Když se řekne „kybernetický útok“, většina majitelů malé firmy si představí banku, nemocnici nebo velký e-shop. Realita je jiná. Útočníci dnes nevybírají cíle ručně – používají automatizované nástroje, které během pár minut projedou statisíce webů a hledají tu nejmenší skulinu: zastaralý plugin, slabé heslo, chybějící certifikát. Nezáleží jim na tom, jestli za webem stojí korporace, nebo živnostník se třemi zaměstnanci. Záleží jim jen na tom, jestli se dá dovnitř dostat.
Tenhle článek je rozcestník. Projdeme si všechny hlavní oblasti bezpečnosti webu, u každé si vysvětlíme, proč na ní záleží, a ukážeme, jak poznáte, že máte problém. Ke každému tématu se ještě budeme podrobně vracet v samostatných článcích – tady najdete základní orientaci a přehled priorit.
1. Proč jste terč i jako malá firma
Číslo, které by mělo zvednout obočí každému majiteli webu: české firmy čelí zhruba 2 180 kybernetickým útokům týdně. To není statistika z velkého zahraničního trhu, to je česká realita. A není to jen teoretické riziko – podle průzkumů už každý čtvrtý podnik v Česku zažil kybernetický útok, přičemž u některých firem to znamenalo vážné finanční potíže, v krajních případech až konec podnikání. Kyberútoky stály českou ekonomiku v roce 2024 přes 8 miliard korun.
Zvlášť varovné je, že podle dostupných dat tvoří malé a střední firmy přes 43 % napadených webů. Důvod je prostý: velké firmy mají bezpečnostní týmy, malé firmy mají web, na který se od jeho spuštění nikdo pořádně nepodíval. Pro útočníka je to snadnější cíl – ne proto, že by po vás šel osobně, ale proto, že jste snadnější kořist než konkurence vedle.
- Útočníci hledají zranitelnosti automatizovaně, ne ručně – velikost firmy je nezajímá.
- Napadený web může sloužit k rozesílání spamu, phishingu nebo k ukrytí škodlivého kódu, aniž byste si toho hned všimli.
- Cena nápravy po útoku bývá řádově vyšší než cena prevence.
- Napadení webu často zjistíte až od zákazníka, Googlu nebo hostingu – ne sami od sebe.
Co si z toho odnést: bezpečnost webu není „nadstandard“ pro velké firmy, je to základní hygiena podobná zamykání provozovny. Nejde o to, jestli se útok stane, ale kdy se automatizovaný nástroj náhodou zastaví právě u vašeho webu.
2. Zabezpečené spojení (HTTPS)
Pokud váš web pořád běží na adrese začínající „http://“ místo „https://“, prohlížeč Chrome ho návštěvníkům aktivně označuje jako „Nezabezpečeno“. To není kosmetická poznámka v rohu obrazovky – je to varování, které si lidé všimnou hned vedle adresního řádku. A funguje: studie ukazují, že až 84 % lidí opustí web, jakmile uvidí podobné varování o nezabezpečeném připojení. Pro e-shop nebo web s kontaktním formulářem je to přímá ztráta poptávek a tržeb.
Řešení je přitom jedno z nejlevnějších v celé oblasti bezpečnosti webu. Certifikát od Let’s Encrypt je zdarma a naprostá většina webhostingů ho dnes umí nastavit prakticky automaticky. Pokud vám ho hosting nenabízí sám, je to samo o sobě varovný signál o kvalitě služby. Tomuto tématu se budeme věnovat podrobně v samostatném článku.
3. E-mail a doména (SPF, DKIM, DMARC)
Tohle je oblast, kterou málokdo řeší, dokud není pozdě. Pokud vaše doména nemá správně nastavené záznamy SPF, DKIM a DMARC, prakticky kdokoli může poslat e-mail, který vypadá, jako by šel z vaší firemní adresy. Útočník tak může vašim zákazníkům nebo obchodním partnerům poslat podvodnou fakturu s pozměněným účtem, phishingový odkaz nebo vyhrožující zprávu – a pro příjemce to bude vypadat jako zpráva od vás.
Kromě přímé škody na vztazích s klienty to poškozuje i vaši doménu samotnou: e-mailoví poskytovatelé jako Gmail nebo Seznam si všímají podvodných zpráv „z vaší domény“ a mohou začít i vaše legitimní maily řadit do spamu. Nastavení těchto záznamů je jednorázová technická úprava DNS, kterou zvládne správce hostingu nebo domény – ale musí o ní vědět, že je potřeba. Podrobný návod najdete v samostatném článku.
4. Aktualizace softwaru
Neaktualizovaný CMS nebo zastaralý plugin je dlouhodobě nejčastější příčinou napadení webů postavených na systémech jako WordPress. Funguje to jednoduše: výrobce najde a opraví bezpečnostní díru, zveřejní opravu – a tím i veřejně přizná, že díra existovala. Automatizované nástroje pak během hodin až dnů projíždějí internet a hledají weby, které aktualizaci ještě nenainstalovaly.
- Zastaralá jádrová instalace CMS (WordPress, Joomla a další).
- Neaktualizované pluginy a šablony – často větší riziko než samotné jádro.
- Doplňky, které už autor přestal vyvíjet a nikdy nedostanou opravu.
Pravidelná kontrola a instalace aktualizací by měla být stejně automatická jako placení nájmu. Pokud web spravuje externí firma, ověřte si, že to má skutečně v náplni práce – ne že to „nějak funguje samo“.
Zvlášť riziková jsou rozšíření a šablony od menších nebo neznámých autorů, kteří je po čase přestanou vyvíjet. Takový plugin nikdy nedostane opravu, i kdyby se v něm zranitelnost našla – a vy o tom nemusíte vůbec vědět, dokud si toho nevšimne útočník.
5. Silná hesla a dvoufaktorové ověření
Slabé nebo znovupoužívané heslo do administrace webu je jako nechat klíč pod rohožkou – funguje to, dokud si toho někdo nevšimne. Útočníci běžně zkoušejí uniklé kombinace e-mailů a hesel z jiných napadených služeb (tzv. credential stuffing), protože ví, že lidé si stejné heslo nastavují na více místech.
- Používejte jedinečné, dostatečně dlouhé heslo pro každý systém – ideálně přes správce hesel.
- Zapněte dvoufaktorové ověření (2FA) všude, kde je k dispozici – u administrace webu, hostingu i e-mailu.
- Omezte počet lidí, kteří mají administrátorský přístup, na nutné minimum.
Dvoufaktorové ověření dnes zabrání drtivé většině pokusů o průnik i v případě, že heslo unikne – je to jedno z nejlevnějších opatření s největším efektem.
6. Zálohy podle pravidla 3-2-1
Ani nejlépe zabezpečený web není neprůstřelný na sto procent. Proto je záloha poslední pojistkou, když všechno ostatní selže – ať už jde o útok, chybu při aktualizaci, nebo lidskou chybu. Osvědčené pravidlo se nazývá 3-2-1: mít alespoň 3 kopie dat, na 2 různých typech úložiště, z toho 1 kopii mimo hlavní server (offsite).
- Záloha uložená jen na stejném serveru jako web vás při útoku na server nezachrání.
- Zálohy je potřeba pravidelně testovat obnovou – neotestovaná záloha je jen naděje, ne jistota.
- Frekvence zálohování by měla odpovídat tomu, jak často se obsah webu mění.
- Zálohy by měly zahrnovat jak databázi, tak soubory – e-shopu nepomůže záloha obsahu bez objednávek, nebo naopak.
Bez funkční zálohy se v případě napadení nebo vážné chyby dostáváte do situace, kdy jedinou možností je platit za drahou a nejistou obnovu dat od specialistů – pokud se to vůbec podaří.
7. Bezpečnostní hlavičky
Kromě viditelných opatření existuje sada technických nastavení na úrovni serveru, kterým se říká bezpečnostní hlavičky – například HSTS (vynucuje šifrované připojení), CSP (omezuje, jaký kód se na stránce smí spustit) nebo X-Frame-Options (brání vložení vašeho webu do podvodné stránky přes tzv. clickjacking). Návštěvník si jich nikdy nevšimne přímo, ale výrazně snižují prostor pro řadu běžných typů útoků.
Jde o čistě technické nastavení, které během auditu snadno zjistíte a které správce hostingu nebo vývojář dokáže doplnit bez zásahu do vzhledu či obsahu webu. Tématu se budeme věnovat samostatně, protože správné nastavení CSP vyžaduje trochu opatrnosti, aby nerozbilo funkčnost webu.
8. Ochrana zákaznických dat a GDPR
Pokud přes web sbíráte jakákoli osobní data – objednávky, kontaktní formuláře, newsletter – vztahuje se na vás GDPR. A důsledky nedbalosti nejsou teoretické: v případě úniku dat máte povinnost nahlásit incident Úřadu pro ochranu osobních údajů (ÚOOÚ) do 72 hodin od zjištění. Pokuty za porušení GDPR přitom nejsou symbolické – ÚOOÚ v Česku uložil pokutu 351 milionů korun za porušení pravidel ochrany osobních údajů, což ukazuje, že vymáhání je reálné i v českém prostředí.
- Zvažte, jaká data od zákazníků skutečně potřebujete, a nesbírejte zbytečně víc.
- Zajistěte, aby formuláře i databáze byly technicky zabezpečené (šifrování, omezený přístup).
- Mějte připravený postup pro případ úniku – kdo koho informuje a v jaké lhůtě.
Co s tím
Zní to jako hodně témat najednou – a je to tak, bezpečnost webu není jedna věc, kterou „vyřešíte a zapomenete“. Dobrá zpráva je, že drtivou většinu z toho lze zkontrolovat zvenčí, bez zásahu do webu, a mnoho oprav je rychlých a levných:
- Zjistěte si aktuální stav – certifikát, e-mailové záznamy, verze CMS a pluginů.
- Seřaďte nálezy podle rizika: chybějící HTTPS nebo zastaralý plugin s veřejně známou zranitelností řešte první.
- Zaveďte 2FA a zkontrolujte, kdo všechno má administrátorský přístup.
- Ověřte, že zálohy skutečně existují, jsou mimo hlavní server a jde je obnovit.
- U zpracování osobních dat si ujasněte, co sbíráte a jak je to chráněné.
Žádný web není zabezpečený navždy – je to průběžná péče, podobně jako STK u auta. Rozdíl je v tom, že web vám nikdo nezastaví na silnici a neřekne, že něco nesedí. Musíte se o to postarat sami, nebo si nechat pravidelně zkontrolovat, jestli je vše v pořádku.
Projde váš web technickou kontrolou?
Zjistěte zdarma, jestli váš web netrpí některým z problémů z tohoto článku. Uděláme mu revizi bezpečnosti, rychlosti i viditelnosti a pošleme přehledný report – bez závazků.
Zdroje: BusinessInfo.cz – Firmy váhají s investicemi do kyberbezpečnosti, Finmag.cz – Každý čtvrtý podnik v Česku už zažil kyberútok, SSLmarket.cz – Chrome vytáhl do boje proti nezabezpečeným webům, ÚOOÚ – Uložil pokutu 351 mil. Kč za porušení GDPR.

Napsat komentář