Blog
Zero Trust pro střední firmy: Není to jen pro korporace

Zero Trust pro střední firmy: Není to jen pro korporace

David Matínek
9. břena 2026
9 min čtení

V lednu 2024 hacklo Rusko systémy Microsoftu. Ne přes sofistikovaný zero-day exploit. Ne přes prolomení šifrování. Útočníci ze skupiny Midnight Blizzard se dostali dovnitř přes testovací účet bez MFA, který nikdo roky neřešil, protože „to je jen testovací prostředí". Pak se pohybovali sítí týdny a četli emaily vrcholového managementu i zdrojové kódy produktů.

Microsoft. Firma, která prodává bezpečnostní produkty. Stalo se jim to, protože jeden účet operoval mimo jejich bezpečnostní model.

Tohle je přesně ten problém, který Zero Trust řeší. A ne, nemusíte být Microsoft, abyste ho implementovali. Ani nemusíte mít jeho rozpočet.

Co Zero Trust vlastně říká?

Zapomeňte na složité diagramy. Základní princip je jeden: nikdy nevěřit, vždy ověřovat.

Tradiční bezpečnostní model fungoval jako středověký hrad: pevné hradby, příkop, brána se strážemi. Kdo prošel branou, mohl se pohybovat libovolně po celém hradě. Jakmile se útočník dostal dovnitř – ať už přes phishing, ukradené heslo nebo kompromitovaného dodavatele – měl volné ruce.

Zero Trust říká: každý přístup ke každému zdroji musíte ověřit znovu a znovu. Zaměstnanec, který se přihlásí z kanceláře ráno v 8, není automaticky důvěryhodný, když se v 11 pokusí přistoupit k finančním datům. Systém se zeptá: je tohle normální pro tuto osobu, z tohoto zařízení, v tuto dobu, z tohoto místa?

Zero Trust a zákon: není to jen módní slovo

Pokud vaše firma spadá pod zákon o kybernetické bezpečnosti č. 264/2025 Sb., Zero Trust pro vás přestává být volitelnou filozofií. Vyhlášky 409/2025 Sb. (vyšší režim) a 410/2025 Sb. (nižší režim) přímo zmiňují „kontinuální autentizaci založenou na modelu nulové důvěry" jako legitimní alternativu k vícefaktorové autentizaci.

Jinými slovy: zákonodárce počítal s tím, že Zero Trust přijde. A pokud ho implementujete správně, splní více zákonných požadavků najednou:

  • § 13 vyhlášky 409/2025 Sb. – řízení přístupu: přístupová práva „na úroveň nezbytně nutnou k výkonu práce" (to je přesně princip nejmenšího oprávnění)
  • § 18 vyhlášky 409/2025 Sb. – bezpečnost komunikačních sítí: povinná segmentace, řízení vzdáleného přístupu, opětovné ověření identity
  • § 19 vyhlášky 409/2025 Sb. – správa identit: MFA nebo kontinuální autentizace na modelu nulové důvěry

Jedna architektura, tři paragrafy. Efektivní.

Proč Zero Trust přestává být jen pro enterprise?

Historicky měly firmy dvě výhrady: je to drahé a složité. Obě jsou v roce 2026 překonané.

Nákladový argument: IBM Cost of a Data Breach Report 2024 zjistil, že firmy s implementovaným Zero Trust ušetří průměrně 1,76 milionu dolarů na každém úniku dat oproti firmám bez Zero Trust. Průměrný celkový náklad úniku dat je 4,88 milionu dolarů. Při těchto číslech se Zero Trust na celý rok zaplatí z jednoho zabráněného incidentu.

Argument složitosti: Realita roku 2026 je taková, že nástroje, ze kterých se Zero Trust skládá, pravděpodobně už máte. Máte Microsoft 365 nebo Google Workspace? Máte tam zabudované podmíněné přístupy. Máte EDR (endpoint detection and response)? To je Zero Trust pro zařízení. Máte rozdělená síťová prostředí? To je základ mikrosegmentace.

Zero Trust není produkt, který si koupíte. Je to architektura, do které skládáte nástroje, které částečně už máte.

Tři pilíře, které zvládnete i bez enterprise týmu

1. Identita jako nový perimetr: MFA všude, bez výjimek

Nejlevnější a nejrychlejší Zero Trust opatření. Podle Forresteru organizace s implementovaným Zero Trust zaznamenávají o 50 % méně průlomů a o 43 % nižší náklady na řešení incidentů. Velká část toho stojí právě na silné identitě.

Praktický postup:

  • Microsoft 365: Zapněte Conditional Access v Azure AD. Minimum: MFA pro všechny adminy, doporučeno pro všechny uživatele. Nastavte rizikové politiky (přihlášení z neobvyklého místa = MFA challenge).
  • Google Workspace: Context-Aware Access v Admin Console. Funguje podobně.
  • Lokální systémy: Privileged Access Management (PAM) – oddělte administrátorské účty od běžných uživatelských. Administrátor by neměl procházet web pod admin účtem.

Zákon (§ 19 odst. 2 vyhl. 409/2025 Sb.) vyžaduje MFA s alespoň dvěma různými typy faktorů. Neheslo + SMS není ideál (SMS lze přesměrovat), ale je to lepší než nic. Cílem je hardware token nebo authenticator aplikace.

Kritický detail, na který se zapomíná: testovací, servisní a sdílené účty. Microsoft se hackl přes testovací účet. Proveďte audit – kolik takových účtů máte a kolik z nich nemá MFA?

2. Nejmenší oprávnění: každý dostane jen to, co potřebuje

Role-Based Access Control (RBAC) není nová myšlenka, ale většina firem ho implementuje špatně. Typický problém: zaměstnanec nastoupí, dostane přístupy, za rok povýší, dostane další přístupy. Za pět let má přístupy do pěti různých systémů, i do těch, které dávno nepotřebuje.

Zero Trust říká: přístupová práva jsou přidělována minimalisticky a pravidelně přezkoumávána.

Praktický postup:

  • Inventura přístupů (jednorázově): exportujte ze všech systémů (AD, CRM, ERP, cloud) kdo má přístup kam. Výsledek vás překvapí.
  • Access review (pravidelně, minimálně jednou za rok): manažeři potvrzují, že jejich lidé stále potřebují to, co mají.
  • Just-in-time přístupy pro adminy: Administrátor nepotřebuje admin přístup 24/7. Moderní PAM nástroje (CyberArk, Delinea, nebo i levnější varianty) umožňují dočasné zvýšení oprávnění s logováním.

Zákon to vyžaduje explicitně: § 13 odst. 2 písm. b) vyhl. 409/2025 Sb. ukládá přidělovat přístupová práva „na úroveň nezbytně nutnou k výkonu práce."

3. Mikrosegmentace: zamčené dveře uvnitř sítě

Představte si síť jako hotel. Tradiční bezpečnost ověří hosta na recepci a pak mu nechá volný přístup po celém hotelu včetně kuchyně, úklidové místnosti a trezoru správce. Zero Trust mikrosegmentace říká: host dostane klíč jen od svého pokoje.

Mikrosegmentace rozdělí síť na menší zóny s vlastními přístupovými pravidly. Pokud útočník pronikne do jednoho segmentu (třeba PC účetnictví), nemůže se volně pohybovat k výrobním systémům nebo zálohovacím serverům.

Podle průzkumu z roku 2025 považuje přes 95 % bezpečnostních lídrů mikrosegmentaci za klíčovou, ale jen 5 % firem ji skutečně nasadilo. Důvod? Historicky byla složitá na implementaci. To se mění.

Praktický postup pro střední firmu:

  • Krok 1 – Identifikujte kritická aktiva: Co by způsobilo největší škodu, kdyby to útočník dostal? Zákaznická data? Výrobní systémy? Zálohy?
  • Krok 2 – Oddělte klíčová prostředí: Zálohy nesmí být dostupné ze stejné sítě jako produkce. Vývojové prostředí oddělte od produkčního. IT administrativa oddělte od uživatelských stanic.
  • Krok 3 – Firewall pravidla přepište na „default deny": Vše je zakázáno, povolujete jen konkrétní komunikaci. Ano, trvá to déle nastavit. Ale pak víte přesně, co s čím mluví.
  • Krok 4 – Monitorujte east-west provoz: Síťový provoz mezi interními systémy (ne jen dovnitř/ven) je místo, kterým útočníci po průlomu cestují.

Zákon (§ 18 vyhl. 409/2025 Sb.) vyžaduje segmentaci sítě explicitně včetně oddělení provozního, zálohovacího, vývojového a testovacího prostředí.

Roadmapa pro firmu s 50–500 zaměstnanci

Nemusíte to dělat najednou. Takto to dává smysl:

Měsíce 1–3 (nízké náklady, vysoký dopad):

  • MFA pro všechny administrátory (povinné ze zákona, zdarma v existujících licencích)
  • Audit přístupových práv – kdo má přístup kam
  • Oddělení admin a uživatelských účtů pro IT pracovníky
  • Inventura servisních/testovacích účtů bez MFA

Měsíce 4–6 (středně náročné):

  • Rollout MFA na všechny uživatele
  • RBAC cleanup – odebrání zbytečných přístupů
  • Základní síťová segmentace (zálohy, produkce, vývojové prostředí)
  • Podmíněný přístup pro rizikové přihlášení (nová lokace, nové zařízení)

Měsíce 7–12 (finalizace):

  • Mikrosegmentace kritických systémů
  • Monitoring east-west provozu
  • Just-in-time přístupy pro administrátory
  • Pravidelný access review proces

Kolik to stojí?

Záleží na tom, co už máte. Přibližný odhad pro firmu se 100 uživateli v roce 2026:

Pokud máte Microsoft 365 Business Premium nebo E3/E5: Conditional Access, Entra ID (dříve Azure AD), Microsoft Defender – to vše máte v licenci. Náklady na Zero Trust implementaci jsou primárně čas IT týmu, ne nové licence. Řádově desítky hodin nastavení.

Pokud potřebujete přidat nástroje:

  • Privileged Access Management: od 30–50 € na uživatele ročně (Delinea, BeyondTrust)
  • Mikrosegmentační řešení: od 15–30 € na zařízení ročně (Illumio, Zscaler, nebo pro menší firmy cloudové firewall politiky)
  • Celkový roční náklad pro 100 uživatelů: 50–150 tisíc Kč ročně

Srovnejte s průměrným nákladem úniku dat: 4,88 milionu dolarů, tj. přibližně 115 milionů Kč. Zero Trust za 100 tisíc ročně vypadá jinak, že?

Kde Kraita Cyber One pomůže

Implementace Zero Trust není jednorázový projekt – je to průběžný stav. Kraita Cyber One vám pomůže s:

  • GAP analýzou: kde přesně vaše firma stojí vůči požadavkům § 13, § 18 a § 19 vyhlášek
  • Mapováním opatření: které nástroje z vašeho stávajícího stacku pokrývají které zákonné požadavky
  • Průběžným monitoringem: zda nastavená opatření stále platí a nikdo je tiše nevypnul

Zero Trust není stav, ke kterému jednou dojdete. Je to způsob, jak bezpečnost provozujete. A k tomu potřebujete nástroj, který vám průběžně ukazuje, kde jste.

Vyzkoušejte Kraita Cyber One zdarma nebo si domluvte nezávaznou konzultaci.

Zdroje: IBM Cost of a Data Breach Report 2024, Forrester Research Zero Trust Analysis, Zscaler ThreatLabz VPN Risk Report 2025, CISA Microsegmentation in Zero Trust Guidance (2025), Gray Group International Zero Trust Implementation Guide 2026, zákon č. 264/2025 Sb., vyhláška č. 409/2025 Sb., vyhláška č. 410/2025 Sb.

Full name
David Matínek
Zpět na výpis článků

Kontaktujte nás

Jsme tu pro vaše dotazy. Věříme, že společně najdeme řešení, které vám bude dávat smysl.

E-mail

info@kraita.io

Telefon

+420 770 182 890

Kancelář

Circles, Budějovická 778/3,Praha, 140 00
Circles s.r.o.
Budějovická 778/3, Praha, 140 00

IČO: 21277371
Spisová značka C 399397/MSPH Městský soud v Praze.
Přihlaste se k odběru newsletteru a buďte informováni o novinkách a funkcích.
Odběrem souhlasíte s našimi Zásadami ochrany osobních údajů.
Děkujeme! Vaše přihlášení bylo úspěšně přijato!
Omlouváme se! Při odesílání formuláře došlo k chybě.
.
Kraita.io
DomůKraita Cyber OneKraita Knowledge ManagerKraita Support AssistantKraita AutomationBlogKontakty
Sledujte nás
Instagram
LinkedIn
Facebook
Youtube
© 2025 Kraita Cyber One. Všechna práva vyhrazena.
Zásady ochrany osobních údajůObchodní podmínkyNastavení cookies