Řízení přístupů: jak nastavit pravidla, která lidi neotravují a útočníkům zavřou dveře

Úvod: Přístupy jsou jako firemní klíčenka

Představte si, že všichni ve firmě mají stejný klíč od všech dveří – i ti, kteří už u vás dávno nepracují. Přesně tak vypadá špatně nastavené řízení přístupů. Naštěstí lze takovou věc vyřešit poměrně jednoduše. Stačí pár jasných pravidel a trocha automatizace.

Základní otázky: KDO smí KAM, NA JAK DLOUHO a ZA JAKÝCH PODMÍNEK. Všechno ostatní je jen způsob, jak to udělat.

Co opravdu funguje

• Minimum práv jako výchozí stav. Dejte lidem jen to, co potřebují k práci. Když se role změní, práva se upraví – ideálně automaticky.
  
  
• Druhé potvrzení pro citlivé věci. Přihlášení do e‑mailu, VPN nebo cloudu podepřete druhým krokem (aplikace v mobilu, bezpečnostní klíč). Říká se tomu MFA – a je to nejvíc “muziky za málo peněz”.
  
  
• Práva na čas, ne napořád. Admin přístup jen na zásah a na hodinu. Pak se sám vypne. Tomu se říká just‑in‑time.
  
  
• Role místo výjimek. Vytvořte pár srozumitelných rolí (např. Účetní, Obchod, Admin ERP). Přístup se dává rolemi, ne „na jméno“.
  
  
• Odchod zaměstnance = zavřené dveře do 2 hodin. Offboarding má být klik, ne detektivka. Propojte HR → IT, ať se práva zavírají automaticky.

Mini‑glosář:

• MFA = druhé potvrzení (aplikace v mobilu / bezpečnostní klíč).
  
  
• RBAC/ABAC = přístup podle rolí / atributů.
  
  
• JIT = práva na čas (dočasné zvýšení oprávnění).
  
  
• PAM = trezor hesel a klíčů pro privilegované účty.

Čtyři minipříběhy (co se stává a jak to řešit)

1) „Zamčené vchodové dveře, ale otevřené v serverovně.“
Externista z minulého projektu má stále VPN. Stačí jedno zapomenuté konto a máte problém. Řešení: kvartální kontrola přístupů vlastníky aplikací + automat na rušení přístupů po 90 dnech neaktivity.

Co nastavit hned teď: Automaticky pozastavit účty po 90 dnech neaktivity a posílat měsíční report účtů s přístupem na VPN.

2) „Admin pořád a všude.“
Technik si nechává trvalý admin účet „pro jistotu“. Řešení: trezor hesel a klíčů (PAM) + dočasné admin právo na žádost a časový limit.

Co nastavit hned teď: Zavést dočasná admin práva (JIT) na max. 60 minut se schválením; rotovat hesla a auditovat výpůjčky v PAM.

3) „Sdílené heslo k e‑mailu info@…“
Všichni ho znají, nikdo za něj neodpovídá. Řešení: přesměrovat na sdílenou schránku se jmenným přístupem a logováním, zrušit společné heslo.

Co nastavit hned teď: Převést na sdílenou schránku se jmennými přístupy; vypnout sdílení hesla; zapnout logování a nastavit maximální délku sezení.

4) „Dodavatel s přístupem.“
Guest účet v cloudu má stále práva ke sdílenému disku, i když projekt skončil. Řešení: oddělené role pro dodavatele, časově omezené přístupy, povinné MFA a pravidelné access review vlastníkem.

Co nastavit hned teď: Automaticky nechat expirovat neaktivní guest účty po 30 dnech; povolit jen vybrané aplikace; sdílet data přes vyhrazený prostor s auditním logem.

Rychlá vítězství do 30 dnů (bez velkých projektů)

• Zapněte MFA pro e‑mail, VPN a cloud. Začněte u administrátorů, pokračujte všemi. — Vlastník: IT/IdP (Security). KPI: pokrytí MFA ≥ 80 % do 30 dní; u kritických účtů 100 %.
  
  
• Zastavte trvalé adminy. Zaveďte dočasné zvýšení práv přes schválení a časový limit. — Vlastník: IT/SecOps. KPI: počet trvalých adminů = 0; dočasná práva max. 60 minut.
  
  
• Vyčistěte staré a neaktivní účty. Všechno, co 90+ dní nikdo nepoužil, pozastavte. — Vlastník: IT/IAM + HR. KPI: neaktivní účty < 1 %; zrušení přístupů po odchodu < 2 h (kritické účty).
  
  
• Zaveďte jednoduché role. Stačí 10–20 rolí, které pokryjí 80 % potřeb. Zbytek řešte výjimkou na čas. — Vlastník: IT/IAM + vlastníci aplikací. KPI: ≥ 80 % uživatelů přiřazeno přes role; výjimky ≤ 10 %.
  
  
• Zmapujte kritické účty (admini, služební účty, dodavatelé). Seznam uložte a udržujte. — Vlastník: IT/IAM. KPI: 100 % těchto účtů má vlastníka a popis účelu; evidence auditována.
  
  

Jak si nastavit „tok přístupů“

Jednoduché schéma: 

Žádost → Schválení → Nastavení → Potvrzení → Revize → Zrušení

• Žádost: člověk si vybere roli (ne konkrétní práva) a důvod.
  
  
• Schválení: vlastník systému schválí, IT zkontroluje střet rolí.
  
  
• Nastavení: systém práva přidělí a zapne MFA.
  
  
• Potvrzení: uživatel ověří, že vše funguje; správce aplikace provede rychlý vzorek kontroly.
  
  
• Revize: 1× za kvartál si vlastníci projdou seznam pravomocí a nepotřebné smažou.
  
  
• Zrušení: při odchodu se vše zavírá do 2 hodin – účty, licence, přístupy dodavatelů.
  
  

Tip: Držte celý proces v jednom nástroji (HRIS/ITSM/IAM), aby auditní stopa nevznikala roztříštěně po e‑mailech.

Nejčastější pasti (a jak z nich ven)

• „MFA je otrava.“ Moderní metody (mobilní potvrzení, biometrie, fyzický klíč) jsou rychlejší než SMS kód a lidé si je oblíbí.
  
  
• „Role jsou složité.“ Vytvořte je po týmech a aplikacích, ne po funkcích. Začněte málem, laďte podle praxe.
  
  
• „Service accounts“ bez majitele. Každý služební účet musí mít vlastníka, účel a rotované tajemství. (heslo/klíč/token služebního účtu, který se pravidelně a automaticky mění (rotuje). Když se staré tajemství někde prozradí, má krátkou platnost a škody jsou minimální.
  
  
• „Shared mailbox“ jako odpadkový koš. Nahraďte jej jmennými přístupy a pravidly.
  
  

Mini‑kontrolní list (zkontrolujte během 15 minut)

• MFA na e‑mail/VPN/cloudu pro všechny?
  
  
• Kolik máme trvalých adminů (cílit na 0)?
  
  
• Kdo vlastní služební účty a kdy se jim měnilo heslo/klíč?
  
  
• Jak rychle rušíme přístupy po odchodu (cíl < 2 hod u kritických)?
  
  
• Kdy byl poslední kvartální access review?
  
  

Pokud řešíte i regulaci

Nový zákon o kybernetické bezpečnosti (účinnost 1. 11. 2025) vyžaduje jasná pravidla přístupů, silné ověřování u citlivých systémů a pravidelné revize i evidenci změn. Praktické návody najdete v metodických materiálech NÚKIB k novému zákonu a prováděcím vyhláškám (aktualizace 06/2025) – viz NÚKIB: podpůrné materiály k novému zákonu. Pro mapování kontrol doporučujeme ISO/IEC 27002:2022, zejména oblast A.5.15–A.5.19 (Access Control) – viz ISO/IEC 27002:2022 – oficiální stránka ISO.

Co audit obvykle kontroluje: logy změn oprávnění (kdo, kdy, co změnil), záznamy periodických revizí přístupů a jejich výsledky, rychlost offboardingu (např. do 2 h u kritických účtů a do 24 h u ostatních), existence a dodržování schvalování žádostí o přístup.

Shrnutí do jedné věty

Zpřísněte kdo–kam–na jak dlouho, zapněte MFA, zaveďte role a dočasné administrátorské přístupy, propojte řízení přístupů s HR a jednou za čtvrt roku proveďte čistku – a dveře do vaší firmy zůstanou zavřené těm, kteří tam nepatří.

Doporučené zdroje

• NÚKIB – Podpůrné materiály k novému zákonu o kybernetické bezpečnosti
  
  
• ISO/IEC 27002:2022 – A.5.15–A.5.19 Access Control (oficiální stránka ISO)
  
  
• ENISA – Good Practices for Identity & Access Management
  
  
• CIS Controls v8 – Control 5 ( Management), Control 6 ( Management)

‍