Způsob práce malých a středních firem se trvale změnil — a stejně tak i způsob, jakým jsou napadány. Týmy jsou rozptýlené, nástroje SaaS zajišťují vše od mezd po řízení projektů a externisté i dodavatelé pravidelně získávají a ztrácejí přístup do systémů. S každým novým nástrojem nebo zaměstnancem s přístupem se zvyšuje počet možných vstupních bodů.
Tato rozšiřující se plocha útoku je důležitá, protože útoky založené na přihlašovacích údajích, včetně phishingu, převzetí účtů a krádeží hesel, patří k nejběžnějším způsobům, jimiž jsou firmy kompromitovány. Fungují právě proto, že přístupová oprávnění se rozšířila natolik, že je obtížné je sledovat. Útočníkovi dnes stačí najít jednu platnou sadu přihlašovacích údajů, aby obešel obranu vaší firmy.
V této souvislosti by mělo být povzbudivé, že více než polovina malých firem nyní používá firemního správce hesel. Zpráva SMB Cybersecurity Report 2026 od společnosti Proton — globální studie mezi 3 000 rozhodovateli z malých a středních podniků — však zjistila, že u každé čtvrté z nich loni došlo k narušení bezpečnosti.
To vše poukazuje na rozdíl mezi tím, jak jsou nástroje zaváděny, a tím, jak jsou skutečně používány.
Jak dnes malé a střední podniky používají správce hesel
Většina správců hesel je navržena tak, aby dobře zvládala jednu věc: pomáhala pamatovat si hesla. V praxi to znamená vytváření složitých a jedinečných hesel a jejich správu v šifrovaném trezoru. To je výrazně lepší než běžná praxe opakovaného používání stejných přihlašovacích údajů napříč účty a platformami.
Protože hesla představují pro útočníka nejsnazší vstupní bod, potřebují malé a střední podniky, aby správci hesel dělali mnohem víc než jen řešili problémy s pamatováním hesel a pohodlím. Potřebují je k zabezpečení přístupu.
Přístup je mnohem širší otázka. Mají ti správní lidé správné přihlašovací údaje — a věděli byste, k čemu otevírají přístup nebo zda by se dostaly do nepovolaných rukou? A jak týmy rostou, předplatná se vrství a externisté přicházejí a odcházejí, musí se pozornost organizace přesunout od pouhého posilování hesel k zohlednění reálných bezpečnostních hrozeb.
Právě tuto změnu většina firem neudělá, dokud se něco nepokazí.
Kde se implementace správců hesel pokazí
Klíčovým zjištěním naší zprávy bylo, že firmy, které zavádějí správce hesel, je nepoužívají důsledně.
Nezabezpečené sdílení přihlašovacích údajů stále přetrvává v překvapivě vysoké míře:
- 33 % je sdílí ve sdílených dokumentech nebo tabulkách
- 30 % sdílí přihlašovací údaje prostřednictvím e-mailu
- 27 % je sdílí prostřednictvím komunikačních aplikací
- 25 % si je zapisuje
- 24 % je sdílí ústně
To ukazuje zaneprázdněné lidi, kteří v danou chvíli volí nejrychlejší dostupnou cestu. Místo aby se přepnuli do aplikace správce hesel a sdíleli nové přihlašovací údaje ve správném trezoru, mohou je vložit do Slacku nebo do e-mailu.
Obcházení pravidel se samo o sobě může zdát neškodné. Postupem času se ale přihlašovací údaje rozptýlí ve schránkách doručené pošty, historiích chatů a sdílených dokumentech způsobem, který se těžko rozplétá. Když zaměstnanec odejde, přístup už pak nelze odvolat. A rychlá aktualizace hesel po úniku informací je nemožná, pokud nejsou uložena na centralizovaném zabezpečeném místě.
Školení zaměřené na prosazování bezpečnostních zásad může pomoci, ale náš výzkum ukázal, že ani to samo o sobě nestačí…
Proč nestačí školení v oblasti bezpečnostního povědomí
Naše zpráva zjistila, že 39 % malých a středních podniků zažilo bezpečnostní incident způsobený lidskou chybou. Tento údaj je snadné vyložit nesprávně; přirozenou reakcí je předpoklad, že pečlivější zaměstnanci znamenají méně incidentů.
Tento pohled ale přehlíží něco důležitého: Bezpečnostní systémy, které závisejí na bezchybném chování pod každodenním tlakem, budou vždy narážet na realitu. K chybám nedochází proto, že by lidem nezáleželo — dochází k nim proto, že bezpečná možnost často vyžaduje více času a úsilí, než si typický malý či střední podnik může dovolit. I týmy s dobrými úmysly si najdou obcházení, když mají málo zdrojů.
Trvalé řešení nespočívá v dalším školení. Spočívá v navrhování systémů, v nichž je bezpečná možnost zároveň tou nejsnazší.
Když bezpečné sdílení přístupu nevyžaduje více úsilí než vložit heslo do zprávy v chatu, lidé ho budou používat.
Když se problém s přístupem vymkne kontrole
Problém s přihlašovacími údaji se s růstem týmů prohlubuje.
Dnes 86 % malých a středních podniků spoléhá při každodenním provozu na služby založené na cloudu. To obvykle znamená, že se přihlašovací údaje šíří napříč nástroji pro řízení projektů, finančními platformami, marketingovým softwarem, souborovými úložišti a zákaznickými systémy, z nichž každý má vlastní oprávnění a historii přístupu.
Přístup se nerozptyluje jen mezi systémy; šíří se i napříč organizací a přelévá se mezi týmy, externími partnery, dodavateli a bývalými zaměstnanci, kteří si stále mohou ponechat cestu dovnitř.
To ve skutečnosti znamená, že se přihlašovací údaje hromadí, staré přístupy přetrvávají a počet lidí, kteří mají — nebo měli — klíče k vašim nejcitlivějším systémům, roste do míry, kterou už nelze snadno sledovat.
Mít nástroje neznamená být chráněn
Malé a střední podniky, které loni zaznamenaly úniky informací, nic nezanedbaly: 92 % aktivně investovalo do bezpečnostních nástrojů. Měly zavedené správce hesel, šifrovaný e-mail, školicí programy i písemné zásady. Jinými slovy, jejich nastavení na papíře působilo solidně.
Mnohým však chybělo důsledné uplatňování. Vícefaktorové ověřování (MFA) bylo zapnuté, ale nebylo povinné, správci hesel byli nasazeni, ale nestali se součástí každodenních návyků, a procesy nástupu a odchodu zaměstnanců probíhaly neformálně namísto systematicky. Domníváme se, vzhledem k oblibě správců hesel v prohlížeči, že mnozí vůbec nepoužívali centralizovanou týmovou platformu a místo toho se jednotlivě spoléhali na nesourodou směs méně bezpečných možností.
Každá z nich představuje malou mezeru, která zůstává neviditelná přesně do okamžiku, kdy už ne.
Skutečným měřítkem bezpečnostního nastavení není to, jaké nástroje jsou na seznamu, ale zda tyto nástroje obstojí pod každodenním tlakem toho, jak lidé skutečně pracují.
Zde je několik postupů, které mohou tuto realitu přiblížit i vaší firmě:
- Používejte správce hesel určeného pro týmy. Správci hesel v prohlížeči nejsou jen méně bezpeční, ale také nemají nástroje pro správu, které správci potřebují k udržení plné kontroly nad vašimi účty. Pokud nemáte podnikového správce hesel, který se snadno používá, nebude to stačit.
- Zkontrolujte, kdo má aktuálně k čemu přístup. Zkontrolujte seznamy uživatelů u svých nejcitlivějších nástrojů a ověřte, zda vás některá jména nepřekvapí.
- Nahraďte sdílená přihlášení individuálními účty. I když je ve správci hesel snadné sdílet přihlášení, nejde o osvědčený postup: sdílená přihlášení snižují přehled na úrovni účtů, takže je těžší odhalit únik informací a reagovat na něj.
- Zaveďte vícefaktorové ověření jako povinnost. MFA je jednou z nejúčinnějších dostupných ochran — ale jen tehdy, když je ve výchozím nastavení vynucováno, a ne ponecháno jako volitelná možnost.
- Zaveďte systematický offboarding. Každý odchod, ať už zaměstnance, dodavatele nebo externího partnera, by měl okamžitě spustit kontrolu přístupů, nikoli být řešen až dodatečně.
Chcete vědět, co dalšího jsme zjistili z našeho průzkumu mezi 3 000 vedoucími představiteli firem na šesti klíčových trzích? Přečtěte si více v naší zprávě SMB Cybersecurity Report 2026. Dozvíte se, co způsobuje úniky informací a kolik skutečně stojí, kde se nejčastěji projevuje lidská chyba a jak zavádění cloudu a AI vytváří nová slepá místa. Zpráva obsahuje také praktické kroky ke zvýšení ochrany, které obstojí v reálných podmínkách.
