1. Nejdřív si ujasněte, jaká data do cloudu skutečně patří
Základní chyba firem bývá, že do cloudu přesouvají data bez klasifikace. Přitom jiný režim potřebuje veřejný marketingový obsah, jiný zákaznické kontakty a úplně jiný citlivé údaje jako fakturační data, historii objednávek nebo zdravotní informace. Praktický první krok je rozdělit data alespoň do tří úrovní: veřejná, interní a citlivá.
Pro každou kategorii si určete, kde může být uložena, kdo k ní má přístup, jak dlouho se uchovává a zda smí být zpracovávána mimo EU. Tohle není jen administrativní cvičení. Pokud například zákaznický servis používá cloudový CRM systém, je důležité vědět, zda v něm končí i rodná čísla, scan dokladů nebo platební údaje. Právě tady vzniká nejvíc problémů při incidentu i při kontrole souladu s GDPR.
Užitečný je jednoduchý datový inventář. Stačí tabulka s poli: název datové sady, vlastník, účel zpracování, typy údajů, umístění, doba uchování, přístupové role a rizikovost. Firmy, které inventář pravidelně aktualizují, obvykle zvládají bezpečnostní incidenty výrazně rychleji než ty, které „neví, co kde mají“.
2. Vyberte cloud podle bezpečnosti, ne jen podle ceny
Při výběru poskytovatele se nesoustřeďte pouze na úložiště, cenu za uživatele nebo známou značku. Důležitější je, jaké bezpečnostní a právní garance cloud nabízí. Minimem by mělo být šifrování dat v klidu i během přenosu, možnost správy přístupových rolí, auditní logy, dvoufaktorové ověření a jasně definované podmínky zpracování dat.
V praxi si prověřte, zda poskytovatel nabízí:
- umístění dat v EU nebo možnost volby regionu,
- DPA (Data Processing Agreement),
- SOC 2, ISO 27001 nebo podobné bezpečnostní certifikace,
- detailní logování přístupů a změn,
- možnost exportu dat při ukončení služby,
- jasně popsané podmínky subdodavatelů a přenosů mimo EU.
Například u SaaS nástrojů pro zákaznickou podporu nebo e-mail marketing se často stává, že data nejsou primárně ukládána tam, kde firma čeká. Pokud má poskytovatel infrastrukturu v USA, je nutné řešit smluvní a technická opatření včetně posouzení přenosu dat podle GDPR. Bez toho může být i jinak „bezpečný“ nástroj právně problematický.
Dobrá praxe je provést krátké vendor security assessment: vyžádat si bezpečnostní dokumentaci, podmínky zpracování dat, seznam subprocesorů a postupy při incidentu. U větších firem je standardem i interní schvalovací proces pro nové cloudové aplikace, aby se nestávalo, že si jednotlivá oddělení pořizují nástroje bez kontroly IT nebo právního oddělení.
3. Přístupy nastavte podle principu nejmenších oprávnění
Největší bezpečnostní riziko v cloudu nebývá samotný provider, ale špatně nastavené účty. V praxi stále vídáme situace, kdy má ke všem zákaznickým datům přístup desítka lidí, včetně externistů, nebo kdy je sdílené přihlášení na oddělení. To je z pohledu bezpečnosti i odpovědnosti neudržitelné.
Správný model je postavený na principu least privilege, tedy nejmenších oprávnění. Každý uživatel má mít pouze přístup k tomu, co skutečně potřebuje. Administrátorská práva by měla být oddělená od běžné práce a ideálně chráněná přes MFA (vícefaktorové ověření). U citlivých systémů je vhodné zavést i SSO přes firemní identitu, aby bylo možné okamžitě deaktivovat přístupy při odchodu zaměstnance.
Praktické minimum pro menší firmu:
- povinné MFA pro všechny účty s přístupem k zákaznickým datům,
- zakázané sdílené účty,
- role rozdělené podle agendy, ne podle „komfortu“,
- pravidelná revize přístupů alespoň jednou za čtvrtletí,
- automatické odstraňování neaktivních účtů po 30–90 dnech.
U firem s vyšší mírou citlivosti se vyplatí zavést i PAM (Privileged Access Management), tedy řízení privilegovaných účtů. To pomáhá omezit zneužití administrátorských práv a zároveň poskytuje auditní stopu, kdo co v systému dělal. Pokud používáte například cloudové úložiště, CRM a helpdesk, měla by mít každá služba samostatně definované role a logování, nikoli univerzální „superadmin“ účet.
4. Šifrování, zálohy a logy nejsou doplněk, ale základ
Bez šifrování a záloh je cloud jen pohodlnější forma rizika. Data by měla být šifrována při přenosu pomocí TLS 1.2+ a u citlivých informací i v klidu na disku. U některých typů dat je vhodné zvážit i client-side encryption, kdy má klíč k datům pouze firma, ne poskytovatel služby. To ale zvyšuje nároky na správu klíčů a obnovu dat.
Velmi důležité je řízení klíčů. Pokud cloud umožňuje vlastní správu klíčů přes KMS nebo BYOK (Bring Your Own Key), získáváte větší kontrolu nad daty i nad tím, kdo je může číst. U některých regulovaných odvětví je to prakticky nutnost. Stejně důležité je pravidelné testování obnovy ze záloh. Záloha, kterou nikdo nezkusil obnovit, je spíš dobrý pocit než skutečná ochrana.
V praxi doporučuji pravidlo 3-2-1: tři kopie dat, na dvou různých médiích, jedna mimo primární prostředí. U cloudových služeb to znamená například hlavní produkční data, samostatnou zálohu v jiném regionu a offline nebo neměnné úložiště pro krizové scénáře. Proti ransomwaru je velmi účinné i immutable storage, kdy nelze zálohu po určitou dobu smazat ani přepsat.
Logování je další podceňovaná oblast. Je potřeba sledovat přístupy, exporty dat, změny oprávnění, mazání záznamů a neobvyklé chování účtů. U menších firem může stačit napojení na SIEM nebo alespoň alerty z cloudové platformy. Důležité je mít definované, kdo logy kontroluje a jak dlouho se uchovávají. Bez toho je auditní stopa k ničemu.
5. GDPR, smlouvy a incident response si připravte předem
Ochrana dat v cloudu není jen o technice. Z právního hlediska musíte mít jasně ošetřené, kdo je správce, kdo zpracovatel a jaké jsou podmínky zpracování. U cloudových služeb je standardem uzavřít zpracovatelskou smlouvu, která definuje bezpečnostní opatření, subdodavatele, dobu uchování i postup při incidentu.
Pokud cloudový nástroj přenáší data mimo EU, je potřeba ověřit právní mechanismus přenosu a posoudit rizika. To se týká zejména amerických poskytovatelů. Nepodceňujte ani dokumentaci pro interní účely: záznamy o činnostech zpracování, posouzení vlivu na ochranu osobních údajů DPIA u rizikovějších operací a jasně popsaný postup pro oznamování incidentů.
Incident response plán by měl obsahovat alespoň:
- kdo vyhodnocuje incident a do jaké lhůty,
- jak se izoluje kompromitovaný účet nebo služba,
- kdo komunikuje se zákazníky a úřady,
- jak se uchovají důkazy a logy,
- jak probíhá obnova provozu a kontrola integrity dat.
V GDPR je zásadní čas. Pokud dojde k úniku osobních údajů, firma musí incident často vyhodnotit velmi rychle a v některých případech informovat dozorový úřad do 72 hodin. Bez předem připraveného plánu se tato lhůta snadno promrhá jen hledáním informací a odpovědných osob.
6. Bezpečnost cloudu je proces, ne jednorázové nastavení
Cloudové prostředí se mění rychle: přibývají nové aplikace, integrace, zaměstnanci i externí partneři. Proto nestačí jednorázově „nastavit bezpečnost“ a dál to neřešit. Ochrana dat zákazníků musí být součástí provozního rytmu firmy. Ideální je měsíční kontrola přístupů, kvartální revize rizik a roční audit dodavatelů i politik.
Velmi efektivní je kombinovat technická opatření s pravidelným školením lidí. I dobře zabezpečený cloud selže, když zaměstnanec pošle export zákaznické databáze přes osobní e-mail nebo uloží přihlašovací údaje do sdíleného dokumentu. Školení by mělo být konkrétní: jak poznat phishing, jak pracovat s citlivými daty, kdy používat schválené úložiště a jak hlásit podezřelé události.
Firmy, které chtějí mít v ochraně dat dlouhodobě pořádek, si často vytvářejí jednoduchý bezpečnostní checklist pro nové cloudové nástroje. Obsahuje například kontrolu lokace dat, šifrování, MFA, smluvní dokumentaci, logování, zálohy a postup při ukončení služby. Díky tomu se z bezpečnosti nestává brzda inovací, ale běžná součást rozhodování.
Pokud chcete ochranu zákaznických dat v cloudu skutečně zvládnout, držte se jedné zásady: každá služba musí mít jasného vlastníka, jasný účel, jasná oprávnění a jasný plán pro případ problému. Teprve tehdy je cloud přínosem, ne skrytým bezpečnostním dluhem.
