Hackeři cílí na malé a střední firmy s nízkou úrovní kybernetické ochrany

Kyberzločinci mění taktiku - zatímco dříve mířili hlavně na banky a velké korporace, v poslední době se stále častěji zaměřují na malé a střední podniky - tedy segment, který často nemá vlastní IT oddělení, systematický dohled ani pravidelná školení zaměstnanců. Podle mezinárodních analýz se aktuálně setkalo s kybernetickým útokem téměř 48 % SME firem.

Počítačová škola GOPAS - katalog kurzů

Přitom ransomware - jedna z nejvýnosnějších forem útoku, míří ve 37 % případů na firmy do sta zaměstnanců - tedy především na malé provozovny, e-shopy, účetní kanceláře a další podnikatele. Zejména zaměstnanci SME jsou dnes pro útočníky nejdostupnějším vstupním bodem.

Analýzy ukazují, že pracovníci malých firem čelí až o 350 % více pokusům o sociální inženýrství než jejich kolegové ve velkých korporacích. Jde především o phishingové e-maily, falešné faktury, podvodné telefonáty nebo zprávy vydávající se za dodavatele.

Podle Asociace malých a středních podniků a živnostníků ČR se s kyberútokem setkala téměř třetina českých SME, v sektoru obchodu dokonce 42 %.

Pouze čtyři z deseti firem však pravidelně - alespoň jednou za čtvrt roku - vyhodnocují kybernetická rizika.

Chybí školení a hackeři to dobře vědí

U menších firem se opakuje stále stejný scénář. Zaměstnanci denně otevírají e-maily, pracují s fakturami, zadávají přístupy do systémů - ale přesto nikdy neprošli ani základním školením, jak vypadá běžný útok. V praxi to znamená, že nerozeznají podvrženou přílohu, nepoznají falešný login formulář a často ani netuší, jaké informace nesmí sdílet po telefonu. Pro hackery, kteří pracují s jednoduchou psychologií, je to ideální kombinace.

"Firmy často řeší vzdělávání až ve chvíli, kdy se něco stane. Typické je, že majitelé považují školení za náklad, který není potřeba, dokud nedojde k incidentu. Teprve poté, co firma zažije výpadek, ztratí část dat nebo naruší provoz, začínají zaměstnanci procházet výukou. Přitom právě pravidelný trénink dokáže odhalit většinu nejběžnějších útoků - často ještě dřív, než škoda vůbec vznikne. Hackeři tento deficit velmi dobře znají. Vědí, že malé firmy necvičí, a proto využívají jednoduché, ale psychologicky účinné techniky - falešné faktury během účetních závěrek, e-maily od údajného dopravce v předvánoční špičce, zprávy vydávající se za majitele firmy v době, kdy je na cestách. Lidé, kteří školením neprošli, v těchto situacích reagují impulzivně. Zkušeným útočníkům pak stačí jediný klik, aby získali přístup do firemní sítě a spustili škodlivý kód," říká Jan Dvořák, výkonný ředitel Počítačové školy Gopas.

Hackeři jdou po nejslabším článku - lidské chybě

Nejčastějším útočným vektorem není prolomení firewallu, ale obyčejná lidská chyba. Kliknutí na špatný odkaz, stažení přílohy z falešného e-mailu nebo sdílení hesla po telefonu vede ve firmách každé velikosti k incidentům s reálnými následky.

Většina odborníků upozorňuje, že investice do školení zaměstnanců patří mezi nejefektivnější a nejlevnější ochranná opatření vůbec. K tomu je však potřeba změnit pohled malých firem - uvědomit si, že nejsou příliš malé na to, aby je někdo napadl, ale právě naopak - jsou pro útočníky ideální terč.