Řízení bezpečného vzdáleného přístupu a VPN pro NIS2 a DORA
V pondělí v 07:42 ráno dostává Maria, CISO rychle rostoucího poskytovatele FinTech SaaS, ještě před kávou tři zprávy.
První je ze SOC: účet VPN patřící pracovníkovi podpory se úspěšně autentizoval ze země, ve které společnost nemá žádné zaměstnance. Druhá je od obchodního týmu: zákazník z finančních služeb požaduje důkazy, že veškerý privilegovaný vzdálený přístup je chráněn pomocí MFA, protokolován, segmentován a přezkoumáván v rámci opatření řízení rizik v oblasti ICT sladěných s DORA. Třetí je od právního oddělení: stejná událost může zahrnovat přístup k osobním údajům, a proto chce pověřenec pro ochranu osobních údajů vědět, zda jsou důkazy k GDPR Article 32 dostatečně úplné pro doložení vhodných technických a organizačních opatření.
Zatím se nic nezhroutilo. Žádné výkupné. Žádná potvrzená exfiltrace. Žádný výpadek zákaznické služby.
Maria však zná nepříjemnou pravdu. Pokud je řízení vzdáleného přístupu slabé, každá diskuse o souladu se mění v obhajobu. Přihlášení přes VPN se stává otázkou kybernetické hygieny podle NIS2. Účet dodavatele se stává otázkou rizika třetí strany v oblasti ICT podle DORA. Relace vzdálené plochy do zákaznického prostředí se stává otázkou zabezpečení zpracování podle GDPR. Chybějící log se stává auditním zjištěním.
Situaci zhoršuje externí auditní zpráva, která už leží na jejím stole. Auditoři neobjevili sofistikovaný zero-day útok. Našli sdílené účty dodavatelů, nekonzistentní vícefaktorovou autentizaci, starší skupiny VPN, neřízené výjimky a gigabajty logů, které byly příliš zašuměné na to, aby podpořily vyšetřování. Technický dluh se proměnil v regulatorní expozici.
V roce 2026 není bezpečný vzdálený přístup a řízení VPN úzkým tématem zabezpečení sítí. Jde o systém opatření na úrovni řídicího orgánu, který propojuje identity, zabezpečení koncových bodů, přístup dodavatelů, řízení zranitelností, protokolování, reakci na incidenty, odpovědnost za ochranu soukromí a provozní odolnost.
Problém vzdáleného přístupu se změnil
Před několika lety řízení vzdáleného přístupu často znamenalo jednoduchou odpověď: „máme VPN“. Tato odpověď již při důkladném přezkoumání neobstojí.
Moderní prostředí vzdáleného přístupu může zahrnovat firemní VPN koncentrátory, brány Zero Trust Network Access, jump servery pro správu privilegovaných přístupů (PAM), bastion hosty pro správu cloudu, infrastrukturu vzdálené plochy, servisní tunely dodavatelů, přístup poskytovatelů řízených služeb, nouzové účty typu „break-glass“, administrátorské portály SaaS, přístup vývojářů do produkčního prostředí, mobilní zařízení, domácí sítě, veřejné Wi‑Fi a výjimky BYOD.
Každá z těchto cest se může stát zdrojem regulatorních důkazů.
NIS2 Article 21 očekává vhodná a přiměřená technická, provozní a organizační opatření. Patří mezi ně analýza rizik a politiky bezpečnosti informačních systémů, zvládání incidentů, kontinuita činností, zabezpečení dodavatelského řetězce, bezpečné pořizování a údržba, zvládání zranitelností, politiky pro posuzování účinnosti kybernetické bezpečnosti, kybernetická hygiena, školení v oblasti kybernetické bezpečnosti, kryptografie a šifrování tam, kde je to relevantní, bezpečnost lidských zdrojů, politiky řízení přístupu, správa aktiv, vícefaktorová nebo průběžná autentizace tam, kde je to vhodné, zabezpečená komunikace a zabezpečená nouzová komunikace.
DORA vyžaduje, aby finanční subjekty udržovaly dokumentované rámce řízení rizik v oblasti ICT, procesy pro incidenty ICT, testování digitální provozní odolnosti a řízení rizik třetích stran v oblasti ICT. DORA Article 5 ukládá řídicímu orgánu odpovědnost za vymezení, schválení, dohled a trvalou odpovědnost za řízení rizik v oblasti ICT. Article 28 vyžaduje, aby rizika třetích stran v oblasti ICT byla řízena jako nedílná součást tohoto rámce.
GDPR Article 32 vyžaduje vhodná technická a organizační opatření pro zabezpečení zpracování, včetně důvěrnosti, integrity, dostupnosti, odolnosti, schopnosti obnovy, testování a schopnosti prokázat, že osobní údaje jsou chráněny proti neoprávněnému přístupu, ztrátě, změně nebo zpřístupnění.
Problém CISO nespočívá v tom, zda VPN funguje. Skutečná otázka zní, zda organizace dokáže prokázat, že vzdálený přístup je řízený, posouzený z hlediska rizik, schválený, hardeningově zabezpečený, monitorovaný, přezkoumávaný, testovaný a začleněný do reakce na incidenty.
Právě zde je užitečná ISO/IEC 27001:2022. Nepovažuje VPN za samostatné zařízení. Zasazuje vzdálený přístup do ISMS: rozsah, zainteresované strany, posouzení rizik, výběr opatření, provozní plánování, řízení dodavatelů, interní audit, přezkoumání vedením a neustálé zlepšování.
Začněte rozsahem ISMS, ne pravidlem firewallu
Když Clarysec přezkoumává řízení vzdáleného přístupu, nezačínáme žádostí o snímek obrazovky konfigurace VPN. Začínáme hranicí ISMS.
ISO/IEC 27001:2022 vyžaduje, aby organizace definovala svůj kontext, zainteresované strany, požadavky a rozsah ISMS, včetně rozhraní a závislostí na jiných organizacích. U vzdáleného přístupu musí rozsah výslovně zahrnovat osoby, systémy, dodavatele a síťové služby, které umožňují práci na dálku.
Organizace poskytující SaaS nebo finanční technologie má identifikovat:
- Zaměstnance, kteří vzdáleně přistupují k produkčním systémům
- Dodavatele a vývojáře s právy vzdálené správy
- MSP, MSSP a další dodavatele s provozním přístupem
- Pracovníky zákaznické podpory přistupující k datům tenantů
- Uživatele z financí, HR a právního oddělení, kteří vzdáleně přistupují k osobním údajům
- Cloudové konzole a rozhraní API pro vzdálenou správu
- Platformy VPN, ZTNA, poskytovatele identit a správu koncových bodů
- Logy, integrace SIEM a úložiště logů
- Výjimky ze vzdáleného přístupu a postupy nouzového přístupu
- Okrajová zařízení spravovaná dodavateli a nástroje vzdálené podpory
Nejde jen o dokumentační hygienu. Rozsah NIS2 může podle velikosti, odvětví a určení zahrnovat poskytovatele cloudových služeb, datová centra, MSP, MSSP, poskytovatele elektronických komunikací, poskytovatele digitální infrastruktury a poskytovatele správy ICT služeb. DORA se vztahuje na finanční subjekty a pro tyto subjekty představuje odvětvový režim rizik v oblasti ICT. GDPR se může vztahovat na organizace v EU i mimo EU, pokud se zpracování týká osob v EU, provozoven v EU, služeb nabízených fyzickým osobám v Unii nebo monitorování chování.
Pokud rozsah ISMS opomíjí vzdálený přístup třetích stran, vzdálenou správu, infrastrukturu VPN nebo konektivitu spravovanou dodavateli, může být soubor opatření neúplný ještě předtím, než auditor začne vybírat vzorky.
Vybudujte soubor opatření pro vzdálený přístup
Silný program vzdáleného přístupu musí být vybudován jako vrstva bezpečnostních opatření, nikoli jako jediná politika. V implementační práci Clarysec mezi hlavní opatření ISO/IEC 27002:2022 typicky patří:
- 6.7 Práce na dálku
- 5.15 řízení přístupu
- 5.16 správa identit
- 5.17 autentizační informace
- 5.18 přístupová práva
- 8.5 bezpečná autentizace
- 8.1 uživatelská koncová zařízení
- 8.8 řízení technických zranitelností
- 8.9 řízení konfigurace
- 8.15 protokolování
- 8.16 monitorovací činnosti
- 8.20 zabezpečení sítí
- 8.22 oddělení sítí
- 5.19 bezpečnost informací ve vztazích s dodavateli
- 5.20 řešení bezpečnosti informací ve smlouvách s dodavateli
- 5.21 řízení bezpečnosti informací v dodavatelském řetězci ICT
- 5.22 monitorování, přezkum a řízení změn dodavatelských služeb
- 5.23 bezpečnost informací při používání cloudových služeb
- 5.24 plánování a příprava řízení incidentů informační bezpečnosti
- 5.26 reakce na incidenty informační bezpečnosti
- 5.28 shromažďování důkazů
- 5.30 připravenost ICT pro kontinuitu činností
Zenith Controls: průvodce napříč požadavky souladu mapuje Práci na dálku 6.7 jako preventivní opatření podporující důvěrnost, integritu a dostupnost, s provozními vazbami na správu aktiv, ochranu informací, fyzickou bezpečnost a zabezpečení systémů a sítí. Zároveň propojuje Práci na dálku se zabezpečením aktiv mimo pracoviště 7.9, uživatelskými koncovými zařízeními 8.1, povědomím, vzděláváním a školením v oblasti bezpečnosti informací 6.3, přenosem informací 5.14, zabezpečením sítí 8.20, oddělením sítí 8.22, čistým stolem a uzamčenou obrazovkou 7.7 a připraveností ICT pro kontinuitu činností 5.30.
Na tomto vztahu záleží. Požadavek na VPN bez správy koncových bodů nechrání před odcizeným notebookem. MFA bez protokolování nepodporuje vyšetřování. Přístup dodavatelů bez segmentace zvyšuje dopad kompromitace. Práce na dálku bez hlášení incidentů zpožďuje zamezení šíření.
| Riziko vzdáleného přístupu | Zaměření opatření ISO/IEC 27002:2022 | Důkazy očekávané auditory |
|---|---|---|
| Odcizené přihlašovací údaje použité přes VPN | 8.5 bezpečná autentizace, 5.15 řízení přístupu, 5.17 autentizační informace | konfigurace MFA, pravidla podmíněného přístupu, upozornění na neúspěšná přihlášení, autentizační logy |
| Bývalý dodavatel si ponechal přístup | 5.18 přístupová práva, 5.16 správa identit, dodavatelská opatření 5.19 až 5.23 | záznamy nástupů, přesunů a odchodů, tikety offboardingu dodavatele, důkazy z přezkumu přístupových práv |
| Kompromitovaný notebook se vzdáleně připojí | 8.1 uživatelská koncová zařízení, 6.7 práce na dálku, 8.8 řízení technických zranitelností | soulad MDM, stav EDR, důkazy o šifrování, reporty záplatování |
| Okrajové zařízení VPN není záplatované | 8.8 řízení technických zranitelností, 8.9 řízení konfigurace, 8.20 zabezpečení sítí | záznam aktiva, výsledky skenování, SLA pro záplaty, schválení výjimky |
| Dodavatel používá sdílený vzdálený účet | 5.15 řízení přístupu, 5.16 správa identit, 8.5 bezpečná autentizace | jedinečná uživatelská ID, pojmenované účty dodavatelů, logy MFA, smluvní požadavky |
| Podezřelou vzdálenou relaci nelze rekonstruovat | 8.15 protokolování, 8.16 monitorovací činnosti, 5.24 plánování a příprava řízení incidentů informační bezpečnosti | logy VPN, zdrojové IP adresy, doba trvání relace, upozornění SIEM, časová osa incidentu |
Soubor opatření mění diskusi. Namísto debaty, zda „VPN je v souladu“, organizace vytváří dohledatelný model: riziko vzdáleného přístupu, opatření ISO, požadavek politiky, technická implementace, vlastník důkazů a periodicita přezkumu.
Proměňte záměr politiky v auditní důkazy
Auditoři jen zřídka přijmou tvrzení „MFA obvykle používáme“ jako důkaz. Hledají formálně schválené požadavky, implementovaná opatření a záznamy prokazující jejich provoz.
Sada politik Clarysec poskytuje týmům přesné formulace, které mohou převzít a přizpůsobit. Politika zabezpečení sítí – SME v kapitole 5.5.1 uvádí:
„Přístup přes VPN musí vyžadovat vícefaktorovou autentizaci (MFA) a musí být omezen na určený personál.“
Stejná politika pro SME převádí protokolování na požadavek uchovávání v kapitole 6.3.3:
„Přístup přes VPN musí být protokolován, přičemž doby trvání relací a zdrojové IP adresy musí být uchovávány po dobu nejméně 6 měsíců.“
Pro chování při práci na dálku Politika práce na dálku – SME v kapitole 5.2.3 uvádí:
„Veřejnou Wi‑Fi lze používat pouze tehdy, když je aktivní zabezpečený tunel (VPN).“
Pro podniková prostředí je Politika práce na dálku ještě přímější. Kapitola 5.2.1.1 vyžaduje, aby personál:
„Používal společností schválenou VPN nebo infrastrukturu vzdálené plochy.“
Kapitola 5.2.1.2 vyžaduje, aby organizace:
„Vyžadovala vícefaktorovou autentizaci (MFA) pro všechny pokusy o přihlášení.“
Politika zabezpečení sítí slaďuje technický základní požadavek v kapitole 6.3.1:
„Veškerý vzdálený přístup musí být šifrovaný, například prostřednictvím IPsec nebo SSL VPN, a musí vyžadovat vícefaktorovou autentizaci (MFA).“
Politika řízení přístupu v kapitole 5.6.1 uvádí:
„Události přístupu musí být protokolovány a uchovávány v souladu s Politikou protokolování a monitorování.“
Pro dodavatele Bezpečnostní politika dodavatelů a poskytovatelů služeb třetích stran v kapitole 6.3.2 vyžaduje:
„Veškerý přístup třetích stran musí být protokolován a monitorován a tam, kde je to proveditelné, segmentován prostřednictvím bastion hostů, VPN nebo bran Zero Trust.“
Politika řízení zranitelností a záplat – SME v kapitole 6.5.1 uvádí:
„Systémy, které zpracovávají osobní údaje, poskytují vzdálený přístup nebo jsou dostupné z internetu, musí mít prioritu při skenování a aktualizacích.“
Tyto kapitoly získávají sílu, když jsou propojeny s provozními důkazy. Politika říká, že MFA je povinné. Poskytovatel identit prokazuje vynucování. Log VPN prokazuje použití. Upozornění SIEM prokazuje monitorování. Přezkum přístupových práv prokazuje trvající obchodní potřebu. Zpráva o zranitelnostech prokazuje, že služba vzdáleného přístupu má prioritu. Incidentní playbook prokazuje připravenost reakce.
To je rozdíl mezi tím mít politiku a provozovat bezpečnostní opatření.
Pět otázek, na které má odpovědět každý CISO
Model řízení vzdáleného přístupu Clarysec stojí na pěti otázkách, které fungují pro audity ISO 27001, připravenost na NIS2, přezkumy rizik v oblasti ICT podle DORA i balíčky důkazů k GDPR Article 32.
1. Kdo se smí připojovat vzdáleně?
Vzdálený přístup musí být omezen na autorizované uživatele, role a dodavatele. ISO/IEC 27002:2022 řízení přístupu 5.15, správa identit 5.16 a přístupová práva 5.18 vymezují základ řízení.
Zenith Controls mapuje řízení přístupu 5.15 jako preventivní opatření zaměřené na řízení identit a přístupů. Propojuje toto opatření se správou identit, přístupovými právy, autentizačními informacemi, uživatelskými koncovými zařízeními, bezpečnou autentizací a souladem s politikami. V praxi je politika přístupu důvěryhodná pouze tehdy, jsou-li identity jedinečné, řízené v rámci životního cyklu, autentizované a přezkoumávané.
Dobrý záznam vzdáleného přístupu má odpovědět na tyto otázky:
- Která osoba nebo dodavatel má přístup?
- Ke kterým systémům se může dostat?
- Jaká role nebo smlouva přístup odůvodňuje?
- Kdo jej schválil?
- Je vynucována MFA?
- Kdy byl přístup naposledy přezkoumán?
- Kdy dočasný přístup vyprší?
- Jaký zdroj logů prokazuje použití?
To podporuje také výstupy NIST Cybersecurity Framework 2.0 PR.AA pro správu identit, autentizaci, autorizaci, zásadu minimálních oprávnění a oddělení povinností.
2. Jaký stav zařízení a sítě je vyžadován?
Vzdálený přístup má záviset na důvěryhodnosti zařízení, nejen na přihlašovacích údajích uživatele. Platné heslo a schválení MFA z nespravovaného, infikovaného nebo nezáplatovaného zařízení stále představují vysoké riziko.
Zenith Blueprint: 30krokový plán auditora to vysvětluje ve fázi Uplatnění opatření, krok 16, Opatření pro osoby II:
„Pracovníci na dálku mají být povinni používat pouze společností schválená zařízení nakonfigurovaná IT, se šifrováním celého disku, aktivní ochranou koncových bodů, automatickým záplatováním a vynucenými časovými limity uzamčení obrazovky.“
Stejný krok zdůrazňuje, že vzdálený přístup má procházet přes firemní VPN, ideálně chráněnou pomocí MFA, a že BYOD má být zakázáno nebo povoleno pouze za přísných podmínek, jako je registrace do MDM, kontejnerizace a možnost vzdáleného vymazání.
Zde se sbíhají uživatelská koncová zařízení 8.1, práce na dálku 6.7, řízení technických zranitelností 8.8, řízení konfigurace 8.9 a zabezpečení sítí 8.20.
Pro GDPR Article 32 je bezpečnostní stav zařízení důležitý, protože vzdálené koncové body jsou součástí technických a organizačních opatření chránících osobní údaje. Pro DORA podporuje bezpečnostní stav koncových bodů řízení rizik v oblasti ICT a provozní odolnost. Pro NIS2 podporuje kybernetickou hygienu, řízení přístupu, správu aktiv a zvládání zranitelností.
3. Jak je chráněna relace?
Bezpečná relace vzdáleného přístupu má používat šifrovaný přenos, silnou autentizaci, segmentaci a řízené administrátorské cesty.
Zenith Blueprint, fáze řízení rizik, krok 14, politiky ošetření rizik a křížové odkazy na právní předpisy, uvádí očekávání pro vzdálený přístup:
„Veškerý vzdálený přístup k interním systémům musí používat zabezpečenou VPN nebo rovnocenné šifrované připojení. Vícefaktorová autentizace (MFA) je vyžadována pro vzdálené přihlášení do firemních sítí.“
Krok 20, opatření 8.18 až 8.26, ukládá organizacím ověřit zabezpečení síťových služeb tím, že uvedou všechny interní a externí síťové služby, jako jsou DNS, VPN, SMTP, DHCP a API brány, potvrdí zabezpečené protokoly, přezkoumají řízení přístupu a zkontrolují bezpečnostní doložky třetích stran, pokud jsou služby spravovány externě.
VPN není jen zařízení. Je to síťová služba s volbami protokolů, omezeními přístupu, certifikáty, pravidly firewallu, závislostmi na třetích stranách, požadavky na záplatování a logy.
4. Jak je přístup monitorován a vyšetřován?
Řízení vzdáleného přístupu musí zahrnovat protokolování a monitorování. NIS2 Article 23 stanovuje postupná očekávání pro hlášení významných incidentů, včetně včasného varování do 24 hodin, oznámení incidentu do 72 hodin a závěrečné zprávy do jednoho měsíce. DORA vyžaduje, aby finanční subjekty detekovaly, řídily, klasifikovaly, eskalovaly a hlásily závažné incidenty související s ICT, včetně analýzy kořenové příčiny a komunikace tam, kde jsou dotčeny finanční zájmy klientů. Analýza porušení zabezpečení podle GDPR závisí na pochopení, zda k osobním údajům bylo přistoupeno, zda byly změněny, zpřístupněny, ztraceny nebo jinak kompromitovány.
Bez logů vzdáleného přístupu nemůže organizace s jistotou odpovědět na první otázku regulatorního orgánu: co se stalo?
Silné protokolování má zachytit identitu uživatele, výsledek autentizace, zdrojovou IP adresu, geolokaci tam, kde je to vhodné, identitu zařízení, cílovou službu, privilegovanou akci, dobu trvání relace, neúspěšné pokusy, administrátorské změny a korelaci s událostmi koncových bodů a identit.
5. Jak jsou řešeny výjimky a zranitelnosti?
Infrastruktura vzdáleného přístupu má vysokou hodnotu. VPN brány, ZTNA appliance, poskytovatelé identit, bastion hosty a služby vzdálené plochy mají patřit mezi nejpřísněji řízená aktiva v programu řízení zranitelností.
Vyspělý proces výjimek má zahrnovat vlastníka aktiva, dotčenou službu vzdáleného přístupu, závažnost zranitelnosti, zneužitelnost, expozici dat, dočasná kompenzační opatření, schválení vlastníkem rizika, datum vypršení, důkazy o opakovaném testování a vazbu na registr rizik a plán ošetření rizik.
Pro ISO/IEC 27001:2022 to podporuje ošetření rizik, provozní řízení a neustálé zlepšování. Pro DORA to podporuje řízení rizik v oblasti ICT, testování a nápravu. Pro NIS2 to podporuje zvládání zranitelností a nápravná opatření bez zbytečného odkladu. Pro GDPR to pomáhá prokázat, že zabezpečení zpracování bylo založeno na rizicích, nikoli ad hoc.
Vzdálený přístup dodavatelů je skrytá auditní past
Mnohá selhání vzdáleného přístupu nejsou selháním zaměstnanců. Jsou selháním řízení dodavatelů.
MSP má starý účet VPN. Dodavatel softwaru používá sdílené přihlašovací údaje. Partner podpory se připojuje přes vzdálenou plochu, aby řešil problém s dopadem na zákazníka. Poskytovatel cloudových služeb spravuje bránu vzdáleného přístupu. Dodavatel si ponechá přístup po ukončení projektu.
DORA je zde obzvláště přísná. Article 28 vyžaduje, aby finanční subjekty řídily rizika třetích stran v oblasti ICT jako součást rámce řízení rizik v oblasti ICT a zůstaly plně odpovědné i tehdy, když jsou ICT služby outsourcovány. Očekává registry smluvních ujednání v oblasti ICT, náležitou péči, standardy bezpečnosti informací, práva na audit a inspekci, práva na ukončení, analýzu rizika koncentrace a strategie ukončení pro kritické nebo důležité funkce. Article 30 stanoví smluvní ustanovení, jako jsou ochrana údajů, úrovně služeb, místa zpracování, přístup k datům a jejich obnova, podpora při incidentech, spolupráce s orgány, bezpečnostní opatření, práva na audit a podpora při ukončení spolupráce.
NIS2 Article 21 zahrnuje také zabezpečení dodavatelského řetězce a vztahy s dodavateli a poskytovateli služeb, se zaměřením na zranitelnosti specifické pro dodavatele a postupy kybernetické bezpečnosti dodavatelů.
NIST CSF 2.0 GV.SC poskytuje praktický provozní model: strategii rizik dodavatelského řetězce, role, kritičnost dodavatelů, smluvní požadavky, náležitou péči, monitorování, účast na incidentech a činnosti po ukončení vztahu.
Pro klienty Clarysec je praktické pravidlo jednoduché: vzdálený přístup třetích stran musí být považován za privilegovaný přístup, pokud není prokázán opak. Musí být pojmenovaný, schválený, časově omezený, chráněný pomocí MFA, protokolovaný, monitorovaný a segmentovaný.
Mapování napříč požadavky souladu: jeden systém opatření, mnoho povinností
Řízení vzdáleného přístupu je jedním z nejsilnějších příkladů souladu napříč více rámci. Stejné důkazy mohou splnit více povinností, pokud jsou správně navrženy.
| Hybatel souladu | Očekávání pro vzdálený přístup | Udržované důkazy |
|---|---|---|
| ISO/IEC 27001:2022 | Výběr opatření založený na rizicích, řízení přístupu, řízení dodavatelů, provozní důkazy a neustálé zlepšování | posouzení rizik, Prohlášení o použitelnosti, politiky, přezkum přístupových práv, logy, zjištění interního auditu |
| NIS2 | Kybernetická hygiena, řízení přístupu, správa aktiv, MFA tam, kde je vhodná, zvládání incidentů, kontinuita činností a zabezpečení dodavatelského řetězce | záznamy MFA, školení kybernetické hygieny, kontroly přístupu dodavatelů, zprávy o incidentech, nápravná opatření |
| DORA | Řízení rizik v oblasti ICT, silná autentizace, životní cyklus incidentu, testování odolnosti, riziko třetích stran v oblasti ICT a odpovědnost řídicího orgánu | registr rizik ICT, testování vzdáleného přístupu, klasifikace incidentů, registry dodavatelů, plány ukončení, práva na audit |
| GDPR Article 32 | Vhodné zabezpečení zpracování, důvěrnost, integrita, dostupnost, odolnost, testování a odpovědnost | logy přístupu, důkazy o šifrování, vynucování MFA, záznamy posouzení porušení zabezpečení, výsledky testů |
| NIST CSF 2.0 | Výstupy Govern, Identify, Protect, Detect, Respond a Recover | aktuální a cílové profily, evidence aktiv, opatření identit PR.AA, monitorování DE.CM, analýza RS.AN |
| COBIT 2019 a ujištění ISACA | Cíle správy a řízení, manažerské postupy, návrh opatření a provozní účinnost | RACI, vlastnictví procesů, metriky výkonnosti kontrol, auditní stopa, sledování nápravných opatření |
Podrobnější mapování opatření ISO ukazuje, proč řízení vzdáleného přístupu přináší tak vysokou hodnotu pro soulad.
| Opatření ISO/IEC 27002:2022 | Sladění s NIS2 | Sladění s DORA | Důkazy k GDPR Article 32 |
|---|---|---|---|
| 6.7 Práce na dálku | Podporuje Article 21 v oblasti kybernetické hygieny, řízení přístupu a bezpečných pracovních postupů | Podporuje politiky a postupy ICT pro práci na dálku a provozní odolnost | Prokazuje organizační opatření pro personál zpracovávající osobní údaje mimo kancelář |
| 8.5 bezpečná autentizace | Podporuje Article 21(2)(j) týkající se vícefaktorové nebo průběžné autentizace tam, kde je vhodná | Podporuje očekávání silné autentizace v rámci opatření ochrany a prevence ICT | Prokazuje technické opatření ke snížení neoprávněného přístupu k osobním údajům |
| 8.20 zabezpečení sítí | Podporuje zabezpečenou komunikaci, šifrování a ochranu síťových služeb | Podporuje ochranu proti průniku, zneužití a neoprávněnému přístupu k ICT | Dokládá ochranu dat při přenosu a řízené síťové cesty |
| 8.22 oddělení sítí | Podporuje omezení dopadu a vynucení hranic řízení přístupu | Podporuje odolnost a zamezení šíření u kritických nebo důležitých funkcí | Snižuje expozici osobních údajů omezením dosažitelných systémů |
| 5.19 až 5.23 dodavatelská opatření | Podporuje Article 21(2)(d) v oblasti zabezpečení dodavatelského řetězce | Podporuje Articles 28 a 30 v oblasti rizik třetích stran ICT a smluvního řízení | Podporuje odpovědnost zpracovatelů a dodavatelů za bezpečný přístup |
| 8.15 protokolování a 8.16 monitorovací činnosti | Podporuje zvládání incidentů a posouzení účinnosti | Podporuje detekci, klasifikaci, eskalaci a hlášení incidentů ICT | Podporuje posouzení porušení zabezpečení a forenzní důkazy |
| 8.8 řízení technických zranitelností | Podporuje bezpečnou údržbu a zvládání zranitelností | Podporuje snižování rizik ICT, testování a nápravu | Dokládá ochranu systémů zpracovávajících osobní údaje založenou na rizicích |
NIS2 také zavádí výslovnou odpovědnost vedení. Article 20 vyžaduje, aby řídicí orgány základních a důležitých subjektů schvalovaly opatření řízení kybernetických rizik, dohlížely na jejich implementaci a absolvovaly školení. DORA Article 5 obdobně vyžaduje, aby řídicí orgán finančních subjektů definoval, schvaloval, dohlížel a zůstával odpovědný za uspořádání řízení rizik v oblasti ICT.
Řídicí orgán nemusí schvalovat každé pravidlo firewallu. Měl by však schválit postoj k riziku vzdáleného přístupu: MFA je povinná, přístup dodavatelů je protokolovaný, privilegovaný přístup je segmentovaný, infrastruktura vzdáleného přístupu je záplatovaná v definovaných lhůtách, výjimky jsou časově omezené a kybernetické incidenty jsou eskalovány dohodnutými kanály.
90minutový sprint důkazů ke vzdálenému přístupu
Praktickým způsobem, jak odhalit mezery, je vytvořit mini balíček důkazů kolem jedné přístupové cesty. Vyberte jeden příklad, například „VPN přístup pro inženýry podpory produkčního prostředí“, a poté proveďte následující sprint.
| Minuta | Aktivita | Výstup |
|---|---|---|
| 0 až 10 | Definujte přístupovou cestu | Jedna věta popisující, kdo se připojuje, odkud, k čemu a proč |
| 10 až 25 | Namapujte použitelné politiky | Kapitoly z Politiky práce na dálku, Politiky zabezpečení sítí, Politiky řízení přístupu a případně Bezpečnostní politiky dodavatelů |
| 25 až 40 | Zachyťte technické vynucování | Snímky obrazovky nebo exporty prokazující MFA, šifrování, členství ve skupinách a podmíněný přístup |
| 40 až 55 | Zachyťte logy | Nedávné úspěšné přihlášení, neúspěšné přihlášení, zdrojová IP adresa, doba trvání relace a příklad upozornění SIEM |
| 55 až 70 | Přezkoumejte zranitelnosti a bezpečnostní stav zařízení | Stav záplat VPN aktiva, report souladu koncových bodů a otevřené výjimky |
| 70 až 80 | Zkontrolujte důkazy přezkumu přístupových práv | Poslední přezkum přístupových práv, odebraní uživatelé, schválené výjimky a schválení vlastníkem |
| 80 až 90 | Vytvořte auditní narativ | Jednostránkové vysvětlení mapující riziko, opatření, politiku, implementaci a důkazy |
Cílem není administrativa. Cílem je propojit politiku s důkazem. Pokud nelze balíček důkazů dokončit pro jednu přístupovou cestu, organizace našla skutečnou mezeru v řízení dříve, než ji najde auditor nebo regulatorní orgán.
Toto cvičení odpovídá také metodě profilu NIST CSF 2.0: vymezit rozsah profilu, shromáždit politiky a požadavky, zdokumentovat současné a cílové výstupy, analyzovat mezery, vytvořit prioritizovaný akční plán a implementovat zlepšení.
Jak budou auditoři testovat vzdálený přístup
Audit vzdáleného přístupu může vypadat odlišně podle odborného zázemí auditora. Zenith Controls pomáhá organizacím s přípravou, protože mapuje vztahy mezi opatřeními ISO/IEC 27002:2022 do pohledu napříč požadavky souladu, nikoli do jediného kontrolního seznamu.
| Pohled auditora | Pravděpodobná otázka | Silná odpověď |
|---|---|---|
| ISO 27001 | Proč jste vybrali právě tato opatření pro vzdálený přístup? | posouzení rizik, odůvodnění v SoA, plán ošetření rizik a mapování politik |
| NIST CSF 2.0 | Jaký je váš současný a cílový stav? | profil, analýza mezer, prioritizovaný akční plán a implementovaná zlepšení |
| COBIT 2019 | Kdo odpovídá za řízení vzdáleného přístupu? | RACI, vlastník procesu, přezkoumání vedením a metriky kontrol |
| DORA | Jak řídíte vzdálený přístup třetích stran v oblasti ICT? | registr dodavatelů, náležitá péče, smluvní doložky, práva na audit a plán ukončení |
| GDPR | Dokážete prokázat, že přístup k osobním údajům byl řízen? | MFA, zásada minimálních oprávnění, logy, přezkum přístupových práv a záznamy posouzení porušení zabezpečení |
Organizace připravená na audit neshání snímky obrazovky na poslední chvíli. Udržuje živý systém důkazů.
Častá zjištění v roce 2026
Clarysec při posouzeních opakovaně vidí stejné problémy se vzdáleným přístupem:
- MFA je povolena pro zaměstnance, nikoli však pro dodavatele, nouzové účty nebo starší profily VPN
- Logy vzdáleného přístupu existují, ale nejsou uchovávány dostatečně dlouho, centralizovány ani propojeny s identitami
- Soulad koncových bodů je řízen odděleně od přístupu přes VPN, takže se stále mohou připojit nespravovaná zařízení
- Přezkum přístupových práv se zaměřuje na podnikové aplikace, ale opomíjí skupiny VPN, oprávnění k bastion hostům a administrátorské role v cloudu
- Infrastruktura vzdáleného přístupu chybí v seznamu priorit pro zranitelnosti
- Přístup dodavatelů je schvalován neformálně a není promítnut ve smlouvách
- Výjimky nemají datum vypršení, kompenzační opatření ani schválení vlastníkem rizika
- Účty typu „break-glass“ nejsou testovány, monitorovány ani přezkoumávány
- Privilegované relace nejsou segmentovány od běžného provozu vzdáleného přístupu
- Playbooky reakce na incidenty nezahrnují sběr důkazů ke vzdálenému přístupu
Těmto zjištěním lze předejít. Obvykle vznikají z roztříštěného vlastnictví. Síťové týmy vlastní VPN. IAM vlastní MFA. IT vlastní zařízení. Procurement vlastní smlouvy s dodavateli. Právní oddělení vlastní podmínky zpracování údajů. SOC vlastní upozornění. Compliance vlastní auditní důkazy.
ISMS je musí propojit.
Cílový provozní model bezpečného vzdáleného přístupu
Vyspělý model bezpečného vzdáleného přístupu a řízení VPN má zahrnovat následující provozní postupy:
- Udržovat evidenci všech metod vzdáleného přístupu, včetně VPN, ZTNA, RDP, bastion hostů, administrátorských portálů SaaS a tunelů dodavatelů
- Vyžadovat MFA pro veškerý vzdálený přístup, včetně dodavatelů, správců a nouzových účtů
- Vynucovat soulad zařízení před udělením přístupu tam, kde je to technicky proveditelné
- Používat segmentaci, bastion hosty nebo brány Zero Trust pro privilegovaný přístup a přístup třetích stran
- Protokolovat zdrojovou IP adresu, identitu uživatele, výsledek autentizace, cílový systém a dobu trvání relace
- Uchovávat logy podle politiky, právních předpisů a potřeb vyšetřování
- Prioritizovat systémy vzdáleného přístupu pro skenování zranitelností a záplatování
- Pravidelně přezkoumávat přístupová práva a také při změně role, ukončení pracovního poměru nebo změně dodavatelské smlouvy
- Časově omezovat nouzový, dočasný a dodavatelský přístup
- Zahrnout vzdálený přístup do reakce na incidenty, posouzení porušení zabezpečení a krizových cvičení
- Testovat odolnost vzdáleného přístupu a záložní přístupové cesty tam, kde je to vyžadováno pro kontinuitu
- Integrovat vzdálený přístup dodavatelů do smluv, náležité péče, monitorování a plánování ukončení spolupráce
- Reportovat metriky rizik vzdáleného přístupu vedení
Pro Marii se z toho stává praktický akční plán. V prvních dvou týdnech používá Zenith Blueprint k aktualizaci dokumentů řízení, sladění politik s povinnostmi podle NIS2 a DORA a získání schválení vedení. Během následujícího měsíce její týmy IT a bezpečnosti vynucují MFA napříč všemi profily vzdáleného přístupu, segmentují přístup dodavatelů, ladí protokolování a prioritizují systémy VPN a ZTNA pro nápravu zranitelností. Průběžně provádí čtvrtletní přezkum přístupových práv, testuje sběr důkazů při incidentech a reportuje metriky rizik řídicímu orgánu.
Výsledkem není jen čistší konfigurace VPN. Je to systém opatření vzdáleného přístupu, který obstojí při auditu, podpoří reakci na incidenty a sníží skutečné provozní riziko.
Vybudujte balíček důkazů ke vzdálenému přístupu před dalším incidentem
Pondělní ranní upozornění na VPN se nemusí stát krizí. Mělo by se však stát testem řízení.
Dokážete identifikovat uživatele? Dokážete prokázat MFA? Dokážete potvrdit bezpečnostní stav zařízení? Dokážete rekonstruovat relaci? Dokážete určit, zda byly dostupné osobní údaje? Dokážete doložit, že účet byl schválen a přezkoumán? Dokážete prokázat, že zařízení VPN bylo záplatováno? Dokážete prokázat, že přístup dodavatelů je protokolován a segmentován? Vidí vedení riziko?
Pokud odpověď zní „zatím ne“, Clarysec vám může pomoci.
Začněte s Zenith Blueprint: 30krokový plán auditora, abyste strukturovali svou roadmapu implementace ISO/IEC 27001:2022, zejména krok 14 pro politiky ošetření rizik, krok 16 pro opatření práce na dálku, krok 19 pro bezpečnou autentizaci a krok 20 pro zabezpečení síťových služeb. Použijte Zenith Controls: průvodce napříč požadavky souladu k mapování práce na dálku, řízení přístupu, bezpečné autentizace, dodavatelských opatření, protokolování a zabezpečení sítí na související opatření ISO/IEC 27002:2022 a důkazy napříč požadavky souladu.
Poté požadavky zaveďte do provozu pomocí politik Clarysec, jako jsou Politika práce na dálku, Politika zabezpečení sítí, Politika řízení přístupu, Bezpečnostní politika dodavatelů a poskytovatelů služeb třetích stran a ekvivalenty připravené pro SME.
Váš příští audit by neměl být prvním okamžikem, kdy se sestavují důkazy ke vzdálenému přístupu. Vybudujte je nyní, otestujte je nyní a udělejte z řízení bezpečného vzdáleného přístupu jednu z nejsilnějších částí svého programu souladu. Kontaktujte Clarysec pro posouzení řízení vzdáleného přístupu, stáhněte si šablony politik nebo si rezervujte demo a podívejte se, jak se vaše současná opatření mapují na ISO 27001, NIS2, DORA a GDPR Article 32.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
