Callback
  • Od trhového stánku k obchodu

  • -

  • Od obchodu k obchodnej sieti

  • -

  • Od maloobchodu k výrobe

Bezpečnosť servera predajne: 20 odporúčaní

Čo skontrolovať ako prvé

Server predajne potrebuje ochranu na úrovni operačného systému, vzdialeného prístupu, používateľských účtov, siete a záloh. Prvou prioritou je zatvoriť priamy prístup k RDP z internetu, nainštalovať aktualizácie, zapnúť viacfaktorové overovanie a overiť obnovu dát z izolovanej kópie.

Server často zabezpečuje fungovanie účtovného programu, databázy tovaru, pokladníc, skladu a vzdialených používateľov. Neoprávnený prístup k nemu môže zastaviť predaj, zmeniť alebo zničiť účtovné údaje, otvoriť prístup k osobným údajom a umožniť útok na ďalšie počítače v sieti.

TermínČo urobiťZodpovedná osoba
Dnes Skontrolovať, či RDP, panel smerovača, nástroj zálohovania alebo iné administračné rozhranie nie sú dostupné v otvorenom internete. Skontrolovať aktívne používateľské účty a administrátorov. Systémový administrátor
Do 24 hodín Nainštalovať kritické aktualizácie, skontrolovať stav antivírusovej ochrany, firewallu, prihlasovacích logov a posledných záloh. Systémový administrátor
Do 72 hodín Nastaviť VPN alebo RD Gateway s MFA, vytvoriť samostatné účty, izolovať jednu záložnú kópiu a vykonať testovaciu obnovu v samostatnom prostredí. Administrátor a vlastník
Mesačne Kontrolovať aktualizácie, prístupové práva, bezpečnostné udalosti, výsledky zálohovania a zmeny konfigurácie. Určená zodpovedná osoba

Prečo sú servery malých podnikov stále cieľom

Podľa Verizon Data Breach Investigations Report 2026 sa 31 % potvrdených únikov vo vzorke začalo zneužitím softvérových zraniteľností a ransomvér bol prítomný v 48 % únikov. Správa zahŕňa incidenty od 1. novembra 2024 do 31. októbra 2025. Tieto ukazovatele nepopisujú samostatne ukrajinský retail, ale potvrdzujú prioritu aktualizácií, kontroly vzdialeného prístupu a obnovy.

Pre Ukrajinu je dodatočným rizikom cielená aktivita proti organizáciám a využívanie bežných podporných kanálov. CERT-UA zaznamenala pokusy presvedčiť používateľov, aby spustili AnyDesk údajne na kontrolu zabezpečenia. V oznámení o pokusoch o útoky s použitím AnyDesk CERT-UA odporúča overovať totožnosť a oprávnenia osoby, ktorá žiada o vzdialený prístup.

Typický scenár pre predajňu sa začína z jedného zo štyroch zdrojov: neodstránenej zraniteľnosti, ukradnutého hesla, otvoreného RDP alebo spustenia škodlivého súboru zamestnancom. Po prístupe môže útočník ukradnúť prihlasovacie údaje, zvýšiť oprávnenia, vypnúť ochranu, odstrániť dostupné zálohy a zašifrovať server spolu so sieťovými prostriedkami.

20 odporúčaní na ochranu servera

1. Určte vlastníka servera a veďte systémový pas

Za server musí zodpovedať konkrétna osoba alebo spoločnosť. V systémovom pase zaznamenajte model alebo virtuálny stroj, operačný systém, nainštalované programy, účel portov, zoznam používateľov, miesta zálohovania, kontakty dodávateľov a dátum poslednej kontroly. Vlastník firmy musí mať prístup k zmluvám, licenciám, záložným kódom MFA a kontaktom pre havarijnú obnovu.

Inventarizácia je potrebná pre aktualizácie a reakciu. Nie je možné včas odstrániť zraniteľnosť v komponente, o ktorého existencii nikto nevie.

2. Používajte podporovanú verziu Windows Server

Windows Server 2008 a 2012 by sa nemali používať pre nové nasadenia: ich bežná podpora sa skončila. K júlu 2026 sú podporované Windows Server 2016, 2019, 2022 a 2025, ale rozšírená podpora Windows Server 2016 sa končí 12. januára 2027. Aktuálne dátumy sú uvedené na stránke Windows Server release information.

Ak server pracuje na Windows Server 2016, už je potrebný plán prechodu. Aktualizácie operačného systému, SQL Servera, ovládačov, nástrojov vzdialeného prístupu, prehliadača, archivátora a smerovača treba zahrnúť do jedného harmonogramu. Pred inštaláciou aktualizácií administrátor vytvorí použiteľnú kópiu, skontroluje voľné miesto a odsúhlasí servisné okno.

3. Použite základnú bezpečnostnú konfiguráciu

Pri ručnom nastavovaní servera sa dá ľahko niečo vynechať alebo náhodne zrušiť. Pre Windows Server 2025 Microsoft publikuje rolové základné konfigurácie pre radič domény, server v doméne a server v pracovnej skupine. Okrem iného zapínajú firewall pre všetky profily, blokujú nebezpečné zastarané protokoly a posilňujú ochranu prihlasovacích údajov. Popis a postup kontroly sú uvedené v základnej konfigurácii Windows Server 2025.

Najprv testovanieZákladnú konfiguráciu sa neoplatí aplikovať na produkčný server bez overenia. Môže zmeniť sieťové protokoly, pravidlá prístupu, tlač a spoluprácu so starým zariadením. Administrátor musí zmeny otestovať, zaznamenať potrebné výnimky a pripraviť postup návratu k predchádzajúcej konfigurácii.

4. Neotvárajte RDP priamo do internetu

Port vzdialenej pracovnej plochy nesmie byť dostupný z akejkoľvek internetovej adresy. Na vzdialenú prácu používajte VPN s MFA alebo Remote Desktop Gateway. Microsoft uvádza, že RD Gateway prenáša RDP cez zabezpečené HTTPS spojenie bez otvorenia interného RDP portu a podporuje viacfaktorové overovanie a prístupové politiky.

Ak priamy prístup dočasne nie je možné odstrániť, obmedzte ho firewallom na konkrétne dôveryhodné IP adresy, zapnite Network Level Authentication, stanovte krátky termín odstránenia dočasnej schémy a kontrolujte každý pokus o prihlásenie.

Zmena portu nechráni RDPPresunutie RDP z portu 3389 môže znížiť počet automatických pokusov v logu, ale skenovanie odhalí službu na inom porte. Je to pomocná zmena, ktorá nenahrádza VPN alebo RD Gateway, MFA, obmedzenie adries a logovanie.

5. Zapnite zabezpečené overovanie pre vzdialený prístup

Pre RDP musí byť zapnutá Network Level Authentication: používateľ sa overí pred vytvorením plnej vzdialenej relácie. Microsoft odporúča NLA pre väčšinu prostredí.

MFA treba zapnúť na VPN, RD Gateway, cloudovom účte, hostingovom paneli, nástroji zálohovania a systéme vzdialenej podpory. Pre administrátorov sú vhodné prostriedky odolné voči phishingu: kľúče FIDO2, certifikáty alebo prístupové kľúče, ak ich služba podporuje. Jednorazový kód v aplikácii je lepší než samotné heslo, ale nie je odolný voči phishingu; toto rozlíšenie je priamo uvedené v NIST SP 800-63B-4.

6. Vytvorte samostatný účet pre každú osobu

Spoločné prihlasovacie meno predajcov alebo administrátorov neumožňuje zistiť, kto sa prihlásil na server a čo zmenil. Každý zamestnanec a každý špecialista dodávateľa musí mať vlastný účet. Nepoužívané účty sa blokujú hneď po odchode zamestnanca, ukončení prác alebo zmene roly.

Účet má obsahovať minimálny súbor práv a dobu platnosti, ak je prístup dočasný. CERT-UA v pravidlách kybernetickej hygieny odporúča oddeľovať administrátorské účty od bežných a blokovať účty, ktoré sa už nepoužívajú.

7. Oddeľte každodennú prácu od administrácie

Predajca, operátor, účtovník a vlastník pracujú bez práv lokálneho administrátora. Systémový administrátor používa bežný účet na prezeranie dokumentov a samostatný administrátorský účet iba na nastavenia. To obmedzuje následky spustenia nebezpečného súboru alebo krádeže bežného hesla.

Pre sieť s viacerými počítačmi Windows sa oplatí používať Windows LAPS. Automaticky vytvára a mení jedinečné heslo lokálneho administrátora pre každé zariadenie. Nastavenia sú opísané v dokumentácii Windows LAPS.

8. Nahraďte starú politiku hesiel

Pre účet chránený iba heslom nastavte jedinečnú heslovú frázu s minimálne 15 znakmi. Ak sa heslo používa spolu s MFA, minimum NIST je 8 znakov, no dlhšia jedinečná fráza zostáva vhodná. Heslá ukladajte vo firemnom správcovi hesiel a zakážte ich opätovné používanie.

NIST SP 800-63B-4 neodporúča vyžadovať ľubovoľnú kombináciu veľkých písmen, číslic a symbolov ani pravidelne meniť heslo bez známok kompromitácie. Služba má blokovať rozšírené heslá a heslá známe z únikov. Pre Windows možno ako počiatočný orientačný bod použiť 10 neúspešných pokusov a 15 minút blokovania, ale administrátor musí posúdiť riziko úmyselného blokovania účtov.

9. Nechajte otvorené iba potrebné porty

Windows Firewall a sieťový firewall majú fungovať podľa pravidla: prichádzajúce spojenia sú zakázané okrem výslovne povolených. Windows Firewall predvolene blokuje neželanú prichádzajúcu prevádzku, ak nezodpovedá povolenému pravidlu; je to opísané v dokumentácii Windows Firewall.

Neotvárajte rozsahy portov „pre istotu“. Pri každom pravidle zaznamenajte program, protokol, port, povolené zdroje a zodpovednú osobu. Prístup k SQL Serveru, zdieľaným priečinkom, konzole zálohovania a ovládaciemu panelu musí byť obmedzený na lokálnu servisnú sieť alebo VPN.

10. Oddeľte server, pokladnice, kancelárske zariadenia a hosťovskú Wi-Fi

Jedna sieť pre server, pokladnice, osobné telefóny, kamery, televízory a návštevníkov zjednodušuje šírenie útoku. Vytvorte samostatné segmenty alebo VLAN: serverový, pokladničný, kancelársky, zariadenia a hosťovský. Medzi nimi povoľte iba potrebné spojenia.

Pre Wi-Fi používajte WPA3 alebo WPA2-AES, ak staré zariadenie nepodporuje WPA3. Vypnite WPS, zmeňte predvolené heslo administrátora smerovača, aktualizujte jeho firmvér a vypnite správu z internetu. Skrytie názvu Wi-Fi nie je prostriedkom ochrany: názov siete možno zistiť zo servisnej prevádzky. Základné parametre šifrovania sú uvedené v odporúčaniach CISA pre Wi-Fi.

11. Nevypínajte antivírus, firewall a UAC

Na serveri je potrebný antivírus s ochranou v reálnom čase. Pre dôležitý server je vhodná ochrana triedy EDR, ktorá uchováva udalosti a zisťuje podozrivé správanie. Kontrola používateľských účtov UAC a ochrana pred zmenou nastavení antivírusu musia tiež zostať zapnuté.

Nevylučujte z kontroly celý katalóg Torgsoft ani celý disk. Microsoft uvádza, že používateľské výnimky zvyčajne nie sú potrebné a vylúčený infikovaný súbor antivírus nezistí. Ak sa potvrdí konflikt alebo výrazný pokles výkonu, vytvorte čo najužšiu výnimku pre konkrétny proces alebo súbor, odsúhlaste ju s dodávateľom programu, zdokumentujte dôvod a termín revízie. Pozrite si pravidlá výnimiek Microsoft Defender.

12. Používajte server iba na určený účel

Na serveri účtovného systému sa nemá čítať pošta, otvárať messengery, prezerať náhodné weby, sťahovať dokumenty, pripájať osobné USB kľúče ani inštalovať programy na bežné osobné potreby. Na tieto činnosti je potrebný samostatný pracovný počítač.

Prehliadač na serveri ponechajte iba vtedy, keď je potrebný na administráciu alebo fungovanie schválenej služby. Programy sa sťahujú z oficiálnych stránok po kontrole digitálneho podpisu. Inštalácia programov je povolená určenému administrátorovi.

13. Kontrolujte spúšťanie programov a používanie USB

Pre stabilnú konfiguráciu môže administrátor povoliť spúšťanie iba schválených programov pomocou App Control for Business alebo AppLocker. Najprv sa politika spustí v režime auditu, analyzujú sa logy a až potom sa prejde na blokovanie. Microsoft odporúča začať nasadzovanie App Control v režime auditu.

Automatické spúšťanie z vymeniteľných médií treba vypnúť. Neznáme USB kľúče sa k serveru nepripájajú. Ak je prenosné médium potrebné na zálohu, označí sa, zašifruje, uloží na kontrolovanom mieste a pripája sa iba na čas kopírovania alebo obnovy.

14. Šifrujte disky a chráňte obnovovacie kľúče

BitLocker znižuje riziko čítania dát po krádeži disku alebo servera. Pred zapnutím skontrolujte kompatibilitu zariadenia, prítomnosť TPM a vplyv na postup obnovy. Kľúč BitLocker treba uchovávať oddelene od servera, na mieste s kontrolovaným prístupom. Bez obnovovacieho kľúča môže zlyhanie TPM alebo zmena zavádzania zablokovať prístup k disku. Microsoft tieto scenáre opisuje v BitLocker recovery overview.

Šifrovanie disku nechráni súbory pred ransomvérom, ktorý beží v už odomknutom systéme. Na to sú potrebné obmedzenia práv, antivírusová kontrola a izolované zálohy.

15. Vybudujte zálohovanie podľa pravidla 3–2–1

Uchovávajte aspoň tri kópie dôležitých dát, na dvoch rôznych typoch médií, jednu kópiu — mimo hlavného priestoru. Na ochranu pred šifrovačom musí byť jedna kópia offline alebo nemenná: server a bežní používatelia nesmú mať možnosť ju prepísať alebo odstrániť. CISA odporúča offline kópie, šifrovanie a pravidelné testovanie obnovy.

Trvalo pripojený USB disk, sieťový priečinok s právami zápisu a cloudový priečinok synchronizovaný pod tým istým účtom môžu byť poškodené spolu s hlavnými dátami. Pre cloudové úložisko zapnite MFA, samostatný administrátorský účet, logovanie, históriu verzií, dobu uchovávania a ochranu pred hromadným vymazaním.

16. Nekontrolujte súbor kópie, ale úplnú obnovu

Existencia archívu ešte nepotvrdzuje, že sa z neho dá obnoviť práca. Každý deň kontrolujte úspešnosť úlohy zálohovania a podľa určeného harmonogramu rozbaľte kópiu v izolovanom testovacom prostredí. Skontrolujte databázu, fotografie tovaru, šablóny dokumentov, práva používateľov, verziu programu a možnosť spustenia.

Vlastník určuje prípustnú stratu dát a čas odstávky. Napríklad ak je prípustná strata jeden pracovný deň, denná kópia môže stačiť. Ak predaj nemožno stratiť ani za niekoľko hodín, sú potrebné častejšie kópie alebo iný mechanizmus odolnosti voči výpadku. NCSC odporúča uchovávať verzie za určité obdobie a pravidelne testovať stav záloh.

17. Zapnite logy a upozornenia

Uchovávajte udalosti úspešných a neúspešných prihlásení, blokovania účtov, vytvárania nových administrátorov, zmien služieb, nastavení firewallu, antivírusu, zálohovania a RDP. Pri neúspešnom prihlásení Windows vytvára udalosť 4625. Séria takýchto udalostí, prihlásenie v netypickom čase alebo z novej adresy si vyžadujú kontrolu.

Logy sa musia uchovávať dostatočne dlho na vyšetrovanie a podľa možnosti kopírovať do samostatného systému, kde ich administrátor napadnutého servera nemôže odstrániť. CISA vysvetľuje úlohu logov v odporúčaniach pre malé a stredné podniky.

18. Chráňte server fyzicky a zabezpečte korektné vypnutie

Server a sieťové zariadenia sa umiestňujú do uzamknutej skrine alebo miestnosti s obmedzeným prístupom, ventiláciou a ochranou pred vlhkosťou. Treba viesť zoznam osôb, ktoré majú fyzický prístup.

Záložný zdroj napájania musí byť dimenzovaný na server, úložisko a sieťové zariadenia. Nastavte automatické korektné ukončenie práce pri dlhšom výpadku elektriny a testujte batériu pod záťažou. UPS znižuje riziko poškodenia databázy pri náhlom vypnutí, ale nenahrádza zálohu.

19. Spravujte prístup technickej podpory a dodávateľov

Pred pripojením skontrolujte, kto sa ozval, z akej spoločnosti a na základe akej požiadavky. Neposielajte trvalé heslo cez messenger. Dodávateľovi sa vytvorí samostatný dočasný účet, pridelia sa minimálne práva, zaznamená sa začiatok a koniec relácie a po práci sa prístup zablokuje.

Nástroje vzdialenej podpory nesmú pracovať trvalo s nekontrolovaným prístupom. Ak je podľa zmluvy potrebný trvalý agent, zapnite MFA, povolenie iba pre schválené účty, upozornenia na pripojenie a denník relácií. Vlastník musí vedieť, ako samostatne odvolať prístup.

20. Pripravte plán reakcie a vykonajte cvičnú kontrolu

V pláne uveďte, kto prijíma rozhodnutia, ako odpojiť server od siete, kde sa uchovávajú zálohy, kto vykonáva technické vyšetrovanie, ako fungujú pokladnice počas odstávky a koho treba informovať. Kópiu plánu uchovávajte mimo servera.

Raz ročne vykonajte cvičný scenár: server je nedostupný, heslo administrátora je kompromitované, posledná kópia je poškodená. Kontrola sa má skončiť zoznamom nedostatkov, zodpovedných osôb a termínov nápravy.

Špecifiká servera s Torgsoft

V Terminálovej verzii Torgsoft používatelia pracujú s jednotnou databázou cez vzdialenú pracovnú plochu. To neznamená, že RDP treba otvoriť pre celý internet. Prístup k terminálovému serveru sa nastavuje cez VPN alebo RD Gateway s MFA, samostatnými účtami a obmedzenými právami.

Server alebo hlavný počítač s Torgsoftom je vhodné používať na prevádzku účtovného systému. Pošta, messengery, náhodné weby a programy tretích strán zvyšujú počet spôsobov prieniku. Pred zmenou politík Windows, firewallu, antivírusu, SQL Servera alebo sieťových portov treba overiť kompatibilitu s pracovnou konfiguráciou Torgsoft, pokladnicami, tlačiarňami, PRRO a integráciami.

V Torgsofte možno nastaviť automatické vytváranie archívu databázy. Možnosť Cloudový archív dát vytvára zálohy podľa harmonogramu a ukladá ich do Google Drive. Takýto archív môže byť jednou z úrovní zálohovania. Pre odolnosť voči ransomvéru sú aj tak potrebné samostatné prístupové práva, MFA, viac verzií, izolovaná alebo nemenná kópia a testovacia obnova.

Hranice pomoci Torgsoft

Technická podpora Torgsoft môže pomôcť nainštalovať program a nasadiť použiteľný archív databázy. Ochrana Windows Server, VPN, RD Gateway, smerovača, účtov, antivírusu a zálohovacej infraštruktúry patrí medzi úlohy systémového administrátora. Technická podpora programu nie je službou na dešifrovanie infikovaných súborov.

Čo robiť pri podozrení na prienik

  1. Izolujte server od siete. Odpojte sieťový kábel alebo zablokujte spojenie na prepínači či firewalle. Ak server nemožno rýchlo izolovať, vypnite ho, aby sa obmedzilo šírenie útoku. Nepripájajte záložné disky. Takúto prioritu krokov obsahuje kontrolný zoznam reakcie CISA.
  2. Nemažte súbory a neinštalujte Windows hneď nanovo. Uložte logy, správy, čas zistenia, zoznam pripojených systémov a fotografie obrazovky. Tieto údaje sú potrebné na zistenie spôsobu prieniku.
  3. Zapojte špecialistu na reakciu na incidenty. Bežné skenovanie antivírusom nepotvrdzuje, že bol odstránený cudzí prístup.
  4. Zmeňte kompromitované heslá z čistého zariadenia. Najprv zabezpečte administrátorské, poštové, cloudové, VPN a zálohovacie účty. Ukončite aktívne relácie a odvolajte prístupové kľúče.
  5. Skontrolujte ďalšie zariadenia. Zistite, či sa používalo rovnaké heslo, či existujú noví administrátori, služby, plánované úlohy alebo nástroje vzdialeného prístupu.
  6. Obnovujte iba do vyčisteného prostredia. Preinštalujte alebo zaručene vyčistite systém, odstráňte spôsob prieniku, skontrolujte kópiu na škodlivý softvér a až potom obnovujte dáta. Takýto postup odporúča NCSC v usmernení na boj proti škodlivému softvéru.
  7. Nahláste incident. Pri znakoch kybernetického útoku sa obráťte na CERT-UA cez oficiálne kontakty na cert.gov.ua. Ak ide o vydieranie, podvod alebo krádež peňazí, podajte aj oznámenie Kyberpolícii a informujte banku.

Neobnovujte cez infikovaný systémKópia môže byť použiteľná, ale kompromitovaný server ju môže znovu zašifrovať alebo odoslať útočníkovi nové heslá. Najprv treba odstrániť spôsob prieniku a pripraviť čisté prostredie.

Kontrolný zoznam vlastníka

  • Je určená zodpovedná osoba za server a aktuálny systémový pas.
  • Operačný systém a všetky komponenty dostupné z internetu sú podporované a aktualizované.
  • RDP nie je otvorené priamo pre celý internet.
  • VPN, RD Gateway, cloudové úložisko a ovládacie panely sú chránené MFA.
  • Každá osoba má vlastný účet; prepustení zamestnanci nemajú prístup.
  • Zamestnanci pracujú bez administrátorských práv.
  • Firewall je zapnutý a každý otvorený port má odôvodnenie.
  • Server, pokladnice, kancelárska technika a hosťovská Wi-Fi sú oddelené.
  • Antivírus pracuje v reálnom čase; neexistujú široké trvalé výnimky.
  • Na serveri sa nečíta pošta, nepoužívajú messengery a neinštalujú programy tretích strán.
  • Existuje aspoň jedna offline alebo nemenná záložná kópia.
  • Úplná obnova bola overená na samostatnom systéme a zdokumentovaná.
  • Udalosti prihlásení, zmeny práv a stav zálohovania sa kontrolujú.
  • Prístup dodávateľov je osobný, časovo obmedzený a zaznamenaný v denníku.
  • Plán reakcie je dostupný mimo servera a overený cvičným scenárom.