Ransomware útok není smůla — je to selhání několika obran najednou. Žádné jediné opatření vás nezachrání, ale dvanáct věcí níže pokrývá 95 % útočných vektorů, které dnes vidíme v praxi.
Vychází z doporučení NÚKIB, NIST CSF a ENISA. Každé opatření vyhodnocujeme podle dvou kritérií: pravděpodobnost, že útok zastaví, a náklad/komplikace zavedení. Označení „kritické" znamená — bez tohohle bude útok jen otázkou času.
Tři kopie dat, dvě různá média, jedna úplně mimo síť (offline / immutable). Pokud jsou všechny zálohy online a dostupné z domény, ransomware je zašifruje spolu s produkčními daty. Restore testujte aspoň čtvrtletně — záloha, kterou jste nevyzkoušeli, není záloha.
VPN, RDP, e-mail, cloud konzole, admin účty. 80 % ransomware kampaní začíná nákupem ukradených hesel z dark webu — MFA je zastaví i s validním heslem. SMS jako druhý faktor je lepší než nic, ale TOTP nebo hardware klíče jsou bezpečnější.
Oddělte produkční systémy od kanceláře, kanceláře od guest Wi-Fi, kritické servery od zbytku. Bez segmentace se útočník po prvním kompromitovaném laptopu pohne kamkoli. Nemusíte stavět zero-trust hned — i základní VLAN segmentace s firewall pravidly zastaví laterální pohyb.
Většina používaných zranitelností má patch dostupný 6+ měsíců. Kritické patche aplikujte do 72 hodin, vysoké do 14 dnů. Mějte inventář systémů a procesní vlastnictví — bez toho neexistuje patching, jen ad-hoc reakce.
Tradiční signature-based AV zachytí včerejší ransomware. Moderní EDR (CrowdStrike, SentinelOne, Defender for Endpoint, Sophos Intercept X) sleduje chování — neobvyklé šifrování, podezřelé PowerShell volání, lateral movement — a může útok zastavit v běhu. Bez EDR jste slepí na cílené útoky.
Uživatel nemá být lokální admin na svém PC. Service accounty nemají mít doménového admina. Privilegované účty mají mít vlastní přihlášení a být audit-ovány. PAM nástroje (CyberArk, Delinea) tohle dělají, ale i Active Directory tiering bez nástroje výrazně sníží blast radius.
90 % ransomware začíná phishingem. Solidní e-mail gateway (Microsoft Defender for O365, Proofpoint, Mimecast) blokuje známé hrozby. DMARC, SPF a DKIM brání spoofingu vaší vlastní domény. Bez DMARC se vám útočníci představují jako vy.
Roční hodinové školení na Powerpointu nefunguje. Funguje krátký opakovaný drill (5–10 minut měsíčně) + reálné phishing simulace s feedbackem. Cílem není 100% záchyt — cílem je, aby zaměstnanec věděl, kam phishing nahlásit, když mu projde.
Bez logů je forenzika po útoku slepá ulička — nevíte, kdy, kudy a jak dlouho byl útočník uvnitř. Aspoň minimum: AD logon eventy, EDR telemetrie, firewall logy, e-mail gateway. Ideálně do SIEM s 90denní retencí. Ransomware útočník je v síti typicky 4–60 dnů před šifrováním.
Když začne incident, není čas vymýšlet, kdo komu volá. IRP obsahuje: role, kontakty (24/7), eskalační matrix, komunikační šablony, právní zástupce, regulátora, externí IR tým. Otestujte ho tabletop cvičením aspoň jednou ročně — najdete díry, které byste jinak našli při skutečném útoku.
Nemůžete chránit, co neevidujete. Asset management (CMDB, Lansweeper, RunZero) drží přehled o serverech, koncových bodech, aplikacích, jejich vlastnících a kritičnosti. Při incidentu vám to ušetří hodiny — víte, co je infikované a co je důležité obnovit jako první.
SolarWinds, Kaseya, 3CX — útoky přes dodavatele jsou trend posledních let. Pro klíčové dodavatele požadujte: ISO 27001/SOC 2, incident reporting clauses ve smlouvě, oddělené přístupové účty s MFA, omezený remote access. U menších dodavatelů aspoň krátký bezpečnostní dotazník.