5 tipů, jak na kyberbezpečnost v malé firmě
Barbora Nováková
25. 05. 2023
„Vaše systémy jsme zašifrovali! Odblokujeme je po zaplacení výkupného 150 000 korun.“ Sestřička z jedné menší jihomoravské ordinace chtěla v práci založit novou kartu pacienta, do online kartotéky už se ale nedostala. Nefungovala kartotéka, vydávání receptů, komunikace s pojišťovnami či laboratoří ani internetové bankovnictví. Ordinace, která pečuje o stovky pacientů, zůstala ransomwarovým útokem kompletně vyřazená z provozu.
Naštěstí je toto pouze modelová situace, kterou jsme uvedli, abychom vám nastínili, jak by takový útok mohl z provozu vyřadit malou českou ordinaci. Podobných reálných případů se ale odehraje bohužel spousta, což dokazují i naše bezpečnostní reporty. V případě malé firmy nehraje ani tak velkou roli, jestli se útočníci dostanou dovnitř pomocí malwaru, nebo vylákají z některého ze zaměstnanců údaje sofistikovaným spear-phishingem. Hackeři většinou útočí naslepo, tak zvaným kobercovým náletem. A mohou svým útokem uspět kvůli špatnému zabezpečení. Jak ale na to, když nepatříte mezi velké hráče a rozpočet na kyberbezpečnost není tak velký jako u korporátních společností? Pojďme si to rozebrat.
Podle průzkumů cílí jeden útočník klidně na desítky zařízení
Zajímavá data, která mohou trochu přiblížit situaci menších firem, zveřejnila firma Sentinel, společnost na poli softwaru i kyberbezpečnosti, která provozuje a spravuje sítě často pro malé nebo střední firmy. Z dat nasbíraných při jejich monitoringu vyplývá, že na průměrný router zapojený do jejich sítě útočilo v dubnu 2023 přibližně 3230 hackerů. A většinou šlo právě o plošné necílené útoky. Jeden útočník to za tu dobu zkoušel v průměru na 19 spravovaných zařízení v síti Sentinel. Na grafu je vidět jeden konkrétní router, rozložení útoků v čase i země jejich původu.
I zdánlivě nezajímavé weby jsou atraktivní
Iluzi o malé firmě, která není pro útočníky zajímavá, vyvrací odborník na kyberbezpečnost Michal Špaček. „Když jsem zkoumal velké sbírky úniků hesel na českém internetu, opíral jsem se o seznam zhruba stovky českých webů, z nichž unikla nějaká data. Zajímavý je třeba únik z webu regionvalassko.cz – 496 záznamů. Malý web, o němž ani Google skoro nic nenajde, přesto útočníkům stál za pokus z něj dostat data, protože v oněch pěti stovkách hesel může být nějaké, které ještě neuniklo odjinud.“
Kolik stojí kyberútok?
To se pokusil vyčíslit ředitel bezpečnosti O2 Radek Šichtanc v našem článku. Dozvíte se v něm třeba, že i když jdou škody do milionů, pochroumaná reputace stojí víc.
Z toho vyplývá, že čekat, jestli vaši malou firmu nechají hackeři na pokoji, je jako hrát vabank o peníze, reputaci i data vašich klientů. A to by vydržel málokdo. Pozice malých firem je ale z hlediska kyberbezpečnosti celkem složitá. Je totiž jasné, že nemůže na svoji kybernetickou ochranu vydávat horentní sumy a dovolit si vlastní komplexní obrannou strategii.
Kyberbezpečnost je pro každého. I pro malé firmy
Kyberbezpečnost stojí za to řešit ve firmě o jakékoliv velikosti. Kde ale začít? Pokud neumíte odhadnout, kolik do ní investovat a odkud byste vlastně měli začít, zachovejte klid. Říká se, že cesta je cíl, a tady to platí jednou tolik. Každý malý krůček směrem k většímu zabezpečení vaší firemní sítě a zařízení se počítá. V malé firmě navíc mnohem snáz prosadíte změny a zavedete novinky než v korporátní společnosti. To potvrzuje i Veronika Krajčovičová, CEO firmy bugino, s.r.o., která se specializuje na kyberbezpečnost malých podniků.
„Výhoda malých firiem spočíva v ich jednoduchosti a pružnosti. Malé firmy majú menšie a jednoduchšie siete a infraštruktúru, čo znamená, že môžu byť schopné identifikovať a riešiť potenciálne bezpečnostné problémy efektívnejšie a s menším úsilím. Jednoduchosť prostredia znamená aj menšiu závislosť na komplexných technologických riešeniach, čo môže viesť k lacnejším a prístupnejším riešeniam pre kyberbezpečnosť, “ dodává malým firmám naději kyberbezpečnostní konzultantka Veronika Krajčovičová.
Je obrovská škoda, že malé a stredné podniky zastávajú názor, že kybernetická bezpečnosť je pre nich niečo neprekonateľné, pritom by nám všetkým mohli ísť príkladom.
Veronika Krajčovičová 
Konzultantka kyberbezpečnosti
„Väčšie korporácie často zápasia s komplexitou a hierarchiou, čo môže spôsobiť, že kyberbezpečnostné opatrenia a politiky sa stávajú neúčinné a nápravné opatrenia prichádzajú neskoro. Naopak, malé firmy majú väčšiu možnosť priamo komunikovať so svojimi zamestnancami a zabezpečiť, aby boli informovaní a vyškolení v oblasti kyberbezpečnosti. Zavedením potrebných bezpečnostných politík a pravideľným vzdelávaním zamestnancov môžu malé firmy znížiť riziko kybernetických hrozieb na úroveň, o ktorej môžu korporáty len snívať,“ dodává expertka.
Ostatně kyberbezpečnosti v kontextu malých firem se také věnovala letošní konference CIO Agenda, která propojuje odborníky z oblasti IT a vedení jak velkých, tak malých a středních podniků. Letošní ročník byl totiž právě o kyberbezpečnosti a hlavní motto akce bylo „Nebojte“. Nebojte se, že řešit kyberbezpečnost ve vaší firmě je moc komplikované. Nebojte se, že si to nebudete moci dovolit. Každý krůček správným směrem se totiž počítá.
Jak se bránit už dneska?
Existují malé, ale důležité kroky, které vám pomohou se hackerům začít bránit okamžitě.
Zálohujte jako o život
Data vaší firmy, vašich klientů i dodavatelů mají cenu zlata.
S hesly zacházejte zodpovědně
Bez jména a hesla se při jakémkoli přihlašování neobejdete. Zajistěte proto, aby vaši zaměstnanci používali dostatečně silná hesla kombinující několik typů znaků a nepoužívali všude stejné. Ideální je mít ke každé službě jiné. Negenerujte ale „silná“ hesla na neznámých stránkách. Nikdy totiž nevíte, kdo se za stránkou schovává. Pokud využíváte správce hesel, pátrejte napřed po pověsti provozovatele. Správce hesel by měl být také dvoufaktorově zabezpečený. Máte rádi správce hesel v prohlížečích? Vyhněte se jim. Riziko zneužití je až příliš velké.
Zaveďte dvoufaktorové ověřování
Pro vstup do systémů, ve kterých pracujete, vyžadujte více než jedno potvrzení identity. Není to samospásné řešení, ale je to další malý, efektivní dílek skládačky. Ještě bezpečnější jsou hardwarové tokeny. V blízké budoucnosti by segment dvoufaktorového ověřování mohla ovládnout technologie passkeys. O tom, která metoda ověřování má jeho největší sympatie, se nedávno rozhovořil i šéf O2 Security Radek Šichtanc.
Na jaké metody ověřování identity vsází šéf bezpečnosti O2 Radek Šichtanc?
Zobrazit článek
Aktualizujte
Je vám takhle situace povědomá? Máte rozdělanou práci, deadline vám dýchá na záda, a najednou vyskočí okénko o aktualizaci softwaru. Odložíte, na to teď vůbec nemáte čas. Podle průzkumu společnosti SecurityWeek z roku 2018 25 % firem a organizací odkládá aktualizace svého softwaru a operačních systémů. A přitom aktualizované systémy mohou zabránit až 60 % útoků.
Vzdělávejte svoje lidi
Zaměstnanci jsou nejslabším článkem každého kyberbezpečnostního řetězce. Někdy se jim přezdívá „vstupní brána do firmy“. Ku příkladu na odkaz v podvodném e-mailu klikne až 40 % z nich. Investujte proto do školení, vyplatí se.
O2 Cyber SecurityRady výše jsou základ, který můžete u vás ve firmě aplikovat hned. Pokud ale chcete řešit kyberbezpečnost ještě více a chcete minimalizovat riziko úspěšného útoku, může být nejefektivnější tyto kroky zkombinovat s nástroji, které hrozby zachytí automaticky. A tak můžete část bezpečnosti outsourcovat. Řešení máme i pro malé a střední firmy. S kyberbezpečností vám můžeme pomoct na mnoha úrovních.
- Počítače, telefony i tablety před zavirovanými a podvodnými stránkami ochrání O2 Security,
- Pevnou zeď mezi vaši firemní síť a nástrahy veřejného internetu postaví náš O2 Next Generation Firewall.
- Firemní systémy a aplikace před zahlcením ochrání O2 AntiDDoS.
- Komplexní ochranu celé vaší firmy zajistí v režimu 24/7 naši „detektivové kyberprostoru“ z O2 Security Expert Centra.
- A pokud si nejste jisti, co je pro vás nejlepší, kontaktujte nás.
Co si z článku odnést:
- Žádná velká ani malá firma není v bezpečí. Jen pro ty malé může být mnohem těžší se oklepat.
- Malé firmy mají v kyberbezpečnosti horší postavení jen zdánlivě, jsou totiž pružnější, lépe se jim zavádí změny a mají o dění u sebe přehled.
- I s omezeným budgetem se můžete bránit.
- Malé firmy mohou kyberbezpečnost outsourcovat a dá se jim obrana postavit na míru.
- Některé kroky skoro nic nestojí a můžete je udělat už dnes.
Marketingový specialista pro B2B
Byl pro vás článek užitečný?
Mohlo by vás zajímat
DALŠÍ ČLÁNKY
Otestujte ve firmě phishing. 5 kroků, jak vytvořit simulovanou phishingovou kampaň
Nulová důvěra a maximální bezpečnost. Jak funguje Zero Trust Network Access?
IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?
Jak zabezpečit firemní prohlížeče a eliminovat rizika?
S NIS2 se už bez analýzy rizik neobejdete. Jak identifikovat hrozby pro vaše podnikání?
