Kyberbezpečnost je neoddělitelnou součástí fungování každé firmy či organizace. V závislosti na jejím zaměření a úrovni digitalizace procesů se ale mění závažnost potenciálních dopadů kybernetických hrozeb i náročnost bezpečnostních opatření.

Kyberútoky už dávno nejsou hrozbou jen pro banky a velké korporace. Dnes cílí útočníci na všechny – bez ohledu na velikost firmy. Někdy si vyhlédnou dodavatele větších firem, jindy zkoušejí slabá místa tam, kde se bezpečnost moc neřeší. A bohužel jim to často vychází. Útočníci moc dobře vědí, že každá firma, bez ohledu na její velikost, má data, která jsou pro ni existenčně důležitá. Jde tedy spíše o pokročilost v digitalizaci – jak moc jsou firmy ohroženy množstvím systémů a jak kritická jsou pro ně jejich data.

Kyberbezpečnost je především o partnerství a důvěře. Kromě technických doporučení si každá firma musí zhodnotit rizika, která jí hrozí, a přizpůsobit jim výběr preventivních opatření i postupy v případě incidentů. A také si vybírat partnery (své dodavatele), se kterými bude klíčové oblasti řešit. Partnery, se kterými budou mít dlouhodobý a důvěryhodný vztah. Spolehlivé zabezpečení ale očekávají také zákazníci, kteří s důvěrou svěřují malým firmám i velkým podnikům svá data.

Podívejme se, s jakými hrozbami se potýkají malé, střední a velké firmy – i organizace ve zdravotnictví. A hlavně: co s tím můžete začít dělat už dnes. Nechceme vás strašit, ale je lepší nebýt překvapený, když nějaký útok skutečně přijde.

Malá firma: „Riziko s velikostí nesouvisí“

Našimi klienty jsou často i malé účetní nebo poradenské firmy s několika zaměstnanci. Jejich klienti jim svěřují citlivé informace a firmy jsou závislé na online komunikaci přes e-mail, stejně jako na cloudu, kam ukládají dokumenty a kde provozují třeba i svůj účetní systém.

Jaká jsou hlavní rizika?

Majitelé takových firem často žijí v domnění, že jejich podnikání je pro útočníky příliš malé, a tedy nezajímavé. Proto neinvestují do nezbytného zabezpečení – což z nich ale dělá snadný cíl. Třeba i v rámci útoku na dodavatelský řetězec jejich klientů. Ostatně, podle studie společnosti Verizon míří více než 60 % kyberútoků právě na malé a středně velké podniky.

Tyto firmy dnes čelí hlavně phishingu, krádežím přihlašovacích údajů a stále častěji i ransomwaru. Právě ten může zcela zablokovat chod firmy – a tím ohrozit i vztahy s klienty. Mezi další rizika patří také slabá hesla, neaktualizovaný software nebo nedostatečné zabezpečení cloudových služeb.

A jak jim předcházet?

Malá firma nepotřebuje velký tým IT odborníků. Stačí používat základní bezpečnostní principy, jako pravidelné zálohování, dvoufaktorovou autentizaci, aktualizaci softwaru a silná hesla. Důležité je i školení zaměstnanců v rozpoznávání phishingových či jinak podezřelých zpráv. V případě používání cloudových služeb je nutné pečlivě nastavit jejich bezpečnostní funkce – ať už v případě služeb od velkých poskytovatelů, nebo od lokálního partnera, který často umí upravit vše na míru a je také snadno k dostižení.

Malá firma může také velkou část problémů vyřešit tím, že se nebude tolik zaměřovat na prevenci, ale spíše na nápravu škod. Takže bude zálohovat data a testovat jejich obnovu a nastaví si proces řešení incidentů – tedy koho kontaktovat a jak vše obnovit ze zálohy.

Středně velká firma: „Víc systémů, víc problémů“

Manažeři IT ve středně velké výrobní nebo obchodní firmě mají zpravidla na starost kombinaci vlastního serverového prostředí a cloudových služeb. Každý den se zpracovávají velké objemy dat a podnik je závislý na bezproblémovém chodu všech svých systémů.

Jaká jsou hlavní rizika?

Čím větší firma, tím je pro útočníky atraktivnější – nejen kvůli větším objemům dat, také kvůli potenciálně vyššímu výkupnému při ransomwarovém útoku. Napadení systémů může zastavit výrobu i obchod a nebezpečné jsou i neúmyslné chyby zaměstnanců nebo slabá místa v aplikacích a systémech dodavatelů.

Hlavním rizikem je ransomware – často v podobě cíleného útoku. Časté je ale také nevhodné řízení přístupových práv, nedostatečná segmentace sítě, interní hrozby ze strany zaměstnanců (lidské chyby i špatné úmysly), stejně jako nedostatek zdrojů a neschopnost rychlé reakce na incidenty.

A jak jim předcházet?

Základem je vícevrstvá ochrana: od antivirů přes segmentaci sítě až po zálohování včetně tzv. neměnných záloh. Dále je vhodné zavést princip nulové důvěry (Zero Trust), kdy je každý přístup podmíněn ověřením. Důležitá je i centrální správa zařízení, pravidelné testování bezpečnosti a jasně nastavené postupy pro případ incidentu.

Velká firma: „Profesionální útoky vyžadují profesionální obranu“

Velké firmy nebo korporace se stovkami zaměstnanců, často i v různých zemích, pracují s citlivými daty a rozsáhlou infrastrukturou.

Jaká jsou hlavní rizika?

Kromě běžných útoků čelí velké podniky také sofistikovaným hrozbám, jako jsou APT (Advanced Persistent Threats), tedy dlouhodobé, cílené útoky za účelem špionáže nebo sabotáže. Významné riziko představují i zaměstnanci – ať už svojí nedbalostí, nebo záměrně škodlivým jednáním. Kritickým problémem je také zanedbání správy přístupů – především jejich neodebrání zaměstnancům, kteří z podniku odešli.

Mezi další rizika patří chyby v interně vyvíjených aplikacích a systémech, stejně jako regulatorní dopady norem jako GDPR a NIS2.

A jak jim předcházet?

Velká firma potřebuje dohledové centrum (SOC), které bude neustále sledovat infrastrukturu a analyzovat bezpečnostní incidenty. K tomu se používají pokročilé nástroje pro detekci a reakci, správu logů (SIEM) a monitoring chování uživatelů (UBA). Síť je nutné segmentovat, přístupy řídit na základě principu nejnižších oprávnění a veškeré změny auditovat. Externí partneři by měli pravidelně provádět penetrační testy, a pokud je to efektivní, stojí za zavážení také služby typu MDR (Managed Detection and Response).

Zdravotnictví: „Zabezpečení, na kterém závisí život“

Zdravotnická zařízení, jako jsou nemocnice nebo kliniky, spravují nejen standardní infrastrukturu IT, ale také různá zařízení připojená k síti – od počítačů po přístroje na operačním sále.

Jaká jsou hlavní rizika?

Zdravotnická zařízení musejí běžet neustále a selhání některého ze systémů může znamenat ohrožení života pacientů. A k tomu se v těchto organizacích zpracovávají velmi citlivá data o pacientech. Hrozí přitom nejen útoky zvenčí, ale i nesplnění legislativních požadavků, kladených například novým zákonem o kybernetické bezpečnosti.

Kromě ostatních typů rizik tedy ve zdravotnictví hrozí především útoky na život ohrožující infrastrukturu, úniky extrémně citlivých dat, stejně jako nepřipravenost na reakci na incidenty.

A jak jim předcházet?

Základem prevence rizik je segmentace sítě, tedy oddělení zdravotnických přístrojů od administrativních systémů. Současně je nutné mít přehled o všech systémech, nastavit plán kontinuity provozu a zajistit hlášení incidentů. Není-li k dispozici vlastní SOC, lze využít externí partnery. Implementace bezpečnostních standardů jako ISO 27001 pak pomůže nejen v praxi, ale i při kontrole souladu s legislativou.

Začněte co nejdříve

Nezáleží na tom, jestli máte firmu o 5 nebo 500 lidech. Jde o to, jak vážně berete svou odpovědnost při ochraně vlastního podnikání i dat vašich zákazníků. Kyberbezpečnost není jednorázový nákup. Je to dlouhodobý vztah, který začíná první rozhovorem, a vztah, na kterém je potřeba neustále pracovat ve spolupráci s dodavateli kybernetické bezpečnosti, zaměstnanci i zákazníky.

Zatímco malé firmy bojují především s omezenými zdroji a správným nastavením základních opatření, větší podniky a korporace čelí komplexním cíleným útokům.

Vlastní SOC si mohou dovolit provozovat jen největší podniky. Menší firmy ale mohou službu nepřetržité detekce a reakce využívat formou outsourcingu.

Lokální cloudová služba nemusí být o nic méně bezpečná než veřejný cloud Microsoftu nebo Amazonu. Navíc získáte místní podporu a individuální přístup.

Slovníček kyberbezpečnosti

Vyznáte se v pojmech kolem kybernetické bezpečnosti? Připravili jsme pro vás přehled těch nejdůležitějších:

• Zero Trust – Bezpečnostní model, ve kterém nikdo nemá důvěru automaticky, ale každý přístup musí být ověřen.
• SOC (Security Operations Center) – Tým, který nepřetržitě sleduje bezpečnostní události.
• SIEM (Security Information and Event Management) – Systém pro shromažďování a vyhodnocování bezpečnostních dat.
• MDR (Managed Detection and Response) – Zajištění detekce a reakce na bezpečnostní incidenty formou služby.
• UBA (User Behavior Analytics) / UEBA (User and Entity Behavior Analytics) – Analýza chování uživatelů/entit za účelem identifikace odchylek a podezřelých aktivit.
• Threat Intelligence – Využívání informací o aktuálních hrozbách z ověřených zdrojů.
• Segmentace sítě –Oddělení kriticky důležitých systémů od ostatních částí infrastruktury, aby se útočníci nemohli snadno pohybovat celou sítí.
• Data governance – Klasifikace dat a nastavení jasně definovaných rolí i odpovědnosti za ochranu jednotlivých typů dat.
• DLP (Data Loss Prevention) – Prevence úniku citlivých dat pomocí technologie. Pomáhá identifikovat, monitorovat a chránit data před neoprávněným přístupem, sdílením nebo ztrátou.
• IRP (Incident Response Plan) – Plán reakce na incidenty, zahrnující procesy pro detekci, analýzu i oznámení incidentu.
• RBAC (role-based access control) – Přidělování přístupů k systémům a datům na základě rolí, nikoli ad hoc.
• MFA (Multi-Factor Authentication) – Vícefaktorová autentizace vyžaduje od uživatelů poskytnutí více různých důkazů identity pro získání přístupu k systému nebo službě.
• ISO/IEC 27001 – Mezinárodní norma pro systém řízení bezpečnosti informací, která stanovuje požadavky na zavedení a řízení bezpečnostních opatření v organizaci
• NIS2 – Evropská směrnice o kybernetické bezpečnosti, která zavádí přísnější pravidla pro ochranu sítí a informačních systémů u organizací poskytujících důležité nebo základní služby.

Hlavní typy kybernetických hrozeb

Množství útoků neustále roste a zároveň přibývají stále nové typy kybernetických hrozeb. Jak se vypořádat s těmi nejčastějšími?

1. Advanced Persistent Threats (APT)

Tento typ sofistikovaného a dlouhodobého kyberútoku je obvykle veden organizovanými skupinami. Jeho cílem je získat citlivé informace, narušit infrastrukturu nebo provádět špionáž.

Základní opatření: Zero Trust, segmentace sítě, UBA/UEBA, SOC, Threat Intelligence.

2. Vnitřní hrozby (insider threats)

Rizika představovaná nespokojenými nebo přímo přátelskými zaměstnanci, stejně jako incidenty způsobené neznalostí či nedbalostí.

Základní opatření: Princip minimálních oprávnění, automatizované odebrání přístupů při odchodu zaměstnance, UBA, DLP, pravidelná školení.

3. Správa identit a přístupů (IAM)

Zneužití odcizených přihlašovacích údajů patří k nejčastějším základním příčinám kybernetických incidentů.

Základní opatření: Centralizované řešení správy identit, MFA, pravidelná revize oprávnění, kontrola privilegovaného přístupu.

4. Chyby ve vlastních aplikacích a systémech

K hlavním příčinám kyberútoků patří rovněž zneužití neošetřených bezpečnostních mezer v softwaru – vlastního i dodaného třetí stranou.

Základní opatření: Bezpečnost jako součást vývoje (DevSecOps), penetrační testy, code reviews a statická analýza kódu, školení vývojářů, využívání známých frameworků, ochrana proti XSS, CSRF, SQLi ad., správa zranitelností a rychlé záplatování používaných knihoven i komponent.

5. Reputační a regulatorní dopady (např. GDPR, NIS2)

Legislativa i další typy regulací přinášejí stále vyšší požadavky na zajištění kybernetické bezpečnosti organizací, včetně jejich kompletního dodavatelského řetězce.  

Základní opatření: Data governance, šifrování dat, evidence a audit přístupů k datům, IRP, průběžné audity shody s regulacemi, simulace incidentů a testování připravenosti týmu na krizovou situaci.

6. Ransomware

Současné ransomwarové útoky často zahrnují nejen zašifrování, ale také odcizení citlivých dat, aby útočníci mohli zvýšit tlak na zaplacení výkupného hrozbou jejich zveřejnění.

Základní opatření: Zálohování dat s offline kopiemi a neměnnými zálohami, ochrana e-mailu (antimalware s filtrováním příloh, sandboxem a reputačním hodnocením domén), segmentace sítě, omezení oprávnění, MFA, simulované phishingové testy a školení zaměstnanců.

7. Špatné řízení přístupových práv

Nedostatečné řízení přístupových práv představuje vážné bezpečnostní riziko, které může vést k úniku citlivých dat, kybernetickým útokům nebo dokonce interním hrozbám.

Základní opatření: RBAC, automatizace správy identit, pravidelný audit oprávnění, omezení sdílených účtů, personalizace a auditovatelnost přístupů.

8. Nedostatečná segmentace sítě

Absence segmentace sítě umožňuje útočníkům snadnější pohyb v rámci celé infrastruktury IT a zvyšuje potenciální dopad kybernetických útoků.

Základní opatření: Segmentace sítě na zóny (např. výroba, kancelář, management) pomocí VLAN a firewallů, oddělení citlivých systémů (např. účetnictví a ERP) od běžného provozu, detekce neobvyklé komunikace mezi segmenty, mikrosegmentace sítě.

9. Nedostatek zdrojů a reakční schopnosti

Drtivá většina kyberútoků probíhá mimo běžnou pracovní dobu. Zpožděná reakce zvyšuje způsobené škody a komplikuje nápravu po útoku.

Základní opatření: Outsourcování klíčových činností na SOC či MDR, nastavení IRP, získání dotací nebo uzavření partnerství, školení.

10. Phishing

Při tomto kybernetickém útoku se útočník vydává za důvěryhodnou entitu s cílem získat od své oběti citlivé informace, jako jsou přihlašovací jména a hesla nebo jiná citlivá data.

Základní opatření: Školení zaměstnanců, antispamové a antiphishingové filtry v e-mailových službách, ověřování identity odesílatele.

11. Slabá hesla

Používání slabých a opakujících se hesel představuje vážné bezpečnostní riziko, protože usnadňuje útočníkům přístup k citlivým datům a systémům.

Základní opatření: Používání správce hesel, zákaz sdílení hesel a vynucení silných hesel, MFA, změny hesel v případě jakéhokoli podezření.

12. Neaktualizovaný software

Software bez pravidelných bezpečnostních aktualizací může obsahovat zranitelnosti zneužitelné útočníky.

Základní opatření: Automatické aktualizace OS a aplikací, odstranění nepoužívaného softwaru, zjednodušený seznam povolených zařízení a programů.

13. Zneužití cloudových služeb

Kyberútočníci mohou využít slabá místa v konfiguraci, nedostatečné zabezpečení nebo neopatrné chování uživatelů cloudových služeb.

Základní opatření: Nastavení minimálních oprávnění, audit přístupů ke cloudu, ochrana dat (šifrování a zálohování), používání firemních a nikoli soukromých účtů.

14. Absence pravidel a školení

Zaměstnanci často tvoří první linii obrany proti kybernetickým útokům. Bez jasných pravidel a pravidelného školení se zvyšuje pravděpodobnost chyb, které mohou vést k bezpečnostním incidentům

Základní opatření: Zavedení jednoduchých interních bezpečnostních pravidel, pravidelná školení, komunikační kanál pro otázky kolem bezpečnosti.

15. Útoky na dodavatelský řetězec

Útočníci mohou kompromitovat důvěryhodné dodavatele a tím získat přístup k široké škále organizací. Tento typ útoku se často zaměřuje na softwarové aktualizace, infrastrukturu nebo služby třetích stran.

Základní opatření: Prověřování dodavatelů (certifikace ISO/IEC 27001), bezpečnostní požadavky ve smlouvách, omezení a sledování přístupů třetích stran.

Kyberbezpečnost nelze vyřešit jen nákupem produktů a služeb – poraďte se s námi, jak posílit zabezpečení vaší firmy.