Spolupráce s externími dodavateli je pro většinu malých a středních firem v Česku nutností. Ať už jde o účetní firmu, IT správce, marketingovou agenturu nebo dodavatele softwaru – všichni potřebují přístup k vašim firemním systémům, datům nebo infrastruktuře. Otázka zní: jak jim dát přístup, aniž byste ohrozili bezpečnost celé firmy?

Podle studie Ponemon Institute je až 59 % bezpečnostních incidentů spojeno s třetími stranami – dodavateli, partnery nebo subdodavateli. Pro malou firmu s omezeným IT rozpočtem může jediný bezpečnostní incident znamenat existenční problém. V tomto článku vám ukážeme praktické kroky, jak ošetřit přístupy externích dodavatelů a chránit firemní data.

Proč je přístup externích dodavatelů rizikem

Když externímu dodavateli poskytnete přístup k firemním systémům, fakticky rozšiřujete plochu pro útok. Dodavatel může mít slabší zabezpečení než vaše firma. Může používat nezabezpečené zařízení, sdílet hesla mezi zaměstnanci nebo nemít aktualizovaný software.

Nejčastější rizika zahrnují:

• Sdílená hesla – dodavatel má administrátorský přístup a heslo koluje mezi jeho zaměstnanci
• Příliš široká oprávnění – účetní firma má přístup nejen k účetnímu systému, ale i k celé síti
• Nezabezpečené připojení – dodavatel se připojuje přes veřejnou wifi bez VPN
• Neukončené přístupy – bývalý dodavatel má stále aktivní účet ve vašem systému
• Chybějící logování – nevíte, kdo, kdy a kam se přihlásil

Z naší praxe v IT Doma víme, že právě neošetřené přístupy dodavatelů jsou jedním z nejčastějších problémů, které odhalíme při IT auditu.

5 kroků k bezpečné spolupráci s externími dodavateli

1. NDA a bezpečnostní smlouva

Než dodavateli udělíte jakýkoli přístup, měli byste mít podepsanou smlouvu o mlčenlivosti (NDA) a ideálně i bezpečnostní přílohu. Ta by měla definovat:

• Jaká data smí dodavatel zpracovávat
• Jak musí data chránit (šifrování, zabezpečení zařízení)
• Co se stane při bezpečnostním incidentu
• Povinnost oznámit únik dat do 24 hodin

Tento krok je důležitý i z pohledu GDPR – pokud dodavatel zpracovává osobní údaje, musíte mít smlouvu o zpracování osobních údajů.

2. Princip nejmenších oprávnění (Least Privilege)

Každý dodavatel by měl mít přístup pouze k tomu, co skutečně potřebuje. Účetní firma nepotřebuje administrátorský přístup k celé síti. Marketingová agentura nepotřebuje vidět firemní účetnictví.

V praxi to znamená:

• Vytvořit oddělené uživatelské účty s definovanými oprávněními
• Segmentovat síť – dodavatel má přístup jen do relevantní části
• Omezit přístup časově – pokud dodavatel pracuje jen v pondělí a středu, zablokujte přístup v ostatní dny
• Používat role-based access control (RBAC) tam, kde je to možné

3. Oddělené účty s dvoufaktorovým ověřením (MFA)

Nikdy nedávejte dodavateli přihlašovací údaje svého zaměstnance. Každý dodavatel musí mít vlastní pojmenovaný účet – ideálně ve formátu [email protected]. Díky tomu v logech přesně vidíte, kdo co udělal.

Dvoufaktorové ověření (MFA) je povinnost, ne volitelný bonus. Podle Microsoftu MFA zabrání 99,9 % automatizovaných útoků na účty. Implementace je přitom jednoduchá – aplikace jako Microsoft Authenticator nebo Google Authenticator jsou zdarma.

4. Logování a monitoring přístupů

Co neměříte, nemůžete řídit. U všech účtů dodavatelů byste měli mít zapnuté podrobné logování:

• Kdy se dodavatel přihlásil a odkud (IP adresa)
• K jakým souborům nebo systémům přistupoval
• Jaké změny provedl
• Kdy se odhlásil

Moderní nástroje pro správu IT umožňují nastavit automatické alerty – například upozornění, když se někdo přihlásí mimo pracovní dobu nebo z neobvyklé lokace. V IT Doma toto standardně nastavujeme v rámci služby správy IT pro naše klienty.

5. Pravidelný audit a revize přístupů

Přístupy dodavatelů nejsou „nastav a zapomeň”. Minimálně jednou za kvartál byste měli projít:

• Které účty dodavatelů jsou aktivní – potřebujete je všechny?
• Mají správná oprávnění – nezměnil se rozsah spolupráce?
• Funguje MFA na všech účtech?
• Jsou logy v pořádku – neobjevily se podezřelé aktivity?

Tip z praxe: Vytvořte si jednoduchý spreadsheet se seznamem všech dodavatelů, jejich přístupů a datem posledního auditu. Trvá to 30 minut a ušetří vám hodiny řešení problémů.

Co dělat, když spolupráce s dodavatelem končí

Ukončení spolupráce je z bezpečnostního pohledu stejně důležité jako její zahájení. Offboarding dodavatele by měl zahrnovat:

1. Okamžitá deaktivace všech účtů – nejpozději v den ukončení spolupráce
2. Změna sdílených hesel – pokud dodavatel znal hesla ke sdíleným službám
3. Odebrání VPN přístupů a certifikátů
4. Kontrola, zda dodavatel vymazal vaše data ze svých systémů
5. Archivace logů pro případ budoucích otázek

Praktické nástroje pro správu přístupů dodavatelů

Nemusíte investovat miliony do enterprise řešení. Pro malou firmu existují dostupné nástroje:

• Microsoft 365 + Azure AD – guest accounts s podmíněným přístupem
• Password manager (Bitwarden, 1Password) – sdílení hesel bez jejich odhalení
• VPN s uživatelskými certifikáty – bezpečné vzdálené připojení
• RMM nástroje (ESET PROTECT, NinjaOne) – monitoring a správa koncových zařízení

Podle doporučení NÚKIBu (Národní úřad pro kybernetickou a informační bezpečnost) by i malé firmy měly mít dokumentovaný proces řízení přístupů třetích stran, zejména v kontextu směrnice NIS2.

Nejčastější chyby, kterých se firmy dopouštějí

Z desítek IT auditů, které jsme v IT Doma provedli, vidíme opakující se vzorce:

1. Jeden administrátorský účet pro všechny – dodavatel i zaměstnanci sdílejí stejný admin účet
2. Hesla posílaná emailem – nešifrovaně, v čitelné podobě
3. Žádný offboarding – bývalý dodavatel má stále aktivní přístupy i měsíce po ukončení spolupráce
4. VPN bez MFA – stačí jméno a heslo pro přístup do celé firemní sítě
5. Chybějící smlouvy – dodavatel nemá podepsanou ani NDA

Často kladené otázky (FAQ)

Musí mít každý dodavatel podepsanou NDA?

Ano, pokud má přístup k jakýmkoli firemním datům nebo systémům. NDA chrání obě strany a je základním předpokladem profesionální spolupráce. U dodavatelů zpracovávajících osobní údaje je navíc povinná smlouva o zpracování dle GDPR.

Jak často bychom měli kontrolovat přístupy dodavatelů?

Doporučujeme minimálně jednou za 3 měsíce provést revizi všech aktivních účtů dodavatelů. Při ukončení spolupráce ihned. U dodavatelů s přístupem k citlivým datům (účetnictví, osobní údaje) ideálně měsíčně.

Co když dodavatel odmítne používat MFA?

Zvažte změnu dodavatele. Dodavatel, který odmítá základní bezpečnostní opatření, představuje pro vaši firmu nepřijatelné riziko. MFA je dnes standard, ne nadstandardní požadavek.

Vztahuje se NIS2 na spolupráci s dodavateli?

Ano. Směrnice NIS2 klade důraz na bezpečnost dodavatelského řetězce. I když vaše firma nemusí být přímo regulována NIS2, vaši odběratelé mohou vyžadovat splnění bezpečnostních standardů jako součást dodavatelského řetězce.

Kolik stojí implementace bezpečného řízení přístupů?

Pro malou firmu s 10–20 zaměstnanci se bavíme o nákladech řádově tisíce korun měsíčně. Oproti tomu průměrný náklad na bezpečnostní incident v malé firmě přesahuje 100 000 Kč. Prevence je vždy levnější než řešení následků.

Závěr – bezpečnost je sdílená odpovědnost

Spolupráce s externími dodavateli nemusí být bezpečnostní noční můra. Stačí dodržovat základní principy: jasné smlouvy, minimální oprávnění, oddělené účty s MFA, logování a pravidelné audity. Tyto kroky nevyžadují obrovské investice, ale mohou vaši firmu ochránit před vážnými bezpečnostními incidenty.

Potřebujete pomoci s nastavením bezpečného přístupu pro vaše dodavatele? Objednejte si bezplatný IT audit – zkontrolujeme vaše aktuální nastavení a navrhneme konkrétní vylepšení. Volejte 228 222 752 nebo nám napište.