← Blog

Zaščita pred ransomware: 7 ukrepov, ki resnično delujejo

Zaščita pred ransomware ni kupovanje 'antivirusa'. Preberite 7 realnih ukrepov, ki ustavijo večino napadov na slovenska MSP podjetja.

VitalIT ekipa··2 min branja·Omrežja & varnost

Ransomware ni več stvar velikih korporacij. Slovenska mala in srednje velika podjetja so danes tarča #1, ker imajo dovolj denarja za odkupnino, a premalo notranje IT ekipe. Ta članek predstavi 7 konkretnih ukrepov za zaščito pred ransomware, ki ustavijo veliko večino napadov – brez marketinškega bleferaja.

1. MFA za VSE, ne samo za administratorje

Večina uspešnih napadov se začne s krajo uporabniškega gesla (phishing, ponovna uporaba gesel). Večfaktorska avtentikacija (MFA) ustavi 99% teh napadov. Osnovna higiena je: MFA za Microsoft 365, VPN, RDP, administracijske dostope – brez izjem.

2. Backup po pravilu 3-2-1 (in preverjena obnova)

Backup 3-2-1 pomeni: 3 kopije podatkov, na 2 različnih medijih, 1 kopija zunaj lokacije (offsite). Za ransomware sta ključni dve dodatni zahtevi:

  • Nespremenljivi backup (immutable): kopija, ki je napadalec (niti kot administrator) ne more izbrisati ali šifrirati.
  • Redno testiranje obnove: vsaj enkrat mesečno preverimo, da se dejansko da obnoviti. Backup, ki ga niste nikoli obnovili, ne obstaja.

3. Segmentacija omrežja z VLAN in požarnim zidom

Ravno omrežje (vsi v isti podmreži) pomeni, da ransomware v urah okuži vse. Segmentacija po VLAN-ih (uporabniki, strežniki, gosti, IoT, kamere) drastično omeji škodo. Za slovenska MSP je to izvedljivo brez ogromnih investicij.

4. EDR namesto klasičnega antivirusa

Klasični antivirus išče znane podpise. Sodobni ransomware jih obide v urah. EDR (Endpoint Detection & Response) – npr. Microsoft Defender for Business, SentinelOne, CrowdStrike – opazuje vedenje procesov in ustavi šifriranje že po prvih datotekah.

5. Redno krpanje sistemov

Kritične ranljivosti (Exchange, VPN naprave, hipervizorji) so najpogostejša vhodna vrata. Vzpostavimo cikel krpanja:

  1. Kritične ranljivosti (CVSS 9+): v 72 urah.
  2. Ostale posodobitve: v 2 tednih.
  3. Firmware na omrežni opremi: kvartalno.

6. Omejevanje administracijskih pravic

Načelo najmanjših pravic (least privilege): nihče ne dela vsakodnevno kot administrator. Za administracijska opravila uporabimo ločen račun (in poseben PC/PAW). Ko okužijo administrativno napravo, je konec.

7. Priprava načrta odziva (in vaja)

Vsa preventiva na svetu ne odpravi tveganja na 0. Zato pripravimo pisni načrt: kdo obvesti koga, kako izoliramo okužene sisteme, kdo je pravni/PR kontakt, kdaj obvestimo Informacijskega pooblaščenca. Vajo izvedemo vsaj enkrat letno.

UkrepTrudUčinek
MFA za vseNizekZelo visok
Immutable backupSrednjiZelo visok
SegmentacijaSrednjiVisok
EDRSrednjiVisok
KrpanjeNizek do srednjiVisok
Omejevanje admin pravicSrednjiVisok
Načrt odziva + vajaNizekVisok
Preverimo vašo pripravljenost na ransomwareIzvedemo hitro oceno stanja in pripravimo načrt utrditve v 2 tednih.
Ali plačamo odkupnino, če se zgodi?
Priporočilo evropskih varnostnih agencij (ENISA) in slovenskega SI-CERT je: NE. Plačilo ne zagotavlja obnove, financira nove napade in vas označi kot 'pripravljeno tarčo' za naslednjič.
Kako pogosto testirati obnovo iz backupa?
Minimalno enkrat mesečno delno obnovo (nekaj datotek/VM), vsaj enkrat letno pa polno vajo obnove ključnega sistema (npr. ERP).
Ali zavarovalnice pokrijejo škodo?
Kibernetska zavarovanja obstajajo tudi v Sloveniji, a zavarovalnice zahtevajo dokazila o osnovnih varnostnih ukrepih (MFA, backup, EDR). Brez teh polica ne izplača.
Koliko stane implementacija vseh 7 ukrepov?
Za MSP z 20–50 zaposlenimi je smiseln proračun 3.000–8.000 EUR za prvi udar, potem letni operativni stroški (licence EDR, backup) približno 1.500–3.000 EUR. Bistveno manj kot posamezen ransomware incident.
#zaščita pred ransomware#ransomware preventiva#backup 3-2-1#kibernetska varnost#EDR