Bezpečnost firem

    Ransomware v malé firmě: skutečný příběh a jak se bránit

    Česká republika patří mezi nejčastěji napadané země v Evropě. Firma platila výkupné v kryptoměně třikrát za dva roky. Pokaždé za jiný útok. Pokaždé proto, že se nic nezměnilo.

    7. března 202614 min čteníTým digitalnibezpeci.cz

    Česká republika: čísla, která byste radši neznali

    +20 %

    více kyberútoků než je evropský průměr čelí české firmy a instituce

    ComSource, 2026

    52 %

    kybernetických útoků s jasně známým motivem bylo vedeno vydíráním nebo ransomwarem

    Microsoft DDR, 2025

    80 %

    vyšetřovaných incidentů Microsoftem. Ve všech se útočníci pokoušeli odcizit data

    Microsoft DDR, 2025

    Podle analýzy společnosti ComSource z února 2026 se ransomwarové skupiny profesionalizují. Fungují jako korporace se stovkami spolupracovníků a využívají umělou inteligenci k automatizaci celého útočného řetězce. AI zkracuje čas potřebný k exfiltraci dat až stokrát oproti dřívějším metodám.

    Microsoft ve své výroční zprávě Digital Defense Report 2025 uvádí, že každý den zpracuje přes 100 bilionů bezpečnostních signálů a prověří 5 miliard e-mailů na přítomnost malwaru a phishingu. Přesto se útočníkům daří, protože cílí na lidi, ne na systémy.

    Toto není abstraktní statistika. Je to realita, které dnes čelí tisíce českých firem, včetně té, jejíž příběh si přečtete níže. A právě malé firmy jsou nejzranitelnějším cílem: nemají IT oddělení, zálohovací strategie bývají slabé a zaměstnanci nejsou školeni. Útočníci to přesně vědí.

    Skutečný příběh: tři výkupná za dva roky

    Anonymizovaný příběh z reálné situace, sdílený se svolením

    Kolegyně pracuje jako účetní. Jedna z jejích klientek, rodinná firma s osmi zaměstnanci obchodující s průmyslovým zbožím, se za dva roky třikrát stala obětí ransomwarového útoku.

    Pokaždé to začalo stejně: ráno přišli zaměstnanci do práce, zapnuli počítače. Místo obvyklé plochy svítila na obrazovce zpráva v angličtině. Všechna data byla zašifrovaná. Faktury, smlouvy, skladová evidence, kontakty. Vše nedostupné. Za odemčení útočníci požadovali platbu v bitcoinu.

    Co firma zaplatila

    Při prvním útoku přibližně 800 USD v bitcoinu. Při druhém přes 1 500 USD. Při třetím útočníci věděli, že firma platí, a požadovali přes 3 000 USD. Celkem za dva roky téměř 120 000 Kč. Za peníze, které nevedly k trvalé nápravě.

    Toto není výjimka. Podle dat Microsoftu je vydírání a ransomware motivem u více než poloviny kyberútoků právě proto, že firmy platí. Zejména ty malé. Útočníci to kalkulují předem.

    Po prvním útoku firma nezavolala odborníka na bezpečnost. Zaplatila, data dostala zpět a vrátila se k práci. Nic se nezměnilo: stejná hesla, žádné zálohy, žádné školení.

    Druhý útok přišel za sedm měsíců. Zaměstnanec klikl na přílohu v e-mailu, který vypadal jako faktura od dodavatele. Útočníci pravděpodobně monitorovali síť ještě předtím. Přesně tak, jak popisuje analýza ComSource: dnes útočníci plošně skenují infrastrukturu, hledají zranitelnosti a vrátí se s cílenějším útokem.

    Třetí útok byl nejhorší. Šifrování se rozšířilo na sdílený síťový disk, kde byly zálohy. Zálohy byly totiž připojeny přímo do firemní sítě. Firma přišla o data za několik let.

    Proč útočníci cílí právě na malé firmy

    Útočníci neútočí na velké korporace kvůli romantice hackerství. Útočí tam, kde je největší pravděpodobnost zisku s nejmenší námahou. A malé firmy tuto rovnici splňují dokonale.

    Bez IT oddělení

    Útočníci vědí, že nikdo aktivně nemonitoruje síťový provoz ani podezřelou aktivitu.

    Slabá hesla a sdílené přístupy

    Jedno ukradené heslo otevře celou firmu: e-mail, účetnictví i cloudové disky.

    Zálohy v síti

    Zálohy na připojeném disku ransomware zašifruje jako první. Firma pak nemá alternativu k zaplacení.

    Platí výkupné

    Malé firmy bez zálohy nemají jinou možnost. Útočníci cenu nastaví těsně pod náklady obnovy, aby firma raději zaplatila.

    AI útočníkům pomáhá

    Podle ComSource umožňuje AI ransomwarovým skupinám identifikovat nejcennější data a zkrátit dobu útoku až stokrát.

    Phishing je přesvědčivější

    Microsoft upozorňuje na nástup deepfake technologií v phishingu. E-maily a hlasové zprávy napodobují skutečné osoby.

    Co to znamená pro vás: Ransomwarové skupiny dnes fungují jako profesionální korporace. Automatizovaně skenují miliony firem a hledají ty nejzranitelnější. Pokud vaše firma vypadá jako těžší cíl než soused, přejdou dál. Nejde o dokonalost, jde o to být o krok napřed před průměrem.

    Jak útok probíhá: 4 kroky od e-mailu k výkupnému

    1

    Phishingový e-mail

    Zaměstnanec dostane e-mail vypadající jako faktura, upozornění z banky nebo zpráva od kolegy. S pomocí AI jsou dnes tyto e-maily téměř nerozeznatelné od legitimní komunikace. Příloha nebo odkaz spustí malware.

    2

    Tiché mapování sítě

    Malware se nespustí okamžitě. Dny nebo týdny mapuje síť, krade přihlašovací údaje a nachází zálohy a sdílené disky. Útočníci plošně skenují veškerou infrastrukturu a hledají nejcennější data.

    3

    Aktivace šifrování

    Malware čeká na správný moment, obvykle noc nebo víkend, a pak zašifruje vše, k čemu má přístup. Zálohy, sdílené složky i cloudové synchronizace připojené k síti.

    4

    Požadavek výkupného

    Útočníci znají hodnotu dat. Výkupné nastaví těsně pod náklady obnovy bez zálohy, aby firma raději zaplatila. A protože firmy platí, ransomware tvoří přes 52 % všech motivovaných kyberútoků.

    Co v té firmě selhalo a co selhává v tisících českých firmách

    Žádný password manager

    Zaměstnanci používali slabá, opakující se hesla. Útočníci ukradená hesla pravděpodobně prodali nebo použili znovu při dalším útoku.

    Zálohy připojené k síti

    Zálohy na sdíleném síťovém disku nejsou skutečné zálohy. Ransomware je zašifruje spolu se vším ostatním.

    Žádné školení zaměstnanců

    Nikdo ve firmě nevěděl, jak vypadá phishingový e-mail. Přitom podle Microsoftu vícefaktorová autentifikace sama o sobě zablokuje přes 99 % útoků na identitu.

    Nezabezpečený firemní e-mail

    Standardní e-mailová schránka bez filtrace phishingu, bez end-to-end šifrování, bez ochrany před podvrženým odesílatelem.

    Platba bez nápravy

    Po zaplacení firma získala data zpět, ale příčina zůstala. Útočníci věděli, že firma platí, a vrátili se.

    Krok 1: Password manager pro celý tým

    Slabá hesla jsou vstupní branou. Pokud zaměstnanci používají hesla jako firma2024 nebo stejné heslo na e-mail, účetnictví i dodavatelský portál. Útočníkovi pak stačí jedno heslo, aby se dostal všude. Microsoft uvádí, že MFA a silná hesla blokují přes 99 % útoků na identitu. Password manager je prvním krokem k tomu.

    NordPass Business umožňuje centrální správu hesel celého týmu, bezpečné sdílení přístupů a monitoring úniku firemních přihlašovacích údajů na dark webu.

    NordPass Business - password manager pro tým

    Centrální správa hesel, sdílené trezory, monitoring úniku dat na dark webu, XChaCha20 šifrování, audit log. Nasazení bez IT oddělení.

    Admin panelSdílené trezoryDark web monitoringAudit logVšechna zařízení
    Vyzkoušet NordPass Business

    Affiliate odkaz, podpoříte tím provoz webu

    Bezplatná alternativa: open-source Bitwarden (zdarma pro jednotlivce, self-hosting možný). Pro firemní nasazení s admin panelem doporučujeme placenou verzi.

    Krok 2: Šifrovaný firemní e-mail s ochranou před phishingem

    Phishingový e-mail je nejčastější vstupní bod ransomwaru. ComSource upozorňuje na nástup deepfake phishingu. Útočníci klonují hlasy vedoucích pracovníků a vytvářejí přesvědčivá falešná videa. Standardní firemní e-mail tyto hrozby nezachytí.

    Proton Mail for Business automaticky blokuje sledovací pixely, varuje před podezřelými e-maily a díky end-to-end šifrování zabraňuje útočníkům číst obsah e-mailů i při kompromitaci serveru.

    Proton Mail for Business

    End-to-end šifrování, vlastní doménou, blokování sledovacích pixelů, ochrana před podvrženým odesílatelem (DMARC/SPF/DKIM). Švýcarská jurisdikce.

    Vyzkoušet Proton Mail for Business

    Affiliate odkaz, podpoříte tím provoz webu

    Krok 3: Zálohy oddělené od sítě

    Záloha připojená do firemní sítě není skutečná záloha. Je to jen další data pro ransomware. Firma z příběhu výše přišla o data právě proto, že zálohovací disk byl síťově dostupný.

    Pravidlo 3-2-1 v praxi

    3 kopie dat: originál + 2 zálohy
    2 různá média: cloud + fyzický disk
    1 záloha offline nebo fyzicky oddělená od sítě: imunní vůči ransomwaru

    Více: Pravidlo 3-2-1, kompletní průvodce a Zálohovací strategie pro malou firmu

    Proton Drive - šifrované cloudové zálohy

    End-to-end šifrování, švýcarská jurisdikce, mimo dosah CLOUD Act. Zálohy, ke kterým nemá přístup ani provozovatel ani útočník.

    Vyzkoušet Proton Drive

    Affiliate odkaz, podpoříte tím provoz webu

    Krok 4: VPN pro vzdálenou práci a ochranu přihlašování

    Zaměstnanci přistupují k firemním systémům z domova, kaváren a hotelů, přes sítě, které nikdo nekontroluje. VPN šifruje připojení a chrání přihlašovací údaje před odposlechem. Pro malé firmy s hybridní prací je to základní vrstva ochrany bez nutnosti vlastní IT infrastruktury.

    Surfshark - VPN pro celý tým

    Neomezený počet zařízení na jeden účet, auditovaná no-logs politika, přes 3 200 serverů. Ideální pro firmy, kde každý zaměstnanec pracuje na více zařízeních.

    Affiliate odkaz, podpoříte tím provoz webu

    Akční plán: co udělat tento týden

    Dnes

    Zkontrolujte hesla v týmu. Jsou silná a unikátní pro každý systém? Pokud ne, nasaďte password manager.

    NordPass Business
    Tento týden

    Ověřte zálohovací strategii. Jsou zálohy fyzicky nebo síťově oddělené od firemních počítačů? Nastavte cloudové zálohy.

    Proton Drive
    Tento měsíc

    Proveďte 30minutové školení zaměstnanců o rozpoznávání phishingových e-mailů. Jedno odpoledne výrazně sníží riziko.

    Průběžně

    Zapněte VPN pro práci mimo kancelář a zvažte přechod na šifrovaný firemní e-mail.

    Proton Mail Business

    Kompletní ochrana vaší firmy

    Čtyři nástroje, které pokrývají čtyři největší zranitelnosti: hesla, e-mail, zálohy a síťová bezpečnost.

    Affiliate odkaz, podpoříte tím provoz webu

    Závěr

    Česká republika čelí o 20 % více kyberútoků než je evropský průměr. Ransomware a vydírání tvoří více než polovinu všech motivovaných útoků. A útočníci dnes používají AI, aby byli rychlejší a přesnější než kdy dřív.

    Firma z příběhu výše nezůstala bez šance proto, že byla příliš malá. Zůstala bez šance proto, že po každém útoku nezměnila nic podstatného.

    Základní ochrana není technicky složitá ani drahá. Password manager, šifrované zálohy oddělené od sítě a krátké školení zaměstnanců. To jsou kroky, které výrazně snižují riziko. Nejde o dokonalost. Jde o to být těžším cílem než firma vedle.

    Pro běžné uživatele: ransomware se nejčastěji dostane dovnitř přes phishing. Naučte se ho rozpoznat v článku Jak poznat phishing.

    Neziskovka? Stejné riziko, nulový rozpočet — přečtěte si konkrétní postup v článku Digitální bezpečnost pro neziskovky bez IT.

    Chcete zabezpečit celou firmu krok za krokem?

    Přečtěte si průvodce bezpečností hesel, zálohovací strategií a obranou před phishingem.