Kybernetická bezpečnost: hesla, dvoufaktorové ověřování, zálohy a smlouvy s IT dodavateli

Natália Šimková

Proč kybernetická bezpečnost rozhoduje o přežití malého podnikání

Kybernetické útoky už dávno nejsou pouze problémem „velkých korporací“. Mikropodniky a firmy vedené ženami jsou pro útočníky atraktivní: disponují cennými daty (klienti, fakturace, marketingové databáze) a často mají omezené zdroje na ochranu. Tento článek přináší přehled nejdůležitějších pilířů, které v praxi udrží vaše podnikání v chodu: silná hesla, dvojfaktorové ověření (2FA), zálohy a obnova a smlouvy s IT dodavateli.

Hrozby a rizikový profil: co je pro malé firmy nejpravděpodobnější

  • Phishing a sociální inženýrství: falešné e-maily/SMS s výzvou přihlásit se nebo uhradit „fakturu“.
  • Únik přihlašovacích údajů: hesla z opakovaného použití se objeví v únikových databázích a útočník se přihlásí „legálně“.
  • Ransomvér: zašifrování dat s požadavkem na výkupné.
  • Ztráta zařízení: ukradený notebook/mobil s přístupem k e-mailu a cloudu.
  • Chyby dodavatele: nevhodné nastavení serveru, slabé přístupy, opožděné záplaty.

Hesla: praktická politika, která funguje

Tradiční rady typu „měňte heslo každých 30 dní“ jsou dnes spíše kontraproduktivní. Moderní politika staví na dlouhých jedinečných heslech a správci hesel.

Doporučené zásady

  • Passfráze: minimálně 14–16 znaků (např. tři–čtyři náhodná slova a znak: lev-obloha-ticho!čaj).
  • Jedinečnost: žádné opakování hesel napříč službami.
  • Správce hesel: centrální generování a ukládání hesel (firmy: možnost sdílet trezory v týmu).
  • Kontrola úniků: pravidelně kontrolujte, zda se vaše e-maily/hesla neobjevila v známých únikových databázích; kompromitovaná hesla okamžitě vyměňte.
  • Hlavní heslo: dlouhá, zapamatovatelná passfráze; nikdy ji nesdílejte a neukládejte v prohlížeči.

Čemu se vyhnout

  • Krátká hesla, vzory na klávesnici (123456, qwerty, heslo2025).
  • Opakované používání hesel nebo jejich drobné modifikace.
  • Posílání hesel e-mailem nebo chatem bez dočasného zabezpečeného odkazu.

2FA/MFA: druhý zámek, který mění pravidla hry

Dvojfaktorové ověření (2FA) přidává další vrstvu ochrany nad heslo. I při jeho úniku se útočník nepřihlásí bez druhého faktoru.

Druhy 2FA a jejich vhodnost

  • Authenticator aplikace (TOTP): kódy v aplikaci (např. Microsoft/Google Authenticator, Aegis). Dobrá rovnováha mezi bezpečností a pohodlím.
  • Push notifikace: potvrzení přihlášení v mobilní aplikaci; rychlé, pozor na „push fatigue“ (bezhlavé odklikávání).
  • Hardwarové bezpečnostní klíče (FIDO2/U2F): nejodolnější vůči phishingu; ideální pro zakladatelku, finanční správu, administrátory.
  • SMS 2FA: lepší než nic, ale zranitelné vůči SIM-swappingu; používejte jen pro méně kritické služby nebo dočasně.

Implementační tipy

  • Zapněte 2FA alespoň na: e-mail, účetnictví, bankovnictví, cloudová úložiště, CRM, marketingové nástroje, správce hesel.
  • Pro kritické účty mějte dva hardwarové klíče (primární + záložní) a bezpečně je označte/uložte.
  • Bezpečně uložte záložní kódy mimo počítač (papír v trezoru nebo šifrovaný trezor ve správci hesel).

Zálohy: 3-2-1-1-0 pro reálnou odolnost

Cílem zálohování není pouze „mít kopii“, ale rychle obnovit podnikání po selhání nebo útoku. Osvědčený vzor je:

  • 3 kopie dat (produkční + 2 zálohy),
  • 2 různá média (např. cloud a externí disk),
  • 1 kopie off-site (mimo kancelář/primární cloud),
  • 1 immutable (nezměnitelná) nebo air-gapped záloha chráněná před smazáním/ransomvérem,
  • 0 chyb při testovací obnově (validované obnovy).

Co zálohovat

  • Podnikové dokumenty, smlouvy, účetnictví, exporty CRM, e-mailové archivy.
  • Web, databáze, repozitáře kódu a konfigurační soubory.
  • Nastavení cloudových služeb (exporty), šablony, automatizace.

RTO/RPO: obchodní cíle obnovy

  • RTO (Recovery Time Objective): za jak dlouho musím být zpět v provozu (např. 4 hodiny).
  • RPO (Recovery Point Objective): kolik dat mohu ztratit (např. max. 4 hodiny práce).

Testování obnovy

  • Jednou za čtvrtletí zkuste obnovit náhodný soubor i celý systém/web do izolovaného prostředí.
  • Vytvořte runbook: kroky obnovy, přístupy, kontakty, odpovědnosti.

Šifrování, zařízení a přístupy

  • Šifrování disků na noteboocích a mobilech (BitLocker/FileVault; Android/iOS mají šifrování zabudované).
  • Automatické zamykání obrazovky, biometrie + PIN, aktualizace OS a aplikací.
  • Segmentace účtů: pracovní a osobní účty oddělené; princip nejnižších oprávnění.
  • Správa zařízení (MDM) u týmů: vzdálené vymazání, povinné aktualizace, minimální bezpečnostní standardy.

Bezpečná spolupráce a sdílení dat

  • Používejte firemní trezory ve správci hesel pro sdílení přihlašovacích údajů; sdílejte přístupy, nikoli hesla.
  • Omezte přístupy externistům, nastavte data expirace a revizi práv každé 3 měsíce.
  • Citlivé soubory posílejte přes odkaz s expirací a heslem, ne jako přílohu.

Incident response: první kroky, když se něco stane

  1. Identifikovat: co přesně se stalo (phishing, ztráta zařízení, podezřelý přístup)?
  2. Obsáhnout: odpojit napadené zařízení, změnit hesla, odvolat přístupy, odhlásit aktivní relace.
  3. Eradikovat: odstranit škodlivý kód, vyčistit účty, obnovit bezpečné konfigurace.
  4. Obnovit: ze záloh podle runbooku, ověřit integritu dat.
  5. Oznámit: podle právních povinností (např. GDPR), klientům a partnerům transparentně a věcně.
  6. Poučit se: co zlepšit v procesech, školení a technických opatřeních.

Smlouvy s IT dodavateli: co musí být černé na bílém

Dobrá smlouva snižuje operační i právní riziko. Při výběru a řízení IT partnerů dbejte na následující ustanovení:

  • Předmět a rozsah služby: přesná specifikace (správa webu, hosting, helpdesk, SLA, bezpečnostní aktualizace).
  • SLA (Service Level Agreement): doby odezvy a odstranění poruch, dostupnost (např. 99,9 %), okno údržby, měření a reporty.
  • Bezpečnostní požadavky: povinné 2FA, šifrování, logování, záplatování do X dnů, zálohy (frekvence, retence, test obnovy).
  • Ochrana osobních údajů (GDPR): smlouva o zpracování (DPA), účely, kategorie dat, subdodavatelé, přenosy do třetích zemí, doba uchovávání, technická a organizační opatření (TOMs).
  • Povinnost oznámit incident: max. do Y hodin od zjištění, s detaily a návrhem nápravných opatření.
  • Odpovědnost a limity: přiměřené odpovědnostní limity, výjimky, cyber pojištění, náhrada škody při hrubé nedbalosti.
  • Přístupová práva a správa účtů: vlastnictví účtů je u klienta, dodavatel má jen delegované přístupy; předání při ukončení.
  • Duševní vlastnictví: kód, design, obsah – čí je vlastnictví, licence, práva na další rozvoj.
  • Audit a kontrola: právo na audit, bezpečnostní dotazníky, sdílení logů.
  • Změna rozsahu/Change management: jak se schvalují změny, nové moduly, hodinové sazby, transparentní nabídky.
  • Exit klauzule: migrační plán, předání dokumentace, záloh a přístupu k repozitářům; lhůta a podpora při přechodu.

Bezpečnostní minima do smlouvy (kontrolní seznam)

Oblast Minimum Jak ověřit
Identita a přístupy 2FA pro admin účty, princip nejnižších práv Export seznamu účtů a rolí, screenshoty nastavení
Zálohy Denní + off-site + měsíční test obnovy Report z poslední obnovy, logy úloh
Záplatování Zranitelnosti kritické do 7 dnů Přehled ticketů, changelog
Monitorování Logy přístupů, upozornění na anomálie Ukázka dashboardu/alertů
Incidenty Oznámení do 24 h, korektivní opatření Šablona incident reportu

GDPR v praxi: bezpečnost jako součást souladu

  • Zásada privacy by design: minimalizovat sběr, pseudonymizovat, kontrolovat přístupy.
  • Záznamy o zpracovatelských činnostech a posouzení rizik u nových nástrojů.
  • Smlouva o zpracování s každým dodavatelem, který zpracovává osobní údaje vašich klientů.

Vzdělávání a kultura: malé návyky, velká ochrana

  • Bezpečnostní 15 minut měsíčně: krátká cvičení (rozpoznání phishingu, práce s 2FA, bezpečné sdílení).
  • Playbook pro nové kolegy: jak si nastavit účet, 2FA, správce hesel, podpis v e-mailu, pravidla sdílení.
  • Bezpečná dovolená: oznámení „mimo kancelář“ bez interních detailů, zastupitelské přístupy na čas, vypnutí administrátorských práv na cestách.

Praktické šablony a formulace

Politika hesel (zkrácená verze)

  • Všechny pracovní účty používají jedinečná hesla uložená ve správci hesel.
  • Hesla mají min. 16 znaků; preferovány jsou passfráze.
  • 2FA je povinné pro e-mail, banku, účetnictví, cloud, CRM a správce hesel.

Runbook obnovy (výňatek)

  1. Kontaktujte zodpovědnou osobu a IT dodavatele.
  2. Odpojte napadená zařízení, resetujte přístupy.
  3. Ověřte poslední čistou zálohu, obnovte do izolovaného prostředí.
  4. Po verifikaci integrujte zpět a monitorujte.

Checklist: 30 minut pro vaši firmu tento týden

  1. Nastavte 2FA na e-mailu a účetnictví pro všechny.
  2. Zaveďte správce hesel a migrujte nejkritičtější účty.
  3. Proveďte zkušební obnovu jednoho adresáře z poslední zálohy.
  4. Revidujte smlouvu s IT: doplňte SLA, reporting incidentů a zálohovací politiku.
  5. Naplánujte 15minutový trénink phishingu na příští týden.

Shrnutí: bezpečnost je schopnost rychle se vrátit do hry

Největší výhodou malých firem je rychlost. Kybernetická bezpečnost ji nebrzdí – naopak, chrání čas, peníze a reputaci. S dlouhými jedinečnými hesly a 2FA, pečlivými zálohami a jasnými smlouvami s IT partnerem dokážete útoky přežít bez fatálních dopadů a pokračovat v tom nejdůležitějším: rozvoji vašeho podnikání.

Súvisiace články

Stanovení hodnoty podniku

Stanovení hodnoty podniku zahrnuje různé metody oceňování, volené podle účelu analýzy a specifik podniku, pro přesné finanční a strategické rozhodování.