Druhý díl série o životním cyklu zaměstnance v IT. V prvním dílu jsme řešili onboarding a co má být připravené, než zaměstnanec přijde. Dneska se podíváme na to, co následuje: jaké přístupy mu dát, jak to udělat bezpečně a proč "radši víc než míň" je nejdražší přístup, jaký si firma může zvolit.
Dva extrémy, mezi kterými se firmy pohybují
Když přijdu k novému klientovi a začneme procházet, kdo má kam přístup, vidím obvykle jeden ze dvou extrémů.
Extrém první — všichni mají všechno. Sdílený disk je otevřený celé firmě. Účetnictví vidí marketing. Marketing vidí mzdy. Brigádník má přístup do CRM, kde jsou kontakty na všechny klienty. Argumentace bývá: "U nás je to rodinná firma, věříme si." Tahle logika ovšem padá v okamžiku, kdy někdo odejde, dostane phishingový e-mail, nebo si firma rozšíří tým a "rodinný" pocit přestane platit.
Extrém druhý — chaos podle toho, kdo zrovna co potřeboval. Jana z marketingu má přístup do účetního systému, protože před půl rokem zaskakovala za nemocnou kolegyni. Nikdo si nepamatuje, kdo proč co má, a nikdo to nikdy nezrevidoval. Tohle je častější varianta a z bezpečnostního hlediska možná ještě horší — protože tady se ani neví, co se kontroluje.
Mezi těmihle extrémy je rozumný střed, který se jmenuje princip nejmenších oprávnění. Zní to formálně, ale je to jednoduché: každý má přístup jen k tomu, co reálně potřebuje pro svou práci. Nic víc.
Princip nejmenších oprávnění prakticky
V praxi to neznamená, že strávíte tři dny vymýšlením matice oprávnění pro každého zaměstnance zvlášť. Funkční přístup vypadá takhle:
Definujete si role, ne lidi. Účetní, obchodník, skladník, marketing, vedení. Každá role má jasně daný seznam systémů a úrovní přístupu — kdo vidí co a co může měnit. Nový zaměstnanec dostane přístupy podle své role, ne podle toho, co kdo zrovna napadne.
Sdílené složky a disky mají strukturu, která respektuje role. Není jeden velký disk "Firma", kde je všechno. Je tam "Účetnictví" (vidí účetní a vedení), "Obchod" (vidí obchodníci), "Veřejné" (vidí všichni). Princip platí stejně pro Microsoft 365, Google Workspace, Nextcloud, sdílený disk na firemním serveru — princip je univerzální.
Výjimky se řeší jako výjimky. Když Jana z marketingu má opravdu zaskočit za účetní, dostane přístup dočasně — s tím, že se za měsíc zkontroluje, jestli ho ještě stále potřebuje.
Jednou za rok revize. Sednete si s vedoucími, projedete, kdo má co, a zrušíte přístupy, které nikdo nepotřebuje. Trvá to půl dne a uleví to firmě jak po stránce bezpečnosti, tak na nákladech za licence.
Hesla — bolavé místo většiny firem
Tohle je téma, u kterého se majitelé firem často chytají za hlavu, když jim ukážu realitu. Standardní stav vypadá nějak takhle:
Heslo do firemního e-mailu má každý jiné a ví ho jen on. Heslo do účetního systému znají tři lidé a je napsané na lístečku v šuplíku. Heslo do CRM znají všichni obchodníci, je to "Firma2019" a nikdo ho od té doby nezměnil. Heslo do administrace webu zná externí marketingová agentura a bývalý zaměstnanec, který odešel před rokem.
Tohle není anomálie. Tohle je normální stav v drtivé většině malých a středních firem.
Řešení existuje a jmenuje se password manager — aplikace, která spravuje hesla bezpečně, sdílí je mezi oprávněnými lidmi a synchronizuje napříč zařízeními. Každý zaměstnanec má svůj účet, hesla generuje password manager (silná, unikátní, nepoužívá je nikde jinde), a sdílení v týmu funguje přes sdílené trezory podle rolí.
Možností je víc — Bitwarden, 1Password, Keeper, NordPass — fungují podobně, liší se cenou a malými detaily. U klientů obvykle nasazujeme to, co dává smysl pro velikost a způsob práce. Důležitější než výběr konkrétního nástroje je samotný fakt, že firma password manager má a používá ho.
Vícefaktorové ověření jako standard
Jestli si z tohohle článku máte odnést jednu jedinou věc, tak tuhle: MFA (vícefaktorové ověření) musí mít každý účet, ze kterého se přistupuje k firemním datům. E-mail, sdílené disky, VPN, účetnictví, CRM, administrace webu, všechno.
MFA znamená, že kromě hesla potřebujete druhý faktor — typicky kód z mobilní aplikace (Microsoft Authenticator, Google Authenticator) nebo potvrzení na telefonu. I když útočník získá heslo (a věřte mi, hesla unikají pořád), bez druhého faktoru se nikam nedostane.
SMS jako druhý faktor je lepší než nic, ale není to ideální — SMS lze odposlouchávat a existují SIM swap útoky. Aplikace na telefonu je tedy lepší volbou než standardní SMS.
Argumentace "ale to je obtěžující, zaměstnanci se budou bouřit" obvykle odpadá po prvním ransomware útoku v okolí. Pár MFA potvrzení denně je směšně malá cena za to, před čím vás MFA chrání.
Co s administrátorskými účty
Speciální kategorie. Účty, které mají právo měnit nastavení systémů, vytvářet další uživatele, přidělovat oprávnění. Často tyhle účty mívají IT správci, ale taky někdy majitelé firmy "pro jistotu".
Pravidla jsou jednoduchá:
Administrátorský účet se nepoužívá pro běžnou práci. Když já jako správce potřebuji odpovědět na e-mail, používám svůj normální účet. Administrátorský účet otevírám jen tehdy, když opravdu něco spravuji. Tohle dramaticky snižuje šanci, že se útočník dostane k administrátorským právům přes phishing nebo malware.
Administrátorské účty mají silnější MFA a komplexnější hesla.
Administrátorské účty se logují — každá akce administrátora je zaznamenaná. Když se něco stane, je dohledatelné, kdo co udělal a kdy.
Administrátorský přístup nemá víc lidí, než je nezbytně nutné. Často stačí jeden hlavní správce a jeden záložní pro případ, že hlavní není dostupný.
Praktický minimální standard pro malé firmy
Když to mám shrnout do něčeho, co by měla mít každá firma do třiceti zaměstnanců:
Definované role a podle nich nastavené přístupy do hlavních systémů. Password manager pro celou firmu, ne jen pro IT. MFA na každém účtu, který jde dovnitř firemních dat. Administrátorské účty oddělené od běžných. Roční revize, kdo má co a jestli to ještě potřebuje.
Tohle není nic, co by vyžadovalo velký rozpočet nebo komplikovanou infrastrukturu. Vyžaduje to jen rozhodnutí, že se to udělá pořádně, a někoho, kdo to nastaví a bude udržovat.
Závěr
Přístupy a hesla nejsou IT témata — jsou to firemní témata. Pokud je neřešíte, dřív nebo později to skončí únikem dat, problémem při GDPR auditu, nebo nepříjemným překvapením, až někdo odejde a zjistíte, že měl přístupy, o kterých jste netušili.
V rámci správy IT tohle u klientů řeším standardně — nastavení rolí a oprávnění, zavedení password manageru, nasazení MFA, revize stávajícího stavu. Pokud máte pocit, že u vás je v přístupech bordel a nikdo neví, kdo má kam dosah, ozvěte se přes impactit.cz. Začínáme obvykle bezpečnostním auditem, který přesně ukáže, kde jsou díry.
V příštím dílu se podíváme na to, co se má dít, když zaměstnanec mění roli, oddělení nebo jde na delší pauzu — protože přístupy nejsou jen o nástupu a odchodu, ale taky o všem mezi tím.