Většinu útoků na firmy pustí dovnitř stará hesla a zanedbané aktualizace

O kyberbezpečnosti si spousta majitelů firem myslí dvě věci. Že je to problém velkých korporací a že útok poznají podle geniálního hackera. Obojí je vedle. Drtivá většina útoků na firmy projde tím, co někdo zanedbal, a týká se to i malých firem. Často právě přes ně útočníci míří na ty velké. K tomu se za poslední rok zpřísnila pravidla, takže základní bezpečnost přestala být dobrovolná. Vezměme to prakticky: co dnes firmu reálně ohrožuje a co s tím.

Bezpečnost už není jen dobrá vůle

Od loňského listopadu platí nový zákon o kybernetické bezpečnosti, který do českého práva přenáší evropskou směrnici NIS2. Podstatné je, že výrazně rozšířil okruh firem, kterých se týká. Nejde už jen o banky a energetiku, ale i o výrobu, zdravotnictví, IT služby nebo dopravu. A i když vaše firma pod zákon přímo nespadá, můžete být zavázaní smluvně, protože regulované firmy musí hlídat bezpečnost i u svých dodavatelů. Když dodáváte někomu většímu, počítejte s tím, že to po vás bude chtít.

Dvě věci stojí za zapamatování. Odpovědnost padá přímo na vedení firmy, ne na ajťáka. A za nesplnění hrozí pokuta až deset milionů korun nebo dvě procenta celosvětového obratu. Ať už pod zákon spadáte, nebo ne, posouvá to základní bezpečnost z kategorie „někdy se k tomu dostaneme" do kategorie „musí to být hotové".

Útočníci nepotřebují kouzla

Jak útoky reálně probíhají, je zároveň návod, kde se bránit. Začátkem roku se útočníci dostali do desítek tisíc firewallů Fortinet po celém světě. Nepoužili žádnou neznámou chybu, jen vyzkoušeli hesla, která už dávno unikla, a u firem, co je nikdy nezměnily, byli rázem uvnitř. Jiná skupina využila neopravené chyby v rozšířeném softwaru Oracle a postupně obrala přes sto organizací, které ještě nezáplatovaly. Vyděračské gangy dnes navíc umí cíleně vypnout antivirus na počítači a fungují jako pronájem, takže útočí kdokoli, kdo si jejich nástroje zaplatí. A nejlevnější cesta dovnitř je člověk. Firmám běžně chodí falešné faktury s pravým logem a správným IČO, vygenerované pod cizím jménem.

Společné je jim jedno. Žádná z těch věcí nevyžadovala geniální techniku. Stačila zanedbaná hygiena: neměněné heslo, neinstalovaná aktualizace, nepozornost u platby.

Co zastaví většinu útoků

Stejně obyčejná jako útoky je naštěstí i obrana. Pět věcí udělá největší rozdíl.

Vícefaktorové ověření. Podle Microsoftu zastaví přes 99 procent automatizovaných útoků na účty, protože i s ukradeným heslem se útočník bez druhého potvrzení nedostane dál. Zapněte ho všude, kde to jde, hlavně u e-mailů, VPN a vzdáleného přístupu.

Rychlé aktualizace. Většina průniků jede přes díry, na které už dávno existuje oprava. Mějte jasno, kdo ve firmě aktualizace hlídá, a ty kritické instalujte hned, ne až bude čas.

Zálohy, ze kterých se dá obnovit. Držte tři kopie na dvou různých místech, z toho jednu mimo síť, kam se útočník z napadeného počítače nedostane. A hlavně si jednou za čas vyzkoušejte, že obnova opravdu funguje. Záloha, kterou jste nikdy nezkoušeli obnovit, se v krizi nemusí povést.

Omezení práv. Běžný uživatel nemá mít právo instalovat programy a ovladače. Většina škodlivého kódu potřebuje přesně tahle práva, aby se uchytil.

Ověřování plateb. Zaveďte pravidlo, že faktura se platí až po ověření, že službu někdo objednal a že sedí číslo účtu. U dokladů, co přijdou znenadání a tlačí na rychlost, to platí dvojnásob.

Falešný pocit bezpečí

Největší slabina nebývá technika, ale přesvědčení, že se nás to netýká. Z průzkumu o digitalizaci českých firem vyšlo, že kyberútok zažila skoro polovina z nich, a přitom devět z deseti věří ochraně, kterou mají nasazenou. Ta dvě čísla k sobě nesedí. Když útok zažil skoro každý druhý a skoro každý se přitom cítí v bezpečí, část firem se plete. Pomůže položit si jednoduchou otázku. Kdyby nás někdo napadl dnes ráno, kdo by to řešil, podle čeho a jak dlouho bychom stáli? Když na to neumíte odpovědět, máte kde začít.

Kde začít

Nemusíte hned kupovat drahá řešení. Začněte tím, co nestojí skoro nic a zastaví nejvíc. Projděte, co má firma přístupné z internetu, tedy firewall, VPN, vzdálené plochy a e-maily, a u všeho zapněte vícefaktorové ověření a změňte stará hesla. Zjistěte, kdo hlídá aktualizace a jak rychle se reálně instalují. Ověřte, že máte zálohu mimo síť a že jste z ní někdy opravdu obnovili data, ne že ji jen máte nastavenou. A sepište jednu stránku pro případ, že se něco stane: koho volat, co odpojit, kde jsou zálohy. Většinu těch kroků zvládne i malá firma vlastními silami za pár dní. Je to přesně ten rozdíl mezi firmou, kterou útočník mine, a firmou, která pak týdny řeší, jestli zaplatit výkupné, a k tomu vysvětluje úřadu i zákazníkům, jak k tomu mohlo dojít.