5 tipů, jak na kyberbezpečnost v malé firmě

Barbora Nováková

Barbora Nováková
25. 05. 2023

5 tipů, jak na kyberbezpečnost v malé firmě

„Vaše systémy jsme zašifrovali! Odblokujeme je po zaplacení výkupného 150 000 korun.“ Sestřička z jedné menší jihomoravské ordinace chtěla v práci založit novou kartu pacienta, do online kartotéky už se ale nedostala. Nefungovala kartotéka, vydávání receptů, komunikace s pojišťovnami či laboratoří ani internetové bankovnictví. Ordinace, která pečuje o stovky pacientů, zůstala ransomwarovým útokem kompletně vyřazená z provozu.

Naštěstí je toto pouze modelová situace, kterou jsme uvedli, abychom vám nastínili, jak by takový útok mohl z provozu vyřadit malou českou ordinaci. Podobných reálných případů se ale odehraje bohužel spousta, což dokazují i naše bezpečnostní reporty. V případě malé firmy nehraje ani tak velkou roli, jestli se útočníci dostanou dovnitř pomocí malwaru, nebo vylákají z některého ze zaměstnanců údaje sofistikovaným spear-phishingem. Hackeři většinou útočí naslepo, tak zvaným kobercovým náletem. A mohou svým útokem uspět kvůli špatnému zabezpečení. Jak ale na to, když nepatříte mezi velké hráče a rozpočet na kyberbezpečnost není tak velký jako u korporátních společností? Pojďme si to rozebrat. 

Podle průzkumů cílí jeden útočník klidně na desítky zařízení

Zajímavá data, která mohou trochu přiblížit situaci menších firem, zveřejnila firma Sentinel, společnost na poli softwaru i kyberbezpečnosti, která provozuje a spravuje sítě často pro malé nebo střední firmy. Z dat nasbíraných při jejich monitoringu vyplývá, že na průměrný router zapojený do jejich sítě útočilo v dubnu 2023 přibližně 3230 hackerů. A většinou šlo právě o plošné necílené útoky. Jeden útočník to za tu dobu zkoušel v průměru na 19 spravovaných zařízení v síti Sentinel. Na grafu je vidět jeden konkrétní router, rozložení útoků v čase i země jejich původu.

Zdroje útoků na testovaný router. Zdroj: Sentinel

Počet útoků na testovaný router. Zdroj: Sentinel
Dali jsme pro vás dohromady PDF s tipy, jak začít s kyberbezpečností hned. 

Jak začít s kyberbezpečností hned?

Jak začít s kyberbezpečností hned?

Stáhnout soubor
O2_5-tipu-pro-kyberbezpecnost.pdf

I zdánlivě nezajímavé weby jsou atraktivní

Iluzi o malé firmě, která není pro útočníky zajímavá, vyvrací odborník na kyberbezpečnost Michal Špaček. „Když jsem zkoumal velké sbírky úniků hesel na českém internetu, opíral jsem se o seznam zhruba stovky českých webů, z nichž unikla nějaká data. Zajímavý je třeba únik z webu regionvalassko.cz – 496 záznamů. Malý web, o němž ani Google skoro nic nenajde, přesto útočníkům stál za pokus z něj dostat data, protože v oněch pěti stovkách hesel může být nějaké, které ještě neuniklo odjinud.“

Kolik stojí kyberútok?

To se pokusil vyčíslit ředitel bezpečnosti O2 Radek Šichtanc v našem článku. Dozvíte se v něm třeba, že i když jdou škody do milionů, pochroumaná reputace stojí víc.

Z toho vyplývá, že čekat, jestli vaši malou firmu nechají hackeři na pokoji, je jako hrát vabank o peníze, reputaci i data vašich klientů. A to by vydržel málokdo. Pozice malých firem je ale z hlediska kyberbezpečnosti celkem složitá. Je totiž jasné, že nemůže na svoji kybernetickou ochranu vydávat horentní sumy a dovolit si vlastní komplexní obrannou strategii. 

Kyberbezpečnost je pro každého. I pro malé firmy

Kyberbezpečnost stojí za to řešit ve firmě o jakékoliv velikosti. Kde ale začít? Pokud neumíte odhadnout, kolik do ní investovat a odkud byste vlastně měli začít, zachovejte klid. Říká se, že cesta je cíl, a tady to platí jednou tolik. Každý malý krůček směrem k většímu zabezpečení vaší firemní sítě a zařízení se počítá. V malé firmě navíc mnohem snáz prosadíte změny a zavedete novinky než v korporátní společnosti. To potvrzuje i Veronika Krajčovičová, CEO firmy bugino, s.r.o., která se specializuje na kyberbezpečnost malých podniků. 

Výhoda malých firiem spočíva v ich jednoduchosti a pružnosti. Malé firmy majú menšie a jednoduchšie siete a infraštruktúru, čo znamená, že môžu byť schopné identifikovať a riešiť potenciálne bezpečnostné problémy efektívnejšie a s menším úsilím. Jednoduchosť prostredia znamená aj menšiu závislosť na komplexných technologických riešeniach, čo môže viesť k lacnejším a prístupnejším riešeniam pre kyberbezpečnosť, “ dodává malým firmám naději kyberbezpečnostní konzultantka Veronika Krajčovičová.

Je obrovská škoda, že malé a stredné podniky zastávajú názor, že kybernetická bezpečnosť je pre nich niečo neprekonateľné, pritom by nám všetkým mohli ísť príkladom.

Veronika- malé firmy Veronika Krajčovičová
Konzultantka kyberbezpečnosti

 „Väčšie korporácie často zápasia s komplexitou a hierarchiou, čo môže spôsobiť, že kyberbezpečnostné opatrenia a politiky sa stávajú neúčinné a nápravné opatrenia prichádzajú neskoro. Naopak, malé firmy majú väčšiu možnosť priamo komunikovať so svojimi zamestnancami a zabezpečiť, aby boli informovaní a vyškolení v oblasti kyberbezpečnosti. Zavedením potrebných bezpečnostných politík a pravideľným vzdelávaním zamestnancov môžu malé firmy znížiť riziko kybernetických hrozieb na úroveň, o ktorej môžu korporáty len snívať,“ dodává expertka. 

Ostatně kyberbezpečnosti v kontextu malých firem se také věnovala letošní konference CIO Agenda, která propojuje odborníky z oblasti IT a vedení jak velkých, tak malých a středních podniků. Letošní ročník byl totiž právě o kyberbezpečnosti a hlavní motto akce bylo „Nebojte“. Nebojte se, že řešit kyberbezpečnost ve vaší firmě je moc komplikované. Nebojte se, že si to nebudete moci dovolit. Každý krůček správným směrem se totiž počítá.

Jak se bránit už dneska?

Existují malé, ale důležité kroky, které vám pomohou se hackerům začít bránit okamžitě.

Zálohujte jako o život

Data vaší firmy, vašich klientů i dodavatelů mají cenu zlata.

S hesly zacházejte zodpovědně

Bez jména a hesla se při jakémkoli přihlašování neobejdete. Zajistěte proto, aby vaši zaměstnanci používali dostatečně silná hesla kombinující několik typů znaků a nepoužívali všude stejné. Ideální je mít ke každé službě jiné. Negenerujte ale „silná“ hesla na neznámých stránkách. Nikdy totiž nevíte, kdo se za stránkou schovává. Pokud využíváte správce hesel, pátrejte napřed po pověsti provozovatele. Správce hesel by měl být také dvoufaktorově zabezpečený. Máte rádi správce hesel v prohlížečích? Vyhněte se jim. Riziko zneužití je až příliš velké.  

Zaveďte dvoufaktorové ověřování

Pro vstup do systémů, ve kterých pracujete, vyžadujte více než jedno potvrzení identity. Není to samospásné řešení, ale je to další malý, efektivní dílek skládačky. Ještě bezpečnější jsou hardwarové tokeny. V blízké budoucnosti by segment dvoufaktorového ověřování mohla ovládnout technologie passkeys. O tom, která metoda ověřování má jeho největší sympatie, se nedávno rozhovořil i šéf O2 Security Radek Šichtanc.

Aktualizujte

Je vám takhle situace povědomá? Máte rozdělanou práci, deadline vám dýchá na záda, a najednou vyskočí okénko o aktualizaci softwaru. Odložíte, na to teď vůbec nemáte čas. Podle průzkumu společnosti SecurityWeek z roku 2018 25 % firem a organizací odkládá aktualizace svého softwaru a operačních systémů. A přitom aktualizované systémy mohou zabránit až 60 % útoků.

Vzdělávejte svoje lidi

Zaměstnanci jsou nejslabším článkem každého kyberbezpečnostního řetězce. Někdy se jim přezdívá „vstupní brána do firmy“. Ku příkladu na odkaz v podvodném e-mailu klikne až 40 % z nich. Investujte proto do školení, vyplatí se.  

O2 Cyber Security

Rady výše jsou základ, který můžete u vás ve firmě aplikovat hned. Pokud ale chcete řešit kyberbezpečnost ještě více a chcete minimalizovat riziko úspěšného útoku, může být nejefektivnější tyto kroky zkombinovat s nástroji, které hrozby zachytí automaticky. A tak můžete část bezpečnosti outsourcovat. Řešení máme i pro malé a střední firmy. S kyberbezpečností vám můžeme pomoct na mnoha úrovních. 

Co si z článku odnést:

  • Žádná velká ani malá firma není v bezpečí. Jen pro ty malé může být mnohem těžší se oklepat.
  • Malé firmy mají v kyberbezpečnosti horší postavení jen zdánlivě, jsou totiž pružnější, lépe se jim zavádí změny a mají o dění u sebe přehled.
  • I s omezeným budgetem se můžete bránit.
  • Malé firmy mohou kyberbezpečnost outsourcovat a dá se jim obrana postavit na míru.
  • Některé kroky skoro nic nestojí a můžete je udělat už dnes.


Barbora Nováková Barbora Nováková
Marketingový specialista pro B2B

Sdílet

Byl pro vás článek užitečný?

Nenašli jste, co jste hledali? Dejte nám vědět, co můžeme zlepšit. Děkujeme

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
Sociální inženýrství v éře generativní AI: Jaké jsou trendy v roce 2024?

Sociální inženýrství v éře generativní AI: Jaké jsou trendy v roce 2024?

Sociální inženýrství v éře generativní AI: Jaké jsou trendy v roce 2024?
Jak ve firmě správně zálohovat a chránit data

Jak ve firmě správně zálohovat a chránit data

Jak ve firmě správně zálohovat a chránit data
Ochrana finančních transakcí je klíčová pro každé podnikání. Jaké jsou nejnovější bezpečnostní metody?

Ochrana finančních transakcí je klíčová pro každé podnikání. Jaké jsou nejnovější bezpečnostní metody?

Ochrana finančních transakcí je klíčová pro každé podnikání. Jaké jsou nejnovější bezpečnostní metody?
Data v cloudu přinášejí nízké náklady a vysokou flexibilitu

Data v cloudu přinášejí nízké náklady a vysokou flexibilitu

Data v cloudu přinášejí nízké náklady a vysokou flexibilitu
V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?

V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?

V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?
Kyberšmejdi útočí i na firmy. Jací zaměstnanci jim nejčastěji naletí?

Kyberšmejdi útočí i na firmy. Jací zaměstnanci jim nejčastěji naletí?

Kyberšmejdi útočí i na firmy. Jací zaměstnanci jim nejčastěji naletí?
Datová centra: pětihvězdičkový hotel pro vaše data

Datová centra: pětihvězdičkový hotel pro vaše data

Datová centra: pětihvězdičkový hotel pro vaše data
Jak vytvořit účinný Incident Response Plan v souladu s NIS2?

Jak vytvořit účinný Incident Response Plan v souladu s NIS2?

Jak vytvořit účinný Incident Response Plan v souladu s NIS2?
asd