Bezpečné používání veřejných cloudových služeb pro malé firmy
V době, kdy digitalizace a práce na dálku patří mezi běžné prvky firemního života, se veřejný cloud stal klíčovou technologií i pro malé a střední podniky (SMB). Nabízí škálovatelnost, flexibilitu a úsporu nákladů, ale zároveň s ním přicházejí zásadní bezpečnostní a právní nástrahy. Jak tedy zůstat v cloudu v bezpečí?
Proč cloud láká malé firmy
- Nízké vstupní náklady a žádné investice do hardware – místo investice do serverů, datacenter a správy IT lze využít služby poskytovatelů cloudu. To je zvlášť výhodné pro malé firmy s omezeným rozpočtem.
- Flexibilita a škálovatelnost – veřejné cloudové služby umožňují firmám platit pouze za to, co aktuálně potřebují. Kapacitu lze různě rozšiřovat nebo zmenšovat podle momentálních požadavků.
- Zálohování a obnova po havárii – cloud umožňuje jednoduchou zálohu a obnovu dat. To výrazně zvyšuje odolnost proti výpadkům, poruchám hardware či jiným rizikům.
- Přístup odkudkoli – díky internetu mají zaměstnanci přístup k datům a aplikacím i mimo kancelář. To je klíčové pro práci na dálku a moderní formy spolupráce.
- Lehčí správa IT – malé firmy často nemají vlastní IT oddělení, a přesto získají automatické aktualizace, monitoring a jednoduchou administraci.
Nejčastější rizika, která hrozí
Ačkoli veřejný cloud přináší řadu výhod, malé firmy často podceňují bezpečnostní nastavení a provozní rizika. Mnoho incidentů nevzniká kvůli poskytovateli cloudu, ale kvůli špatné konfiguraci, slabým heslům nebo nejasným procesům uvnitř firmy. Níže jsou nejčastější hrozby, které se podle Wiz a Avastu objevují nejvíce.
1) Nesprávné zabezpečení dat
Pro mnoho malých firem je cloud primárně úložiště. To zároveň znamená, že chybná konfigurace může vést k úniku citlivých informací. Typickou chybou je neaktivní šifrování „data at rest“ nebo slabá správa klíčů.
Pokud data nejsou šifrovaná, útočník se k nim může snadno dostat v případě prolomení účtu nebo napadení zařízení. SMB často používají výchozí nastavení (tzv. default allow), která mohou být otevřenější, než si myslí.
Problémem je také nejasnost ohledně toho, kdo má přístup k datům v rámci cloudového poskytovatele. Některé firmy neřeší možnost mít vlastní šifrovací klíče (BYOK/BYOE), které by zajistily, že data dokáže dešifrovat pouze zákazník.
Reálný příklad: Otevřené a veřejně přístupné „bucket“ úložiště na AWS nebo Google Cloud obsahovalo stovky tisíc citlivých dokumentů jen kvůli špatné konfiguraci.
2) Špatně nastavená oprávnění a přístupy (nejčastější příčina útoků)
Jedno slabé heslo často stačí ke kompromitaci celého systému. Mnoho malých a středních podniků stále používá jediný administrátorský účet, který má přístup úplně ke všemu. Pokud se útočník dostane k heslu takového účtu (phishingem, keyloggerem, podvodem), získá kontrolu nad celým cloudovým prostředím.
Firmy často neimplementují princip minimálních oprávnění (PoLP) – účet juniorního zaměstnance může mít stejné pravomoci jako technický manažer. Chybí vícefaktorové ověření (MFA), které by prolomení účtu výrazně ztížilo nebo přehled o tom, kdo má přístup, k jakým datům. Zaměstnanci tak mohou vidět informace, které vůbec nepotřebují.
Reálný příklad: útočníci se dostanou k firemním dokumentům přes účet stážisty, který měl omylem přístup do produkční databáze.
3) Nedostatečný monitoring, logování a reakce na incidenty
Cloud je bezpečný jen tehdy, pokud je správně nastavený a průběžně sledovaný. SMB ale často monitoring vůbec neřeší, nebo jen velmi omezeně.
Bez logů nelze odhalit neobvyklé přístupy, změny konfigurace ani pokusy o útok. Incident tak může probíhat několik týdnů, aniž by si toho někdo všiml.
Spousta malých firem nesleduje ani základní věci, jako je přihlášení z neobvyklých zemí, hromadné mazání dat nebo podezřelé API požadavky. V cloudových službách sice existuje automatický audit, ale je potřeba jej aktivovat nebo správně nastavit.
Reálný příklad: Hacker se měsíc pohybuje v cloudu malého e-shopu, sleduje fakturační údaje a sbírá osobní data. Vše bez povšimnutí, protože nikdo nesledoval logy.
4) Nesoulad s legislativou a GDPR
Při práci s veřejným cloudem musí malé firmy řešit nejen technické, ale i právní riziko. Pro mnoho SMB je GDPR stále komplikovaným tématem.
Pokud firma ukládá osobní údaje mimo EU, může to znamenat nesoulad s GDPR (např. nesprávné využití amerických služeb bez adekvátních záruk). Firmy také často neuzavírají zpracovatelské smlouvy (DPA) nebo používají neaktuální verze. Není jasné, kdo je správcem a kdo zpracovatelem dat.
Mnoho společností navíc často netuší, že musí mít zdokumentovaný tok dat – tzv. datovou mapu. To je obzvlášť důležité u cloudových služeb typu SaaS, kde data putují mezi více systémy a poskytovateli.
Reálný příklad: Malá firma používá SaaS aplikaci pro správu zákazníků, která data ukládá v USA bez vhodných právních záruk. Při kontrole může dostat pokutu.
5) Ztráta kontroly nad daty a vendor lock-in (závislost na poskytovateli)
Migrace do cloudu je snadná, ale migrace z cloudu může být velmi složitá a drahá. Někteří poskytovatelé zpoplatňují export dat nebo ho technicky komplikují (např. proprietární formáty databází).
Přesun mezi platformami (AWS → Azure, Google Cloud → on-premise) může znamenat nutnost přepsat část aplikace nebo kompletně změnit architekturu. Firmy často nemají plán ukončení služby (tzv. exit plan).
Pokud se poskytovatel rozhodne změnit ceny, produkty nebo datové lokality, malá firma je často nucena „přizpůsobit se“.
Reálný příklad: Firma využívala proprietární cloudovou databázi. Když služba zdražila, nebyla schopna systém jednoduše přenést jinam.
6) Neexistence nebo chybné nastavení záloh
Jedna z nejrozšířenějších iluzí: „Když je to v cloudu, je to zálohované.“ Ve skutečnosti cloud zajišťuje dostupnost dat, nikoli jejich zálohování. Cloudová úložiště často jen synchronizují data. Pokud někdo omylem smaže soubor, smaže se všude.
Firmy nemají vícevrstvou strategii typu 3-2-1 (3 kopie, 2 různá úložiště, 1 mimo primární prostředí). V případě ransomware útoku nebo lidské chyby může dojít ke ztrátě velké části dat. Obnova dat pak může trvat dny a může být velmi drahá, pokud firma nemá definované cíle RTO/RPO (jak rychle potřebují obnovit systém a kolik dat mohou ztratit).
Reálný příklad: zaměstnanec smaže databázi e-shopu, která se synchronizovala bez záloh – firma ztratí všechny objednávky.
7) Lidská chyba (nejslabší článek celého systému)
Podle většiny bezpečnostních studií je až 80 % incidentů způsobeno člověkem (špatné chování, omyly nebo nezkušenost). Zaměstnanci často používají stejné heslo pro více služeb, případně slabé vzory typu „Firma2024“. Část firem navíc stále sdílí hesla mezi kolegy (např. jeden login k firemnímu úložišti).
Pokud není jasně nastavená politika přístupů, může zaměstnanec nechtěně zveřejnit interní dokumenty. Vysoce rizikové je také používání cloudu na veřejných Wi-Fi sítích. Školení bezpečnosti často neexistují nebo jsou roky stará.
Reálný příklad: Zaměstnanec uloží dokumenty se zákaznickými údaji do osobního nešifrovaného cloudového úložiště.
Jak rizika minimalizovat
Bezpečnost v cloudu není jen o technologiích. Je to kombinace správných procesů, přístupů a průběžného řízení rizik. Výzkumy ukazují, že i malé firmy mohou cloud využívat bezpečně – pokud přistoupí ke správě bezpečnosti systematicky a zodpovědně.
Zde je doporučený rámec opatření:
- Zvolte prověřeného poskytovatele a ověřte certifikace – hledejte poskytovatele cloudových služeb, kteří splňují mezinárodní standardy pro bezpečnost, např. ISO/IEC 27017 (doplněk k ISO 27002 šitý pro cloudové prostředí).
- Používejte silné šifrování a vlastní správy klíčů – ideálně setup s vlastním šifrováním dat („Bring Your Own Encryption / Key“). To znamená, že jen vaše firma má přístup k šifrovacím klíčům, ne poskytovatel.
- Nastavte řízení přístupů a role uživatelů – každému zaměstnanci či externistovi přidělujte pouze nezbytná práva a privilegované účty omezeně.
- Zaveďte zásady interní bezpečnosti a školení zaměstnanců – nezapomínejte, že lidé jsou nejslabším článkem bezpečnostní řetězce. I základní školení o bezpečném chování, správa hesel nebo povědomí o rizicích cloudových služeb je důležité.
- Pravidelné zálohování, audit a monitoring – i když je data v cloudu, firma by měla mít strategii pro zálohy, obnovu po havárii, pravidelné kontroly konfigurací a logování přístupů.
- Zvážit hybridní nebo multi-cloud přístup – není nutné umístit vše do veřejného cloudu. Citlivá data můžete držet lokálně nebo v privátním cloudu, zatímco méně citlivé úlohy běží veřejně. Tím snížíte riziko závislosti na jednom dodavateli a omezíte potenciální dopad incidentu.
Právní a regulační aspekty pro české firmy
Veřejné cloudové služby stále spadají do rámce regulací pro ochranu osobních údajů a kybernetické bezpečnosti. Pro firmy v EU je zásadní, aby zohlednily, zda poskytovatel splňuje požadavky na ochranu dat, píše web GDPR.
Dokumenty, jako navrhovaná cloudová vyhláška v ČR, definují bezpečnostní požadavky pro poskytovatele. A i když se primárně vztahují na veřejný sektor, naznačují směr, kterým by se měly ubírat i soukromé firmy.
Pro firmy, které zpracovávají osobní údaje nebo citlivé informace klientů, je dobré kontrolovat, zda poskytovatel cloudových služeb dodržuje standardy pro ochranu dat a transparentní smluvní podmínky.
Cloud ano, ale s rozmyslem
Veřejný cloud má pro malé firmy řadu výhod. Je efektivní, škálovatelný a umožňuje flexibilní práci bez velkých investic do vlastního hardware. Zároveň však přináší bezpečnostní, provozní i právní výzvy, které není možné ignorovat.
Pokud malá firma pečlivě vybírá poskytovatele (s odpovídajícími certifikacemi), používá šifrování a správu klíčů, nastaví role a přístupy, vzdělává zaměstnance a pravidelně audituje a monitoruje své prostředí, může být veřejný cloud velmi bezpečným a silným nástrojem pro každodenní provoz.
V českém prostředí navíc existují lokální poskytovatelé, kteří přinášejí malým firmám další výhodu – data uložená v Česku, rychlou technickou podporu a jasně dané právní prostředí.
ZonerCloud provozuje své cloudové a dedikované servery přímo v tuzemských datacentrech. Díky tomu zůstávají firemní data na území ČR, což je pro mnoho SMB důležité kvůli GDPR i nižší latenci. Zákazníci zároveň získávají podporu moderních bezpečnostních standardů, pravidelné zálohy a technickou podporu, která je dostupná v češtině.
CZECHIA.COM zase poskytuje dlouhodobě stabilní hosting, registraci domén a správu webů. Služby jsou postavené na infrastruktuře provozované v ČR, s důrazem na dostupnost, SLA a bezpečnost. Pro malé firmy, které chtějí spolehlivý webhosting nebo provoz firemního webu v souladu s českými právními předpisy, je to praktická volba.
