1. Prvních 60 minut rozhoduje: okamžitě zpomalte další odtok dat
Jakmile zaznamenáte neobvykle vysoký export z CRM, nečekejte na „potvrzení“ od uživatele. U interních incidentů platí, že čas je kritický: v praxi bývá největší objem dat stažen během prvních desítek minut až hodin po oznámení výpovědi. Cílem není panika, ale rychle snížit riziko a současně nezničit důkazy.
- Okamžitě deaktivujte exportní práva pro daný účet: CSV/XLSX exporty, API tokeny, integrace s automatickými synchronizacemi.
- Přepněte účet do režimu omezení, pokud to systém umí: read-only, blokace hromadných akcí, zákaz reportů.
- Vynuceně ukončete aktivní relace a resetujte přihlašovací tokeny, refresh tokeny i přístup přes SSO.
- Zkontrolujte přístup z domácích zařízení, pokud máte MDM nebo EDR; odpojte firemní synchronizační aplikace.
Pokud používáte CRM jako Salesforce, HubSpot, Dynamics 365 nebo Pipedrive, hledejte v administraci audit logy, exportní oprávnění a historii API volání. U řady systémů lze během pár minut vypnout konkrétní oprávnění bez toho, aby účet úplně zmizel z evidence. To je důležité: úplné smazání nebo „tichý“ zásah do účtu může zkomplikovat vyšetřování.
2. Nejdřív důkazy, potom zásah: co přesně logovat a archivovat
V případě podezření na úmyslné stahování dat je zásadní uchovat důkazy v použitelné podobě. Nestačí jen screenshot jednoho exportu. Potřebujete časovou osu, rozsah dat a technický kontext, aby bylo možné prokázat, co se stalo, kdy a odkud.
Uložte minimálně tyto informace:
- čas každého exportu, počet záznamů a typ souboru,
- IP adresu, zařízení, prohlížeč a přihlášení přes VPN nebo bez ní,
- auditní záznamy z CRM, včetně změn oprávnění a přístupů k reportům,
- logy z SSO, Google Workspace / Microsoft 365, případně z EDR/MDM,
- seznam exportovaných objektů: kontakty, obchodní případy, poznámky, přílohy, cenové nabídky, ticketing data.
Prakticky doporučuji exportovat logy do samostatného úložiště s omezeným přístupem a nastavit na ně retenční dobu alespoň 12 měsíců. Pokud incident řešíte s právníkem, bude se hodit i hash archivovaných souborů nebo forenzní kopie. U menších firem často stačí dobře vedená časová osa v kombinaci s audit logy z CRM a identity providera.
Nezapomeňte, že i běžné nástroje jako Microsoft Purview, Google Vault, Splunk nebo ELK stack mohou pomoci rychle potvrdit, zda šlo o jednorázový export, nebo o systematické stahování dat v dávkách.
3. Kde nastavit kontrolu: CRM, identita, zařízení i síť
Samotné CRM je jen jedna vrstva. Pokud má zaměstnanec přístup přes více kanálů, musí být obrana vícevrstvá. Nejčastější chyba firem je, že odpojí účet v CRM, ale zapomenou na API klíče, synchronizační pluginy nebo sdílené exporty v cloudu.
Kontrolní body v CRM
- zakázat hromadný export pro role, které ho nepotřebují,
- omezit export po počtu řádků nebo podle typu záznamu,
- zapnout upozornění na neobvyklé reporty a opakované exporty,
- oddělit práva na čtení dat od práv na úpravu a export.
Kontrolní body v identitě a zařízení
- vynutit MFA všude, kde to jde, ideálně s podmíněným přístupem,
- zrušit aktivní session cookies a OAuth tokeny,
- zablokovat synchronizaci na neřízených zařízeních,
- přes MDM/EDR zkontrolovat lokální cache a cloudové synchronizace.
V praxi se osvědčuje nastavit pravidlo: každý export nad určitou hranici, například 500 nebo 1 000 záznamů za krátký interval, generuje alert do bezpečnostního kanálu. Ve firmách s vyšší citlivostí dat je vhodné sledovat i objem exportovaných příloh nebo nově vytvořených reportů. Pokud máte SIEM, připojte do něj signály z CRM, IdP a endpointů, aby bylo vidět, zda export neprobíhá současně z více systémů.
4. Kdy jde o bezpečnostní incident a kdy už o právní problém
Masové stahování dat po výpovědi nemusí být automaticky trestný čin, ale je to silný varovný signál. Rozhoduje, zda zaměstnanec exportoval data oprávněně v rámci práce, nebo je stahoval nad rámec své role, opakovaně a bez legitimního důvodu. V tu chvíli už nejde jen o HR problém.
Zapojte právníka nebo DPO, pokud vidíte alespoň jeden z těchto znaků:
- export probíhá po oznámení výpovědi nebo bezprostředně před odchodem,
- objem dat výrazně převyšuje běžnou pracovní potřebu,
- dochází ke stahování kontaktů, cen, obchodních strategií nebo citlivých poznámek,
- zaměstnanec používá osobní cloud, externí disk nebo neautorizovaný e-mail,
- jsou patrné pokusy skrýt aktivitu, například mazání historie nebo obcházení limitů.
U osobních údajů navíc vstupuje do hry GDPR. Pokud existuje riziko úniku dat, musíte posoudit, zda jde o bezpečnostní incident s dopadem na subjekty údajů. V některých situacích může být nutné incident zdokumentovat a vyhodnotit i z pohledu oznamovací povinnosti. Interně mějte připravený postup, kdo rozhoduje, kdo komunikuje a kdo vede dokumentaci. Zmatek v prvních hodinách je drahý.
5. Jak incident vyšetřit bez chaosu a bez zbytečného poškození firmy
Vyšetřování by mělo být strukturované, ne emotivní. Cílem není „nachytat viníka“, ale zjistit rozsah škody a zabránit dalšímu úniku. V ideálním případě pracujte se čtyřmi otázkami: co bylo staženo, odkud, kdy a kam to mohlo odejít.
Postupujte takto:
- porovnejte exportní logy s pracovní náplní a posledními úkoly zaměstnance,
- zjistěte, zda byly staženy pouze kontakty, nebo i poznámky, obchodní historie a přílohy,
- zkontrolujte, zda došlo k přenosu na osobní úložiště, USB, e-mail nebo messenger,
- vyhodnoťte, zda byly exporty manuální, nebo automatizované skriptem či API.
V menších týmech často stačí kombinace CRM audit logu, cloudového auditu a krátkého interního interview. Ve větších organizacích už dává smysl forenzní analýza endpointu. Pokud zjistíte, že šlo o automatizované stahování, sledujte i frekvenci requestů a user-agent, protože to může ukázat na custom skript nebo integraci mimo standardní procesy.
Dobrá praxe je vytvořit interní incidentní šablonu: datum, uživatel, systém, rozsah exportu, riziko, přijatá opatření, odpovědná osoba a další kroky. Tím se zrychlí předání mezi IT, HR, právníkem a managementem.
6. Jak tomu příště zabránit: technická i procesní opatření
Prevence je levnější než dohánění škod. Když firma nemá nastavená pravidla pro offboarding a práci s citlivými daty, bývá výpověď nejrizikovější okamžik celého pracovního vztahu. Základ je kombinace techniky, procesu a školení.
- Offboarding checklist: v den výpovědi odebrat exportní práva, API klíče, přístupy do cloudu a sdílené disky.
- Role-based access: každý vidí jen to, co skutečně potřebuje pro svou práci.
- Data loss prevention: nastavte pravidla pro export citlivých dat a upozornění na hromadné kopírování.
- Audit a alerting: sledujte počet exportů, objem dat a neobvyklé vzory chování.
- Školení managerů a HR: při výpovědi automaticky informovat IT a bezpečnostní tým.
Pokud používáte moderní CRM, vyplatí se investovat i do detailnějších oprávnění: například oddělit export kontaktů od exportu obchodních příležitostí a příloh. U citlivějších firem pomáhá i princip dvojí kontroly při hromadných exportech, kdy musí akci schválit nadřízený nebo administrátor. To je malá změna v UX, ale výrazně snižuje riziko zneužití.
Firmy, které mají jasně nastavené logování, podmíněný přístup a rychlý offboarding, dokážou většinu podobných incidentů zastavit v řádu minut. A právě to je rozdíl mezi nepříjemnou událostí a reálnou ztrátou obchodního know-how, klientské báze nebo reputace.
