Útoky na malé firmy rostou. Hackeři se zaměřují tam, kde není dost zabezpečení a zaměstnanců se znalostmi bezpečnostních pravidel

· ČR se s kyberútokem setkala téměř třetina českých SME, v sektoru obchodu dokonce 42 %

· Pracovníci malých firem čelí až o 350 % více pokusům o sociální inženýrství než jejich kolegové ve velkých korporacích

Kyberzločinci mění taktiku. Zatímco dříve mířili hlavně na banky a velké korporace, v poslední době se stále častěji zaměřují na malé a střední podniky – tedy segment, který často nemá vlastní IT oddělení, systematický dohled ani pravidelná školení zaměstnanců.

Polovina malých firem už útok zažila

Podle mezinárodních analýz se aktuálně setkalo s kybernetickým útokem 43 až 48 procent malých a středních podniků (SME). Ransomware, jedna z nejvýnosnějších forem útoku, míří ve 37 % případů na firmy do sta zaměstnanců – tedy především na malé provozovny, e-shopy, účetní kanceláře a další podnikatele.

„Zejména zaměstnanci SME jsou dnes pro útočníky nejdostupnějším vstupním bodem. Analýzy ukazují, že pracovníci malých firem čelí až o 350 % více pokusům o sociální inženýrství než jejich kolegové ve velkých korporacích. Jde především o phishingové e-maily, falešné faktury, podvodné telefonáty nebo zprávy vydávající se za dodavatele,“ říká Michal Španěl, datový analytik a manažer pracovního portálu JenPráce.cz.

Podle Asociace malých a středních podniků a živnostníků ČR se s kyberútokem setkala téměř třetina českých SME, v sektoru obchodu dokonce 42 %. Pouze čtyři z deseti firem však pravidelně – alespoň jednou za čtvrt roku – vyhodnocují kybernetická rizika.

Školení chybí – a hackeři to dobře vědí

U menších firem se opakuje stále stejný scénář. Zaměstnanci denně otevírají e-maily, pracují s fakturami, zadávají přístupy do systémů – ale přesto nikdy neprošli ani základním školením, jak vypadá běžný útok. V praxi to znamená, že nerozeznají podvrženou přílohu, nepoznají falešný login formulář a často ani netuší, jaké informace nesmí sdílet po telefonu. Pro hackery, kteří pracují s jednoduchou psychologií, je to ideální kombinace.

„Firmy často řeší vzdělávání až ve chvíli, kdy se něco stane. Typické je, že majitelé považují školení za náklad, který není potřeba, dokud nedojde k incidentu. Teprve poté, co firma zažije výpadek, ztratí část dat nebo naruší provoz, začínají zaměstnanci procházet výukou. Přitom právě pravidelný trénink dokáže odhalit většinu nejběžnějších útoků – často ještě dřív, než škoda vůbec vznikne,“ říká Jan Dvořák, výkonný ředitel Počítačové školy Gopas.

Hackeři tento deficit velmi dobře znají. Vědí, že malé firmy necvičí, a proto využívají jednoduché, ale psychologicky účinné techniky: falešné faktury během účetních závěrek, e-maily od údajného dopravce v předvánoční špičce, zprávy vydávající se za majitele firmy v době, kdy je na cestách. Lidé, kteří školením neprošli, v těchto situacích reagují impulzivně. Zkušeným útočníkům pak stačí jediný klik, aby získali přístup do firemní sítě a spustili škodlivý kód.

Hackeři jdou po nejslabším článku - lidské chybě

„Nejčastějším útočným vektorem není prolomení firewallu, ale obyčejná lidská chyba. Kliknutí na špatný odkaz, stažení přílohy z falešného e-mailu nebo sdílení hesla po telefonu vede ve firmách každé velikosti k incidentům s reálnými následky,“ říká Jan Dvořák, výkonný ředitel Počítačové školy Gopas.

Většina odborníků upozorňuje, že investice do školení zaměstnanců patří mezi nejefektivnější a nejlevnější ochranná opatření vůbec. K tomu je však potřeba změnit pohled malých firem: uvědomit si, že nejsou „příliš malé na to, aby je někdo napadl“, ale právě naopak – jsou pro útočníky ideální terč.

„Je pravda, že mezi malými a středními firmami se často setkáváme s šetřením na nepravém místě. Investují statisíce do rozvoje technologií a vybavení firmy a pak často šetří na nepravém místě, třeba na kameře, která je často při videohovoru výkladní skříní firmy. Podobně je šetřením na nepravém místě absence školení kyberbezpečnosti,“ uzavírá Michal Černý ze společnosti Audiopro.