logo-ict-w.svg

Menu

en
cs

+420 225 103 222

Chybějící řízení přístupových práv

29. 08. 2025

Chybějící řízení přístupových práv – často přehlížená hrozba v kybernetickém zabezpečení

Zatímco většina firem dnes řeší antiviry, firewally nebo zálohování, často zcela přehlíží jedno z nejzávažnějších slabých míst v kybernetickém zabezpečení – přístupová práva zaměstnanců.

1. Proč je řízení přístupů tak důležité?

Každý uživatel ve firemním IT systému má určitý soubor oprávnění – tedy k čemu má přístup, co může měnit nebo mazat, do jakých systémů může nahlížet. Pokud nejsou tato oprávnění řízena, dochází ke dvěma zásadním problémům:

  • Zaměstnanci mají přístup ke službám a datům, která pro svou práci nepotřebují.

  • Po odchodu zaměstnanců nejsou jejich účty a oprávnění správně zrušena či omezena.

Výsledek? Útočník se může dostat dál, než by měl. A v některých případech dokonce může zneužít neaktivní, ale stále funkční účet bývalého zaměstnance.

2. Konkrétní příklady z praxe

  • Ve firmě zůstalo aktivních více než 80 uživatelských účtů zaměstnanců, kteří už měsíce nepracovali ve firmě.

  • IT administrátor měl přístup do systémů účetnictví, HR i vývojových serverů – bez jakéhokoliv důvodu.

  • Nově přijatý zaměstnanec dostal omylem oprávnění manažera – včetně přístupu k důvěrným obchodním datům.

Podobné chyby nejsou výjimkou – jsou běžné.

3. Jak řídit přístupová práva správně?

Princip nejnižších oprávnění (Least Privilege)
Každý zaměstnanec by měl mít přístup pouze k těm systémům a datům, která skutečně potřebuje pro svou práci – nic navíc.

Pravidelné revize přístupů
Jednou za čtvrtletí (nebo při personálních změnách) by měl IT tým provést kontrolu: kdo má přístup kam, proč a zda to ještě odpovídá realitě.

Okamžité zablokování přístupu po odchodu zaměstnance
Při ukončení pracovního poměru musí být účet zaměstnance ihned deaktivován, včetně mobilních zařízení, e-mailu, VPN, cloudu, apod.

Audit a dohled
Mějte přehled o tom, kdo co dělá – kdo stahuje citlivá data, kdo se přihlašuje mimo běžnou pracovní dobu, apod.

4. Co přináší legislativa?

S příchodem NIS2 a nového kybernetického zákona se důraz na řízení přístupových práv výrazně zvyšuje. Firmy, které budou spadat pod povinné subjekty, budou muset prokázat, že přístupová oprávnění řídí, dokumentují a pravidelně kontrolují.

Závěr

V dnešní době už nestačí „mít všechno zaheslované“.
Efektivní kybernetická bezpečnost začíná v lidech, procesech a přístupech – a právě přístupová práva hrají v obraně před útoky klíčovou roli.

Pokud si nejste jisti, jak je na tom vaše firma – udělejte audit přístupů. Čím dřív, tím lépe.

Chcete vědět, jak nastavit správnou správu oprávnění nebo hledáte způsob, jak ji zautomatizovat?
Ozvěte se – rádi pomůžeme s bezpečnostní analýzou a návrhem řešení.

Zpět na výpis blogu

Mohlo by vás zajímat

Chybějící řízení přístupových práv

29. 08. 2025

Celý článek

Co se stalo za uplynulý týden v kyberprostoru

19. 08. 2025

Celý článek

Žádné školení zaměstnanců největší slabina kybernetické bezpečnosti firem

19. 08. 2025

Celý článek