Zaměstnanci jako IT hrozba firmy: Největší slabina kybernetické bezpečnosti?
Kybernetická bezpečnost firem čelí stále sofistikovanějším útokům, ale statistiky potvrzují jedno nepříjemné zjištění: největší IT hrozbu často představují samotní zaměstnanci. Podle Světového ekonomického fóra má lidský faktor podíl na 95 % všech kybernetických incidentů. Zpráva Verizon DBIR 2024 dokonce uvádí, že 68 % bezpečnostních narušení je způsobeno neúmyslnými chybami zaměstnanců.
Ať už z nepozornosti, neznalosti nebo záměrně, zaměstnanci zůstávají kritickým rizikem kybernetické bezpečnosti. Přesto mnoho firem investuje primárně do technologií a podceňuje systematické vzdělávání personálu – čímž vzniká závažná bezpečnostní mezera.
Rizikové pozice ve firmě
Některé role v organizaci představují z hlediska kybernetické bezpečnosti vyšší riziko:
| Pozice | Úroveň rizika | Rizikové faktory |
|---|---|---|
| IT administrátoři | Vysoká | Privilegovaný přístup, technické znalosti |
| HR specialisté | Střední | Přístup k osobním údajům |
| Finanční oddělení | Vysoká | Přístup k finančním datům |
| Vývojáři | Střední | Přístup ke zdrojovým kódům |
| Management | Vysoká | Široká oprávnění a rozhodovací pravomoci |
Typy interních kybernetických hrozeb
1. Neúmyslné chyby zaměstnanců
Nejčastější příčinou incidentů jsou chyby způsobené neznalostí nebo nedbalostí:
- Phishing: Až 68 % útoků využívá sociální inženýrství. Každý pátý zaměstnanec klikne na podezřelý odkaz.
- Sdílení citlivých dat: Účetní nahrála důvěrné výkazy na veřejné cloudové úložiště bez šifrování.
- Rizika generativní AI (Shadow AI): Zaměstnanci Samsungu sdíleli s ChatGPT citlivý kód, který se stal součástí tréninkových dat modelu.
2. Záměrné úniky dat
Zaměstnanci mohou data zcizit z pomsty, chamtivosti nebo při odchodu:
- Odcházející pracovník Trend Micro prodal databázi klientů konkurenci.
- Špionážní činnost: Zaměstnanec Boeingu 27 let pracoval jako čínský špion.
3. Nedostatečná bezpečnostní hygiena
- BYOD (Bring Your Own Device) bez zabezpečení
- Ignorování aktualizací softwaru
- Ukládání dat na nezabezpečené služby
4. Zneužití přístupových práv (insider threat)
- V roce 2022 zaměstnanec evropské banky zneužil administrátorská práva a prodal osobní data klientů na dark webu.
5. Infiltrace externími subjekty
- Falešné identity s AI generovanými doklady a profily na LinkedIn
- Třetí strany: V případě Capital One došlo k úniku dat 100 milionů klientů kvůli chybě externího vývojáře
Přehled hlavních typů hrozeb
| Typ hrozby | Podíl na incidentech | Dopady |
|---|---|---|
| Neúmyslné chyby | 74 % | Finanční ztráty, porušení GDPR |
| Úmyslné jednání | 35 % | Krádež dat, poškození značky, právní důsledky |
| Rizika práce na dálku | 30 % | Malware, únik dat, ztráta kontroly nad zařízeními |
Strategie prevence kybernetických incidentů
Systematické vzdělávání zaměstnanců
- Simulace phishingu a následná školení
- Školení na míru: sociální inženýrství, práce s AI, bezpečné sdílení dokumentů
- Pravidelné testování bezpečnostní gramotnosti
Technická opatření
- Vícefaktorová autentizace (MFA)
- Správci hesel (např. Bitwarden, LastPass, 1Password)
- DLP systémy (Data Loss Prevention) – např. Safetica
- RBAC (Role-Based Access Control) – přístupová práva podle rolí
- Zero Trust Architecture (ZTA) – ověřování každého přístupu bez implicitní důvěry
Organizační opatření
- Politika „clear desk“ – uzamykání zařízení a dokumentů
- Otevřená komunikace – důvěra při hlášení incidentů
- Role vedení – příkladné dodržování bezpečnostních zásad
- Screening zaměstnanců – ověření identity a historie
- Exit procesy – odebrání přístupů, kontrola logů a případných exportů dat
Kybernetická bezpečnost začíná u zaměstnanců
Zaměstnanci nejsou jen slabinou – mohou být první linií obrany proti kybernetickým hrozbám. Důležité je:
- Kombinovat technická a organizační opatření
- Školit zaměstnance praktickými scénáři
- Podporovat důvěru a transparentnost
- Provádět audity, testy a bezpečnostní monitoring
Nová legislativa, jako NIS2 a AI Act, i aktualizovaná norma ISO/IEC 27001, kladou důraz právě na prevenci interních hrozeb.
Shrnutí: Jak snížit riziko vnitřních hrozeb?
- Zaveďte technologické zabezpečení: MFA, DLP, ZTA
- Školte zaměstnance a testujte jejich chování
- Vytvořte kulturu důvěry místo sankcí
- Sledujte přístupová práva a kontrolujte logy
- Přizpůsobte opatření konkrétním rizikům vaší organizace
Nebezpeční zaměstnanci = IT hrozba firmy
Nový kybernetický zákon a aktuální kybernetické hrozby
Termín: 24. 7. 2025 | Online – živý přenos
