Zaměstnanci jako IT hrozba firmy: Největší slabina kybernetické bezpečnosti?

Kybernetická bezpečnost firem čelí stále sofistikovanějším útokům, ale statistiky potvrzují jedno nepříjemné zjištění: největší IT hrozbu často představují samotní zaměstnanci. Podle Světového ekonomického fóralidský faktor podíl na 95 % všech kybernetických incidentů. Zpráva Verizon DBIR 2024 dokonce uvádí, že 68 % bezpečnostních narušení je způsobeno neúmyslnými chybami zaměstnanců.

Ať už z nepozornosti, neznalosti nebo záměrně, zaměstnanci zůstávají kritickým rizikem kybernetické bezpečnosti. Přesto mnoho firem investuje primárně do technologií a podceňuje systematické vzdělávání personálu – čímž vzniká závažná bezpečnostní mezera.


Rizikové pozice ve firmě

Některé role v organizaci představují z hlediska kybernetické bezpečnosti vyšší riziko:

PoziceÚroveň rizikaRizikové faktory
IT administrátořiVysokáPrivilegovaný přístup, technické znalosti
HR specialistéStředníPřístup k osobním údajům
Finanční odděleníVysokáPřístup k finančním datům
VývojářiStředníPřístup ke zdrojovým kódům
ManagementVysokáŠiroká oprávnění a rozhodovací pravomoci

Typy interních kybernetických hrozeb

1. Neúmyslné chyby zaměstnanců

Nejčastější příčinou incidentů jsou chyby způsobené neznalostí nebo nedbalostí:

  • Phishing: Až 68 % útoků využívá sociální inženýrství. Každý pátý zaměstnanec klikne na podezřelý odkaz.
  • Sdílení citlivých dat: Účetní nahrála důvěrné výkazy na veřejné cloudové úložiště bez šifrování.
  • Rizika generativní AI (Shadow AI): Zaměstnanci Samsungu sdíleli s ChatGPT citlivý kód, který se stal součástí tréninkových dat modelu.

2. Záměrné úniky dat

Zaměstnanci mohou data zcizit z pomsty, chamtivosti nebo při odchodu:

  • Odcházející pracovník Trend Micro prodal databázi klientů konkurenci.
  • Špionážní činnost: Zaměstnanec Boeingu 27 let pracoval jako čínský špion.

3. Nedostatečná bezpečnostní hygiena

  • BYOD (Bring Your Own Device) bez zabezpečení
  • Ignorování aktualizací softwaru
  • Ukládání dat na nezabezpečené služby

4. Zneužití přístupových práv (insider threat)

  • V roce 2022 zaměstnanec evropské banky zneužil administrátorská práva a prodal osobní data klientů na dark webu.

5. Infiltrace externími subjekty

  • Falešné identity s AI generovanými doklady a profily na LinkedIn
  • Třetí strany: V případě Capital One došlo k úniku dat 100 milionů klientů kvůli chybě externího vývojáře

Přehled hlavních typů hrozeb

Typ hrozbyPodíl na incidentechDopady
Neúmyslné chyby74 %Finanční ztráty, porušení GDPR
Úmyslné jednání35 %Krádež dat, poškození značky, právní důsledky
Rizika práce na dálku30 %Malware, únik dat, ztráta kontroly nad zařízeními

Strategie prevence kybernetických incidentů

Systematické vzdělávání zaměstnanců

  • Simulace phishingu a následná školení
  • Školení na míru: sociální inženýrství, práce s AI, bezpečné sdílení dokumentů
  • Pravidelné testování bezpečnostní gramotnosti

Technická opatření

  • Vícefaktorová autentizace (MFA)
  • Správci hesel (např. Bitwarden, LastPass, 1Password)
  • DLP systémy (Data Loss Prevention) – např. Safetica
  • RBAC (Role-Based Access Control) – přístupová práva podle rolí
  • Zero Trust Architecture (ZTA) – ověřování každého přístupu bez implicitní důvěry

Organizační opatření

  • Politika „clear desk“ – uzamykání zařízení a dokumentů
  • Otevřená komunikace – důvěra při hlášení incidentů
  • Role vedení – příkladné dodržování bezpečnostních zásad
  • Screening zaměstnanců – ověření identity a historie
  • Exit procesy – odebrání přístupů, kontrola logů a případných exportů dat

Kybernetická bezpečnost začíná u zaměstnanců

Zaměstnanci nejsou jen slabinou – mohou být první linií obrany proti kybernetickým hrozbám. Důležité je:

  • Kombinovat technická a organizační opatření
  • Školit zaměstnance praktickými scénáři
  • Podporovat důvěru a transparentnost
  • Provádět audity, testy a bezpečnostní monitoring

Nová legislativa, jako NIS2 a AI Act, i aktualizovaná norma ISO/IEC 27001, kladou důraz právě na prevenci interních hrozeb.


Shrnutí: Jak snížit riziko vnitřních hrozeb?

  • Zaveďte technologické zabezpečení: MFA, DLP, ZTA
  • Školte zaměstnance a testujte jejich chování
  • Vytvořte kulturu důvěry místo sankcí
  • Sledujte přístupová práva a kontrolujte logy
  • Přizpůsobte opatření konkrétním rizikům vaší organizace

Tip pro vás!↘️

Nebezpeční zaměstnanci = IT hrozba firmy

Nový kybernetický zákon a aktuální kybernetické hrozby

Další články

Elektronická fakturace na Slovensku

Elektronická fakturace na Slovensku: Od roku 2027 končí PDF faktury zasílané e-mailem

Od 1. ledna 2027 začne na Slovensku platit povinná elektronická fakturace. Nová pravidla se netýkají pouze slovenských firem, ale také...

Podniková ekologie

Obaly ve firmě: Co přináší PPRW pro obaly a jejich uvádění na trh?

Evropské nařízení PPRW přináší nová pravidla pro obaly, obalové materiály i nakládání s obalovými odpady. Jeho cílem je řešit environmentální...

Novela k ochraně obchodního tajemství od 1. 1. 2027: firmy čekají jasnější pravidla

Co dnes ve firmě skutečně představuje obchodní tajemství? Jsou vaše know-how, interní data, obchodní strategie nebo AI workflow opravdu chráněné?

Evidence pracovní doby a evidence docházky

Evidence pracovní doby a evidence docházky: Jaké jsou povinnosti zaměstnavatele podle zákoníku práce?

Evidence pracovní doby patří mezi základní povinnosti každého zaměstnavatele. Správně vedené záznamy slouží jako podklad pro výpočet mzdy, náhrad mzdy...

Nová pravidla pro AI

AI Act: Nová pravidla pro umělou inteligenci. Koho se týkají a jaké povinnosti přinášejí?

AI Act, tedy nařízení o umělé inteligenci, představuje významnou součást evropské legislativy. Přestože vstoupil v platnost už 1. srpna 2024,...

Požárně bezpečnostní řešení

Požárně bezpečnostní řešení: Co musí obsahovat projektová dokumentace

Správné užívání a údržba budov z pohledu požární ochrany vychází z projektové dokumentace ověřené stavebním úřadem. Její součástí je požárně...