Každý den slyšíme ty stejné věty:

„Potřebuju si jen rychle nainstalovat program.“

„Nechci kvůli každé tiskárně volat IT.“

„Jsme malá rodinná firma, my si tady všichni věříme.“

Jenže většinu firem dneska nepoloží geniální hacker s kapucí, jaké znáte z filmu. Nejčastěji za to může lidská chyba na účtu, který měl zbytečně velká oprávnění. Stačí jeden phishingový e-mail, nepozorný klik nebo zavirovaný program a problém se díky špatně nastaveným přístupům rozšíří napříč celou firmou.

Správa přístupů přitom není žádná IT buzerace, ale způsob, jak zajistit, aby jedna chybička nezastavila celý provoz firmy.‍

Co vlastně znamenají admin práva a proč jsou tak nebezpečná?

Když má uživatel na svém počítači administrátorská práva, znamená to, že má nad zařízením téměř neomezenou kontrolu. Může instalovat programy, měnit nastavení systému, ale také vypnout firewall nebo antivirus, protože na něj pořád vyskakují otravná upozornění. Jenže stejná oprávnění pak získá i škodlivý software, pokud se do zařízení dostane.

Podle doporučení technologických lídrů, jako je Microsoft, patří oddělení běžné práce od administrátorských účtů k úplnému základu kybernetické hygieny. Běžný uživatel totiž ve většině případů admin práva ke své práci vůbec nepotřebuje. Všechny situace, kdy je potřeba něco nastavit, dokáže dneska rychle vyřešit vzdálená IT podpora.

Tak proč firmy dávají admin práva všem?

Ve většině případů za touhle praxí není ani tak nezodpovědnost, jako spíš pohodlnost a snaha nebrzdit lidi v práci. Typicky to vypadá takto:

• Projektanti potřebují aktualizovat AutoCAD.
• Grafici řeší nové pluginy a nástroje v Adobe aplikacích.
• Management nechce, aby zaměstnanci čekali na IT podporu.

Není to chyba lidí, ale špatně nastavených procesů. Pohodlí vám sice krátkodobě ušetří pár minut času, ale dlouhodobě zbytečně zvyšuje riziko pro celou firmu.

Jak říkáme našim klientům: Když zaměstnanec nemůže kdykoliv stáhnout cokoliv z internetu, nestáhne si tím pádem do počítače ani virus.‍

Příběh z praxe: Když má jeden účet přístup úplně všude

V jedné firmě měl ředitel admin práva k celému systému. V pátek odpoledne otevřel zavirovanou přílohu v e-mailu a odjel na víkend. Ransomware tak získal volnou ruku a během soboty a neděle zašifroval prakticky všechna firemní data.

Problém byl v tom, že jeho účet měl přístup ke všem sdíleným složkám a systémům. Takový malware totiž neřeší, jestli na odkaz kliknul brigádník nebo generální ředitel. Zajímá ho jediné – kam všude má daný účet přístup. Kdyby byla oprávnění omezená jen na data, která skutečně potřeboval ke své práci, škody by byly mnohem menší.

Princip „nejmenších oprávnění“: Každý vidí jen to, co potřebuje

Základní pravidlo bezpečné správy přístupů je jednoduché: každý zaměstnanec by měl mít přístup jen k tomu, co skutečně potřebuje ke své práci. Nic víc, nic míň.

Účetní nepotřebuje přístup k vývojářským složkám. Obchodník nepotřebuje vidět mzdové dokumenty. A běžný uživatel nepotřebuje admin práva k celému počítači. Administrátorské účty by měly používat pouze správci IT nebo pověřené osoby.

V praxi se tomuto přístupu říká princip nejmenších oprávnění (least privilege) a často funguje na základě rozdělení rolí, známého jako role-based access control (RBAC).

Je to stejné jako s klíči od budovy. Taky nedáváte každému zaměstnanci univerzální klíč od všech kanceláří, skladu a účetního archivu. Nedává to smysl. Čím menší rozsah oprávnění totiž uživatelský účet má, tím menší škody dokáže způsobit případný phishing, malware nebo jen nechtěná lidská chyba.

5 nejčastějších chyb ve správě přístupů

Ve firmách se obvykle setkáváme s těmito problémy:

1. Všichni mají admin práva

„Aby byl klid“ a nikdo si nestěžoval, mají zbytečně vysoká oprávnění skoro všichni.‍

2. Sdílené účty

Jeden login, například sklad@firma.cz, používá více lidí. Když se něco pokazí, tak nejde dohledat, kdo konkrétní akci provedl.

3. Aktivní účty bývalých zaměstnanců

Zaměstnanec odejde, ale jeho účet zůstane aktivní týdny nebo měsíce. Velkým pomocníkem pro tyto případy bývá propojení IT správy s HR systémy.

4. Přístup všude pro každého

Obchodník vidí mzdové výkazy, účetní má přístup k vývojářským složkám a brigádník si během praxe čte personální dokumenty.

5. Slabá hesla a chybějící vícefaktorové ověřování (MFA)

‍Jde sice o jinou oblast bezpečnosti, ale jedno uniklé heslo bez další ochrany může útočníkovi otevřít dveře do celé firemní sítě.

Nejste si jistí, jestli máte přístupy nastavené správně? Zkuste jednoduchý test:

• Vidí brigádník faktury nebo HR dokumenty?
• Existují ve firmě účty lidí, kteří už dávno odešli?
• Používá více zaměstnanců jeden sdílený účet?
• Mají lidé přístup i tam, kam by se běžně vůbec dostat neměli?

Pokud jste alespoň jednou odpověděli „ano“, je pravděpodobně čas udělat revizi firemních přístupů.

Jak nastavit bezpečné přístupy bez zbytečného brzdění práce

Mnoho firem se bojí, že omezení admin práv zaměstnance zpomalí. Ve skutečnosti je problém většinou opačný, protože špatně nastavené procesy nutí lidi obcházet bezpečnost, aby vůbec mohli pracovat.

Moderní IT dnes umožňuje bezpečnost i pohodlný provoz zároveň. Základem je centrální správa účtů pomocí nástrojů jako Active Directory, Microsoft Entra ID nebo Google Workspace. IT oddělení tak má přehled o tom, kdo má kam přístup, a může všechna oprávnění jednoduše spravovat z jednoho místa.

Velkou změnu přinesly i nástroje pro vzdálenou správu zařízení, například Microsoft Intune. Díky nim může IT bezpečně instalovat programy, aktualizace nebo nové aplikace na pozadí, bez nutnosti dávat zaměstnancům plná oprávnění. Projektanti tak dostanou aktualizovaný AutoCAD a grafici nové pluginy, aniž by museli mít plný přístup k systému.

Naprostým standardem by dnes mělo být také vícefaktorové ověřování (MFA), pravidelná kontrola oprávnění a průběžné vzdělávání zaměstnanců. Technologie samy o sobě totiž nestačí. Pokud lidé nepoznají phishing nebo bezpečnostní rizika, problém si do firmy často pustí sami.

Správa přístupů v podání Hello IT

Když u nového klienta zjistíme, že má chaos ve firemních přístupech, nezačínáme tím, že všem přes noc sebereme práva. Pokud jsou zaměstnanci roky zvyklí fungovat určitým způsobem, musí změny přijít postupně a hlavně musí dávat smysl.

První krok je vždy audit a pochopení toho, jak firma reálně funguje. Zkontrolujeme rizikové účty, sdílené přístupy nebo účty bývalých zaměstnanců a společně s vedením nastavíme bezpečnější systém oprávnění. Součástí bývá i správa zařízení přes nástroje jako Microsoft Intune nebo nastavení vícefaktorového ověřování.

Cílem není zaměstnance zbytečně omezovat. Cílem je nastavit IT tak, aby jedna chyba, phishingový e-mail nebo zavirovaná příloha neohrozily celou firmu.

👉 TIP: Spoléháte na antivirus jako na hlavní obranu proti kyberútokům?

Přečtěte si: Antivirus vs. moderní kybernetická bezpečnost: Jak ochránit firemní IT