Představte si, že jednoho dne přijdete do práce, zapnete počítač a místo přístupu k firemním dokumentům uvidíte zprávu: „Vaše soubory byly zašifrovány. Pokud je chcete zpět, zaplaťte výkupné.“ Práce stojí, zákazníci čekají, nervozita v týmu roste. To není scénář z filmu, ale realita, kterou zažívají tisíce firem po celém světě.

Co je ransomware?

Ransomware je typ škodlivého softwaru, který napadne firemní počítače, zašifruje data a požaduje výkupné za jejich obnovení. Kyberzločinci často žádají platbu v kryptoměně, aby se nedali vystopovat. Pokud firma nezaplatí, riskuje ztrátu všech svých údajů. Pokud zaplatí, stále není jisté, že data dostane zpět – někteří útočníci po zaplacení jednoduše zmizí.

Jak často se to děje?

Pokud si myslíte, že takové útoky se týkají jen velkých korporací, mýlíte se. Ransomware útočí na malé i střední podniky stejně jako na velké firmy. Proč? Protože menší firmy mají často slabší zabezpečení a méně zdrojů na řešení kybernetických hrozeb.

• Každých 11 sekund se někde na světě odehraje ransomwarový útok.
• 60 % malých a středních firem po závažném kybernetickém útoku zkrachuje do šesti měsíců.
• Průměrná výše výkupného se pohybuje od desítek tisíc do milionů eur.

Jaké jsou důsledky ransomwaru?

Kyberzločinci útočí na slabá místa firem a následky mohou být katastrofální:

• Ztráta dat – Firemní dokumentace, smlouvy, zákaznické údaje, faktury – vše může být zašifrováno a nepřístupné.
• Finanční ztráty – Kromě výkupného firma přichází o příjmy, protože zaměstnanci nemohou pracovat. Náklady na obnovu IT infrastruktury mohou být obrovské.
• Poškození reputace – Pokud uniknou citlivé údaje zákazníků, důvěra klientů může být nenávratně poškozena. Nikdo nechce obchodovat s firmou, která nedokáže ochránit svá data.

Reálné případy, které ukazují dopad na podnikání

Ransomware se stal natolik rozšířeným, že už neohrožuje jen IT giganty, ale i nemocnice, právnické kanceláře či logistické firmy, přičemž jeho dopady mohou být katastrofální. V roce 2021 útok na Colonial Pipeline v USA vyřadil jednu z největších ropných infrastruktur, což způsobilo masivní nedostatek paliva a donutilo společnost zaplatit hackerům výkupné ve výši 4,4 milionu dolarů. O rok dříve se obětí ransomwaru stala britská finanční společnost Travelex, která po několikatýdenním výpadku ztratila miliony liber a nakonec vyhlásila bankrot. V Německu v roce 2020 ransomwarový útok ochromil nemocniční systémy, zablokoval přístup ke zdravotním záznamům pacientů a znemožnil provedení urgentních operací, což vedlo k tragickému úmrtí pacientky, kterou museli převézt do jiného zařízení.

Jak funguje ransomware a jaké jsou jeho varianty?

Ransomware není jen jeden typ škodlivého softwaru – kyberzločinci neustále vyvíjejí nové způsoby, jak zašifrovat firemní data, paralyzovat chod společnosti a donutit oběti zaplatit výkupné. Některé varianty jsou jednoduché, jiné vysoce sofistikované. Zde jsou čtyři nejčastější druhy ransomwaru, se kterými se firmy mohou setkat.

Šifrovací ransomware (Crypto ransomware)

Toto je nejběžnější a nejnebezpečnější typ ransomwaru. Po infikování systému zašifruje soubory tak, že je bez dešifrovacího klíče nelze obnovit. Oběti uvidí varovnou zprávu s požadavkem na výkupné – obvykle v kryptoměně, aby útočníci zůstali anonymní.
Jak se dostane do firmy?
Nejčastěji přes falešné e-maily, infikované přílohy nebo škodlivé webové stránky. Zaměstnanec si například stáhne dokument s názvem „Faktura_urgent.pdf“, který však spustí ransomware a okamžitě zašifruje firemní data.
Jak může uškodit?
V roce 2017 se ransomware WannaCry rozšířil po celém světě a infikoval více než 200 000 počítačů ve 150 zemích. Způsobil výpadky v nemocnicích, továrnách a bankách – vše kvůli jedné bezpečnostní chybě v systémech Windows.

Locker ransomware

Na rozdíl od šifrovacího ransomwaru neblokuje jednotlivé soubory, ale celý systém. Počítač se stane nepoužitelným, zaměstnanci se nemohou přihlásit a pracovat. Obvykle se zobrazí zpráva typu:
„Váš počítač byl zablokován. Kontaktujte nás a zaplaťte poplatek, abyste jej mohli znovu použít.“
Jak se dostane do firmy?
Nejčastěji přes infikované softwarové balíky nebo webové stránky. Stačí, když si někdo v týmu stáhne nespolehlivý program nebo pirátskou kopii softwaru, která obsahuje škodlivý kód.
Jak může uškodit?
V roce 2016 ransomware Petya napadl velké korporace. Útočníci tvrdili, že jde o klasický šifrovací ransomware, ale ve skutečnosti jednoduše zničili data – i oběti, které zaplatily výkupné, už nikdy nedostaly své soubory zpět.

Dvojité vydírání (Double extortion ransomware)

Někteří útočníci jdou ještě dál – kromě toho, že data zašifrují, hrozí i jejich zveřejněním. To znamená, že i když firma má zálohy a odmítne zaplatit, stále riskuje, že citlivé údaje uniknou na internet.
Proč je to nebezpečné?
I kdyby firma měla dobré zálohování a dokázala své systémy obnovit, únik citlivých údajů může vést k:

• Právním problémům – ztráta osobních údajů klientů může porušit GDPR a způsobit pokuty.
• Poškození reputace – pokud se obchodní tajemství nebo zákaznická data objeví online, firma může ztratit důvěru klientů.

Jak může uškodit?
Ransomware Maze byl jedním z prvních, který začal kombinovat šifrování dat a hrozbu jejich zveřejnění. V roce 2020 napadl několik velkých firem včetně právnických kanceláří a technologických společností. Útočníci zveřejnili části ukradených údajů jako důkaz, že své hrozby myslí vážně.

Ransomware jako služba (RaaS – Ransomware-as-a-Service)

Podobně jako si firmy pronajímají cloudové služby, i kyberzločinci nabízejí ransomware „na pronájem“. RaaS umožňuje i méně zkušeným hackerům provádět útoky bez toho, aby museli sami programovat škodlivý software.
Jak funguje?
Profesionální kyberzločinci vytvoří ransomware a nabízejí jej k prodeji nebo pronájmu na dark webu. Zájemci jej mohou použít pro vlastní útoky a výnosy z výkupného se dělí mezi autory a útočníky.
Proč je to hrozba?
Tento model znamená, že ransomware se může šířit rychleji a agresivněji. Dříve byly ransomwarové útoky doménou specializovaných hackerů, dnes může ransomware používat kdokoli, kdo má dostatek peněz na jeho nákup.
Jak může uškodit?
Ransomware REvil byl nabízen jako RaaS a způsobil masivní škody po celém světě. Útočníci jej pronajímali a používali k útokům proti IT firmám, právníkům či poskytovatelům zdravotní péče.

Jak se firmy mohou chránit před ransomwarem?

Ransomware je vážnou hrozbou pro firmy všech velikostí, ale existují konkrétní opatření, která mohou výrazně snížit riziko útoku. Prevence je vždy levnější a méně bolestivá než řešení následků ransomwarového útoku. Ochrana před tímto typem kybernetického útoku spočívá v kombinaci technických opatření, dobré organizace IT infrastruktury a školení zaměstnanců, jehož součástí by měl být vypracovaný tzv. disaster recovery plán, tedy plán obnovy činnosti.

Zálohování dat: První linie obrany
Nejúčinnější ochrana před ransomwarem je mít aktuální a bezpečné zálohy dat. Pokud jsou data pravidelně zálohována a bezpečně uložena, firma se dokáže zotavit i v případě útoku bez nutnosti placení výkupného.

Jak často dělat zálohy?

• Minimálně jednou denně, ideálně automatizovaně, aby se předešlo lidským chybám.
• V případě kritických dat může být vhodné zálohovat v kratších intervalech.

Kde uchovávat zálohy?

• Offline zálohy (tzv. air-gapped storage) – uchovávání záloh na fyzických nosičích, které nejsou připojené k internetu nebo firemní síti. To zabraňuje jejich napadení při ransomwarovém útoku.
• Cloudová řešení – zálohy v cloudu poskytují flexibilitu a ochranu před fyzickým poškozením (například požár nebo krádež serverů). Je důležité, aby cloudové úložiště podporovalo verzování souborů, aby bylo možné obnovit data z bodu před útokem.
• Pravidlo 3-2-1 zálohování – doporučený standard, který znamená mít tři kopie dat, uložené na dvou různých typech úložišť, přičemž alespoň jedna záloha je offline.

Segmentace sítě a řízení přístupu

Mnoho firem uchovává všechna data a systémy na jednom centrálním úložišti, což představuje velké bezpečnostní riziko. Pokud ransomware infikuje síť, může se nekontrolovatelně šířit a ochromit celý podnik.

Proč nestačí mít všechna firemní data na jednom místě?

• Pokud útočník získá přístup do sítě, bez segmentace může ransomware zašifrovat všechny soubory najednou.
• Rozdělení dat do různých oddělených segmentů snižuje riziko jejich úplné ztráty při napadení.

Jak správně omezit přístup zaměstnanců pouze na potřebná data?

• Princip minimálních oprávnění (Least Privilege Access) – zaměstnanci by měli mít přístup jen k těm datům a systémům, které potřebují pro svou práci.
• Víceúrovňová autentifikace (Multi-Factor Authentication, MFA) – citlivé údaje by měly být chráněny více než jen heslem, ideálně kombinací hesla a biometrie nebo jednorázových kódů.
• Monitorování a logování přístupů – IT oddělení by mělo pravidelně kontrolovat přístupy k důležitým systémům a identifikovat podezřelé chování.

Školení zaměstnanců: Prevence začíná u lidí

Jedním z nejčastějších způsobů, jak se ransomware dostane do firmy, je lidská chyba. Neopatrné kliknutí na škodlivý e-mail nebo stažení infikovaného souboru může vést k napadení celé firemní sítě.

Jak rozpoznat podvodné e-maily (phishing) a neotvírat podezřelé přílohy?

• Zkontrolovat e-mailovou adresu odesílatele – podvodníci často napodobují důvěryhodné kontakty, ale jejich e-maily mohou obsahovat drobné překlepy nebo neobvyklé domény.
• Neotvírat neočekávané přílohy – zejména pokud obsahují soubory s příponami .exe, .zip, .rar, .js, .docm.
• Pozor na naléhavé zprávy – podvodníci často používají taktiku psychologického nátlaku, například „Vaše faktura je nesprávná, otevřete přílohu okamžitě“.

Jak se vyhnout nebezpečným webovým stránkám?

• Zaměstnanci by měli umět rozpoznat nebezpečné webové stránky – například ty, které nemají zabezpečené připojení (HTTPS), obsahují mnoho gramatických chyb nebo nabízejí „příliš dobré“ nabídky.
• Používání firemní VPN a blokování podezřelých domén přes firewall může zabránit náhodným návštěvám škodlivých stránek.

Bezpečnostní opatření IT infrastruktury

Technologická opatření jsou základem prevence proti ransomwarovým útokům. Firmy by měly pravidelně kontrolovat a aktualizovat svou IT infrastrukturu, aby minimalizovaly slabá místa, která mohou útočníci zneužít.

Pravidelné aktualizace softwaru a operačních systémů

• Mnoho ransomwarových útoků využívá zranitelnosti ve zastaralém softwaru. Pokud se software pravidelně aktualizuje, firma minimalizuje riziko útoku.
• Automatické aktualizace zajišťují, že všechna zařízení používají nejnovější bezpečnostní záplaty.

Používání silných hesel a vícefaktorové autentifikace (MFA)

• Zaměstnanci by měli používat dlouhá, unikátní hesla a nikdy je nesdílet.
• Vícefaktorová autentifikace přidává další vrstvu ochrany, čímž snižuje riziko neoprávněného přístupu k systémům.

Antivirová řešení a EDR (Endpoint Detection and Response) systémy

• Moderní bezpečnostní řešení dokážou včas rozpoznat a zastavit ransomware ještě předtím, než způsobí škody.
• EDR systémy monitorují podezřelou aktivitu na zařízeních a dokážou identifikovat a izolovat hrozby v reálném čase.

 

Co dělat, pokud se vaše firma stane obětí ransomwarového útoku?

I při důkladné prevenci se může stát, že firma se stane obětí ransomwarového útoku. Pokud systém zablokuje varovná zpráva požadující výkupné, je klíčové zachovat chladnou hlavu a postupovat systematicky. Rychlá a správná reakce může minimalizovat škody a pomoci firmě co nejdříve obnovit provoz.

První kroky po infikování ransomwarem

Pokud firma zjistí, že došlo k ransomwarovému útoku, musí okamžitě jednat. Čím dříve se podniknou správné kroky, tím větší je šance na zamezení dalšího šíření a na obnovu dat.

Odpojení napadeného zařízení od sítě

• Pokud je ransomware v počáteční fázi šíření, odpojení infikovaného zařízení od sítě může zabránit tomu, aby se útok rozšířil na další systémy.
• Je důležité odpojit nejen internet, ale také firemní Wi-Fi, Bluetooth a všechna externí úložiště či USB zařízení, která mohou obsahovat zálohy nebo citlivá data.

Zjištění rozsahu škod

• IT oddělení nebo externí odborníci by měli rychle identifikovat, která zařízení a soubory byly zašifrovány a zda ransomware zasáhl pouze lokální počítač, nebo také servery a cloudová úložiště.
• Důležité je zjistit, zda došlo k úniku dat, protože některé typy ransomwaru (např. při dvojitém vydírání) nejen šifrují data, ale také hrozí jejich zveřejněním.

Informování IT týmu nebo externích odborníků

• Pokud firma nemá vlastní kyberbezpečnostní tým, je nezbytné okamžitě kontaktovat odborníky, kteří mají zkušenosti s řešením ransomwarových útoků.
• V některých případech může být možné identifikovat konkrétní typ ransomwaru a najít dešifrovací nástroje, které pomohou obnovit data bez placení výkupného.

Platít či neplatit výkupné?

Útočníci požadují výkupné s příslibem, že po jeho zaplacení poskytnou dešifrovací klíč. Mnozí podnikatelé ve snaze co nejrychleji obnovit provoz uvažují o zaplacení, ale jde o riskantní rozhodnutí s mnoha negativními důsledky.

Rizika placení výkupného

• Žádná záruka obnovy dat – Útočníci mohou po zaplacení zmizet bez poskytnutí klíče. Statistiky ukazují, že v některých případech firmy zaplatily, ale data nikdy nebyla dešifrována.
• Podpora kyberzločinu – Každé zaplacené výkupné motivuje útočníky pokračovat v dalších útocích na jiné firmy.
• Riziko dalšího útoku – Firmy, které zaplatí, se často stávají cílem opakovaných útoků, protože útočníci je vnímají jako „ochotné plátce“.

Alternativy k placení výkupného

Pokud firma dodržuje bezpečnostní opatření, má několik možností, jak obnovit data bez placení:

• Použití záloh – Pokud má firma pravidelné offline zálohy, může rychle obnovit systémy bez nutnosti platit výkupné, pokud má správně vypracovaný plán obnovy činnosti.
• Vyhledání dešifrovacích nástrojů – Některé ransomwarové útoky jsou známé a existují bezplatné dešifrovací nástroje, které mohou pomoci obnovit data. Takové nástroje poskytují například Europol nebo bezpečnostní společnosti.
• Forenzní analýza útoku – IT specialisté mohou analyzovat útok a pokusit se najít zranitelnosti, přes které útočník pronikl do systému, aby zabránili dalším incidentům.

Kontaktování odborníků a právníků

Ne všechny případy ransomwarových útoků je nutné řešit interně. V některých situacích je důležité kontaktovat orgány činné v trestním řízení a právní odborníky.

Kdy se obrátit na policii nebo CERT-UK?

• Pokud útočníci hrozí zveřejněním citlivých firemních nebo zákaznických údajů.
• Pokud jde o rozsáhlý útok, který může ovlivnit kritickou infrastrukturu (například zdravotnictví, energetiku, finanční instituce).
• Pokud firma podezřívá, že útočníci již napadli více společností ve stejném odvětví.

Specializované kyberbezpečnostní jednotky (např. CERT-UK nebo národní týmy pro řešení kybernetických incidentů) mohou poskytnout užitečné rady a v některých případech i technickou pomoc.

Právní důsledky a hlášení incidentu

• Pokud došlo k úniku osobních údajů zákazníků nebo zaměstnanců, firma může mít povinnost incident nahlásit úřadům na ochranu osobních údajů podle nařízení GDPR.
• Některé firmy mají ve smlouvách s partnery povinnost informovat obchodní partnery a klienty o kybernetickém útoku.
• Právní oddělení by mělo posoudit možná rizika a pomoci s komunikací s dotčenými stranami.

Zaměstnanci jsou první linií obrany

Ani ten nejlepší bezpečnostní software nepomůže, pokud zaměstnanci kliknou na podvodný e-mail nebo si stáhnou škodlivý soubor. Proto je školení personálu jedním z nejdůležitějších prvků kybernetické bezpečnosti.

Firmy by měly zavést:

• Pravidelná školení pro rozpoznání phishingových útoků – Zaměstnanci by měli umět identifikovat podezřelé e-maily, falešné odkazy a škodlivé přílohy.
• Simulované kybernetické útoky – Testování zaměstnanců prostřednictvím falešných phishingových kampaní pomáhá odhalit slabá místa v organizaci.
• Bezpečnostní politiky pro práci s daty – Jasná pravidla, jak nakládat s citlivými informacemi a jaké kroky podniknout v případě podezření na útok. Součástí informační bezpečnosti by měl být také kompletní přehled o datech (například pomocí DLP).

Zaměstnanci jsou často prvním cílem útočníků, a proto jejich vzdělávání může zásadně snížit riziko útoku.

Pravidelné zálohování a bezpečnostní politiky mohou firmě zachránit nejen peníze, ale i samotnou existenci

Žádná firma není zcela imunní vůči ransomwarovému útoku. Klíčovým rozdílem mezi firmami, které útok přežijí bez velkých ztrát, a těmi, které se dostanou do existenčních problémů, je správně nastavené zálohování, bezpečnostní opatření a dobře navržený plán obnovy činnosti (disaster recovery).

Každý podnik by měl mít zavedené:

1. Automatizované zálohování – Data by se měla pravidelně zálohovat na několik nezávislých úložišť, včetně offline záloh, které nejsou připojené k síti.
2. Pravidelné testování obnovy dat – Nestačí mít jen zálohy, je nutné pravidelně ověřovat, zda jsou použitelné pro obnovu systémů.
3. Bezpečnostní strategii pro přístup k datům – Přísná pravidla, která omezují přístup k citlivým souborům pouze na nezbytné osoby.
4. Disaster recovery a Business continuity plán – Podrobný postup, který určuje, co dělat v případě kybernetického útoku, kdo má jaké odpovědnosti a jak minimalizovat škody.

Firmy, které tyto zásady dodržují, mají mnohem vyšší šanci zvládnout případný útok bez katastrofálních následků.

Na závěr je třeba dodat, že i ty nejlepší strategie a technologie se neobejdou bez lidí, kteří je spravují. Týmy odpovědné za infrastrukturu a bezpečnost jsou ve firmách často poddimenzované – právě proto, že když vše funguje, jejich práce není vidět.

Kybernetická bezpečnost však není „neviditelná služba“, ale klíčová investice do správného fungování firmy. Posílení a odpovídající personální zajištění těchto týmů může být rozhodujícím faktorem, který odliší podnik, který útok přežije a s jakou finanční, datovou nebo provozní újmou.