0949 367 724
Kontakt
Autor: Michal Vaňo - Kybernetická bezpečnosť

Časť 3. - Zero Trust: Štandard v ochrane vašej firmy pred kybernetickými hrozbami

Časť 3. - Zero Trust: Štandard v ochrane vašej firmy pred kybernetickými hrozbami

Úvod do Zero Trust

V posledných rokoch sa kybernetické útoky stali častejšie, sofistikovanejšie a nevyhýbajú sa žiadnemu odvetviu. Od výrobných podnikov, cez zdravotníctvo až po e-shopy a právnické kancelárie — každá firma je dnes potenciálnym cieľom. Preto je čoraz dôležitejšie myslieť na bezpečnosť údajov, systémov a firemných procesov už nie ako na doplnok, ale ako na základný pilier podnikania.

Práve tu prichádza do hry koncept Zero Trust (nulová dôvera) — moderný prístup k informačnej bezpečnosti, ktorý zásadne mení pohľad na to, ako by sa mali chrániť firemné systémy a dáta.

1. Segmentácia siete – žiadna “voľná zóna” pre útočníkov

Laicky povedané:

Predstavte si, že vaša firemná sieť je ako veľká budova. Bez segmentácie je to otvorený priestor – ak sa niekto dostane dnu, môže voľne chodiť po celej budove.
Pokiaľ vašu sieť rozdelíte na menšie segmenty, postavíte tým pred každé oddelenie dvere so zámkom.

Takto zaistíte že oddelenia nebudú mať neobmedzený prístup do celej siete. Samozrejme toto platí pokiaľ prestupy medzi jednotlivými oddeleniami sú riadené firewall-om. V praxi som sa stretol so situáciou kedy síce bola sieť s viacerými pobočkami v rôznych mestách segmentovaná na menšie celky (oddelený manažment siete, užívateľské stanice, voip, public wifi a pod.), no prístup medzi jednotlivými segmentami nebol nijako obmedzený.

To znamená, že síce bola budova rozdelená na časti oddelené dverami. Na dverách však nieje žiaden zámok takže pohyb medzi oddeleniami je možný komukoľvek.

Čo to znamená vo firme:

  • Manažment siete je oddelený od klientskych zariadení.
  • Manažér má prístup k dokumentom vedenia, ale nie k serverom s výrobou.
  • Návštevníci (napr. externý technik, audítor) dostanú len dočasný, obmedzený prístup.

Prínos:

Ak sa do siete dostane škodlivý softvér alebo útočník, nemôže sa ľahko “rozšíriť” a ovládnuť celú firmu.

2. IEEE 802.1X – brána pred vstupom do siete

Čo to je:

Predstavte si, že každá sieťová zásuvka je ako dvere do vašej siete. Štandard 802.1X funguje ako elektronický zámok na týchto dverách, ktorý otvorí len tým, ktorí preukážu svoju totožnosť — napríklad používateľským menom, heslom alebo digitálnym certifikátom.

Rovnakým spôsobom je možné zabezpečiť prístup na firemnú wifi sieť. Je bezpečnejsie aby mal každý užívateľ svoj jednotlivý prístup ktorý je možné v prípade potreby kedykoľvek zrušiť.

Laicky:

Ako keby ste pri vstupe do budovy mali vrátnika, ktorý pustí dnu len tých, ktorých má na zozname.

Praktická situácia:

  • Zamestnanec pripojí pracovný notebook – ten sa overí a má prístup.
  • Niekto skúsi pripojiť vlastný notebook – ak nie je overený, do siete sa nedostane.
  • Neznáme zariadenie (napr. hacker s notebookom v zasadačke) má jednoducho stopku.

Prečo je to dôležité:

Bez tejto ochrany stačí, aby niekto fyzicky prišiel do vašej firmy, zapojil sa do siete a mohol útočiť zvnútra.

3. IAM – Identita ako základ bezpečnosti

IAM znamená: Identity and Access Management

Alebo jednoducho: každý používateľ má svoju jedinečnú digitálnu identitu.

Zásady:

  • Žiadne zdieľané kontá – každý má vlastné prihlásenie.
  • Dvojfaktorové overovanie (MFA) – napríklad heslo + potvrdenie cez mobil.
  • Jedno konto = jeden človek = jedna zodpovednosť.

Prečo je to dôležité:

  • Viete presne, kto čo robil – a kto má prístup ku ktorým dátam.
  • Zdieľané kontá sú ako zdieľané kľúče – ak sa niečo stane, neviete, kto ich použil.
  • V prípade incidentu (napr. úniku dát) je možné rýchlo zistiť, čo sa stalo a kto za tým stojí.

Príklad:

Vaša účtovníčka má svoje meno a heslo. Keď sa prihlási, záznamy v systéme hovoria presne o tom, čo robila. Ak by používala spoločné konto „uctovnictvo“, neviete nič.

4. Least Privilege – len to, čo potrebujete

Základná myšlienka:

Každý používateľ má mať prístup len k tomu, čo naozaj potrebuje na svoju prácu.

Príklady z praxe:

  • Technik z údržby nepotrebuje vidieť HR dokumenty alebo faktúry.
  • Obchodník nepotrebuje prístup k súborom vedenia firmy.

Výhody:

  • Znižuje sa riziko náhodných chýb alebo zneužitia.
  • Ak niekto ukradne heslo zamestnanca, dostane sa len k obmedzeným údajom.
  • Práva možno aj časovo obmedziť – napríklad len na dobu trvania projektu.

5. Logovanie a audit – aby ste vedeli, čo sa deje

Logovanie = zapisovanie činností

Každý pokus o prístup, každé prihlásenie, každé otvorenie dokumentu – všetko sa dá zaznamenať.

Prečo je to kľúčové:

  • Ak sa stane bezpečnostný incident, viete zistiť, čo sa stalo, kedy a kto za tým stál.
  • V prípade auditu (napr. GDPR, ISO 27001, NIS2) musíte vedieť preukázať, ako chránite dáta.
  • Môžete nastaviť automatické upozornenia na podozrivé aktivity (napr. veľké množstvo stiahnutých súborov).

Príklad:

Zamestnanec odíde z firmy a pokúsi sa neskôr prihlásiť. S vhodne nastaveným zapisovaním záznamov:

  • zistíte pokus o prihlásenie,
  • môžete systém automaticky zablokovať,
  • máte dôkazy pre ďalšie riešenie.

Záver: Ochrana firmy je zodpovednosť vedenia

Zavádzanie Zero Trust nie je jednorazový projekt – je to zásadná zmena v prístupe k bezpečnosti. Nemusíte začať so všetkým naraz. Kľúčové je mať vypracovanú bezpečnostnú stratégiu spolu s plánom jej implementácie do infraštruktúry.

Zero Trust nie je o tom, že nedôverujete svojim ľuďom – ale že dôverujete procesu. A práve vďaka tomu ochránite nielen dáta a systémy, ale aj dôveru vašich klientov a partnerov.

Previous

Časť 2. - Architektúra siete ako základný pilier kybernetickej bezpečnosti