Když si firma koupí nový firewall, ředitel IT to klidně řekne na poradě vedení. Když nasadí EDR na všechny koncové stanice, pošle o tom zprávu. Když investuje do penetračního testu, má z toho prezentaci.
Ale když přijde insiderský incident – zaměstnanec, který odnesl databázi zákazníků na USB disku, nebo účetní, která třikrát v noci otevřela finanční záznamy aniž by k tomu měla důvod – o tom se nemluví. Interně se to „vyřeší". Tiše.
A přesně tato mlčenlivost je součástí problému.
Hrozba zevnitř: větší než si myslíte
83 % firem zaznamenalo v minulém roce alespoň jeden insiderský incident. Není to výsledek průzkumu zaměřeného na paranoidní CISO – jsou to data z Insider Threat Report 2024 od Cybersecurity Insiders, která pokrývají tisíce organizací napříč odvětvími.
Průměrná firma řeší 13,5 případů insiderského rizika ročně. Průměrné celkové roční náklady na insider incidenty dosáhly v roce 2025 podle Ponemon Institute 17,4 milionu dolarů (nárůst z 16,2 milionu v roce 2023) – přičemž samotné nedbalostní incidenty stojí organizaci průměrně 8,8 milionu ročně. A co je klíčové: 81 dní trvá průměrná detekce a uzavření incidentu.
Tři měsíce, kdy útočník – nebo neopatrný zaměstnanec – má přístup, který by mít neměl.
Ale dřív než zavoláme všechny kolegy ke stolu a začneme je podezírat ze špionáže, je důležité pochopit, o čem insider threat vlastně je.
Dvě skupiny, jeden problém
Terminologie „insider threat" evokuje obraz rozhořčeného zaměstnance, který stahuje firemní data před výpovědí. Nebo špiona, který prodává informace konkurenci. Takové případy existují – ale tvoří menšinu.
Ponemon Institute ve svém výzkumu z roku 2025 analyzoval 4 321 incidentů a rozdělil je do tří kategorií:
Neopatrný insider (55 % případů) – zaměstnanec, který nedělá nic záměrně špatného. Posílá soubor na osobní Gmail, „aby na něm mohl pracovat doma". Sdílí přihlašovací údaje s kolegou, který „to potřebuje urgentně". Klikne na phishing. Připojí firemní laptop k nezabezpečené Wi-Fi v kavárně. Ne nutně zlý záměr, ale reálné škody.
Kompromitovaný insider (20 % případů) – zaměstnanec, jehož přihlašovací údaje byly odcizeny externím útočníkem. Technicky to je insiderský incident, protože škodlivá aktivita probíhá pod jeho jménem a právy. Přesně takhle fungoval útok na Colonial Pipeline – útočníci se přihlásili jako zaměstnanec, systémy je nepovažovaly za hrozbu.
Záměrně škodlivý insider (25 % případů) – vědomé zneužití přístupu. Krádež dat, sabotáž, průmyslová špionáž. Finančně nejnákladnější kategorie: Ponemon uvádí průměrné náklady na maliciózní insiderský incident výrazně nad průměrem zbývajících dvou skupin.
Důsledek pro strategii: většina programů ochrany je nastavena tak, aby chytila kategorii třetí. Ta přitom zaujímá jen čtvrtinu.
Proč je to tak těžké odhalit
90 % bezpečnostních profesionálů říká, že insiderské hrozby jsou stejně nebo obtížněji detekovatelné než externí útoky. A není to přehnané.
Externí útočník přichází zvenku – firewall ho vidí, IDS/IPS ho může zachytit, jeho chování je anomální. Insider přichází s platným přihlášením, přes legitimní kanály, v pracovní dobu, z firemního zařízení. Dělá to, co dělá každý den – jen tentokrát jinak, nebo s jiným záměrem.
Vyhláška 409/2025 Sb. v příloze č. 3 explicitně jmenuje jako zranitelnost „nedostatečné monitorování činnosti uživatelů a administrátorů a neschopnost odhalit činnost, která může mít vliv na bezpečnost regulované služby" (bod 8). Není to akademická poznámka – je to přímé pojmenování toho, proč insiderské hrozby tolik firem přehlíží.
Zákon neumí vymáhat „dávejte si pozor na zaměstnance". Ale vyžaduje technické prostředky a procesy, které anomální chování zachytí – i když přichází zevnitř.
Co zákon vyžaduje: detekce, logy, přístupy
Zákon č. 264/2025 Sb. a vyhlášky 409 a 410/2025 nepíší explicitně o „insider threat programu". Ale celá architektura požadovaných opatření na insiderské riziko přímo cílí.
Zaznamenávání událostí (§22 vyhlášky 409/2025): Povinná osoba zaznamenává přihlašování a odhlašování ke všem účtům včetně neúspěšných pokusů, provádění privilegovaných činností, manipulace s účty a oprávněními, přístupy k záznamům událostí. A klíčová věta: „další činnosti uživatelů, které mohou mít vliv na bezpečnost regulované služby." Záznamy musí být uchovávány minimálně 18 měsíců.
To není jen technický požadavek. Je to základ toho, aby vůbec bylo možné insiderský incident zpětně rekonstruovat – kdy, kdo, k čemu, jak. Bez logů neexistuje forenzní analýza. Bez forenzní analýzy neexistuje zjištění příčiny. A bez zjištění příčiny se to opakuje.
Detekce chování (§21 vyhlášky 409/2025): Povinná osoba používá nástroj, který zajišťuje „detekci kybernetických bezpečnostních událostí na základě chování technických aktiv, administrátorů a uživatelů." Behaviorální detekce – UEBA (User and Entity Behavior Analytics) v moderní terminologii – je přesně ten nástroj, který dokáže identifikovat anomálie v chování legitimního uživatele.
Kontrola přístupových práv (§13 vyhlášky 409/2025, §7 vyhlášky 410/2025): Princip nejmenšího nutného přístupu. Pravidelné přezkoumání přístupových práv. Bezodkladné odebrání přístupů při ukončení pracovního poměru.
Tenhle poslední bod je přímá prevence jednoho z nejčastějších insiderských scénářů: odcházející zaměstnanec, který si stáhne data ještě než mu přístup odeberete. Nebo ex-zaměstnanec s aktivním přístupem tři měsíce po odchodu.
Tři scénáře, které se stávají v českých firmách
Abychom nezůstali u abstraktních čísel z amerických studií:
Scénář 1: Odcházející obchodní zástupce. Dva týdny před koncem výpovědní doby si stáhne kompletní CRM databázi zákazníků včetně kontaktů a obchodní historie. Jde ke konkurenci. Firma to zjistí za tři měsíce, když zákazníci hlásí, že je oslovuje nová firma s překvapivě přesnou znalostí jejich situace. Bez logů přístupů není co dokazovat.
Scénář 2: IT administrátor s přehnanými právy. Má administrátorský přístup ke všemu „kvůli efektivitě". Jednoho dne si zálohuje část firemní databáze na osobní cloudové úložiště – říká, že „pro případ potřeby". Záměr byl nevinný. Výsledek je únik dat třetí straně.
Scénář 3: Kompromitovaný účet finančního ředitele. Útočníci získají přihlašovací údaje CFO z phishingové kampaně. Po dobu tří týdnů sledují emaily, mapují interní procesy a připravují podvod na platbu. Firma neví nic – aktivita pochází z legitimního účtu, v pracovní době, z firemního zařízení.
Všechny tři scénáře jsou reálné. Všechny tři jsou preventabilní – kombinací technických opatření a procesů, které zákon vyžaduje.
Monitoring a firemní kultura: jak neudělat z firmy Velkého Bratra
A tady přichází ta citlivá část, která se v článcích o insider threat málokdy otevřeně řeší.
Behaviorální monitoring zaměstnanců je právně i eticky citlivé téma. Zákoník práce i GDPR omezují, jak daleko může jít sledování pracovní aktivity. Zaměstnanci mají právo vědět, co se monitoruje. Monitoring nesmí zasahovat do soukromí mimo pracovní záležitosti.
Zároveň zákon o kybernetické bezpečnosti vyžaduje detekci anomálního chování uživatelů.
Jak to sladit?
Transparentnost je základ. Politika bezpečného chování uživatelů, kterou vyžaduje §5 vyhlášky 410/2025 a §10 vyhlášky 409/2025, by měla jasně říkat, co se loguje a proč. Zaměstnanec, který ví, že přístupy k citlivým datům se zaznamenávají, má menší tendenci jednat neopatrně nebo zlomyslně – a zároveň je chráněn v případě, že je sám kompromitován.
Monitoring není o nedůvěře k lidem. Je o viditelnosti v prostředí, kde se škody jinak stávají neviditelně.
Psychologie hraje roli: organizace procházející propouštěním nebo výraznou restrukturalizací mají 3,2× více insiderských incidentů. Finanční stres je motivujícím faktorem v 38 % záměrných insiderských případů. Tohle jsou signály, na které bezpečnostní manažer musí být citlivý – ne proto, aby všechny ve stresu okamžitě odřízl od systémů, ale aby věnoval víc pozornosti anomáliím v rizikových obdobích.
Praktické kroky pro bezpečnostního manažera
Audit přístupových práv – hned. Kdo má přístup k čemu? Odpovídá to jejich aktuální pracovní náplni? Zákon vyžaduje pravidelné přezkoumání. Mnoho firem ho dělá jednou ročně v nejlepším případě. Přitom role se mění, lidi odcházejí, projekty končí – a přístupy zůstávají.
Offboarding jako bezpečnostní proces. Kdy přesně se u vás odebírají přístupy při odchodu zaměstnance? Zákon říká bezodkladně. Praxe v mnoha firmách říká „IT to udělá, až bude čas". Napište na to jasný proces napojený na HR.
Logy a jejich uchování. Zaznamenáváte přihlašování, privilegované operace, přístupy k citlivým datům? Ukládáte záznamy aspoň 18 měsíců (§22 odst. 5 vyhlášky 409/2025 pro vyšší režim)? Bez toho nemáte co vyšetřovat, pokud k incidentu dojde.
Princip nejmenšího oprávnění. Každý uživatel dostane jen ta práva, která potřebuje pro svou práci. Administrátorský přístup k produkčním systémům je výjimka, ne standard. Přístupy se přidělují pro konkrétní účel na konkrétní dobu.
Politika bezpečného chování. Zákon ji explicitně vyžaduje (§5 vyhlášky 410/2025). Musí obsahovat pravidla pro uživatele včetně toho, co je a není přijatelné při práci s firemními daty, zařízeními a přístupy. Zaměstnanci musí být s politikou prokazatelně seznámeni.
Proč se o tom nemluví – a proč by se mělo
Insiderské incidenty se skrývají ze dvou důvodů: reputační obavy a pocit selhání. Firma, která připustí, že vlastní zaměstnanec způsobil datový únik, čelí otázkám o firemní kultuře, HR procesech a úrovni bezpečnosti.
Jenže mlčení problém neřeší. Řeší ho viditelnost, procesy a kultura, kde nahlášení bezpečnostního problému není trest, ale zodpovědnost.
Zákon č. 264/2025 Sb. v §10 vyhlášky 410/2025 a §11 vyhlášky 409/2025 vyžaduje, aby zaměstnanci, administrátoři a osoby pověřené kybernetickou bezpečností hlásili neobvyklé chování systémů a podezření na zranitelnosti. To nefunguje v organizaci, kde nahlásit problém znamená dostat “pár facek”.
Insider threat program není o paranoie. Je o tom vytvořit prostředí, kde se neopatrné chování neopakuje, záměrné je odhaleno rychle a kompromitované účty jsou zachyceny dřív než způsobí škodu.
Chcete zjistit, jak vaše firma stojí v oblasti řízení přístupů, logování a detekce anomálního chování podle nové legislativy? Vyzkoušejte demo Kraita Cyber One nebo se domluvte na nezávazné konzultaci.
Zdroje: Ponemon Institute Cost of Insider Risks Global Report 2025 (4 321 incidentů), Cybersecurity Insiders Insider Threat Report 2024, Cybersecurity Insiders Insider Risk Report 2025 (Fortinet), Verizon DBIR 2025, Syteca.com – Insider Threat Statistics 2025, zákon č. 264/2025 Sb., vyhláška 409/2025 Sb. §10, §13, §21, §22 a příloha č. 3, vyhláška 410/2025 Sb. §5, §7, §10