Je úterý ráno a účetní ve vaší firmě se nemůže přihlásit do systému. Chvíli si myslí, že je to jen výpadek internetu. Pak se na obrazovce objeví červený text: vaše soubory jsou zašifrované a pokud chcete klíč k jejich obnovení, zaplaťte v kryptoměně během 72 hodin. Přesně takhle vypadá začátek ransomwarového útoku – a v Česku se v posledních letech děje čím dál častěji, nejen velkým firmám a nemocnicím, ale hlavně malým a středním podnikům, které to nejméně čekají.

Co je ransomware a proč funguje

Ransomware je typ škodlivého softwaru, který se dostane do firemní sítě – nejčastěji přes podvodný e-mail s přílohou nebo odkazem, přes neaktualizovaný software nebo přes špatně zabezpečený vzdálený přístup. Jakmile se dostane dovnitř, potichu se šíří mezi počítači a servery, a než si toho kdokoliv všimne, zašifruje veškerá data: účetnictví, databáze zákazníků, e-maily, zálohy. Následuje výhrůžka: zaplaťte výkupné, nebo o data přijdete navždy (a v mnoha případech je útočníci navíc pohrozí zveřejněním).

Funguje to, protože pro firmu je výpadek provozu často dražší než samotné výkupné – alespoň to si útočníci spočítali. Realita ale bývá horší: i po zaplacení se data často nepodaří obnovit beze zbytku a škody zůstávají obrovské.

Moderní varianty útoku navíc často kombinují dvojí vydírání: než data zašifrují, nejprve je zkopírují ven. Pokud firma odmítne zaplatit s odůvodněním, že má funkční zálohy, útočníci pohrozí zveřejněním citlivých dat – smluv, mzdových údajů nebo osobních údajů zákazníků. Tím se z problému „obnovit ze zálohy“ stává i problém právní a reputační.

Kauza, která ukázala, jak vypadá totální kolaps

Nejznámějším českým případem je útok na Nemocnici Rudolfa a Stefanie v Benešově z prosince 2019. V noci na 11. prosince 2019 se do nemocniční sítě dostal malware Ryuk, doručený přes nákazu typu Emotet/Trickbot, která v systému čekala už týdny. Nemocnice musela na téměř tři týdny (kolem 20 dní) přerušit provoz, odkládat operace a přesouvat pacienty jinam. Výsledná škoda přesáhla 59 milionů korun – z velké části šlo o výkony, které kvůli výpadku nemohly být provedeny a proplaceny pojišťovnami. Pachatel útoku nebyl dodnes vypátrán a případ byl odložen.

O tři měsíce později, 13. března 2020 ve dvě hodiny ráno – den poté, co vláda vyhlásila kvůli covidu nouzový stav – zasáhl podobný útok Fakultní nemocnici Brno. Předběžná škoda se odhadovala na přibližně 150 milionů korun. Oba případy jasně ukázaly jednu věc: útočníci si vybírají cíl podle toho, kde bude výpadek nejbolestivější, ne podle toho, jak velká je firma.

Menší firmy jsou teď na řadě

Zatímco velké nemocniční útoky se dostanou do titulků, mnohem tišší (a stejně nebezpečný) trend se odehrává mimo hlavní zprávy. Počet ransomwarových útoků na malé a střední firmy v Česku se meziročně zdvojnásobil. Dává to smysl z pohledu útočníka: malé firmy mají obvykle slabší zabezpečení, nemají IT oddělení, které by útok rychle odhalilo, výpadek pro ně znamená okamžitou ztrátu zakázek a jsou ochotnější rychle zaplatit, jen aby se vrátily do provozu. Kyberútoky celkově stály Česko v roce 2024 přes 8 miliard korun – a velká část této sumy padá právě na firmy, o kterých se v médiích nepíše.

Pro malou firmu navíc útok často znamená víc než jen náklady na obnovu dat. Je to ušlá tržba za dny, kdy nejde fakturovat ani komunikovat se zákazníky, náklady na externí IT specialisty, kteří síť čistí, a v neposlední řadě i ztráta důvěry klientů, kteří se dozví, že jejich data byla v ohrožení. U firmy s desítkami zaměstnanců to snadno znamená statisícové až milionové škody – i bez placení jakéhokoliv výkupného.

Na co si dát pozor

  • Podivné e-maily od „dodavatelů“ nebo „úřadů“ s přílohou (faktura.zip, výzva.docm) nebo odkazem na přihlášení.
  • Zaměstnanci používající stejné heslo na firemní e-mail i jinde – únik hesla odjinud pak otevírá dveře do firmy.
  • Neaktualizovaný web, redakční systém nebo pluginy – zastaralý software je nejčastější vstupní branou.
  • Vzdálený přístup (RDP, VPN) bez dvoufaktorového ověření.
  • Chybějící nebo netestované zálohy – pokud zálohu nikdy nezkusíte obnovit, nevíte, jestli vůbec funguje.
  • Žádný jasný postup pro to, kdo v případě podezřelého chování počítače zvedne telefon a co dělat dál.

Co s tím

Dobrá zpráva je, že drtivé většině útoků jde předejít bez velkých investic – stačí systematičnost:

  • Zálohujte pravidelně a odděleně. Záloha, která je pořád připojená k síti, se při útoku zašifruje spolu se vším ostatním. Aspoň jedna kopie musí být offline nebo v odděleném cloudu.
  • Aktualizujte web i software. Neaktualizovaný WordPress, zastaralý plugin nebo starý CMS je pro útočníky snadný cíl – a často první krok k proniknutí hlouběji do firemní sítě.
  • Zapněte dvoufaktorové ověření všude, kde to jde – e-mail, administrace webu, vzdálený přístup.
  • Proškolte lidi. Většina útoků začíná jedním kliknutím na phishingový e-mail. Krátké, opakované školení snižuje riziko výrazně víc než jakýkoliv jednorázový nákup softwaru.
  • Nechte si pravidelně zkontrolovat, jak je na tom váš web zvenčí. Zastaralé komponenty, otevřené administrace nebo chybějící zabezpečení jde zjistit i bez zásahu do systému – jen z veřejně dostupných informací.
  • Připravte si jednoduchý plán pro krizovou situaci. Kdo koho informuje, kde jsou kontakty na IT podporu a na policii, a jak firma funguje „bez počítačů“ alespoň pár dní – i tahle jednoduchá příprava dokáže zkrátit dobu výpadku.

Ransomware nečeká, až budete připraveni. Ale stačí pár základních kroků a z „snadného cíle“ se stanete firmou, které se útočníkům prostě nevyplatí věnovat čas.

Projde váš web technickou kontrolou?

Zjistěte zdarma, jestli váš web netrpí některým z problémů z tohoto článku. Uděláme mu revizi bezpečnosti, rychlosti i viditelnosti a pošleme přehledný report — bez závazků.

Chci revizi webu zdarma →

Zdroje: iROZHLAS – kyberútok na nemocnici v Benešově, Aktuálně.cz – vyšetřování kyberútoku na FN Brno, Echo24 – počet kyberútoků a výkupné se zdvojnásobily


Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *