Když přijde ransomware, rozhoduje, jestli máte zálohu, kterou nezašifroval
Nastavíme zálohy podle pravidla 3-2-1, dvoufaktorové přihlašování a základní kybernetickou hygienu tak, aby vaše firma přežila útok i lidskou chybu. Přesně to, co po vás dnes chce pojišťovna i váš největší odběratel.
V čem je problém
Většina malých a středních firem zjistí, že zálohy nefungují, až ve chvíli, kdy je potřebuje obnovit. Záloha běží na disku, který je trvale připojený k síti — takže ho ransomware zašifruje spolu se vším ostatním. Hesla do mailu, účetnictví i firewallu chrání jen jedno heslo, které stačí jednou vylovit z phishingu nebo úniku z jiné služby. Když pak nastane incident, firma stojí: nejede výroba, nefakturuje se, nikdo neví, co se obnoví a kdy. A souběžně přibývá tlak zvenčí — kybernetická pojišťovna před uzavřením smlouvy chce doložit MFA, funkční zálohy a segmentaci, regulovaný odběratel posílá bezpečnostní dotazník a bez odpovědí vás vyřadí. Tohle není o paragrafech, je to o tom, jestli příští pondělí budete moct pracovat.
Co konkrétně uděláme
- Navrhneme a zprovozníme zálohování podle pravidla 3-2-1: tři kopie dat, dvě různá média, jedna kopie mimo firmu a oddělená od sítě (offsite / offline)
- Nasadíme neměnné (immutable) nebo air-gapped zálohy, které ransomware nemůže přepsat ani smazat — i když získá přístup k serveru
- Zavedeme dvoufaktorové přihlašování (MFA) tam, kde na tom nejvíc záleží: e-mail, VPN, vzdálený přístup, účetnictví, správa firewallu a cloudové služby
- Pravidelně testujeme obnovu ze zálohy — protože nevyzkoušená záloha je jen domněnka, ne jistota
- Zavedeme základní kybernetickou hygienu: správa hesel, oddělení admin účtů, aktualizace a záplatování, omezení lokálních administrátorů
- Připravíme podklady pro kybernetickou pojišťovnu a bezpečnostní dotazníky odběratelů — doložíme, že MFA, zálohy a segmentace reálně fungují
- Proškolíme zaměstnance na rozpoznání phishingu a základní bezpečné chování — nejlevnější obrana proti nejčastějšímu vstupnímu vektoru
Jak to probíhá
- 1
Vstupní audit zálohování a přístupů
Projdeme, co se zálohuje, kam, jak často a jestli je záloha oddělená od sítě. Zmapujeme, kdo se kam přihlašuje a kde chybí druhý faktor. Dostanete jasný přehled rizik, ne paušál naslepo.
- 2
Návrh a nastavení 3-2-1
Navrhneme schéma záloh tak, aby přežilo ransomware i výpadek hardwaru — včetně offsite/immutable kopie. Definujeme, jak rychle a co musí jít obnovit, aby firma fungovala.
- 3
Nasazení MFA a hygieny
Postupně, bez paralyzování provozu, zapneme dvoufaktor na kritické systémy a zavedeme správu účtů, hesel a aktualizací. Lidi srozumitelně provedeme změnou.
- 4
Test obnovy
Reálně obnovíme data ze zálohy a změříme, za jak dlouho a v jakém stavu je firma zpět. Tím prokážeme, že záloha není jen ikona, která svítí zeleně.
- 5
Průběžný dohled a doklady
Vzdáleně hlídáme, že zálohy doběhly, MFA platí a nic nevypadlo z konfigurace. Pravidelně vám dáme doklad pro pojišťovnu i odběratele.
Spravujeme a dohlížíme i vzdáleně
Zálohy a MFA nejsou jednorázová instalace — hlavní hodnota je v tom, že je někdo hlídá. V rámci vzdáleného dohledu denně kontrolujeme, že zálohy skutečně doběhly a jsou kompletní, že MFA nikdo nevypnul a že se konfigurace nezměnila. Když záloha selže nebo se objeví podezřelé přihlášení, víme o tom dřív než vy a jednáme — místo abyste to zjistili až ve chvíli, kdy potřebujete obnovit a ono to nejde.
Co dostanete
- Funkční zálohovací schéma 3-2-1 s offsite/immutable kopií, odolné vůči ransomwaru
- Zapnuté MFA na všech kritických systémech (mail, VPN, vzdálený přístup, účetnictví, správa sítě)
- Protokol o úspěšně otestované obnově dat s reálnými časy (kolik dat, jak rychle zpět)
- Přehled rizik z auditu a seznam provedených opatření v lidské řeči
- Podklady pro kybernetickou pojišťovnu a vyplněné bezpečnostní dotazníky odběratelů
- Pravidelný report o stavu záloh a přihlašování v rámci vzdáleného dohledu
- Stručná pravidla kybernetické hygieny a proškolení zaměstnanců na phishing
Pro koho je služba
Časté dotazy
Vždyť my už zálohujeme. Proč řešit něco dalšího?
Otázka není, jestli zálohujete, ale jestli se ze zálohy reálně obnovíte po útoku. Pokud záloha leží na disku trvale připojeném k síti nebo na jednom NAS ve firmě, ransomware ji zašifruje spolu se zbytkem. Pravidlo 3-2-1 a neměnná kopie mimo síť řeší přesně tohle. A obnovu pravidelně testujeme, aby to nebyla teorie.
Co přesně je pravidlo 3-2-1?
Tři kopie dat, na dvou různých typech médií, přičemž jedna kopie je mimo firmu a ideálně oddělená od sítě (offline nebo immutable). I když selže hardware, vyhoří serverovna nebo zaútočí ransomware, zůstane vám čistá kopie, ze které se vrátíte.
Nebude MFA otravovat zaměstnance při každém přihlášení?
Nasazujeme MFA cíleně tam, kde dává smysl — vzdálený přístup, mail, kritické systémy — a nastavíme ho tak, aby v důvěryhodné firemní síti neobtěžovalo zbytečně. Pár sekund navíc u přihlášení je výrazně levnější než týden stojící firmy po průniku přes ukradené heslo.
Pomůže nám to s kybernetickým pojištěním a dotazníky od odběratelů?
Ano, to je jeden z hlavních důvodů, proč to firmy řeší. Pojišťovny dnes běžně vyžadují MFA, funkční zálohy a segmentaci jako podmínku pojištění. Regulovaní odběratelé posílají bezpečnostní dotazníky svým dodavatelům. Připravíme opatření i doklady tak, abyste obojí splnili a měli to černé na bílém.
Spadáme pod nový zákon o kybernetické bezpečnosti (NIS2)?
Většina malých a středních firem pod nový zákon (264/2025 Sb.) přímo nespadá — týká se hlavně středních a velkých subjektů v kritických odvětvích. Tohle ale neřešíme kvůli paragrafům, ale kvůli provozu: ransomware, výpadek a požadavky pojišťoven a odběratelů dopadají na vás bez ohledu na to, jestli jste regulovaní. Pokud pod zákon spadáte, opatření vám zároveň pokryjí část povinností.
Zálohování, MFA a kybernetická hygiena
Zjistíme, jestli se reálně obnovíte po útoku — s jasnou metodikou a fixní cenou, bez paušálu naslepo.