Stačí jeden zaměstnanec, který omylem přepošle excel s databází klientů na soukromý e-mail, nebo si nahraje firemní ceník do soukromého cloudu „aby na něm mohl dělat z domova“ – a citlivá firemní data jsou venku. U malé firmy přitom nejde o teoretické riziko: nejčastější příčinou úniku dat není hacker, ale běžná lidská chyba. Prevence úniku firemních dat proto nestojí na jediném antiviru, ale na pravidlech, která ohlídají, kam smí citlivé informace putovat.

Dobrá zpráva je, že pokud už firma používá Microsoft 365, má nástroj na prevenci úniku firemních dat (DLP) prakticky po ruce. V tomto průvodci vysvětlíme, co DLP v Microsoft 365 je, jak funguje, jak ho nastavit krok za krokem a kdy se malé firmě vyplatí. Vycházíme z praxe nasazování zabezpečení Microsoft 365 u pražských malých a středních firem.

Co je DLP (Data Loss Prevention)

DLP, neboli Data Loss Prevention (prevence ztráty dat), je sada pravidel, která hlídají pohyb citlivých informací a brání jejich nechtěnému úniku z firmy. Funguje jako automatický strážce: sleduje e-maily, soubory a zprávy a zasáhne ve chvíli, kdy se někdo chystá poslat ven něco, co by ven jít nemělo.

Zjednodušeně řečeno – DLP rozpozná, že dokument obsahuje například rodná čísla, čísla platebních karet nebo zdravotní údaje, a podle nastavených pravidel takový přenos buď zablokuje, upozorní na něj uživatele, nebo událost jen tiše zaznamená pro správce. Cílem není zaměstnance špehovat, ale zabránit nákladnému omylu dřív, než nastane.

Jak únik firemních dat vzniká

Aby bylo jasné, proti čemu DLP chrání, podívejme se na typické scénáře z praxe malých firem. Většina z nich nemá nic společného se zlým úmyslem:

• E-mail omylem na špatného příjemce. Náš oblíbený „autocomplete“ doplní jiného Petra a smlouva i s cenovou kalkulací odejde konkurenci.
• Citlivá data na soukromý cloud. Zaměstnanec si nahraje databázi klientů na soukromý Disk Google nebo USB, aby na ní mohl pracovat doma.
• Odcházející zaměstnanec. Před výpovědí si „pro jistotu“ stáhne kontakty a nabídky, na kterých pracoval.
• Phishing a kompromitovaný účet. Útočník se dostane do schránky a hromadně z ní exfiltruje přílohy s osobními údaji.

Společným jmenovatelem je, že citlivá data opustí firmu nepozorovaně. DLP přidává vrstvu, která tyto odchody zachytí ještě dřív, než napáchají škodu – ať už finanční, reputační, nebo v podobě pokuty za porušení GDPR.

Jak DLP v Microsoft 365 funguje

DLP v Microsoft 365 je součástí platformy Microsoft Purview a chrání data napříč službami, které firma denně používá – Exchange (e-mail), SharePoint, OneDrive a Teams. Princip je u všech stejný a stojí na třech krocích.

Nejdřív DLP rozpozná citlivý obsah. Microsoft 365 obsahuje desítky předpřipravených typů citlivých informací – rozezná formát rodného čísla, čísla platební karty, čísla pasu i další osobní údaje. Když dokument nebo e-mail takový vzor obsahuje, DLP pravidlo se aktivuje.

Následně se vyhodnotí kontext: kdo data posílá, komu a kam. Pravidlo umí rozlišit interní příjemce od externích – jiný přístup zvolíte u kolegy v doméně firmy a jiný u adresáta na neznámé externí adrese.

Nakonec přijde akce. Podle závažnosti DLP přenos zablokuje, zobrazí uživateli upozornění s možností akci potvrdit (tzv. policy tip), zašifruje zprávu, nebo událost pouze zaznamená do reportu pro správce. Začít se vyplatí mírně – jen s upozorněními – a tvrdé blokování zapnout až po vyladění pravidel.

Co všechno DLP umí ochránit

DLP nepracuje s tím, jak se soubor jmenuje, ale s tím, co je uvnitř. Mezi typy citlivých dat, které dokáže pro českou firmu hlídat, patří:

• Osobní údaje (GDPR) – rodná čísla, čísla občanských průkazů a pasů, adresy, kontaktní údaje klientů.
• Finanční data – čísla platebních karet, bankovních účtů, údaje z výplatních pásek.
• Zdravotní a citlivé údaje – relevantní pro ordinace, kliniky a sociální služby.
• Obchodní tajemství – cenové kalkulace, smlouvy, databáze zákazníků, interní dokumentace.

U specifických dokumentů, které nemají typický formát (například konkrétní šablona smlouvy), lze využít vlastní klasifikaci nebo štítky citlivosti (sensitivity labels), které dokument „označí“ a DLP pak hlídá jeho pohyb na základě tohoto štítku.

Jak nastavit DLP v Microsoft 365 krok za krokem

Základní zprovoznění DLP zvládne firma s vhodnou licencí poměrně rychle. V praxi postupujeme takto:

1. Otevřete portál Microsoft Purview. DLP politiky se spravují v sekci Data Loss Prevention v rozhraní Microsoft Purview, nikoli v běžném administrátorském centru.
2. Zvolte šablonu pravidla. Microsoft nabízí hotové šablony, například pro ochranu osobních údajů odpovídající GDPR. Pro start je rozumné vyjít z předpřipravené šablony.
3. Vyberte rozsah. Určete, které služby pravidlo pokrývá – Exchange, SharePoint, OneDrive, Teams – a koho se týká (celá firma, nebo jen vybrané týmy).
4. Nastavte podmínky a akce. Definujte, co se má dít, když pravidlo zachytí citlivý obsah mířící ven – upozornění, blokování, šifrování, nebo jen záznam.
5. Spusťte v testovacím režimu. Začněte v režimu „pouze simulace“, abyste viděli, co by pravidlo zachytilo, aniž byste reálně blokovali práci zaměstnanců.
6. Vyhodnoťte a vylaďte. Po pár dnech zkontrolujte reporty, doladěte falešné poplachy a teprve poté zapněte ostré vynucování.

Klíčové je nezapnout hned od začátku tvrdé blokování všeho. Nejčastější cesta k frustraci zaměstnanců je DLP, které zablokuje běžnou pracovní komunikaci. Postupné zavádění od upozornění k blokování je proto v praxi nejspolehlivější.

Jakou licenci pro DLP potřebujete

Základní DLP pro e-mail (Exchange) a soubory v SharePointu a OneDrive je součástí už nižších plánů Microsoft 365. Pro plnohodnotnou ochranu, včetně DLP pro Teams a koncové stanice (Endpoint DLP), je ale potřeba licence Microsoft 365 Business Premium, případně plány E3/E5 u větších organizací.

Pokud zvažujete, jestli se vám vyšší licence vyplatí, pomůže srovnání, které jsme rozebrali v článku Microsoft 365 Business Premium vs Business Standard. Business Premium navíc přináší i další bezpečnostní nástroje, jako je Microsoft Defender for Business a centrální správa zařízení přes Microsoft Intune – DLP tak nestojí samo, ale je dílkem širší ochrany.

Kdy se DLP malé firmě vyplatí

Má smysl řešit hned, pokud: pracujete s osobními údaji klientů (e-shop, ordinace, advokátní či účetní kancelář), máte zaměstnance na home officu, používáte Microsoft 365 a chcete prokazatelně plnit povinnosti GDPR.

Může počkat, pokud: jste živnostník bez zaměstnanců a citlivá data prakticky neopouštějí váš počítač. I tehdy se ale vyplatí mít alespoň základní upozornění zapnutá – nastavení je dílem chvíle a riziko nestojí za ušetřený čas.

DLP je přitom přirozenou součástí modernějšího přístupu k bezpečnosti, který stojí na principu „nikomu automaticky nedůvěřuj“. Pokud vás zajímá širší rámec, popsali jsme ho v článku o Zero Trust pro malé firmy. Ruku v ruce s DLP jde i zabezpečení firemního e-mailu (SPF, DKIM, DMARC), protože většina úniků dat odchází právě e-mailem.

Časté chyby při zavádění DLP

Z praxe se u malých firem opakují tyto zádrhely:

• Příliš agresivní start. Firma rovnou zapne tvrdé blokování, zaměstnancům přestane fungovat běžná komunikace a DLP se po týdnu vypne. Postupné zavádění je nutnost.
• Žádné ladění falešných poplachů. Bez kontroly reportů a úprav pravidel generuje DLP šum, kterému správce přestane věnovat pozornost.
• Ochrana jen e-mailu. Data odcházejí i přes OneDrive, USB a Teams. DLP dává smysl nastavit napříč všemi kanály, ne jen pro poštu.
• DLP bez zbytku zabezpečení. Prevence úniku dat je jedna vrstva. Bez vícefaktorového ověření, správy zařízení a školení lidí zůstává firma zranitelná i tak.

Závěr: pravidla, která ohlídají vaše data

Prevence úniku firemních dat není luxus pro korporace, ale prakticky dostupný nástroj, který má každá firma s Microsoft 365 na dosah. DLP ohlídá, aby citlivé informace neopustily firmu nedopatřením, pomáhá plnit povinnosti GDPR a chrání to nejcennější, co malá firma má – důvěru klientů a vlastní know-how. Klíčem k úspěchu je nasadit ho postupně, od upozornění k blokování, a vyladit pravidla podle reality vaší firmy.

Nevíte, jak DLP ve své firmě správně nastavit, nebo si nejste jistí, jestli vaše licence Microsoft 365 ochranu dat vůbec umožňuje? Ozvěte se nám na bezplatný IT audit nebo zavolejte na 228 222 752 – projdeme spolu vaše prostředí a navrhneme ochranu dat, která vám reálně sníží riziko, ne produktivitu.

Často kladené otázky (FAQ)

Co je DLP v Microsoft 365 jednoduše řečeno?

DLP (Data Loss Prevention) je sada pravidel, která hlídají citlivá firemní data a brání jejich nechtěnému úniku. Když se někdo chystá poslat ven například rodné číslo nebo databázi klientů, DLP přenos zablokuje, upozorní na něj, nebo událost zaznamená pro správce.

Jakou licenci Microsoft 365 potřebuji pro DLP?

Základní DLP pro e-mail a soubory je už v nižších plánech, ale pro plnou ochranu včetně Teams a koncových stanic potřebujete Microsoft 365 Business Premium (u větších firem plány E3/E5). Business Premium obsahuje i Microsoft Purview, kde se DLP nastavuje.

Pomůže mi DLP s plněním GDPR?

Ano. DLP umí rozpoznat osobní údaje (rodná čísla, kontakty, čísla dokladů) a zabránit jejich úniku z firmy. Je to praktický technický nástroj, který doloží, že firma aktivně chrání osobní údaje, jak GDPR vyžaduje.

Bude DLP zaměstnancům blokovat běžnou práci?

Pokud se nasadí rozumně, ne. Doporučený postup je začít v testovacím režimu a s pouhými upozorněními, vyladit falešné poplachy a teprve poté zapnout blokování. Tak DLP chrání data, aniž by brzdilo běžnou komunikaci.

Chrání DLP jen e-mail, nebo i další služby?

DLP v Microsoft 365 chrání data napříč Exchange (e-mail), SharePointem, OneDrive i Teams a s licencí Business Premium také přímo koncové stanice (Endpoint DLP). Doporučujeme nastavit ho napříč všemi kanály, protože data odcházejí různými cestami.

---

Autor: tým IT Doma – specialisté na správu firemního IT a zabezpečení Microsoft 365 pro malé a střední firmy v Praze a okolí. Zdroje: oficiální dokumentace Microsoft Learn – Data Loss Prevention, Microsoft Purview a informace Úřadu pro ochranu osobních údajů k ochraně osobních údajů.