Bezpečnostní politika stanovuje obecná pravidla a odpovědnosti – deklaruje například nutnost segmentace sítě. Dokumentace jde dál: specifikuje konkrétní postupy a slouží jako praktický návod pro administrátory. Typickým příkladem je Přehled síťové komunikační infrastruktury – živý dokument s topologií sítě a seznamem VLAN včetně jejich účelu. Jenže právě u tohoto typu dokumentů organizace nejčastěji selhávají.

Síťové mapy vzniknou jednorázově při auditu a pak se neudržují. Každá změna v infrastruktuře – migrace do cloudu, nový segment, nový systém – se do dokumentace nepromítne. Při incidentu pak tým pracuje s mapou, která neodpovídá realitě.

Firma prošla desítkami upgradů a migrací, které se do síťových schémat nepromítly. Při průniku do sítě pracoval incident response tým s topologií, jež neodpovídala skutečnosti – administrátoři hledali kompromitované systémy v segmentech, které již neexistovaly, zatímco útočník se šířil přes nezdokumentované trasy. „Šuplíková dokumentace“ proměnila koordinovaný zásah v chaos a útočníkovi poskytla hodiny náskoku.

Organizace musí přesně vědět, jaké systémy provozuje a která data zpracovává. Zákon o kybernetické bezpečnosti klade velký důraz na Evidenci aktiv – primárních (služby, informace, procesy) i podpůrných (hardware, software, sítě, dodavatelé). U každého aktiva musí být určen garant a musí být patrné vazby mezi oběma vrstvami: pokud selže databázový server, vedení okamžitě ví, jakou byznysovou službu to paralyzuje. Nižší režim vyžaduje základní zmapování a priority obnovy; vyšší režim navíc hodnocení aktiv podle CIA triády a pokročilou metodiku řízení rizik.

„Že máte něco zmapováno, nestačí. Musíte vědět, kdy jste záznamy revidovali a kdy je čas se na vše znovu podívat. I když je manažer kybernetické bezpečnosti na dovolené a nikdo jiný si to nepamatuje. Je potřeba mít systém, který vás podrží,“ radí na základě praktických zkušeností Olga Pincová, Chief Revenue Officer MoyaKybeon.

 

Evidence aktiv nezahrnují end-of-support zařízení – systémy bez podpory výrobce, na která nelze instalovat záplaty. Přitom právě tato zařízení vyžadují speciální pozornost: síťovou izolaci, zvýšený monitoring nebo náhradní bezpečnostní opatření.

Firma investovala miliony do ochrany perimetru. V dílně však zůstala stanice s kriticky zastaralým OS ovládající výrobní stroj, jehož software novější Windows nepodporoval. Protože zařízení nebylo v evidenci označeno jako rizikové a nemělo garanta, nikdo nenavrhl kompenzační opatření. Útočníci slabý bod při skenování snadno identifikovali, přes neopravenou zranitelnost stanici ovládli a využili ji jako odrazový můstek pro pohyb uvnitř sítě. Firewally na perimetru byly bezmocné.

Správa přístupů musí pokrývat celý životní cyklus identity – od nástupu přes změny pozice až po bezodkladné odebrání práv při odchodu. Základem jsou principy need-to-know a least privilege: každý má jen ta nejnižší nutná oprávnění. Vyhláška pro nižší režim přímo stanovuje minimální délku hesla 12 znaků a zákaz opakování předchozích hesel; nezbytné je také důsledně oddělit uživatelské účty od administrátorských. Vyšší režim navíc vyžaduje komplexní matice oprávnění a pravidelné audity identit.

Nedůsledné odebírání práv při odchodu zaměstnanců, sdílení administrátorských hesel a absence MFA u kritických přístupů – to jsou nejčastější slabiny. Obzvláště nebezpečné je porušení principu oddělení identit, kdy je znemožněno dohledání odpovědnosti.

Vedoucí administrátor si vynutil nastavení umožňující přihlašování pod identitami běžných uživatelů, čímž eliminoval vazbu mezi fyzickou osobou a digitálním účtem. Zneužíval tyto identity k neoprávněným aktivitám – a protože se pohyboval pod legitimními účty, logy nevykazovaly anomálii. Při vyšetřování nebylo možné odlišit práci uživatele od škodlivé aktivity administrátora. Firma ztratila schopnost právně i technicky prokázat odpovědnost za konkrétní podvody.

Cloudoví poskytovatelé, externí IT podpora, marketingové agentury s přístupem k zákaznickým datům – všichni tito partneři rozšiřují plochu útoku. Bezpečnostní požadavky proto musí být pevně ukotveny ve smlouvách a závazně obsahovat NDA, SLA s definicí bezpečnostních opatření, povinnost hlásit incidenty a exit strategii pro bezpečné ukončení spolupráce.

Firmy chrání vlastní síť důkladně, ale dodavatelům ponechávají otevřená zadní vrátka – trvale povolené a nemonitorované VPN přístupy bez nasazení vícefaktorového ověřování (MFA). Bezpečnostní požadavky ve smlouvách buď zcela chybí, nebo jsou formulovány příliš obecně a nevymahatelně.

Marketingové oddělení najalo agenturu pro rozsáhlou kampaň. Smlouva neobsahovala žádné technické přílohy ani povinnost hlásit incidenty. Agentura uložila citlivá data tisíců zákazníků do cloudové databáze, kterou chybnou konfigurací ponechala přístupnou z internetu bez autentizace. Firma nad daty neměla žádnou kontrolu. Musela veřejně přiznat kompromitaci zákaznických údajů, následoval masivní odliv ke konkurenci a náprava reputace trvala několik let.

Organizace musí mít funkční metodiku pro detekci a hlášení kybernetických událostí. Klíčovým záchranným dokumentem je Plán obnovy – musí obsahovat konkrétní komunikační matici (jména, telefonní čísla, záložní kontakty) a jasně definovat zastupitelnost. Schopnost obnovy ze záloh se musí pravidelně testovat, nikoliv jen předpokládat. Nižší režim vyžaduje funkční plán a zálohování; vyšší režim navíc analýzu dopadů (BIA) a plány kontinuity.

Plány existují jen na papíře, ale reálně se netestují. Organizace zálohují byznysová data, ale opomíjejí konfigurační soubory síťových prvků a firewallů – bez nichž obnova na čistý hardware selže.

Při rozsáhlém incidentu byl primární správce infrastruktury nedostupný. Protože krizový plán neobsahoval funkční komunikační matici ani zastupitelnost, nikdo jiný neměl autorizaci k zahájení záchranných prací. Prodlení desítek hodin útočníkovi umožnilo dokončit kompromitaci zbývajících systémů. Při obnově vyvstal další problém: chyběly zálohy konfigurací síťových prvků a firewallů. Servery v novém prostředí nedokázaly komunikovat, manuální rekonfigurace celé infrastruktury prodloužila odstávku o týdny a způsobila obrovské finanční ztráty.

Kybernetický incident nepřichází s předstihem. V okamžiku krize rozhodují minuty – a právě tehdy se ukáže skutečná hodnota bezpečnostní dokumentace. Ne podle toho, zda existuje ve složce na serveru, ale podle toho, zda ji kdokoliv z týmu dokáže v noci, pod tlakem, skutečně použít.

Dobrá bezpečnostní dokumentace má tři vlastnosti: je aktuální (odpovídá reálnému stavu prostředí, ne stavu ke dni auditu), je použitelná (obsahuje konkrétní jména, čísla a postupy) a je sdílená (klíčoví lidé vědí, kde ji najít a jak s ní pracovat). Splnit zákon nestačí. Cílem je mít dokumentaci, která organizaci ochrání tehdy, kdy ji nejvíc potřebuje – ve chvíli, kdy na ni není čas.