Blog

Existuje slavný sociální experiment. Když poházíte na firemním parkovišti USB disky s logem firmy, až 60 % zaměstnanců je zvedne a strčí do firemního počítače. Jen tak, ze zvědavosti. V tu chvíli obchází váš drahý firewall a zvou útočníka přímo do obýváku.

Ještě horší je ale opačný směr. Vynést gigabajty citlivých dat na flashce velikosti nehtu je otázka vteřin. Jak tomu zabránit?

Krok 1: Strategie "Všechno je zakázáno" (Default Deny)

V roce 2025 už neexistuje důvod, aby měl každý zaměstnanec právo připojit jakékoliv USB úložiště. Cloud (OneDrive, SharePoint) je bezpečnější a dohledatelnější.

Zlaté pravidlo: Ve výchozím stavu zablokujte kategorii "Removable Storage" (Výměnná úložiště) pro celou firmu.

Krok 2: Výjimky pro vyvolené (Whitelisting)

Samozřejmě, marketing potřebuje přenášet velká videa a účetní nahrávat certifikáty. Pro ně zavedeme systém výjimek.

Ale pozor! Nepovolujte "všechny flashky". Povolte konkrétní zařízení. Každá flashka má unikátní Hardware ID. V systému (přes GPO nebo Endpoint Protection) nastavíte:

• "Povolit zápis pouze na Kingston DataTraveler se sériovým číslem XYZ."

• Všechny ostatní flashky (včetně těch z domova) se načtou jen pro čtení (Read-Only) nebo vůbec.

Krok 3: Vynucené šifrování (BitLocker To Go)

Pokud už dovolíte data vynášet, musíte zajistit, co se stane, když zaměstnanec flashku ztratí ve vlaku. Nastavte politiku: "Zápis na USB je povolen, POUZE pokud je disk šifrovaný BitLockerem."

Když uživatel strčí do PC svou soukromou nešifrovanou flashku, systém mu řekne: "Chceš tam nahrát soubor? Musíš disk nejdřív zašifrovat firemním klíčem." Tím zajistíte, že data jsou čitelná jen na firemních počítačích, nebo po zadání hesla.

Krok 4: Logování (Důvěřuj, ale prověřuj)

Zablokovat USB je jedna věc. Vědět, co se děje, je věc druhá. Běžný Windows Event Log je v tomto skoupý. Řekne vám "Bylo připojeno USB", ale už neřekne "Byl zkopírován soubor Mzdy_2024.xlsx".

Pro skutečný přehled potřebujete nástroje DLP (Data Loss Prevention) nebo pokročilé Endpoint ochrany (ESET, SentinelOne, Defender for Endpoint).

Co musíte vidět v logu:

1. KDO: Uživatel (Jan Novák).

2. KAM: Sériové číslo flashky.

3. CO: Název zkopírovaného souboru.

🔥 Profi tip: Shadow Copy (Stínování)

Nejvyšší level paranoie (používá se v bankách nebo u armády). Pokud uživatel kopíruje soubor na USB, systém tajně vytvoří jeho kopii a uloží ji do bezpečného archivu na serveru. Až bude zaměstnanec tvrdit: "Já jsem kopíroval jen fotky z dovolené", vy se podíváte do archivu a uvidíte, že to byly výkresy nového prototypu.

Závěr

Doba, kdy si lidé nosili filmy a hudbu na flashkách do práce, skončila. USB port je bezpečnostní díra.

1. Zablokujte plošně úložiště.

2. Povolte jen firemní, šifrované disky.

3. Logujte názvy souborů, které opouštějí firmu.

Je lepší řešit "otravné" povolování výjimky pro jednoho člověka, než řešit únik celé databáze.