Bezpečný vzdialený prístup a riadenie VPN pre NIS2 a DORA

V pondelok ráno o 07:42 dostane Maria, riaditeľka informačnej bezpečnosti (CISO) rýchlo rastúceho poskytovateľa FinTech SaaS, ešte pred kávou tri správy.

Prvá je zo SOC: účet VPN patriaci inžinierovi podpory sa autentifikoval z krajiny, v ktorej spoločnosť nemá žiadnych zamestnancov. Druhá je z predaja: zákazník z finančného sektora požaduje dôkazy, že každý privilegovaný vzdialený prístup je chránený MFA, logovaný, segmentovaný a pravidelne preskúmavaný v súlade s kontrolami rizík IKT zosúladenými s DORA. Tretia je z právneho oddelenia: rovnaká udalosť môže zahŕňať prístup k osobným údajom, preto chce zodpovedná osoba (DPO) vedieť, či sú dôkazy podľa GDPR Article 32 dostatočne úplné na preukázanie primeraných technických a organizačných opatrení.

Zatiaľ sa nič nezrútilo. Žiadna ransomvérová správa. Žiadna potvrdená exfiltrácia údajov. Žiadny výpadok u zákazníka.

Maria však pozná nepríjemnú pravdu. Ak je riadenie vzdialeného prístupu slabé, každá diskusia o súlade sa mení na obhajobu. Prihlásenie cez VPN sa mení na otázku kybernetickej hygieny podľa NIS2. Účet zmluvného dodávateľa sa mení na otázku rizika externého poskytovateľa IKT podľa DORA. Relácia vzdialenej pracovnej plochy do zákazníckeho prostredia sa mení na otázku bezpečnosti spracúvania podľa GDPR. Chýbajúci log sa mení na auditné zistenie.

Situáciu zhoršuje externá auditná správa, ktorá už leží na jej stole. Audítori nenašli sofistikovaný zero-day útok. Našli zdieľané účty zmluvných dodávateľov, nekonzistentnú viacfaktorovú autentifikáciu, staršie VPN skupiny, neriadené výnimky a gigabajty logov, ktoré boli príliš zašumené na podporu vyšetrovania. Technický dlh sa zmenil na regulačnú expozíciu.

V roku 2026 bezpečný vzdialený prístup a riadenie VPN nie sú úzkou témou sieťovej bezpečnosti. Ide o kontrolný systém na úrovni predstavenstva, ktorý prepája identitu, zabezpečenie koncových bodov, prístup dodávateľov, riadenie zraniteľností, logovanie, reakciu na incidenty, zodpovednosť v oblasti ochrany súkromia a prevádzkovú odolnosť.

Problém vzdialeného prístupu sa zmenil

Pred niekoľkými rokmi riadenie vzdialeného prístupu často znamenalo jednoduchú odpoveď: „máme VPN.“ Táto odpoveď už pri dôkladnom preskúmaní neobstojí.

Moderné prostredie vzdialeného prístupu môže zahŕňať podnikové VPN koncentrátory, brány Zero Trust Network Access, bastiónové servery správy privilegovaných prístupov, bastiónové servery na správu cloudu, infraštruktúru vzdialenej pracovnej plochy, servisné tunely dodávateľov, prístup poskytovateľov riadených služieb, núdzové účty „break glass“, administrátorské portály SaaS, prístup vývojárov do produkčného prostredia, mobilné zariadenia, domáce siete, verejnú Wi‑Fi a výnimky BYOD.

Každá takáto cesta sa môže stať predmetom regulačného dokazovania.

NIS2 Article 21 očakáva primerané a proporcionálne technické, prevádzkové a organizačné opatrenia. Patria sem analýza rizík a politiky bezpečnosti informačných systémov, zvládanie incidentov, kontinuita činností, bezpečnosť dodávateľského reťazca, bezpečné obstarávanie a údržba, riešenie zraniteľností, politiky na posudzovanie účinnosti kybernetickej bezpečnosti, kybernetická hygiena, školenie v oblasti kybernetickej bezpečnosti, kryptografia a šifrovanie tam, kde je to relevantné, bezpečnosť HR, politiky riadenia prístupu, správa aktív, viacfaktorová alebo priebežná autentifikácia tam, kde je to vhodné, zabezpečená komunikácia a zabezpečená núdzová komunikácia.

DORA vyžaduje, aby finančné subjekty udržiavali zdokumentované rámce riadenia rizík IKT, procesy incidentov IKT, testovanie digitálnej prevádzkovej odolnosti a riadenie rizík externých poskytovateľov IKT. DORA Article 5 ukladá riadiacemu orgánu zodpovednosť definovať, schvaľovať, dohliadať a niesť zodpovednosť za riadenie rizík IKT. Article 28 vyžaduje, aby sa riziko externých poskytovateľov IKT riadilo ako neoddeliteľná súčasť tohto rámca.

GDPR Article 32 vyžaduje primerané technické a organizačné opatrenia na bezpečnosť spracúvania vrátane dôvernosti, integrity, dostupnosti, odolnosti, schopnosti obnovy, testovania a schopnosti preukázať, že osobné údaje sú chránené pred neoprávneným prístupom, stratou, zmenou alebo sprístupnením.

Problém CISO nespočíva v tom, či VPN funguje. Skutočná otázka znie, či organizácia dokáže preukázať, že vzdialený prístup je riadený, posúdený z hľadiska rizík, schválený, hardenovaný, monitorovaný, preskúmavaný, testovaný a integrovaný do reakcie na incidenty.

Práve tu je ISO/IEC 27001:2022 užitočné. Neberie VPN ako samostatné zariadenie. Zaraďuje vzdialený prístup do ISMS: rozsah, zainteresované strany, posúdenie rizík, výber kontrol, prevádzkové plánovanie, riadenie dodávateľov, vnútorný audit, preskúmanie manažmentom a neustále zlepšovanie.

Začnite rozsahom ISMS, nie pravidlom firewallu

Keď Clarysec preskúmava riadenie vzdialeného prístupu, nezačíname požiadavkou na snímku obrazovky konfigurácie VPN. Začíname hranicami ISMS.

ISO/IEC 27001:2022 vyžaduje, aby organizácia definovala svoj kontext, zainteresované strany, požiadavky a rozsah ISMS vrátane rozhraní a závislostí s inými organizáciami. Pri vzdialenom prístupe musí rozsah výslovne zahŕňať osoby, systémy, dodávateľov a sieťové služby, ktoré umožňujú prácu na diaľku.

Organizácia v oblasti SaaS alebo finančných technológií by mala identifikovať:

• zamestnancov, ktorí vzdialene pristupujú k produkčným systémom,
• zmluvných dodávateľov a vývojárov s právami vzdialenej správy,
• MSP, MSSP a ďalších dodávateľov s prevádzkovým prístupom,
• pracovníkov zákazníckej podpory pristupujúcich k údajom tenantov,
• používateľov z finančného, HR a právneho oddelenia, ktorí vzdialene pristupujú k osobným údajom,
• cloudové konzoly a API vzdialenej správy,
• VPN, ZTNA, poskytovateľa identít a platformy správy koncových bodov,
• logy, integrácie SIEM a úložiská logov,
• výnimky zo vzdialeného prístupu a postupy núdzového prístupu,
• okrajové zariadenia spravované dodávateľmi a nástroje vzdialenej podpory.

Nejde iba o dokumentačnú hygienu. Rozsah NIS2 môže v závislosti od veľkosti, sektora a určenia zahrnúť cloudových poskytovateľov, dátové centrá, MSP, MSSP, poskytovateľov elektronických komunikácií, poskytovateľov digitálnej infraštruktúry a poskytovateľov služieb riadenia IKT. DORA sa vzťahuje na finančné subjekty a pre tieto subjekty funguje ako sektorovo špecifický režim rizík IKT. GDPR sa môže vzťahovať na organizácie v EÚ aj mimo EÚ, ak sa spracúvanie týka jednotlivcov v EÚ, prevádzkarní v EÚ, služieb ponúkaných jednotlivcom v Únii alebo monitorovania správania.

Ak váš rozsah ISMS ignoruje vzdialený prístup tretích strán, vzdialenú správu, VPN infraštruktúru alebo konektivitu spravovanú dodávateľmi, váš súbor kontrol môže byť neúplný ešte predtým, ako audítor začne odoberať vzorky.

Vybudujte kontrolný stack pre vzdialený prístup

Silný program vzdialeného prístupu má byť vybudovaný ako kontrolný stack, nie ako jedna politika. Pri implementačnej práci Clarysec medzi kľúčové kontroly ISO/IEC 27002:2022 zvyčajne patria:

• 6.7 Práca na diaľku
• 5.15 Riadenie prístupu
• 5.16 Správa identít
• 5.17 Autentifikačné informácie
• 5.18 Prístupové práva
• 8.5 Bezpečná autentifikácia
• 8.1 Zariadenia koncových bodov používateľov
• 8.8 Riadenie technických zraniteľností
• 8.9 Riadenie konfigurácie
• 8.15 Logovanie
• 8.16 Monitorovanie aktivít
• 8.20 Bezpečnosť sietí
• 8.22 Oddelenie sietí
• 5.19 Informačná bezpečnosť vo vzťahoch s dodávateľmi
• 5.20 Riešenie informačnej bezpečnosti v zmluvách s dodávateľmi
• 5.21 Riadenie informačnej bezpečnosti v dodávateľskom reťazci IKT
• 5.22 Monitorovanie, preskúmanie a riadenie zmien služieb dodávateľov
• 5.23 Informačná bezpečnosť pri používaní cloudových služieb
• 5.24 Plánovanie a príprava riadenia incidentov informačnej bezpečnosti
• 5.26 Reakcia na incidenty informačnej bezpečnosti
• 5.28 Zber dôkazov
• 5.30 Pripravenosť IKT na kontinuitu činností

Zenith Controls: sprievodca krížovým súladom mapuje Prácu na diaľku 6.7 ako preventívnu kontrolu podporujúcu dôvernosť, integritu a dostupnosť, s prevádzkovými väzbami na správu aktív, ochranu informácií, fyzickú bezpečnosť a bezpečnosť systémov a sietí. Zároveň prepája Prácu na diaľku s Bezpečnosťou aktív mimo pracoviska 7.9, Zariadeniami koncových bodov používateľov 8.1, Povedomím, vzdelávaním a školením v oblasti informačnej bezpečnosti 6.3, Prenosom informácií 5.14, Bezpečnosťou sietí 8.20, Oddelením sietí 8.22, Čistým pracovným stolom a uzamknutou obrazovkou 7.7 a Pripravenosťou IKT na kontinuitu činností 5.30.

Táto väzba je podstatná. Požiadavka na VPN bez správy koncových bodov nechráni pred odcudzeným notebookom. MFA bez logovania nepodporuje vyšetrovanie. Prístup dodávateľov bez segmentácie zvyšuje rozsah dopadu. Práca na diaľku bez nahlasovania incidentov oneskoruje zamedzenie šírenia.

Kontrolný stack mení diskusiu. Namiesto debaty, či „VPN je v súlade“, organizácia vytvára sledovateľný model: riziko vzdialeného prístupu, kontrola ISO, požiadavka politiky, technická implementácia, vlastník dôkazov a periodicita preskúmania.

Premeňte zámer politiky na auditné dôkazy

Audítori zriedka akceptujú vyjadrenie „zvyčajne používame MFA“ ako dôkaz. Hľadajú formálne schválené požiadavky, implementované kontroly a záznamy preukazujúce ich prevádzku.

Súbor politík Clarysec poskytuje tímom presné znenie, ktoré môžu prijať a prispôsobiť. Politika bezpečnosti sietí - SME v kapitole 5.5.1 uvádza:

„Prístup cez VPN musí vyžadovať viacfaktorovú autentifikáciu (MFA) a musí byť obmedzený na určený personál“

Tá istá politika pre SME mení logovanie na požiadavku uchovávania v kapitole 6.3.3:

„Prístup cez VPN musí byť logovaný, pričom trvania relácií a zdrojové IP adresy sa uchovávajú najmenej 6 mesiacov“

Pre správanie pri práci na diaľku Politika práce na diaľku - SME v kapitole 5.2.3 uvádza:

„Verejná Wi‑Fi sa môže používať iba vtedy, keď je aktívny bezpečný tunel (VPN).“

Pre podnikové prostredia je Politika práce na diaľku ešte priamejšia. Kapitola 5.2.1.1 vyžaduje od personálu:

„Používať spoločnosťou schválenú VPN alebo infraštruktúru vzdialenej pracovnej plochy“

Kapitola 5.2.1.2 vyžaduje od organizácií:

„Vyžadovať viacfaktorovú autentifikáciu (MFA) pri všetkých pokusoch o prihlásenie“

Politika bezpečnosti sietí zosúlaďuje technickú referenčnú úroveň s kapitolou 6.3.1:

„Každý vzdialený prístup musí byť šifrovaný, napríklad prostredníctvom IPsec alebo SSL VPN, a musí vyžadovať viacfaktorovú autentifikáciu (MFA).“

Politika riadenia prístupu v kapitole 5.6.1 uvádza:

„Udalosti prístupu musia byť logované a uchovávané v súlade s Politikou logovania a monitorovania.“

Pre dodávateľov Politika bezpečnosti tretích strán a dodávateľov v kapitole 6.3.2 vyžaduje:

„Každý prístup tretích strán musí byť logovaný a monitorovaný a tam, kde je to uskutočniteľné, segmentovaný prostredníctvom bastiónových serverov, VPN alebo brán Zero Trust.“

Politika riadenia zraniteľností a záplat - SME v kapitole 6.5.1 uvádza:

„Systémy, ktoré spracúvajú osobné údaje, poskytujú vzdialený prístup alebo sú vystavené externe, musia mať prioritu pri skenovaní a aktualizáciách“

Tieto ustanovenia získavajú silu, keď sú prepojené s prevádzkovými dôkazmi. Politika uvádza, že MFA je povinná. Poskytovateľ identít preukazuje vynútenie. Log VPN preukazuje použitie. Upozornenie SIEM preukazuje monitorovanie. Revízia prístupových práv preukazuje pretrvávajúcu obchodnú potrebu. Správa o zraniteľnostiach preukazuje, že služba vzdialeného prístupu má prioritu. Incidentný playbook preukazuje pripravenosť reakcie.

To je rozdiel medzi tým, či politika existuje, a tým, či kontrola skutočne funguje.

Päť otázok, na ktoré by mal odpovedať každý CISO

Model riadenia vzdialeného prístupu Clarysec je postavený na piatich otázkach, ktoré fungujú pre audity ISO 27001, pripravenosť na NIS2, preskúmania rizík IKT podľa DORA a dôkazové balíky podľa GDPR Article 32.

1. Kto sa môže pripájať vzdialene?

Vzdialený prístup musí byť obmedzený na autorizovaných používateľov, roly a dodávateľov. ISO/IEC 27002:2022 Riadenie prístupu 5.15, Správa identít 5.16 a Prístupové práva 5.18 definujú základ riadenia.

Zenith Controls mapuje Riadenie prístupu 5.15 ako preventívnu kontrolu zameranú na správu identít a prístupov. Prepája túto kontrolu so Správou identít, Prístupovými právami, Autentifikačnými informáciami, Zariadeniami koncových bodov používateľov, Bezpečnou autentifikáciou a dodržiavaním politík. V praxi je politika prístupu dôveryhodná iba vtedy, ak sú identity jedinečné, riadené počas životného cyklu, autentifikované a preskúmavané.

Dobrý záznam o vzdialenom prístupe má odpovedať na tieto otázky:

• Ktorá osoba alebo ktorý dodávateľ má prístup?
• Ku ktorým systémom sa môže dostať?
• Ktorá rola alebo zmluva odôvodňuje prístup?
• Kto ho schválil?
• Je MFA vynútená?
• Kedy bol prístup naposledy preskúmaný?
• Kedy dočasný prístup vyprší?
• Ktorý zdroj logov preukazuje použitie?

Podporuje to aj výsledky NIST Cybersecurity Framework 2.0 PR.AA v oblasti správy identít, autentifikácie, autorizácie, zásady minimálnych oprávnení a oddelenia povinností.

2. Aký bezpečnostný stav zariadenia a siete sa vyžaduje?

Vzdialený prístup má závisieť od dôveryhodnosti zariadenia, nielen od prihlasovacích údajov používateľa. Platné heslo a schválenie MFA z neriadeného, infikovaného alebo nezaplátaného zariadenia stále predstavujú vysoké riziko.

Zenith Blueprint: 30-kroková cestovná mapa audítora to vysvetľuje vo fáze Kontroly v praxi, krok 16, Personálne opatrenia II:

„Pracovníci na diaľku by mali byť povinní používať iba zariadenia schválené spoločnosťou, nakonfigurované IT, s celodiskovým šifrovaním, aktívnou ochranou koncových bodov, automatickým záplatovaním a vynútenými časovými limitmi uzamknutia obrazovky.“

Ten istý krok zdôrazňuje, že vzdialený prístup má prebiehať cez podnikovú VPN, ideálne chránenú MFA, a že BYOD má byť zakázané alebo povolené iba za prísnych podmienok, ako je zaradenie do MDM, kontajnerizácia a vzdialené vymazanie.

Práve tu sa stretávajú Zariadenia koncových bodov používateľov 8.1, Práca na diaľku 6.7, Riadenie technických zraniteľností 8.8, Riadenie konfigurácie 8.9 a Bezpečnosť sietí 8.20.

Pre GDPR Article 32 je bezpečnostný stav zariadenia dôležitý, pretože vzdialené koncové body sú súčasťou technických a organizačných opatrení chrániacich osobné údaje. Pre DORA bezpečnostný stav koncových bodov podporuje riadenie rizík IKT a prevádzkovú odolnosť. Pre NIS2 podporuje kybernetickú hygienu, riadenie prístupu, správu aktív a riešenie zraniteľností.

3. Ako je relácia chránená?

Bezpečná relácia vzdialeného prístupu má používať šifrovaný prenos, silnú autentifikáciu, segmentáciu a riadené administrátorské cesty.

Zenith Blueprint, fáza Riadenie rizík, krok 14, Politiky ošetrenia rizík a regulačné krížové odkazy, uvádza očakávanie pre vzdialený prístup:

„Každý vzdialený prístup k interným systémom musí používať bezpečnú VPN alebo ekvivalentné šifrované pripojenie. Viacfaktorová autentifikácia (MFA) je povinná pre vzdialené prihlásenie do podnikových sietí.“

Krok 20, Kontroly 8.18 až 8.26, inštruuje organizácie validovať bezpečnosť sieťových služieb tým, že uvedú všetky interné a externé sieťové služby, ako sú DNS, VPN, SMTP, DHCP a API brány, potvrdia bezpečné protokoly, preskúmajú kontroly prístupu a skontrolujú bezpečnostné ustanovenia tretích strán, ak sú služby spravované externe.

VPN nie je iba zariadenie. Je to sieťová služba s voľbou protokolov, obmedzeniami prístupu, certifikátmi, cestami cez firewall, závislosťami od tretích strán, požiadavkami na záplatovanie a logmi.

4. Ako sa prístup monitoruje a vyšetruje?

Riadenie vzdialeného prístupu musí zahŕňať logovanie a monitorovanie. NIS2 Article 23 stanovuje stupňované očakávania nahlasovania významných incidentov vrátane včasného varovania do 24 hodín, oznámenia incidentu do 72 hodín a záverečnej správy do jedného mesiaca. DORA vyžaduje, aby finančné subjekty zisťovali, riadili, klasifikovali, eskalovali a nahlasovali závažné incidenty súvisiace s IKT vrátane analýzy koreňovej príčiny a komunikácie v prípadoch, keď sú dotknuté finančné záujmy klientov. Analýza porušenia ochrany údajov podľa GDPR závisí od pochopenia, či k osobným údajom bolo pristúpené, či boli zmenené, sprístupnené, stratené alebo inak kompromitované.

Bez logov vzdialeného prístupu organizácia nevie spoľahlivo odpovedať na prvú otázku regulátora: čo sa stalo?

Silné logovanie má zachytávať identitu používateľa, výsledok autentifikácie, zdrojovú IP adresu, geolokáciu tam, kde je to vhodné, identitu zariadenia, cieľovú službu, privilegovanú akciu, trvanie relácie, neúspešné pokusy, administrátorské zmeny a koreláciu s udalosťami koncových bodov a identít.

5. Ako sa riešia výnimky a zraniteľnosti?

Infraštruktúra vzdialeného prístupu má vysokú hodnotu. VPN brány, ZTNA zariadenia, poskytovatelia identít, bastiónové servery a služby vzdialenej pracovnej plochy majú patriť medzi najprísnejšie riadené aktíva v programe riadenia zraniteľností.

Zrelý proces výnimiek má zahŕňať vlastníka aktíva, dotknutú službu vzdialeného prístupu, závažnosť zraniteľnosti, zneužiteľnosť, sprístupnenie údajov, dočasné kompenzačné kontroly, schválenie vlastníkom rizika, dátum vypršania, dôkazy o opätovnom testovaní a väzbu na register rizík a plán ošetrenia rizík.

Pre ISO/IEC 27001:2022 to podporuje ošetrenie rizík, prevádzkovú kontrolu a neustále zlepšovanie. Pre DORA to podporuje riadenie rizík IKT, testovanie a nápravné opatrenia. Pre NIS2 to podporuje riešenie zraniteľností a nápravné opatrenia bez zbytočného odkladu. Pre GDPR to pomáha preukázať, že bezpečnosť spracúvania bola založená na riziku, nie ad hoc.

Vzdialený prístup dodávateľov je skrytá auditná pasca

Mnohé zlyhania vzdialeného prístupu nie sú zlyhaniami zamestnancov. Sú to zlyhania riadenia dodávateľov.

MSP má starý VPN účet. Dodávateľ softvéru používa zdieľané prihlasovacie údaje. Partner podpory sa pripája cez vzdialenú pracovnú plochu, aby riešil problém s dopadom na zákazníka. Cloudový poskytovateľ spravuje bránu vzdialeného prístupu. Zmluvný dodávateľ si ponechá prístup po ukončení projektu.

DORA je v tejto oblasti obzvlášť prísna. Article 28 vyžaduje, aby finančné subjekty riadili riziko externých poskytovateľov IKT ako súčasť rámca riadenia rizík IKT a zostali plne zodpovedné aj vtedy, keď sú služby IKT outsourcované. Očakáva registre zmluvných dojednaní IKT, due diligence, štandardy informačnej bezpečnosti, práva na audit a kontrolu, práva na ukončenie, analýzu rizika koncentrácie a stratégie ukončenia pre kritické alebo dôležité funkcie. Article 30 špecifikuje zmluvné ustanovenia, ako sú ochrana údajov, úrovne služieb, miesta spracúvania, prístup k údajom a obnova údajov, pomoc počas incidentov, spolupráca s orgánmi, bezpečnostné opatrenia, práva na audit a podpora pri ukončení.

NIS2 Article 21 zahŕňa aj bezpečnosť dodávateľského reťazca a vzťahy s dodávateľmi a poskytovateľmi služieb, s dôrazom na zraniteľnosti špecifické pre dodávateľov a praktiky kybernetickej bezpečnosti dodávateľov.

NIST CSF 2.0 GV.SC poskytuje praktický prevádzkový model: stratégiu rizík dodávateľského reťazca, roly, kritickosť dodávateľov, zmluvné požiadavky, due diligence, monitorovanie, účasť pri incidentoch a činnosti po ukončení vzťahu.

Pre klientov Clarysec je praktické pravidlo jednoduché: vzdialený prístup tretích strán sa musí považovať za privilegovaný prístup, pokiaľ sa nepreukáže opak. Musí byť vedený na pomenované osoby, schválený, časovo obmedzený, chránený MFA, logovaný, monitorovaný a segmentovaný.

Mapovanie krížového súladu: jeden kontrolný systém, viacero povinností

Riadenie vzdialeného prístupu je jedným z najsilnejších príkladov krížového súladu. Tie isté dôkazy môžu splniť viacero povinností, ak sú správne navrhnuté.

Podrobnejší prehľad kontrol ISO ukazuje, prečo riadenie vzdialeného prístupu prináša takú hodnotu pre súlad.

NIS2 zavádza aj výslovnú zodpovednosť manažmentu. Article 20 vyžaduje, aby riadiace orgány základných a dôležitých subjektov schvaľovali opatrenia riadenia kybernetických rizík, dohliadali na ich implementáciu a absolvovali školenie. DORA Article 5 obdobne vyžaduje, aby riadiaci orgán finančných subjektov definoval, schvaľoval, dohliadal a zostával zodpovedný za opatrenia riadenia rizík IKT.

Predstavenstvo nemusí schvaľovať každé pravidlo firewallu. Malo by však schváliť rizikový profil vzdialeného prístupu: MFA je povinná, prístup dodávateľov je logovaný, privilegovaný prístup je segmentovaný, infraštruktúra vzdialeného prístupu je záplatovaná v definovaných lehotách, výnimky sú časovo obmedzené a kybernetické incidenty sa eskalujú cez dohodnuté kanály.

90-minútový dôkazový sprint pre vzdialený prístup

Praktický spôsob odhalenia medzier je vytvoriť mini dôkazový balík okolo jednej prístupovej cesty. Vyberte jeden príklad, napríklad „VPN prístup pre inžinierov produkčnej podpory“, a následne vykonajte tento sprint.

Cieľom nie je papierovanie. Cieľom je prepojiť politiku s dôkazom. Ak dôkazový balík nemožno dokončiť pre jednu prístupovú cestu, organizácia našla skutočnú medzeru v riadení skôr, než ju nájde audítor alebo regulátor.

Toto cvičenie zapadá aj do metódy profilov NIST CSF 2.0: vymedziť rozsah profilu, zhromaždiť politiky a požiadavky, zdokumentovať aktuálne a cieľové výsledky, analyzovať medzery, vytvoriť prioritizovaný akčný plán a implementovať zlepšenia.

Ako budú audítori testovať vzdialený prístup

Audit vzdialeného prístupu môže pôsobiť odlišne podľa odborného zázemia audítora. Zenith Controls pomáha organizáciám pripraviť sa, pretože mapuje vzťahy kontrol ISO/IEC 27002:2022 do pohľadu krížového súladu, nie do jedného kontrolného zoznamu.

Organizácia pripravená na audit nehľadá narýchlo snímky obrazovky. Udržiava živý systém dôkazov.

Bežné zistenia v roku 2026

Pri posúdeniach Clarysec opakovane vidí tie isté problémy vzdialeného prístupu:

• MFA je povolená pre zamestnancov, ale nie pre dodávateľov, núdzové účty alebo staršie VPN profily
• Logy vzdialeného prístupu existujú, ale nie sú uchovávané dostatočne dlho, centralizované ani prepojené s identitami
• Súlad koncových bodov sa spravuje oddelene od VPN prístupu, takže neriadené zariadenia sa stále môžu pripojiť
• Revízie prístupových práv sa zameriavajú na podnikové aplikácie, ale ignorujú VPN skupiny, oprávnenia bastiónov a cloudové administrátorské roly
• Infraštruktúra vzdialeného prístupu chýba v prioritnom zozname zraniteľností
• Prístup dodávateľov sa schvaľuje neformálne a neodráža sa v zmluvách
• Výnimky nemajú dátum vypršania, kompenzačnú kontrolu ani schválenie vlastníka rizika
• Účty „break glass“ nie sú testované, monitorované ani preskúmavané
• Privilegované relácie nie sú segmentované od všeobecnej prevádzky vzdialeného prístupu
• Playbooky reakcie na incidenty nezahŕňajú zber dôkazov zo vzdialeného prístupu

Týmto zisteniam sa dá predísť. Zvyčajne vznikajú z rozdrobeného vlastníctva. Sieťové tímy vlastnia VPN. IAM vlastní MFA. IT vlastní zariadenia. Obstarávanie vlastní zmluvy s dodávateľmi. Právne oddelenie vlastní podmienky spracúvania údajov. SOC vlastní upozornenia. Tím súladu vlastní auditné dôkazy.

ISMS ich musí prepojiť.

Cieľový prevádzkový model pre bezpečný vzdialený prístup

Zrelý model bezpečného vzdialeného prístupu a riadenia VPN má zahŕňať tieto prevádzkové postupy:

• udržiavať inventár všetkých metód vzdialeného prístupu vrátane VPN, ZTNA, RDP, bastiónových serverov, administrátorských portálov SaaS a tunelov dodávateľov,
• vyžadovať MFA pre každý vzdialený prístup vrátane dodávateľov, administrátorov a núdzových účtov,
• vynucovať súlad zariadenia pred prístupom tam, kde je to technicky možné,
• používať segmentáciu, bastiónové servery alebo brány Zero Trust pre privilegovaný prístup a prístup tretích strán,
• logovať zdrojovú IP adresu, identitu používateľa, výsledok autentifikácie, cieľový systém a trvanie relácie,
• uchovávať logy podľa politiky, regulačných a vyšetrovacích potrieb,
• prioritizovať systémy vzdialeného prístupu pri skenovaní zraniteľností a záplatovaní,
• pravidelne preskúmavať prístupové práva a pri zmene roly, ukončení alebo zmene zmluvy s dodávateľom,
• časovo obmedziť núdzový, dočasný a dodávateľský prístup,
• zahrnúť vzdialený prístup do reakcie na incidenty, posúdenia porušenia ochrany údajov a krízových cvičení,
• testovať odolnosť vzdialeného prístupu a záložné prístupové trasy tam, kde je to potrebné pre kontinuitu,
• integrovať vzdialený prístup dodávateľov do zmlúv, due diligence, monitorovania a plánovania ukončenia,
• reportovať metriky rizík vzdialeného prístupu manažmentu.

Pre Mariu sa z toho stáva praktický akčný plán. V prvých dvoch týždňoch použije Zenith Blueprint na aktualizáciu dokumentov správy a riadenia, zosúladenie politík s povinnosťami podľa NIS2 a DORA a získanie schválenia manažmentu. Počas nasledujúceho mesiaca jej IT a bezpečnostné tímy vynútia MFA vo všetkých profiloch vzdialeného prístupu, segmentujú prístup zmluvných dodávateľov, vyladia logovanie a prioritizujú systémy VPN a ZTNA na nápravu zraniteľností. Priebežne realizuje štvrťročné revízie prístupových práv, testuje zber dôkazov pri incidentoch a reportuje metriky rizík predstavenstvu.

Výsledkom nie je iba čistejšia konfigurácia VPN. Je to kontrolný systém vzdialeného prístupu, ktorý obstojí pri audite, podporí reakciu na incidenty a zníži skutočné prevádzkové riziko.

Vybudujte dôkazový balík vzdialeného prístupu pred ďalším incidentom

Pondelkové ranné upozornenie VPN sa nemusí stať krízou. Malo by sa však stať testom riadenia.

Viete identifikovať používateľa? Viete preukázať MFA? Viete potvrdiť bezpečnostný stav zariadenia? Viete zrekonštruovať reláciu? Viete určiť, či boli dostupné osobné údaje? Viete preukázať, že účet bol schválený a preskúmaný? Viete preukázať, že VPN zariadenie bolo zaplátané? Viete preukázať, že prístup dodávateľov je logovaný a segmentovaný? Vidí manažment riziko?

Ak odpoveď znie „zatiaľ nie“, Clarysec môže pomôcť.

Začnite s Zenith Blueprint: 30-kroková cestovná mapa audítora, aby ste štruktúrovali svoju implementačnú cestovnú mapu ISO/IEC 27001:2022, najmä krok 14 pre politiky ošetrenia rizík, krok 16 pre kontroly práce na diaľku, krok 19 pre bezpečnú autentifikáciu a krok 20 pre bezpečnosť sieťových služieb. Použite Zenith Controls: sprievodca krížovým súladom na mapovanie Práce na diaľku, Riadenia prístupu, Bezpečnej autentifikácie, dodávateľských kontrol, logovania a bezpečnosti sietí na súvisiace kontroly ISO/IEC 27002:2022 a dôkazy krížového súladu.

Potom operacionalizujte požiadavky pomocou politík Clarysec, ako sú Politika práce na diaľku, Politika bezpečnosti sietí, Politika riadenia prístupu, Politika bezpečnosti tretích strán a dodávateľov a ekvivalenty pripravené pre SME.

Váš ďalší audit nemá byť prvým okamihom, keď sa zostaví dôkazový balík vzdialeného prístupu. Vybudujte ho teraz, otestujte ho teraz a urobte z riadenia bezpečného vzdialeného prístupu jednu z najsilnejších častí svojho programu súladu. Kontaktujte Clarysec pre posúdenie riadenia vzdialeného prístupu, stiahnite si šablóny politík alebo si rezervujte ukážku, aby ste videli, ako sa vaše aktuálne kontroly mapujú na ISO 27001, NIS2, DORA a GDPR Article 32.