Šifrování firemních dat už dávno není doménou bank, vojska ani velkých korporací. Pro malou firmu v Praze, která zpracovává osobní údaje klientů, smlouvy nebo přístupy k internetovému bankovnictví, je správně nasazené šifrování stejně nutné jako antivirus nebo zálohování. V tomto průvodci se dozvíte, kdy šifrovat, co konkrétně použít (BitLocker, VeraCrypt, šifrování v cloudu i v e‑mailu) a jak v malé firmě nastavit systém, který obstojí před GDPR i ve chvíli, kdy zaměstnanci zmizí notebook na nádraží.

Co je šifrování dat a proč ho potřebuje i malá firma

Šifrování je proces, který pomocí matematického algoritmu převede čitelná data na nečitelný šifrový text. Bez správného klíče se k původní informaci nikdo nedostane – ani někdo, kdo fyzicky drží disk, USB klíč nebo zachycený síťový provoz. V kontextu firmy znamená šifrování dvě věci současně: ochranu před krádeží i průkaz, že jste se k ochraně dat postavili odpovědně před zákonem.

Mnoho jednatelů malých firem si myslí, že šifrování řeší jen banky. Realita je jiná: účetní s 12 GB klientských dokumentů na notebooku, marketing s exportem zákaznické databáze v Excelu nebo právník s konceptem soudního podání mají stejně citlivá data jako velká korporace. A pokud jim notebook ukradnou z auta, rozdíl mezi zašifrovaným a nezašifrovaným diskem dělá ten skutečný rozdíl mezi „nepříjemností” a „povinným hlášením úniku na ÚOOÚ”.

Podle dat Evropské agentury pro kybernetickou bezpečnost (ENISA) patří krádež nebo ztráta nešifrovaných zařízení mezi pět nejčastějších scénářů úniku dat v evropských malých a středních firmách. A na rozdíl od ransomwaru nebo cílených útoků jde o riziko, které se dá technicky odstranit během jednoho odpoledne.

Tři vrstvy šifrování, které ve firmě potřebujete

Šifrování není jedna konkrétní technologie, ale ucelený přístup, který chrání data ve třech různých stavech. Ve firmě byste je měli mít pokryté všechny – jinak ochrana selže právě tam, kde to nejmíň čekáte.

1. Data v klidu (data at rest)

Jsou to data uložená na discích notebooků, serverů, NAS úložišť, USB klíčů nebo v zálohách. Ochrana se řeší šifrováním celého disku (BitLocker, FileVault, LUKS) nebo šifrováním konkrétních složek a kontejnerů (VeraCrypt, Cryptomator).

2. Data v přenosu (data in transit)

Sem patří všechno, co putuje mezi zařízeními – e‑mail, vzdálené připojení do firmy, sdílení souborů přes cloud, internetové bankovnictví. Standardem je TLS 1.2/1.3 pro web a e‑mail, IPsec nebo WireGuard pro firemní VPN a S/MIME nebo PGP pro koncové šifrování e‑mailové komunikace.

3. Data při zpracování (data in use)

Nejnovější vrstva, která se týká dat aktivně používaných v paměti aplikace. Pro malou firmu obvykle stačí, když má kvalitně pokryté první dvě vrstvy a pravidelně aktualizuje operační systémy – pokročilé technologie typu Confidential Computing jsou zatím doménou velkých cloudových platforem.

BitLocker – šifrování disků ve Windows pro malou firmu

BitLocker je nativní šifrovací technologie Microsoftu zabudovaná do Windows 11 Pro, Enterprise a Education. Pro malou firmu, která provozuje běžné kancelářské notebooky, jde o nejjednodušší a zároveň nejúčinnější způsob, jak chránit data v klidu.

BitLocker šifruje celý systémový disk symetrickou šifrou AES‑128 nebo AES‑256 a klíče ukládá do TPM čipu na základní desce. Když notebook nastartuje, TPM klíč uvolní jen v případě, že systém nebyl manipulován – a po přihlášení uživatele se disk transparentně dešifruje. Pro útočníka, který má v ruce vypnutý notebook, je obsah disku bez znalosti recovery klíče nedostupný.

V praxi doporučujeme BitLocker zapínat centrálně přes Microsoft Intune nebo Group Policy. Recovery klíče se ukládají do Azure AD / Entra ID, odkud je administrátor obnoví, když uživatel zapomene PIN nebo se rozbije TPM čip. Bez centrální správy klíčů je BitLocker časovaná bomba – jeden ztracený klíč znamená navždy ztracená data.

VeraCrypt – open‑source alternativa pro maximální bezpečnost

Pokud potřebujete šifrování pro nestandardní scénáře – externí disky, společné USB klíče, počítače s Windows Home, Linux nebo macOS – sáhněte po VeraCryptu. Tento open‑source nástroj umí vytvořit šifrované kontejnery (virtuální zašifrované disky) i šifrovat celé oddíly. Algoritmy AES, Serpent, Twofish nebo jejich kombinace dělají VeraCrypt jedním z nejlépe prověřených šifrovacích nástrojů na trhu.

Pro malou firmu má VeraCrypt tři typické scénáře použití. Prvním je šifrovaný kontejner na sdíleném NAS – jeden soubor velký třeba 100 GB, který se po zadání hesla připojí jako virtuální disk. Druhým je šifrování externích disků s firemními zálohami, které putují mezi kanceláří a domovem jednatele. Třetím je „cestovní” USB klíč s citlivými dokumenty, který přežije pád z kapsy v hospodě.

Nevýhodou VeraCryptu je decentralizovaná správa klíčů. Hesla si firma musí evidovat v profesionálním správci hesel a jasně určit, kdo má ke kterému kontejneru přístup. Bez procesu se z VeraCryptu stane chaos – a šifrování je k ničemu, pokud klíč zná jenom kolega, který zrovna onemocněl.

Šifrování v cloudu – Microsoft 365 a Google Workspace

Pokud používáte cloudové služby jako Microsoft 365 nebo Google Workspace, šifrování dat v klidu i v přenosu mají poskytovatelé řešené z principu – ukládají vaše data na svých serverech v zašifrované podobě a TLS chrání komunikaci mezi prohlížečem a cloudem. Otázka pro vás zní spíš: kdo má klíč?

Ve standardní konfiguraci klíče drží poskytovatel cloudu. Pro běžnou kancelářskou agendu to stačí. Pokud ale pracujete s vysoce citlivými daty (zdravotnické záznamy, právní podklady, finanční data), zvažte tzv. customer‑managed keys – v Microsoft 365 jde o funkci Double Key Encryption (DKE) nebo Customer Key, v Google Workspace o Client‑side Encryption (CSE). U malých firem se k těmto funkcím dostaneme zřídka, ale je dobré vědět, že existují.

Druhým důležitým tématem v cloudu je šifrování e‑mailových zpráv s citlivým obsahem. Microsoft 365 nabízí Microsoft Purview Message Encryption, který umožňuje odeslat e‑mail s tlačítkem „Číst zprávu” – příjemce se ověří a teprve potom uvidí obsah. Pro firmy s pravidelnou komunikací s klienty banky, pojišťovny nebo státní správou jde o praktický kompromis mezi bezpečností a uživatelskou zkušeností.

Šifrování e‑mailové komunikace – S/MIME a PGP

Standardní e‑mail šifrovaný TLS funguje jen mezi servery. Sami servery však zprávu ukládají v čitelné podobě – takže poskytovatel cloudu, jeho administrátor i případný útočník s přístupem k poštovní schránce zprávu přečte. Pro skutečně koncovou ochranu (end‑to‑end) potřebujete S/MIME nebo OpenPGP.

S/MIME pracuje s certifikáty od důvěryhodných autorit a je nativně podporován v Outlooku, Apple Mailu i mobilních klientech. Pro firmu je výhodné to, že certifikát lze propojit s firemní doménou a klienti i kolegové si zprávu nemusí instalovat zvláštními pluginy. Cena S/MIME certifikátu se pohybuje od 600 do 2 500 Kč na rok podle ověření identity.

OpenPGP funguje na principu sítě důvěry – každý si generuje vlastní klíčový pár a klíče si přátelé navzájem podepisují. V praxi se v korporátním prostředí používá méně, ale pro komunikaci s technicky zdatnými partnery (například novináři, právníci specializovaní na bezpečnost) má pořád své místo. Nástroje typu Mailvelope umí PGP integrovat přímo do Gmailu nebo Outlooku.

Správa šifrovacích klíčů ve firmě

Šifrování je jenom tak silné, jak silná je správa klíčů. V malé firmě se nejčastěji setkáváme se třemi typy klíčů: šifrovací klíče disků (BitLocker recovery key), hesla k VeraCrypt kontejnerům a privátní klíče S/MIME certifikátů. Pro každý typ potřebujete jasně určit, kdo klíč drží, kam se ukládá a co se s ním stane v případě výpadku administrátora.

Univerzální doporučení vypadá takto. BitLocker klíče centralizujte do Microsoft Entra ID nebo do bezpečného trezoru (HashiCorp Vault, Azure Key Vault). Hesla k VeraCrypt kontejnerům ukládejte do firemního správce hesel (1Password Business, Bitwarden Business, Keeper) se sdílením podle role. Privátní klíče S/MIME certifikátů zálohujte na šifrované offline médium uložené v trezoru – ne na ploše počítače jednatele.

Klíčové je také pravidelně testovat postup obnovy. Šifrovaná data, ke kterým se nikdo nedostane, jsou stejně ztracená jako šifrovaná data, ke kterým se dostane útočník. Doporučujeme jednou za půl roku zkoušet, jestli administrátor opravdu dokáže z trezoru vytáhnout BitLocker klíč a obnovit přístup k disku.

Šifrování a GDPR – co konkrétně vyžaduje zákon

GDPR šifrování přímo nepřikazuje, ale uvádí ho jako příklad „přiměřeného technického opatření” pro ochranu osobních údajů (článek 32). V praxi to znamená dvě věci. Za prvé: pokud vaše firma zpracovává osobní údaje na mobilních zařízeních (notebooky, telefony, USB klíče), úřad očekává, že jsou tato zařízení šifrovaná. Bez šifrování budete těžko obhajovat „přiměřenost” opatření.

Za druhé: v případě úniku máte podle čl. 33 GDPR povinnost hlásit incident ÚOOÚ do 72 hodin – pokud ale prokážete, že data byla zašifrovaná a útočník se ke klíči nedostal, můžete tuto povinnost vyloučit. Šifrování tedy funguje nejen jako prevence, ale i jako „výjimka z hlášení”, která vás ušetří pokuty i reputační škody.

Detaily k tématu shrnuje GDPR a IT bezpečnost pro malou firmu. Firmy spadající pod NIS2 (kritická a vysoce důležitá odvětví, typicky e‑shopy nad 50 zaměstnanců, zdravotnická zařízení nebo poskytovatelé digitálních služeb) mají povinnost zařadit šifrování přímo do svého systému řízení informační bezpečnosti, včetně dokumentace a auditního trailu.

Praktický postup zavedení šifrování v malé firmě

Pokud začínáte od nuly, doporučujeme následující šestikrokový postup. Reálně ho zvládnete za 2–4 týdny i bez vlastního IT oddělení – stačí jeden disciplinovaný projekt a externí IT partner, který drží proces na uzdě.

1. Inventarizace dat a zařízení. Vypište, kde jsou citlivá data (notebooky, mobily, NAS, cloud, USB). Bez tohoto kroku šifrujete naslepo.
2. Klasifikace citlivosti. Rozdělte data do tří kategorií – běžná, citlivá, vysoce citlivá. Šifrování nasaďte podle úrovně rizika.
3. Nasazení BitLocker / FileVault. Všechny firemní notebooky šifrujte celodiskem, klíče centralizujte do Entra ID nebo trezoru.
4. Šifrované úložiště pro citlivé dokumenty. VeraCrypt kontejner na NAS nebo dedikovaná šifrovaná složka v cloudu pro účetní, právní a HR dokumenty.
5. Šifrování e‑mailové komunikace. S/MIME certifikát pro jednatele a klíčové role, případně Microsoft Purview pro běžnou agendu.
6. Procesy a školení. Sepište politiku šifrování, proškolte tým, testujte obnovu klíčů. Bez procesu se vám šifrování za půl roku rozpadne.

Pro firmu s 10–20 zaměstnanci se kompletní zavedení šifrování (BitLocker, VeraCrypt na NAS, S/MIME pro jednatele, správce hesel, dokumentace) pohybuje v rozmezí 20 000–60 000 Kč jednorázově plus 100–300 Kč/zaměstnance/měsíc za licence a centrální správu. To jsou náklady, které vrátí jediný neproběhnutý únik dat – a hlavně klidnější spánek jednatele.

Pět nejčastějších chyb při šifrování ve firmě

Z naší praxe pražské IT firmy vidíme pět chyb, které malé firmy v šifrování dělají téměř bez výjimky. Vyhněte se jim a budete o krok napřed.

• Šifrování bez správy klíčů. BitLocker zapnutý ručně na každém notebooku, recovery klíče napsané na papírku v šuplíku jednatele. Při výpadku jednatele se data nikdy nedostanete.
• Šifrování jen části flotily. Notebook jednatele zašifrovaný, notebook účetní ne. Útočník si pochopitelně vybere tu slabší cestu.
• Žádné šifrování záloh. Skvěle nastavená záloha 3‑2‑1 na nešifrovaný externí disk u jednatele doma. Pravidlo zálohování 3‑2‑1 bez šifrování není kompletní strategie.
• Slabá hesla a vypnuté MFA. Šifrovaný disk s heslem „heslo123″ je k smíchu. Šifrovací klíče musí chránit silná hesla a víceúrovňové ověřování. Více v článku o dvoufaktorovém ověření.
• Žádné testování obnovy. Po roce nikdo neví, kde recovery klíč je. Pravidelný drill je nutnost, ne luxus.

Často kladené otázky o šifrování firemních dat

Musí malá firma šifrovat data podle GDPR?

GDPR šifrování přímo nepřikazuje, ale uvádí ho jako příklad přiměřeného technického opatření. V praxi to znamená, že pokud zpracováváte osobní údaje na mobilních zařízeních, ÚOOÚ očekává šifrování. V případě úniku zašifrovaných dat navíc nemusíte incident hlásit – pokud prokážete, že se útočník ke klíči nedostal.

Zpomaluje šifrování počítač?

Na moderním hardware s SSD diskem a procesorem podporujícím AES‑NI je rozdíl mezi zašifrovaným a nezašifrovaným diskem v běžné práci neměřitelný. Zpomalení uvidíte jen při masivním kopírování velkých souborů – v rámci jednotek procent.

Co se stane, když ztratím šifrovací klíč?

U BitLockeru a FileVaultu obnovíte přístup pomocí recovery klíče, který by měl být centrálně uložen v Entra ID nebo bezpečném trezoru. U VeraCryptu a S/MIME bez klíče dat nikdy nedostanete – proto je správa klíčů kritická. Bez procesu zálohování klíčů nejen riskujete data, ale i provozní kontinuitu firmy.

Kolik šifrování firmy stojí?

Základní BitLocker je součástí Windows 11 Pro – takže pokud máte správné licence, je zdarma. VeraCrypt je open‑source a také zdarma. Reálné náklady tvoří správa klíčů (Entra ID, Vault), správce hesel (od 100 Kč/uživatel/měsíc) a S/MIME certifikáty (600–2 500 Kč/rok/uživatel). Pro firmu s 10 uživateli typicky 1 500–4 000 Kč/měsíc.

Mám šifrovat i zálohy?

Rozhodně ano. Zálohy obsahují kompletní obraz vašich dat – nešifrovaná záloha na externím disku je stejný (a často horší) problém jako ukradený notebook. Šifrujte je nativními nástroji zálohovacího softwaru, nebo ukládejte na šifrované médium.

Jaký je rozdíl mezi šifrováním a hashováním?

Šifrování je vratná operace – ze šifrovaného textu se klíčem dostanete zpět k originálu. Hashování je jednosměrná funkce – z hashe se k původním datům nedostanete. Hashování se používá pro ukládání hesel a kontrolu integrity souborů, šifrování pro ochranu obsahu, který chcete později číst.

Závěr: šifrování je nejlevnější pojistka, kterou si můžete koupit

Šifrování firemních dat patří mezi nejjednodušší a zároveň nejpodceňovanější bezpečnostní opatření. Většinu základních scénářů – šifrování notebooků, externích disků, citlivé pošty – dokážete zavést bez nákupu drahých produktů, jen s nativními nástroji Windows nebo macOS a s trochou disciplíny v procesech. Návratnost je přitom nesouměřitelná: jediný šifrovaný notebook ušetří firmě hlášení úniku, pokutu i ztrátu důvěry klientů.

Vnímejte šifrování jako vrstvu, ne jako jednotlivou aplikaci. Ve firmě potřebujete chránit data v klidu (disky a zálohy), v přenosu (VPN, e‑mail, web) i v cloudu. Když k tomu přidáte funkční správu klíčů a pravidelné školení, dostanete se na úroveň, kterou by velká korporace platila šestimístnou částku za audit. A přitom jste malá firma z Prahy 9.

Chcete šifrování ve své firmě nasadit, ale nevíte, kde začít? Domluvte si bezplatný IT audit nebo zavolejte na 228 222 752. Projdeme s vámi všechna zařízení, identifikujeme citlivá data a navrhneme plán šifrování na míru vaší firmě a rozpočtu. Více o tom, co všechno řešíme pro klienty, najdete na stránce správa firemního IT.