Malware je v 2026 nejpravděpodobnější příčina provozní krize ve středně velké české firmě. Ransomware, trojské koně, fileless malware — hrozby se sofistikují rychleji než obrana průměrné firmy. Tento článek poskytuje praktický přehled: co je co, jak se bránit, co dělat při infekci.
Pro pillarový přehled kybernetické bezpečnosti viz Kybernetická bezpečnost firemních dat.
Typologie malware: co potká českou firmu
Trojský kůň (Trojan)
Nejčastější typ — zodpovědný za ~90 % firemních malware infekcí. Maskuje se jako legitimní software nebo příloha. Po spuštění otevírá útočníkovi přístup (backdoor), krade data nebo stahuje další malware.
Typické vstupní body:
- E-mailová příloha (invoice.pdf.exe, dokument s makrem)
- Falešný software update
- Kompromitovaný instalační balík
Ransomware
Nejdražší hrozba — šifruje soubory a požaduje výkupné za dešifrovací klíč.
Průměrná škoda pro českou SMB (50–200 zaměstnanců):
- Přímý downtime: průměr 9 dní × denní obrat
- Forenzní analýza: 15–40 000 EUR
- Právní a notifikační náklady: 10–25 000 EUR
- Opětovná instalace infrastruktury
- Regulační pokuty (NIS2 až 2 % obratu)
- Celkový rozsah: 80 000 – 350 000 EUR
Moderní ransomware skupiny (LockBit, BlackCat, Cl0p) cílí systematicky na CZ/SK střední firmy s obratem 10–100 mil. EUR.
Fileless malware
Nejobtížnější detekce — nemá soubor na disku. Běží přímo v paměti (PowerShell, WMI, legitímní systémové procesy). Klasický antivirus (signature-based) ho nezachytí.
Odpovídá za ~30 % pokročilých útoků v 2026. Vyžaduje EDR pro detekci anomálního chování procesů.
Spyware a keylogger
Sbírá data: hesla, bankovní přihlašovací údaje, e-maily, dokumenty. Může běžet měsíce bez viditelných symptomů. Cíl: espionáž, krádež přihlašovacích údajů, Business E-mail Compromise (BEC).
Worm (červ)
Samo-šířící se malware bez hostitelského souboru. Šíří se přes síťové zranitelnosti — jeden infikovaný počítač může infikovat celou síť za minuty. WannaCry (2017) infikoval 230 000 počítačů ve 150 zemích za 24 hodin.
Rootkit
Skrývá svou přítomnost na hluboké úrovni OS — antivirové nástroje ho nevidí. Přetrvává i po reinstalaci OS (pokud infikuje BIOS/UEFI). Detekce vyžaduje specializované forenzní nástroje.
EDR vs. antivirus: proč na rozdílu záleží
| Aspekt | Antivirus (signature-based) | EDR (behavior-based) |
|---|---|---|
| Princip detekce | Porovnání s databází podpisů | Sledování chování procesů |
| Detekce známé hrozby | Ano | Ano |
| Detekce zero-day | Omezeně | Ano (heuristika, ML) |
| Detekce fileless malware | Ne | Ano |
| Forenzní data po útoku | Minimální | Plná (kompletní timeline) |
| Vzdálená izolace endpointu | Ne | Ano (1 klik) |
| Automatická reakce | Omezená | Ano (kill process, quarantine) |
| Cena (ročně, per seat) | 30 – 60 EUR | 60 – 180 EUR |
Doporučení pro CZ SMB:
- Do 10 zaměstnanců: Microsoft Defender (vestavěný v Windows) + ESET Endpoint Protection — dostatečné.
- 10–50 zaměstnanců: ESET PROTECT nebo Microsoft Defender for Endpoint (součást M365 Business Premium).
- 50+ zaměstnanců: CrowdStrike Falcon Go, SentinelOne, nebo Microsoft Defender for Endpoint P2.
Sedmivrstvá obrana před ransomware
Žádná jednotlivá technologie ransomware nezastaví — potřebujete vrstvy:
Vrstva 1: E-mail gateway
90 % ransomware vstupuje přes e-mail. Anti-phishing engine (Microsoft Defender for Office 365, Proofpoint) analyzuje přílohy v sandboxu před doručením.
Vrstva 2: EDR na všech endpointech
Detekce anomálního chování, automatická izolace infikovaného endpointu.
Vrstva 3: Zálohy 3-2-1-1-0
- 3 kopie, 2 média, 1 off-site, 1 immutable (S3 Object Lock)
- 0 chyb při ročním recovery testu
Immutable záloha je klíčová — ransomware cílí i na zálohy. Air-gapped nebo object-locked záloha je nezašifrovatelná.
Vrstva 4: 2FA / Passkey pro všechny účty
Kompromitované heslo bez 2FA = přímý přístup. S 2FA útočník potřebuje i fyzický přístup k tokenu/telefonu.
Vrstva 5: Patch management
70 % úspěšných útoků v 2025 využilo zranitelnosti s dostupnou záplatou. Měsíční patch cyklus, EOL software okamžitě nahradit.
Vrstva 6: Segmentace sítě
IoT zařízení, hosté, výroba — na oddělených VLAN. Infikovaný senzor nesmí dosáhnout na HR data.
Vrstva 7: Trénink zaměstnanců
Phishing simulace 4× ročně (KnowBe4, Hoxhunt). Při kliknutí na simulovaný phishing → okamžitá mikrolekce.
5 okamžitých kroků při podezření na infekci
Rychlost reakce rozhoduje, zda ransomware zašifruje 10 souborů nebo 10 000.
1. Odpojit zařízení od sítě
Fyzicky odepněte kabel, vypněte Wi-Fi. Cíl: zastavit lateral movement do dalších systémů.
2. NEPROVÁDĚT restart
Volatilní paměť (RAM) obsahuje stopy útočníka — přihlašovací tokeny, šifrovací klíče, běžící procesy. Restart tato data smaže. Forenzní expert potřebuje live system.
3. Informovat IT / bezpečnostní tým okamžitě
Ne za hodinu, ne po obědě. Každá minuta = potenciálně více zašifrovaných souborů na sdílených složkách.
4. Neotvírat další aplikace
Malware může číhat v RAM a aktivovat se při spuštění dalšího procesu.
5. Zdokumentovat symptomy
Screenshoty chybových hlášení, timestampy, popis co se stalo těsně před. Potřebné pro:
- Forenzní analýzu (kořenová příčina)
- GDPR hlášení (72hodinová lhůta od zjištění)
- NIS2 early warning (24hodinová lhůta)
- Pojistnou událost
Notifikační povinnosti po incidentu
Česká firma v CZ/SK má po malware incidentu regulační povinnosti:
GDPR (nařízení EU 2016/679)
Pokud incident zahrnuje osobní data:
- Do 72 hodin: hlášení ÚOOÚ (Úřad pro ochranu osobních údajů)
- Bez zbytečného odkladu: informovat dotčené osoby (pokud vysoké riziko)
NIS2 (zákon č. 181/2014 Sb.)
Pro regulované subjekty (viz NIS2 průvodce):
- Do 24 hodin: early warning NÚKIB
- Do 72 hodin: detailní hlášení
- Do 1 měsíce: final report
DORA
Pro finanční sektor + jejich ICT dodavatele — viz DORA průvodce.
Modulario a malware ochrana
Jako cloud ERP v EU infrastruktuře Modulario odebírá firmě část malware rizika:
- Žádná lokální data — primární firemní data jsou v EU cloudu, ne na notebooku, který lze infikovat
- AES-256 šifrování at rest — i při fyzickém přístupu k serverům jsou data nečitelná
- Immutable zálohy — 7denní retention v object-locked storage, ransomware-proof
- EDR na celé Modulario infrastruktuře — CrowdStrike pro detekci na serverové vrstvě
- Audit log — každá akce zaznamenaná, forenzní analýza možná po incidentu
Časté otázky
Jaký je rozdíl mezi virem a malwarem? Malware (malicious software) je zastřešující pojem pro jakýkoliv škodlivý software — zahrnuje viry, trojské koně, ransomware, spyware, rootkity a keyloggery. Virus je specifický typ malware, který se šíří připojením k jiným souborům a vyžaduje akci uživatele (otevření). V 2026 jsou klasické viry vzácné — dominují trojské koně (90 % infekcí), ransomware a fileless malware.
Stačí mi antivirus, nebo potřebuji EDR? Pro firmu s 5+ zaměstnanci doporučujeme EDR (Endpoint Detection and Response) místo klasického antiviru. Rozdíl: antivirus porovnává soubory s databází podpisů (signature-based) — nezachytí zero-day. EDR sleduje chování procesů (behavior-based) — zachytí neznámé hrozby, fileless malware, anomálie. Cena EDR (60–180 EUR/endpoint/rok) je nyní dostupná i pro SMB. Microsoft Defender for Endpoint (součást M365 Business Premium) nebo ESET PROTECT jsou dobré volby pro CZ SMB.
Co dělat jako první při podezření na malware? Pět okamžitých kroků: (1) Odpojit zařízení od sítě (Wi-Fi i kabel) — zastavit šíření. (2) NEPROVÁDĚT restart — ponechat volatilní paměť pro forenzní analýzu. (3) Informovat IT / CISO okamžitě — ne po čase. (4) Neotvírat další aplikace na zařízení — možná kontaminace dalších souborů. (5) Zdokumentovat symptomy (screenshoty, časy, popis) — potřebné pro incident response a regulační hlášení (GDPR, NIS2).