Školení místo výkupného

Když se dnes řekne kybernetická bezpečnost, většina lidí si vybaví servery v datacentru, sofistikované firewally nebo detekční systémy s umělou inteligencí. Přitom realita vypadá mnohem prostěji – úspěšný útok často nezačíná v technice, ale u člověka. Kliknutí na falešný odkaz, sdílení hesla kolegovi nebo vložení nalezeného USB disku do firemního počítače. To vše jsou situace, které rozhodují o tom, zda firma bude fungovat, nebo jestli se probudí do chaosu. A právě proto je lidský faktor největší slabinou i největší nadějí každé malé a střední firmy.

Podle zprávy Evropské agentury ENISA za rok 2024 stál průměrný kybernetický incident malou nebo střední firmu 95 000 eur. Zajímavé je, že v 74 % případů šlo o útoky, kde hlavní roli hrála lidská chyba – od prozrazení přihlašovacích údajů po nezajištěný notebook. Přitom se ukazuje, že když firmy investují jen 10–15 % rozpočtu na IT do práce s lidmi, sníží se riziko incidentu až o třetinu. Jinými slovy: ne drahý software, ale dobře nastavená firemní kultura dokáže být rozhodujícím faktorem přežití.

Pro SME je klíčové uvědomit si, že kybernetická bezpečnost není „problém ajťáků“. Je to záležitost každého pracovníka. Pokud účetní uvěří e-mailu o nedoručené zásilce a otevře přílohu, může se firma dostat během hodin do rukou vyděračského softwaru. Když vedoucí pošle fakturu z osobního e-mailu, stačí útočníkovi podvrhnout jednu adresu a peníze končí jinde. Útoky cílí na rutinu – právě tam, kde lidé jednají bezmyšlenkovitě.

Jedním z praktických rámců, jak situaci uchopit, je tzv. ABC of ICT: postoj, chování a kultura. V praxi to znamená, že se nevyplácí investovat do drahých kurzů, pokud zaměstnanci nevidí, proč je bezpečnost důležitá. Postoj se mění až tehdy, když lidé uvěří, že je to i jejich problém – nejen firemní. Na to navazuje chování. Jestliže někdo ví, že má zamykat obrazovku, ale nikdy to nedělá, pak směrnice zůstává jen na papíře. A nakonec kultura – pokud vedení firmy samo sdílí citlivé informace přes WhatsApp, nemůže očekávat, že ostatní budou jednat jinak.

Regulace, které nyní vstupují v platnost, dávají lidský faktor do popředí. GDPR ukládá povinnost pravidelného školení, nová směrnice NIS2 zavádí osobní odpovědnost vedení za bezpečnostní opatření a český zákon o kybernetické bezpečnosti, účinný od listopadu 2025, počítá s tím, že práce s lidmi je rovnocenná investici do technologií. Firmy proto musí prokazovat, že zaměstnance nejen školí, ale i testují a vyhodnocují. To už není dobrovolné doporučení, ale povinnost pod sankcemi.

Jak ale začít, pokud máte SME s pár desítkami zaměstnanců a omezeným rozpočtem? V praxi se osvědčuje několik kroků. Nejprve zjistit, co si lidé skutečně myslí. Krátký anonymní dotazník ukáže, zda berou hrozby vážně. Potom přijde na řadu simulace – například phishingový test, kdy firma rozešle falešný e-mail a sleduje, kolik lidí klikne. Výsledky jsou často šokující, ale právě to je start pro změnu chování. Následuje budování návyků: krátká školení po několika minutách, opakované tipy zasílané e-mailem, kvízy o malé ceny, gamifikace. A hlavně – zapojení vedení. Pokud majitel firmy sám zamyká počítač při odchodu na oběd, je to silnější signál než hodinová prezentace.

V číslech je to jednoduché: podle dat z Deloitte se úspěšnost phishingových útoků ve firmách, které testují a školí své zaměstnance alespoň čtyřikrát ročně, pohybuje pod 5 %. Ve firmách, které dělají školení jednou za rok „pro formu“, se míra úspěchu pohybuje kolem 30 %. To je rozdíl, který rozhoduje o tom, zda firma zaplatí výkupné, nebo přežije bez ztrát.

Pro malé a střední firmy je důležité vnímat kybernetickou bezpečnost jako proces, nikoli projekt. Nejde o jednorázové školení ani o zakoupení drahé licence. Jde o změnu prostředí, kde se stává normální chovat se obezřetně. Podobně jako když si v kanceláři nikdo nezapálí cigaretu – ne proto, že je to zakázané, ale protože se to prostě nedělá.

Pokud tedy přemýšlíte, kam nasměrovat příští investice, odpověď není jen v IT. Pár desítek tisíc korun vložených do smysluplného vzdělávacího programu vám ušetří statisíce na výkupném a škodách. A hlavně – ochrání i to, co je pro SME nejcennější: pověst u klientů. Protože ten, kdo jednou ztratí důvěru, už ji často nezíská zpět.