Svět e-commerce se rychle mění — a spolu s ním i způsoby, jakými se kyberzločinci snaží zneužít vaši značku, zákazníky i data. Z konference Eshopista: Nenechte si ukrást byznys vyplynulo jedno jasné poselství: bezpečnost už není technické téma pro IT. Je to existenční otázka pro každého majitele e-shopu, marketéra i CEO.
Přinášíme vám 10 nejdůležitějších poznatků od řečníků konference – Jiřího Buriana (Microsoft), Petry Stupkové (Legitas), Ivony Ševčíkové (Acomware), Karla Diviše (MasterDC), Petry Radostové (O2 CZ) a Michala Bilky (Astratex), které byste měli začít řešit hned.
1. Lidé jsou největší riziko — i nejlepší obrana
Každý druhý útok (až 60 %) začíná podle Jiřího Buriana z Microsoftu lidskou chybou. Slabá hesla, kliknutí na podvodný odkaz nebo chybějící dvoufaktorové ověření otevírá útočníkům dveře dokořán. Klíč je v edukaci. Zaveďte pravidelná školení, interní phishingové testy a kulturu otevřenosti, kde pracovníci mohou veřejně mluvit o kyberbezpečnosti. Zaměstnanci se nesmí bát přiznat chybu — právě tím ji předejdou oni i ostatní.
2. Bezpečnost není náklad, ale pojištění kontinuity
Kyberbezpečnost není jednorázová investice. Je to proces, který nikdy nekončí. U velkých e-shopů, jako je Astratex, se roční investice do bezpečnosti počítají v milionech — a přesto jsou nižší než potenciální ztráty z jediného týdenního výpadku expedice. Prevence je levnější než obnova. Podle Karla Diviše z MasterDC považují zejména starší majitelé firem investici do kyberbezpečnosti jako „kanálové peníze“, tedy podobně jako pojištění – platíte za něco, co nevidíte a co je „k ničemu“, pokud se incident nestane. Jenže stejně jako si majitelé továren instalují kamery, dávají dvoje zámky a pořádně zavírají vrata, aby chytili zloděje, musí přesunout stejnou obezřetnost do kybersvěta. Dnešní hackeři už nechodí se šátkem přes pusu, ale jedná se o profesionální společnosti, které útočí z pohodlí počítače.
3. EDR: nový bezpečnostní standard i pro menší e-shopy
Jen firewall a antivir už dávno nestačí. Moderní minimální standard se jmenuje EDR (Extended Detection Response) — systém, který monitoruje i to, co se děje uvnitř firemní sítě. Chrání vás i před útokem, který „projde“ i přes nejmodernější antivity, antispamy a firewally dovnitř firmy — třeba přes USB účetní s „kočičkou na flešce“. Pokročilejší řešení jako log managery, SIEM (Security information and event manager) a specializovaná SOC (Security operations center) centra dohledu pak řešte, když vaše firma vyroste.
4. Zero Trust: nový přístup k AI i firemním datům
Zásada nulové důvěry znamená, že každé přihlášení a každý přístup se ověřuje. Stejně tak by měla platit i pro AI nástroje. Do veřejných AI modelů nikdy nevkládejte citlivá data (což se podle dat Microsoftu děje ve 34,8 % používání AI). Zvažte firemní verze nástrojů s garancí ochrany dat (typicky Copilot, ChatGPT Team/Enterprise apod.). A nastavte co nejdříve jasná pravidla, které nástroje mohou lidé k práci používat a dejte jim je k dispozici — předejdete tak tomu, že budou pracovat ve svých vlastních.
5. Podvodné e-shopy poškozují i vaši značku
Když někdo spustí fake verzi vašeho e-shopu, nejen že okrádá zákazníky — krade vám i reputaci. Buďte připraveni. Michal Bilka z Astratexu na konferenci z vlastní zkušenosti radil, aby firmy měly v zásobě krizový komunikační plán a jasné sdělení pro zákazníky, které o případném falešném e-shopu budete intenzivně informovat. Ztracenou důvěru získáte zpět jen těžko, ale rychlá a otevřená reakce může škody minimalizovat.
6. Zabezpečte svou e-mailovou doménu
Phishing a spoofing stále patří k nejčastějším útokům na značky. Podle Ivony Ševčíkové z Acomware bylo jen v roce 2024 celosvětově zachyceno přes 896 milionů pokusů o phishing. Ověřte si proto, že máte správně nastavené SPF, DKIM a DMARC. Tyto protokoly určují, kdo může odesílat e-maily vaším jménem, a chrání vás před zneužitím. Bez nich riskujete nejen spamové filtry, ale i ztrátu důvěryhodnosti u zákazníků.
7. Umělá inteligence mění hru — i pro hackery
Generativní AI umožňuje útočníkům vytvářet mimořádně věrohodné podvody. Deepfake hlas vašeho CEO nebo dokonalý e-mail o „problému s platbou“ už nejsou sci-fi. Zvažte interní procesy ověření transakcí a autentizace hlasových pokynů. Stejnou AI, která vám pomáhá, už dnes využívá i útočník.
8. Vaše data jsou nové zlato
Databáze zákazníků, know-how nebo produktové texty jsou vaším největším aktivem, a přesto je tak snadné o ně přijít. Chraňte je proto stejně jako peníze na účtu. Registrujte ochranné známky, monitorujte zneužití obsahu a mějte jasná pravidla pro používání AI v marketingu. Petra Stupová z Legitas upozorňuje, že i AI může nevědomky porušit autorská práva, je totiž trénována na cizích autorských dílech a ochranných známkách, takže je velmi pravděpodobné, že se výsledné výstupy budou podobat něčemu, co už existuje. Ve výsledku ale odpovědnost za použití takového díla nesete vy!
9. Ověřujte, testujte a simulujte „nejhorší den“
Otázka nezní jestli, ale kdy k útoku dojde. Firmy by měly testovat katastrofické scénáře — co se například stane, když vám týden nepojede expedice? Nebo když vám hackeři smažou klientskou databázi? Nechte své systémy pravidelně prověřit externími specialisty a penetračními testy. Pokud se totiž vaše IT oddělení roky nezměnilo, může zakrnět a nemusí mít reakce na aktuální hrozby. „Nevěřte svému IT“ je moudro, které na konferenci zaznělo ne jednou. Primární odpovědnost za kyberbezpečnost totiž neleží na IT, ale na majiteli nebo vedení firmy. A nejde jen o frázi, nově přesun v odpovědnosti přináší…
10. NIS 2 — povinnost, která se blíží
Od 1. listopadu 2025 vstoupí v platnost nový zákon o kybernetické bezpečnosti (NIS 2). Podle Petry Stupkové z Legitas dopadne na přibližně 7000 českých firem včetně mnoha e-shopů. Současně však varovala, že stanovení, zda se týká zrovna vás, nejde zjistit z jednoduchých online formulářů (které jsou ve skutečnosti spíše generátorem leadů). Pokud máte více než 50 zaměstnanců nebo obrat přes 10 mil. EUR, pravděpodobně se vás týká. Vpotaz se však berou i částečné úvazky, splnění ukazatelů ve dvou následujících účetních obdobích, a ještě jiná pravidla platí pro složité firemní struktury, jako jsou holdingy. Nejde tedy jen o „papírovou povinnost“ — zákon nastavuje minimální standard kyberhygieny a přináší vysoké pokuty za neplnění (které regulátor může ukládat právě již od 1. listopadu!).
Shrnutí: Bezpečnost je součástí růstu
Kyberbezpečnost už dávno nepatří jen do serverovny. Je to téma pro C-level, marketing, HR i celý management. E-shop, který chce růst a budovat důvěru zákazníků, musí brát bezpečnost stejně vážně jako strategii prodeje nebo UX.
Bez důvěry neprodáte.
A bez bezpečnosti o důvěru snadno přijdete.
