prostřednictvím rozsáhlých kyberútoků. Pokud vycítí větší zisk, mohou v podstatě použít phishingový útok k následnému zahájení většího ransomwarového útoku.
U malých firem mohou škody způsobené ransomwarem způsobit významné narušení kontinuity podnikání. Členové týmu ztratí přístup k souborům a nemohou pokračovat v práci, provoz se zpomalí nebo zastaví a zákazníci či klienti nedostanou adekvátní služby. Pokud dojde ke kompromitaci osobních údajů, budou následovat ohlašovací povinnosti. Praktická strategie proti ransomwaru pro malé a střední firmy musí pokrývat oba aspekty útoku: prevenci i obnovu.
Jak ransomware funguje?
Ransomware je typ malwaru, který vám brání v přístupu k zařízením nebo datům, obvykle šifrováním souborů, a poté vyžaduje platbu výměnou za dešifrování. V mnoha případech nyní útočníci dělají více než jen uzamykání souborů. Také kradou data a hrozí jejich únikem, pokud nebude zaplaceno výkupné, což z incidentu činí jak krizi dostupnosti, tak potenciální únik informací.
Oběti jsou často instruovány ke komunikaci prostřednictvím anonymních e-mailů nebo webových stránek a k platbě v kryptoměnách. Pro malé firmy je tento rozdíl důležitý, protože kryptoměny jsou anonymní, decentralizované a neregulované tradičními finančními institucemi: platby je téměř nemožné dohledat.
Událost spojená s ransomwarem se neomezuje vždy jen na ztrátu přístupu k souborům. Může také znamenat, že informace o zákaznících, údaje o zaměstnancích, finanční záznamy, smlouvy nebo přihlašovací údaje k přihlášení již byly exfiltrovány. Ransomware může vést ke ztrátě včasného přístupu k osobním údajům a v případech, kdy nejsou k dispozici nebo nejsou vhodné zálohy, i k jejich trvalé ztrátě.
Útočný řetězec je obvykle mnohem běžnější, než byste očekávali. Mezi snadno přehlédnutelné incidenty, které mohou vést k ransomwarovému útoku, patří:
- Kliknutí na phishingové odkazy.
- Expozice opakovaně používaných hesel při úniku informací.
- Ponechání nezabezpečené služby vzdáleného přístupu.
- Ponechání známých zranitelností bez opravy.
Jakmile útočník získá přístup do firemní sítě, pohybuje se laterálně, navyšuje si oprávnění, deaktivuje cesty pro obnovu, kde je to možné, a implementuje šifrování nebo vydírání tam, kde to bude nejvíce bolet. Žádný jediný nástroj ani řešení nemůže útokům ransomwaru zabránit. Namísto toho se organizace musí zaměřit na snížení počtu snadných cest do své sítě.
Proč jsou malé firmy neúměrně častým cílem
Malé firmy jsou atraktivními cíli ransomwaru z jednoduchého důvodu: uchovávají cenná data, která nejsou tak dobře chráněna, jak by měla být. Poslední zjištění observatoře Protonu ukazují, že malé a střední firmy se podílejí na 63 % úniků informací sledovaných od ledna 2025 a na více než 352 milionech uniklých záznamů.
Podílejí se také na 61 % úniků zahrnujících vysoce riziková data, přičemž samotné malé firmy představují 48 % těchto kritických incidentů. U úniků, které odhalily více než 100 000 záznamů, tvoří malé a střední podniky 60 % a malé firmy 42 %.
Malé firmy nejsou neopatrné. Zpráva společnosti Proton o kybernetické bezpečnosti SMB pro rok 2026 (SMB Cybersecurity Report 2026) ve skutečnosti dokazuje, že se malé podniky snaží svou kybernetickou bezpečnost zlepšovat. Problémem je, že jejich obrana v reálných podmínkách selhává. To, co dělá z malých firem lákavé cíle, je nekonzistentní vymáhání pravidel, lidská chyba, návyky při sdíleném přístupu a omezená interní kapacita pro zabezpečení.
V průzkumu společnosti Proton mezi 3 000 vedoucími pracovníky ve firmách do 250 zaměstnanců 39 % respondentů uvedlo, že incidenty pramenily z lidské chyby, a 48 % uvedlo, že nemají zaveden správce hesel.
Větší společnosti mohou mít vyhrazené týmy pro reakci, segmentovaná prostředí, otestované plány záloh a zavedenou externí podporu pro incidenty. Menší firmy mají často jen jednu zeštíhlenou IT funkci, outsourcovanou podporu nebo nemají žádného vyhrazeného bezpečnostního experta. Když útok zasáhne, firma je nucena činit rozhodnutí s vysokými sázkami pod operačním tlakem. Právě na tento tlak operátoři ransomwaru spoléhají.
Nejčastější vstupní body pro ransomware v malých a středních firmách
Po prozkoumání studií provedených ve Velké Británii víme, že phishing zůstává dominantním vektorem kybernetické kriminality pro firmy. Ale proč? Je to proto, že phishing je často prvním krokem ke krádeži přihlašovacích údajů, kompromitaci účtu, doručení malwaru nebo zneužití vzdáleného přístupu.
Dalším velkým problémem jsou slabé nebo opakovaně používané přihlašovací údaje. Malé firmy mají často sdílená přihlášení, hesla používaná ve více službách nebo staré účty, které zůstávají aktivní i poté, co někdo změní roli nebo odejde. Jakmile útočníci získají jedno funkční přihlášení, nemusí se do účtů nabourávat. Mohou se jednoduše přihlásit.
Odtud se může špatně chráněný účet správce, nezabezpečená cloudová konzole nebo bod vzdáleného přístupu bez dvoufázového ověření (2FA) stát mostem k rozsáhlejšímu ransomwarovému incidentu. Realisticky řečeno, organizace musí implementovat 2FA, přístup s nejnižšími oprávněními a pravidelné revize oprávnění, aby se omezilo, jak snadno lze ukradené přihlašovací údaje znovu použít a jak daleko se malware může rozšířit.
Neaktualizovaný software je dalším častým vstupním bodem. NCSC uvádí, že ransomware je stále častěji implementován prostřednictvím vystavených služeb, jako je RDP, nebo neaktualizovaných zařízení pro vzdálený přístup, a doporučuje opravovat zranitelnosti v systémech pro vzdálený přístup a v systémech připojených k internetu, jakmile jsou opravy k dispozici. Pro malé a střední podniky je to místo, kde se přehlédnutý incident tichým způsobem mění v útočnou plochu.
Jak se chránit před ransomwarem: vrstvený přístup
Neexistuje žádné jediné kontrolní opatření, které by dokázalo zabránit ransomwaru. Nejúčinnější přístup je vrstvený a praktický.
Začněte správou identity
Data na účtech členů týmu vyžadují důkladnou ochranu, aby dokázala odrazit útoky ransomwaru. Zaveďte povinné dvoufázové ověření všude tam, kde je to možné, u účtů kritických pro podnikání, zejména u e-mailu, nástrojů pro správce, cloudového úložiště, finančních platforem, bodů pro vzdálený přístup a všech systémů, které uchovávají osobní údaje zákazníků nebo jiné citlivé osobní údaje (PII).
Zlepšete hygienu hesel
Útočníci se do účtů ne vždy vloupají. Často se přihlásí pomocí ukradených nebo opakovaně používaných přihlašovacích údajů. Každý firemní účet musí mít jedinečné, silné heslo a sdílený přístup by měl být nahrazen spravovaným, bezpečným sdílením přihlašovacích údajů prostřednictvím firemního správce hesel namísto tabulek, chatů nebo e-mailů.
Vlastní zpráva společnosti Proton o malých a středních podnicích zdůrazňuje, že i firmy, které mají zavedené nástroje, se stále často vracejí k nebezpečným návykům při sdílení hesel. Právě zde může bezpečný firemní správce hesel, jako je Proton Pass for Business, snížit riziko: pomáhá týmům vytvářet silné a jedinečné přihlašovací údaje, bezpečně je ukládat a sdílet k nim přístup kontrolovaným a bezpečným způsobem.
Správa oprav musí být disciplinovaná
Bezpečnostní aktualizace operačních systémů, aplikací, VPN, nástrojů pro vzdálený přístup a hraničních zařízení by měly být považovány za provozní nezbytnost, nikoliv za volitelnou údržbu. Instalujte bezpečnostní aktualizace co nejdříve a tam, kde je to proveditelné, aktivujte automatické aktualizace.
Robustní ochrana pošty a webu
Filtrování pošty, kontrola příloh, blokování známých škodlivých stránek a ochrana při bezpečném prohlížení – to vše snižuje pravděpodobnost, že ransomware bude vůbec doručen. Vzhledem k tomu, že phishing je velmi rozšířený, jsou tyto ovládací prvky nezbytné.
Řešení lidských chyb
I když jste zavedli bezpečnostní opatření a zásady hesel, je školení o zvyšování bezpečnostního povědomí stále nezbytné. Školení pomáhá zaměstnancům odhalit podezřelé e-maily a pokusy o sociální inženýrství, ale lidé budou i přesto dělat chyby.
Silnější nástroje, funkce a kontroly přístupu by s tím měly počítat. NCSC výslovně doporučuje školení zaměřené na osvětu, ale výzkum společnosti Proton také poukazuje na to, že samotné školení nezachytí každé pochybení. Správný návrh zabezpečení snižuje škody v případě, že někdo klikne, a to tím, že snižuje pravděpodobnost, že se z jedné chyby stane incident velkého rozsahu, ať už prostřednictvím 2FA, přístupu s nejnižšími oprávněními, silnější ochrany e-mailu, segmentovaného přístupu nebo testovaných záloh, které podporují obnovu.
Zajistěte ochranu obnovy dříve, než ji budete potřebovat
Zálohy musí být pravidelné, izolované a testované. Organizace ICO doporučuje uplatňovat přístup 3-2-1: tři kopie na dvou různých zařízeních, přičemž jedna je uložena mimo pracoviště. NCSC přidává důležité provozní varování: ransomware mohl proniknout do vašeho prostředí ještě před odhalením, proto by zálohy měly být před obnovením skenovány a samotné systémy zálohování by měly být chráněny.
Souvislost s přihlašovacími údaji: proč na heslech při obraně proti ransomwaru stále záleží
Je snadné uvažovat o ransomwaru jako o malwaru a zapomínat, že hesla hrají při úspěšném útoku svou roli. Mnoho incidentů s ransomwarem však začíná krádeží, opětovným použitím nebo zneužitím přihlášení.
Může jít o situaci, kdy zaměstnanec opakovaně používá heslo z jiné služby, účet bývalého dodavatele zůstává aktivní, přihlašovací údaje správce jsou sdíleny mezi několika lidmi nebo je vystavený bod pro vzdálený přístup chráněn pouze heslem. Každá z těchto zkratek rozšiřuje útočnou plochu.
To je jeden z důvodů, proč silná správa přihlašovacích údajů patří do každého plánu obnovy po ransomwaru a rámce prevence. Jedinečná hesla pro každou službu snižují rozsah škod v případě jednoho ukradeného přihlášení. Díky MFA je ukradené heslo samo o sobě méně užitečné, zatímco centralizované úložiště přihlašovacích údajů odstraňuje potřebu nebezpečných náhradních řešení.
Bezpečné sdílení znamená, že zaměstnanci získají přístup, který potřebují, prostřednictvím kontrolovaných a sledovatelných metod, nikoliv prostřednictvím neformálního sdílení hesel. Pravidelná kontrola toho, kdo má k čemu přístup, také podporuje princip nejnižších privilegií, který NCSC doporučuje jako součást omezení laterálního pohybu a šíření.
O hrozbách ransomwaru, kterým čelí malé a střední podniky, jsme psali již dříve. Stále dokola vidíme totéž: útočníci stále častěji vyhledávají firmy, do kterých je snazší proniknout, a nikoliv jen firmy s nejznámějšími jmény.
Co dělat, pokud je vaše malá firma zasažena
1. Izolujte incident
Pokud je vaše firma napadena, vaší první prioritou je omezení šíření. Odpojte infikovaná zařízení od sítě, deaktivujte kompromitované účty, pokud je dokážete identifikovat, izolujte cesty pro vzdálený přístup, uchovejte důkazy a vyvarujte se příliš rychlému promazávání systémů pro případ, že byste později potřebovali forenzní podporu.
2. Ohlašte incident
Organizace ve Spojeném království by se měly podle doporučení NCSC obrátit na příslušné úřady a využít speciální pokyny pro ransomware týkající se reakce a obnovy. Průvodce společnosti Proton pro reakci na incidenty je také užitečným zdrojem pro strukturování širšího rozhodovacího procesu v oblasti izolace, vyšetřování, komunikace a obnovy.
3. Neplaťte výkupné
NCSC a donucovací orgány ve Spojeném království nepodporují, neschvalují ani neschvalují placení výkupného. Upozorňují, že neexistuje žádná záruka, že znovu získáte přístup, vaše systémy mohou být stále infikovány, budete financovat kriminální skupiny a je pravděpodobnější, že se stanete terčem útoku znovu.
Úřad ICO podobně jasně uvádí, že zaplacení výkupného nesnižuje riziko pro osoby a nezajišťuje ochranu informací. I když je nabízen klíč k dešifrování, neexistuje žádná záruka, že bude fungovat nebo že ukradená data nebudou i nadále unikat.
4. Zahajte obnovu
Obnova by se měla zaměřit na pomalé a bezpečné obnovení. To znamená rekonstrukci z čistých záloh, ověření, že cesta útoku byla uzavřena, obměnu zasažených přihlašovacích údajů, pečlivé opětovné povolení přístupu a dokumentaci toho, co se stalo. Pokud jsou zálohy připojeny k živým systémům nebo nebyly testovány, často právě zde firmy po prvním selhání objeví druhé. Kvalitní plán obnovy po útoku ransomwarem ve skutečnosti začíná dávno předtím, než k jakémukoli incidentu dojde.
Ohlašovací povinnosti ve Spojeném království: kdy může být nutné zapojit ICO
Pokud incident s ransomwarem postihne osobní údaje, může jít o únik osobních údajů podle britského nařízení GDPR. Úřad ICO vysvětluje, že ztráta přístupu k osobním údajům může být sama o sobě porušením zabezpečení, pokud představuje riziko pro jednotlivce. Úřad ICO musíte informovat bez zbytečného odkladu a, je-li to proveditelné, do 72 hodin, pokud je pravděpodobné, že únik povede k riziku pro práva a svobody osob. Pokud je riziko vysoké, může být nutné bez zbytečného odkladu informovat také dotčené osoby.
Některé organizace se stále domnívají, že pokud systémy obnoví rychle nebo nedojde k žádnému zjevnému veřejnému úniku, není hlášení nutné. To není bezpečný předpoklad. Pokyny ICO k ransomwaru se výslovně věnují scénářům oznámení o úniku informací a jasně uvádějí, že posouzení závisí na riziku pro jednotlivce, nikoli jen na tom, zda se ukradené soubory již objevily online.
Ransomware je nyní problémem i pro malé a střední podniky
Malé podniky jsou napadány ransomwarem stále častěji, a pokud k tomu dojde, dopad může být závažný, protože útočníci zneužívají jejich slabin. Nejnovější data společnosti Proton o únicích informací to potvrzují: hrozba je měřitelná, narůstá a provozně destruktivní.
Dobrou zprávou je, že základy mohou pro jakýkoli malý nebo střední podnik udělat velký kus práce. Opatření, jako je používání firemního správce hesel k implementaci 2FA a vytváření unikátních přihlašovacích údajů, záplatování, filtrování pošty, informovanost zaměstnanců, revize oprávnění, testované zálohy a plánování reakce na incidenty, se samy o sobě nemusí zdát nijak oslnivé, ale společně znamenají zásadní rozdíl. Snižují pravděpodobnost, že se jedno ukradené heslo, jeden phishingový e-mail nebo jedna nezabezpečená vzdálená služba změní v celopodnikový výpadek.
