IT bezpečnost pro firmy: 10 kroků, které vás ochrání

Kybernetické útoky nejsou jen problém velkých korporací. Naopak -- malé a střední firmy jsou pro útočníky oblíbeným cílem, protože mají často slabší zabezpečení a méně zdrojů na obranu. Každý třetí kybernetický útok míří právě na malé firmy.

Dobrá zpráva je, že se dá bránit. A nemusí to stát miliony. Tady je 10 konkrétních kroků, které výrazně zvýší bezpečnost vaší firmy.

1. Nasaďte kvalitní firewall

Firewall je první obranná linie vaší sítě. Kontroluje veškerý provoz mezi internetem a vaší firemní sítí. Domácí router od poskytovatele internetu nestačí -- potřebujete podnikový firewall, který umí filtrovat provoz, blokovat nebezpečné stránky a detekovat podezřelé aktivity.

Investice: 5 000 -- 20 000 Kč podle velikosti firmy. Investice, která se vrátí při prvním odraženém útoku.

2. Používejte podnikový antivirus

Bezplatný antivirus pro domácnosti ve firmě nestačí. Podnikový antivirus (ESET, Bitdefender, Microsoft Defender for Business) nabízí centrální správu -- vidíte stav všech počítačů z jednoho místa, můžete vzdáleně spouštět kontroly a okamžitě reagovat na hrozby.

Cena: 500 -- 1 200 Kč ročně na počítač. Zahrnuje pravidelné aktualizace virové databáze a ochranu v reálném čase.

3. Zapněte vícefaktorové ověřování (MFA)

Heslo samo o sobě nestačí. Vícefaktorové ověřování (MFA) přidává druhý krok přihlášení -- typicky kód z mobilní aplikace. I když útočník získá vaše heslo, bez druhého faktoru se nepřihlásí.

MFA je naprosto zásadní pro:

• E-mailové účty (Microsoft 365, Google Workspace)
• Vzdálený přístup (VPN, vzdálená plocha)
• Bankovní a účetní systémy
• Administrátorské účty na všech systémech

Náklady: nulové. Microsoft Authenticator i Google Authenticator jsou zdarma.

4. Stanovte politiku hesel

Slabá hesla jsou nejčastější příčinou bezpečnostních incidentů. Správná politika hesel zahrnuje:

• Minimální délka 12 znaků
• Kombinace velkých a malých písmen, číslic a speciálních znaků
• Unikátní heslo pro každou službu
• Používání správce hesel (Bitwarden, 1Password, KeePass)
• Zákaz sdílení hesel mezi zaměstnanci

Správce hesel je klíčový -- zaměstnanci si nemusí pamatovat desítky složitých hesel. Pamatují si jedno hlavní a zbytek za ně řeší aplikace.

5. Aktualizujte pravidelně vše

Většina úspěšných útoků využívá známé zranitelnosti v neaktualizovaném softwaru. Aktualizace nejsou jen otravná okénka -- jsou to bezpečnostní záplaty, které zavírají dveře útočníkům.

Co musí být vždy aktuální:

• Operační systém (Windows, macOS)
• Kancelářský software (Microsoft Office / 365)
• Webový prohlížeč
• Firmware síťových zařízení (router, switch, access point)
• Veškerý ostatní software

6. Školte zaměstnance

Lidský faktor je nejslabší článek bezpečnosti. Nejsofistikovanější firewall nepomůže, když zaměstnanec klikne na odkaz v phishingovém e-mailu nebo sdílí heslo po telefonu.

Pravidelné školení (alespoň jednou ročně) by mělo pokrývat:

• Rozpoznávání phishingových e-mailů
• Bezpečné zacházení s hesly
• Co dělat při podezření na incident
• Pravidla pro práci z domova a veřejných Wi-Fi

7. Zálohujte podle pravidla 3-2-1

Zálohy jsou vaše poslední záchranná síť. Pokud všechno ostatní selže -- ransomware zašifruje data, disk se zničí, zaměstnanec smaže důležitou složku -- záloha vás zachrání.

Pravidlo 3-2-1: 3 kopie dat, na 2 různých médiích, 1 kopie mimo pracoviště. Podrobně jsme o tom psali v průvodci zálohováním pro firmy.

8. Omezte přístupová práva

Ne každý zaměstnanec potřebuje přístup ke všemu. Princip nejmenších oprávnění znamená, že každý má přístup jen k tomu, co potřebuje pro svou práci. Účetní nepotřebuje administrátorský účet. Recepční nemusí mít přístup k finančním datům.

Konkrétně:

• Zaměstnanci pracují pod běžnými účty, ne administrátorskými
• Sdílené složky mají nastavená práva -- kdo co může číst a měnit
• Při odchodu zaměstnance se okamžitě deaktivují všechny jeho přístupy

9. Zabezpečte vzdálený přístup

Práce z domova je běžná, ale musí být bezpečná. Připojení přes veřejný internet bez ochrany je jako nechat otevřené dveře kanceláře.

Pro bezpečný vzdálený přístup používejte firemní VPN, která šifruje veškerou komunikaci. Vzdálenou plochu (RDP) nikdy nevystavujte přímo do internetu -- je to jeden z nejčastějších vstupních bodů pro útočníky.

10. Mějte plán pro případ incidentu

I s nejlepším zabezpečením se může něco stát. Důležité je vědět, co dělat:

1. Kdo je kontaktní osoba pro bezpečnostní incidenty?
2. Jak odpojit napadený počítač od sítě?
3. Kde jsou zálohy a jak se obnovují?
4. Koho informovat (klienty, úřady) v případě úniku dat?
5. Jak co nejrychleji obnovit provoz?

Tento plán nemusí být stostránkový dokument. Stačí jednoduchý postup na jednu stránku, který znají všichni ve firmě.

Kolik stojí základní zabezpečení firmy

Pro firmu s 10 počítači orientačně:

• Podnikový firewall: 8 000 -- 15 000 Kč jednorázově
• Podnikový antivirus: 5 000 -- 12 000 Kč ročně
• MFA: zdarma
• Správce hesel: 2 000 -- 5 000 Kč ročně
• Konfigurace a nastavení: 5 000 -- 10 000 Kč

Celkem přibližně 20 000 -- 40 000 Kč za první rok. Srovnejte to s průměrnými náklady na kybernetický incident u malé firmy, které se pohybují v řádu statisíců.

Jako IT správce pro firmy v Praze 1 pomáháme malým firmám s kompletním zabezpečením IT. Od auditu současného stavu po implementaci všech zmíněných opatření.