IAM jako bezpečný základ budoucnosti

Identity & Access Management, ať už v podobě řízení identit, resp. řízení životního cyklu identit, identity governance a řízení zákaznických identit provází Orchitech celých 18 let jeho existence.

IAM mimo jiné pomáhá organizacím mít pod kontrolou, kdo má k čemu přístup, jak se oprávnění schvalují a jak se změny dokládají při auditu, a zároveň zjednodušuje běžný provoz (nástupy, změny rolí, odchody).

„Naší vizí je proměňovat oblast identit a přístupů v bezpečný základ budoucnosti organizací. A k tomu nestačí jen nasadit nástroj, ale  je třeba zákazníka celou změnou provést,“ uvádí Martin Čížek, CEO společnosti Orchitech. „Jsme partnerem od studie proveditelnosti přes implementaci až po dlouhodobý rozvoj a podporu. Nejsme jen dodavatelem, který něco nainstaluje a zbytek nechá na zákazníkovi.“

Expertíza prověřená napříč sektory

Orchitech dlouhodobě spolupracuje s organizacemi napříč odvětvími – od veřejné správy a univerzit přes telekomunikace a bankovnictví až po zdravotnictví. Dlouhodobým partnerem je operátor O2, v bankovním sektoru firma realizovala projekty například pro Air Bank, kde Ondřej Šňupárek, ředitel divize IT, oceňuje technickou úroveň i schopnost reagovat na změny v projektu. Dopad do provozu popisuje Jihočeská univerzita: „Řešíme teď o 80 % méně požadavků,“ uvádí Ing. Jan Marek.

ISIC a globální dosah projektů Orchitechu

Orchitech je více než 15 let technologickým partnerem světové centrály studentských karet ISIC. Spravuje globální platformu pro více než 20 milionů identit držitelů karet, která integruje stovky studentských výhod a systémy národních partnerů v desítkách zemí.

Mezinárodní přesah firmy se však neomezuje pouze na tento projekt. Orchitech poskytuje své služby i dalším zahraničním subjektům, kterým pomáhá s modernizací infrastruktury a bezpečným řízením identit a přístupů v mezinárodním měřítku.

Wren Security a open-source kontinuita

Důležitým momentem v rozvoji firmy je aktivní role při vzniku a rozvoji platformy Wren Security, která navazuje na open-source produkty OpenIDM, OpenAM a další, původně spravované společností ForgeRock. Po ukončení jejich vývoje v roce 2016 se Orchitech stal klíčovým podporovatelem Wren Security, moderního open-source nástupce, který se svými nástroji Wren:IDM, Wren:AM, Wren:ICF, Wren: DS a Wren:IG zajišťuje technologickou kontinuitu pro lokální i mezinárodní implementace.

Evropská směrnice NIS2 a Identity Management

Zkušenosti z IAM projektů Orchitech uplatňuje i při přípravě klientů na nový zákon o kybernetické bezpečnosti a směrnici NIS2 – zejména v oblasti řízení přístupů, schvalování změn oprávnění a auditní stopy. „Řešení navrhujeme tak, aby pomáhala splnit legislativní a auditní požadavky a zároveň byla dlouhodobě udržitelná v provozu. Dlouhodobé udržitelnosti při rozumných nákladech dosahujeme i u silně přizpůsobených zákaznických řešení,“ doplňuje Martin Čížek.

O společnosti Orchitech

Orchitech je česká technologická společnost specializující se na Identity and Access Management (IAM). Od roku 2008 dodává a podporuje IAM řešení pro organizace v ČR i v zahraničí napříč sektory. Od roku 2021 je členem Asociace softwarových agentur (ASWA).

The post Orchitech slaví plnoletost: 18 let od startupu pro řízení identit až po mezinárodní IAM projekty appeared first on Orchitech.

Identity dnes nejsou jen „účty v systému“. Staly se centrálním bodem bezpečnosti, compliance i každodenního fungování organizací.

Jak se za 18 let proměnila role Identity & Access Managementu

Když jsme v roce 2008 začínali, organizace už řešily správu účtů, přístupová práva nebo napojení na adresářové služby. IAM tehdy znamenal především provisioning, synchronizaci účtů a základní auditovatelnost.

Postupně se ale rozsah této oblasti výrazně rozšířil.

Dnes IAM zahrnuje:

• řízení životního cyklu identit (nástupy, změny rolí, odchody),
• identity governance a pravidelné recertifikace oprávnění,
• auditní stopu a dohledatelnost změn,
• integraci cloudových a SaaS služeb,
• zákaznické identity,
• podporu regulatorních požadavků.

S nástupem cloudu, hybridních prostředí a moderních bezpečnostních přístupů (např. zero trust) se identita stala centrálním prvkem bezpečnostní architektury. Pokud nemáte pod kontrolou identity a přístupy, nemáte plně pod kontrolou ani rizika.

IAM pomáhá organizacím odpovědět na klíčové otázky:

Projekty napříč sektory

Za 18 let jsme realizovali IAM projekty v různých odvětvích – od veřejné správy a univerzit přes telekomunikace a bankovnictví až po zdravotnictví.

Každý sektor má svá specifika: jiný regulatorní rámec, jinou citlivost dat, jinou procesní kulturu. Společným jmenovatelem ale zůstává potřeba mít jasně definované odpovědnosti, transparentní schvalování a dlouhodobě udržitelný model řízení přístupů.

IAM není izolovaný IT projekt. Dotýká se HR, bezpečnosti, interního auditu i managementu. A právě propojení technologií s procesy je často tím rozhodujícím faktorem úspěchu.

ISIC: globální identitní platforma

Jedním z dlouhodobých projektů je více než patnáctiletá spolupráce se světovou centrálou studentských karet ISIC. Spravujeme globální identitní platformu, která obsluhuje více než 20 milionů identit držitelů karet a propojuje národní partnery v desítkách zemí.

Takové řešení musí fungovat napříč právními prostředími, integračními rozhraními i časovými pásmy. Vyžaduje škálovatelnost, vysokou dostupnost a dlouhodobou technologickou kontinuitu.

Právě kontinuita je v oblasti identit zásadní – identitní infrastruktura není krátkodobý projekt, ale základní stavební kámen digitálního prostředí organizace.

Wren Security a technologická kontinuita

Významným momentem v našem vývoji byla aktivní role při vzniku a rozvoji platformy Wren Security, která navazuje na open-source produkty OpenIDM, OpenAM a další technologie původně spravované společností ForgeRock.

Po ukončení jejich vývoje bylo pro řadu organizací klíčové zachovat kontinuitu a možnost dalšího rozvoje. Wren Security (Wren:IDM, Wren:AM, Wren:ICF, Wren:DS a Wren:IG) představuje moderní open-source řešení, které tuto kontinuitu zajišťuje. V Orchitechu organizacím využívajícím OpenAM nebo OpenIDM pomáháme s plynulým a řízeným přechodem na platformu Wren Security.

Dlouhodobá udržitelnost – technologická i ekonomická – je v IAM zásadní. Identitní řešení musí fungovat nejen dnes, ale i za několik let.

NIS2, audit a realita současnosti

V posledních letech se výrazně zvýšil důraz na regulatorní požadavky, včetně evropské směrnice NIS2 a nového zákona o kybernetické bezpečnosti.

Pro mnoho organizací je to impuls k systematickému nastavení řízení přístupů – zejména z pohledu auditní stopy, schvalování oprávnění a jasného rozdělení odpovědností.

Dobře navržené IAM řešení nepomáhá jen splnit legislativní požadavky. Zjednodušuje každodenní provoz, snižuje množství manuálních zásahů a omezuje provozní rizika.

Milníky Orchitechu

18 let zkušeností a pohled do budoucna

Za osmnáct let se oblast Identity & Access Managementu výrazně proměnila. Ne proto, že by identity dříve nebyly důležité, ale proto, že se jejich význam postupně rozšířil – z technické správy účtů do strategické oblasti řízení rizik, bezpečnosti a compliance.

Naší ambicí zůstává pomáhat organizacím budovat identitní infrastrukturu, která je bezpečná, auditovatelná a dlouhodobě udržitelná.

Protože identita dnes není detail IT architektury.
Je jejím základem.

The post 18 let Orchitechu: Od správy účtů k strategickému základu bezpečnosti appeared first on Orchitech.

The post PF 2026 appeared first on Orchitech.

The post Vánoční večírek 2025 appeared first on Orchitech.

Teď se podíváme na „druhou polovinu příběhu“ – Bank iD.
Co přesně je, jak souvisí s NIA a kdy dává smysl ho využít?

Bankovní identita a Bank iD: prostředek ověření i komerční obdoba NIA

Bankovní identitu lze využít dvěmi základními způsoby – přes NIA a přes Bank iD:

1) Prostředek elektronické identifikace v NIA

Bankovní identitu lze použít jako jeden z ověřovacích prostředků při přihlašování ke službám státu – tedy prostřednictvím NIA. Orgány státní správy a územní samosprávy mohou bankovní identitu přes NIA využívat bezplatně. Ostatní veřejné instituce jako univerzity, nemocnice či zdravotní pojišťovny ji mohou využívat také, ale v komerčním režimu přes Bank iD.

Bankovní identita je v současnosti nejpoužívanějším prostředkem pro přihlášení ke službám státu.

Proč je tak oblíbená?
Protože bankovní identitu má prakticky každý, kdo má bankovní účet. Uživatelská bariéra je minimální — žádné nové heslo, žádná další registrace, jen ověření v prostředí vlastní banky, které lidé znají a kterému důvěřují.

2) Komerční identitní platforma Bank iD

Stejné přihlašovací údaje jsou dostupné i jako služba pro soukromé subjekty a část veřejného sektoru mimo orgány státní správy. V těchto případech ověření nezajišťuje NIA, ale komerční platforma Bank iD (Bankovní identita a.s.).

V komerčním režimu:

• banky vystupují jako poskytovatelé identity,
• firmy a instituce jako poskytovatelé služeb,
• organizace hradí využití služby,
• uživatelé mají přihlášení/ověření vždy zdarma.

Proč organizace — i veřejné — Bank iD využívají?

Ať už jde o univerzitu, nemocnici nebo soukromou službu, důvody jsou podobné. Bank iD nabízí kombinaci pohodlí pro uživatele a efektivity pro organizaci.

Největší rozšíření mezi uživateli

Bankovní identita je dnes nejčastěji používaným způsobem přihlášení ke službám státu. Organizace tak získají přístupový kanál, který lidé dobře znají, používají a kterému důvěřují.

Méně problémů se zapomenutými hesly

Pokud se Bank iD používá i jako přístup do vlastního systému, uživatel si nemusí pamatovat další přihlašovací údaje. To znamená méně incidentů typu „zapomněl jsem heslo“ a menší vytížení IT podpory.

Snazší onboarding zahraničních uživatelů

Zahraniční studenti či zaměstnanci si často zakládají český bankovní účet — a tím automaticky získají i bankovní identitu. Získat jiný prostředek NIA by pro ně bylo výrazně složitější.

Lepší uživatelská zkušenost

Uživatelé se přihlašují způsobem, který je pro ně přirozený. Díky tomu nedochází k odchodům ze služby kvůli novým účtům nebo komplikovaným přihlašovacím procesům.

Snadná integrace pomocí OIDC

Bank iD vystupuje navenek jako standardní OpenID Connect provider. To znamená, že se integruje stejným způsobem jako jakýkoli jiný IdP: typicky přes authorization code flow a s využitím ID tokenu (JWT).

Kde se bankovní identita používá v praxi

1. Přihlášení ke službám státu

Nejznámější scénář je přihlášení na Portál občana, Daňový portál a další státní agendy.
Uživatel klikne na „Bankovní identita“, ověří se v bance a NIA zajistí propojení se státní službou.

2. AML/KYC a finanční sektor

Subjekty s povinností identifikovat klienta (AML/KYC) – banky, pojišťovny, investiční platformy a další regulované organizace – často volí Bank iD jako rychlý a bezpečný způsob ověření.

3. E-commerce a věkové omezení

Prodej zboží s věkovým omezením (např. alkohol) vyžaduje ověření 18+.
Bank iD tento údaj spolehlivě potvrdí v reálném čase a bez nahrávání dokladu.

4. Univerzity, nemocnice, zdravotní pojišťovny a další

Tyto instituce jsou součástí veřejného sektoru a mohou používat NIA, ale často ji doplňují o Bank iD — zejména kvůli pohodlí uživatelů a dostupnosti prostředku.
Studenti, pacienti nebo klienti tak mají více možností, jak ověřit svou totožnost.

To je i případ Jihočeské univerzity, kde Bank iD doplňuje NIA jako pohodlný a bezpečný způsob ověření při resetu hesla.

NIA a Bank iD: dvě cesty, jedna digitální identita

Z pohledu uživatele vypadá proces přihlášení vždy téměř stejně:

1. zvolí prostředek (bankovní identita),
2. ověří se v prostředí banky,
3. vrátí se ke službě a pokračuje dál.
   

Rozdíl je pouze v tom, kdo ověření zprostředkovává:

• u orgánů veřejné správy jde o NIA,
• u firem a veřejných institucí mimo státní správu o komerční platformu Bank iD.

Ve výsledku však uživatel používá stále stejný prostředek – jednu digitální identitu pro všechny služby. Jednoduše, bezpečně a bez dalších hesel.

Chcete si poskládat celý obrázek? Vraťte se k prvnímu článku z naší minisérie a podívejte se, jak funguje NIA.

Jak to vypadá v praxi: Jihočeská univerzita

Na Jihočeské univerzitě jsme propojili univerzitní IDM systém s NIA a Bank iD a zavedli bezpečný self-service reset hesla.

Díky tomu mohou studenti:

• bezpečně nastavit první heslo,
• kdykoliv si ho sami resetovat s ověřením přes Bank iD nebo NIA.

Výsledkem je:

• nižší zátěž IT oddělení,
• zvýšení bezpečnosti,
• výrazně lepší uživatelská zkušenost.

The post Bank iD: jak zapadá do ekosystému NIA a jaké jsou možnosti jeho využití appeared first on Orchitech.

První den patřil prezentacím, bilancování uplynulého roku i plánům do toho nadcházejícího. Nechyběly technické bloky ani novinky z legislativy. Druhý den jsme věnovali teambuildingu. Se zkušenými instruktory ze ZDrSEM jsme absolvovali zážitkový kurz první pomoci, který nám přinesl nejen nové dovednosti, ale i silný společný zážitek.

Díky všem kolegům za energii, otevřenost a skvělou atmosféru!

The post Orchikonference 2025: dva dny plné inspirace, spolupráce a zážitků appeared first on Orchitech.

Na první pohled vypadá NIA jako systém určený jen pro komunikaci s úřady. Ve skutečnosti jde ale o federativní platformu pro důvěryhodné ověřování identity, která má potenciál využití daleko širší a může být využita pro komunikaci s dalšími veřejnými institucemi a za určitých podmínek i se soukromými firmami.

S NIA úzce souvisí také Bank iD, které na obdobném principu rozšiřuje možnosti využití bankovní identity. Tomu se podrobněji budeme věnovat v samostatném článku.

Co je NIA a proč vznikla

NIA, neboli Národní identitní autorita, je systém spravovaný Digitální a informační agenturou (DIA), který slouží k bezpečnému ověřování identity uživatelů při přístupu k digitálním službám. V praxi vytváří federativní prostředí, kde propojuje dvě skupiny:

• poskytovatele identity – tedy subjekty, které zajišťují ověření uživatele (např. banky, státní prostředky jako eObčanka, NIA ID nebo Mobilní klíč eGovernmentu, případně i další komerční poskytovatele);
• poskytovatele služeb – organizace, které digitální služby nabízejí (úřady, univerzity, zdravotní pojišťovny, atp. a v určitých případech i soukromé firmy).

NIA zároveň funguje jako národní uzel v rámci evropského rámce eIDAS, což umožňuje českým občanům přihlašovat se do služeb v jiných státech EU – a naopak. V rámci tohoto mezinárodního využití ale může být prostředkem ověření identity výhradně eObčanka.

Jak federace funguje a proč je to přínosné

Klíčovou myšlenkou NIA je to, že uživatel má jednu identitu, kterou může bezpečně použít u různých služeb. Nemusí se registrovat u každé služby zvlášť, ani všude znovu vyplňovat osobní údaje.

Zároveň platí, že NIA neposílá poskytovateli služby všechny údaje o uživateli – zprostředkovává jen ty atributy, které jsou skutečně nutné. Pokud je potřeba např. ověřit věk, není nutné sdílet celé datum narození – NIA poskytovateli služeb pouze potvrdí, že je uživatel starší 18 let.

To přináší několik klíčových benefitů:

• vyšší ochranu soukromí – méně údajů v oběhu = nižší riziko jejich zneužití;
• větší komfort pro uživatele – přihlášení je rychlé a jednoduché; uživatel si nemusí pamatovat desítky různých hesel;
• úsporu pro organizace – odpadá nutnost spravovat vlastní robustní systémy ověřování i složitá agenda spjatá se správou uživatelských hesel;
• důvěryhodnost ověření – identita uživatele je bezpečně potvrzena oficiálním státním systémem, takže poskytovatel služby má jistotu, že pracuje s pravdivými a aktuálními údaji.

Jaké identifikační prostředky NIA nabízí a jaké atributy dokáže ověřit

Pro běžného uživatele je dnes nejznámější bankovní identita. Vedle ní existují i další prostředky, včetně státních, jako je například eObčanka, NIA ID nebo Mobilní klíč eGovernmentu. Každý uživatel si může vybrat způsob přihlášení, který mu vyhovuje nejvíce.

NIA přitom neověřuje jen samotnou identitu, ale zprostředkovává i konkrétní atributy uživatele – a to jak ve standardu evropského rámce eIDAS, tak i řadu dalších. Uživatel tak sdílí s poskytovatelem služby pouze ty údaje, které jsou skutečně nezbytné pro využití dané služby.

Typickými atributy jsou například:

• jméno a příjmení;
• datum narození;
• adresa;
• státní občanství;
• potvrzení věku (např. starší 18 let);
• a další, podle toho, co poskytovatel služby potřebuje ověřit.

NIA v praxi

Nejčastěji se s NIA setkáte při přihlašování do datových schránek nebo na Portál občana. Tím ale její využití nekončí – stále častěji se objevuje i v dalších oblastech.

• Univerzity a školy – NIA se používá například pro bezpečné ověřování identity při přístupu do studijních systémů. Praktickým příkladem je Jihočeská univerzita, kde lze díky propojení s NIA a Bank iD pohodlně a bezpečně resetovat zapomenuté heslo. 
• Zdravotnictví – nemocnice a zdravotní pojišťovny začínají NIA využívat pro přístup do pacientských portálů nebo k výsledkům vyšetření.
  

Jednoduchost pro uživatele, jistota pro organizace

Pro uživatele je celý proces nenápadný – vyberete si prostředek, přihlásíte se a pokračujete dál.

Ať už jdete na Portál občana, resetujete heslo na univerzitě nebo se přihlašujete do pacientského portálu, využíváte digitální identitu, která vám šetří čas a zároveň chrání vaše soukromí.

Zároveň přináší jistotu i organizacím – mohou se spolehnout, že pracují s bezpečně ověřenými údaji.

The post NIA: nejen digitální cesta na úřad appeared first on Orchitech.

Proč by vás měl nový zákon zajímat? Nová pravidla dopadnou na výrazně širší spektrum organizací než dosud, včetně většiny středních a velkých firem. 

Řízení identit a přístupových práv bývá chápáno pouze jako administrativní proces. Ve skutečnosti jsou právě uživatelské účty a jejich oprávnění častým cílem kybernetických útoků. Jejich správné řízení je tedy jedním ze zásadních pilířů kybernetické bezpečnosti. A proto nová legislativa věnuje pozornost i této oblasti. 

Požadavky nového ZoKB na řízení identit a přístupů

ZoKB a jeho prováděcí vyhlášky stanovují požadavky na řízení identit a přístupových práv, přičemž tato oblast je rozdělena do dvou základních rovin – organizační a technické.

Organizační opatření

Podle nové legislativy musí každá regulovaná organizace nastavit politiku řízení identit a přístupů.² Mezi klíčové požadavky patří:

• Zavedení politiky řízení identit a přístupů
  Je nutné mít jasná pravidla pro přidělování, změny a odebírání přístupových práv.
• Princip „least privilege“
  Každý uživatel smí mít pouze oprávnění nezbytná pro výkon své práce, nic navíc.
• Pravidelné revize přístupů
  Organizace musí aktivně kontrolovat, zda všechna oprávnění odpovídají aktuálním potřebám zaměstnanců.
• Rychlé reakce na změny rolí
  Změna pracovní pozice nebo odchod zaměstnance musí vést k okamžité úpravě či odebrání přístupových práv.
• Auditovatelnost změn
  Každé přidělení nebo odebrání oprávnění musí být pečlivě dokumentováno pro zpětnou dohledatelnost.

Technická opatření:

Organizační pravidla je nezbytné podpořit vhodnými technologiemi.³ Mezi hlavní technické požadavky patří například:

• Centrální nástroj pro řízení identit
  Použití specializovaných IDM/IGA systémů, které umožňují efektivní řízení přístupů z jednoho místa.
• Silné heslové politiky
  Je nezbytné zavést přísnou heslovou politiku s pravidelnou obměnou a vysokou komplexností hesel (pokud není využívána MFA).
• Logování všech aktivit s identitami a přístupy
  Organizace musí vést detailní záznamy všech přístupů, včetně neúspěšných pokusů, pro účely auditu a detekce incidentů.
• Vícefaktorová autentizace (MFA) nebo Zero Trust
  Vyžadována je autentizace pomocí více faktorů nebo kontinuální ověřování identity uživatele.

Jak může IDM/IGA systém pomoci splnit legislativní požadavky?

Bez specializovaného systému může být dodržování těchto nových pravidel velmi komplikované a nákladné. Moderní IDM/IGA systémy přinášejí řadu výhod:

• Automatizace procesů  – onboarding, revize oprávnění, deaktivace účtů
• Transparentní auditní stopa všech aktivit spojených s identitami
• Jednotná autentizace díky pořádku v účtech, snadnější implementace MFA nebo Zero Trust
• Centrální řízení oprávnění interních i externích uživatelů
  

Díky těmto vlastnostem IDM/IGA systém zásadně usnadňuje nejen technické, ale i organizační naplnění legislativních požadavků.

Vztahuje se nový ZoKB i na vás?

Nová legislativa významně rozšiřuje okruh subjektů, které musí splnit povinnosti kybernetické bezpečnosti. Hlavními kritérii jsou:

1. Působení ve významném sektoru – například veřejná správa, energetika, zdravotnictví, ICT, finance, doprava, potravinářský a chemický průmysl, výroba, vodní a odpadové hospodářství a další.
   
2. Velikost organizace – zejména střední a velké podniky (50+ zaměstnanců nebo roční obrat/bilanční suma nad 10 mil. EUR).

Zásadní změnou je, že organizace musí sami aktivně identifikovat svou regulovanou službu a následně ji registrovat u NÚKIB. 

Pozor: Zákon se může vztahovat i na menší subjekty, pokud poskytují služby klíčové pro zajištění důležitých společenských nebo ekonomických činností či bezpečnosti. 

Nejste si jistí, zda vámi poskytovaná služba spadá mezi regulované? Snadno si to ověříte na portálu NÚKIB.

Jaká jsou rizika nesplnění požadavků?

Nedodržení zákonných povinností může být drahé – pokuty mohou dosáhnout až 250 mil. Kč nebo 2 % celosvětového obratu organizace. Novinkou je také osobní odpovědnost členů statutárních orgánů za bezpečnostní incidenty. 

Čas běží. Jak se připravit?

Přestože zákon vstupuje v účinnost již letos v listopadu, bezpečnostní opatření lze implementovat postupně během následujícího roku od registrace. S přípravou je ale vhodné začít okamžitě, neboť požadavky nového zákona jsou komplexní a ovlivňují zásadním způsobem fungování firemních procesů i technologií.

Proč nečekat a řešit IAM ihned?

Přínosy kvalitního IDM/IGA řešení dalece přesahují pouhé splnění zákonných požadavků. Díky automatizaci rutinních činností, jasně nastaveným pravidlům a centralizaci řízení identit a přístupů výrazně zvýšíte nejen bezpečnost, ale také efektivitu fungování organizace. Vaši IT specialisté se místo administrativní zátěže budou moci soustředit na strategické a rozvojové projekty, a ostatní zaměstnanci ocení rychlejší a jednodušší přístup k potřebným nástrojům. Proto se vyplatí čekat a IAM řešit jako prioritu již dnes.

Jsme připraveni vám pomoci

Ve společnosti Orchitech pomáháme firmám zavádět IAM řešení, která nejen plní legislativní požadavky, ale zároveň zjednodušují řízení identit a přístupů a posilují kybernetickou bezpečnost.

Potřebujete připravit IAM na novou legislativu a zvýšit úroveň řízení identit ve vaší organizaci?

Ozvěte se nám. Společně najdeme řešení, které zvýší bezpečnost, usnadní práci a splní požadavky nového ZoKB.

Chcete se o tématu IAM dozvědět více? Doporučujeme tento náš článek:

• Od správy účtů k řízení identit
  Zjistěte, jak IDM/IGA posouvá správu uživatelských účtů na úroveň strategického řízení, které efektivně řeší bezpečnostní i legislativní požadavky.

Pokud máte jakékoliv otázky, rádi je s vámi probereme osobně.

Kontaktujte nás ještě dnes.

Upozornění:

Tento článek má čistě informativní charakter a nepředstavuje právní radu ani závazný výklad aktuálních právních předpisů. Nový zákon o kybernetické bezpečnosti (ZoKB) byl zveřejněn ve Sbírce zákonů pod číslem 264/2025 Sb. a jeho účinnost nastane 1. listopadu 2025. Prováděcí vyhlášky jsou v připomínkovém řízení, proto může ještě dojít k jejich drobným změnám. Doporučujeme ověřit aktuální znění zákona a vyhlášek, případně se poradit s odborníkem při posuzování konkrétních rizik vaší organizace.

Zdroje:

Zákon o kybernetické bezpečnosti č. 264/2025 Sb.

Návrh vyhlášky o regulovaných službách (eKLEP PID KORNDGQGJKME, verze 16.5.2025)

Návrh vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností (eKLEP PID ALBSDGQCWPDA, verze 16.5.2025)

Návrh vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností (eKLEP PID ALBSDGQC3VXQ, verze 16.5.2025)

¹  EU 2022/2555

² zejména § 14 vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

³ zejména § 20, § 21 a § 23 vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

The post Nový zákon o kybernetické bezpečnosti: Jak se dotýká řízení identit a přístupů (IAM)? appeared first on Orchitech.

Správa účtů vs. řízení identit

S narůstajícím počtem informačních systémů se manuální správa účtů v jednotlivých systémech stává neudržitelnou. Přestože konsolidace správy účtů do centrálních úložišť a adresářových služeb (AD, LDAP) – ať už cloudových nebo lokálních – přinášejí zlepšení, neřeší aspekty, které jsou pro bezpečnost identit klíčové.  

Systém řízení identit (IDM/IGA – Identity Management, Identity Governance and Administration) přináší automatizaci a self-service funkce, které šetří čas IT oddělení a zvyšují efektivitu díky okamžité realizaci přístupů. Mezi hlavní přínosy patří:

• důsledné vynucování bezpečnostních a heslových politik;
• jasně definované odpovědnosti;
• detailní auditní záznamy včetně reportů.

Více o IDM systémech si můžete přečíst například zde.

Poznámka k názvosloví: 

Identity Management (IDM) – v českém prostředí nejčastěji označuje systém správy a řízení identit. Vlivem velkých cloudových platforem se však dnes často zaměňuje s pouhou centralizací správy účtů.

Identity Governance and Administration (IGA) – označuje bezpečnostní politiku, předpisy a jejich procesní zajištění. V současnosti se tento termín běžně používá i pro systémy, které tyto politiky technicky implementují.

Proto zde pro označení systému řízení identit používáme obě zkratky – IDM/IGA.

Proč běžná správa účtů nestačí – názorné příklady z praxe

Podívejme se na několik situací, které mohou nastat v organizaci spoléhající pouze na  základní správu účtů, byť centralizovanou. 

Příklad 1 – Aktivní účty bývalých zaměstnanců:
Zaměstnanec odešel z firmy, ale IT oddělení na deaktivaci účtu zapomnělo. Účet zůstává aktivní a po několika měsících je zneužit ke kyberútoku, který organizaci stojí nejen finance, ale i reputaci.

Jak pomůže IDM/IGA?
Automatické workflow zajistí deaktivaci účtu ihned po ukončení pracovního poměru. Každý odchod zaměstnance spouští předem definovaný proces kontroly a deaktivace veškerých oprávnění.

Příklad 2 – Nadměrná oprávnění při změně pozice:
Zaměstnanec mění pracovní pozici, nebo jen dočasně vypomáhá. Ke svým stávajícím přístupům získává další oprávnění potřebná k výkonu nové práce. Postupně tak kumuluje více práv, než je nutné. To vede k rostoucímu bezpečnostnímu riziku zneužití. 

Jak pomůže IDM/IGA?
IDM s IGA automaticky reviduje oprávnění při změně pozice, odebere ta nepotřebná a nová přidělí podle aktuální role uživatele. Princip least privilege minimalizuje rizika při zneužití účtu.

Příklad 3 – Chaos při auditu přístupů:
Při auditu IT oddělení obtížně dohledává, proč má určitý zaměstnanec konkrétní oprávnění a kdo ho schválil. Dochází ke zmatkům a nejasnostem, audit trvá déle a stojí organizaci čas i prostředky.

Jak pomůže IDM/IGA?
Díky jasně dokumentovaným workflow, kompletním auditním záznamům, transparentnímu schvalování a automatickým reportům lze okamžitě získat přehled o právech uživatele, včetně toho proč a kým mu byla přidělena. Audit je efektivní, rychlý a bez stresu.

Přínosy zavedení IDM/IGA

Správně nastavený IDM/IGA přináší organizacím konkrétní benefity:

• Bezpečnost: Výrazně nižší riziko zneužití účtů díky automatizaci a revizím.
• Transparentnost: Přehledné schvalování oprávnění a jasná odpovědnost.
• Efektivitu: Automatizace rutinní administrativy, uvolnění kapacit IT.
• Soulad s legislativou: Snadnější auditovatelnost a plnění regulatorních požadavků (např. NIS2/ZoKB).

IDM/IGA jako strategický krok k Zero Trust

Řízení identit je základem Zero Trust – konceptu kdy se implicitně nedůvěřuje žádnému uživateli ani zařízení a to na všech vrstvách. Granulární nastavení práv umožňuje detailně ověřovat přístup k jednotlivým zdrojům. To výrazně omezuje povrch vystavený riziku kyberútoků

Doplněním multifaktorové autentizace (MFA) se dále zvyšuje úroveň zabezpečení identit.

Proč preferujeme on-premise IDM/IGA řešení?

V Orchitechu se specializujeme zejména na on-premise řešení IDM s IGA. Důvodem je především:

• dokonalá kontrola nad daty;
• snadné přizpůsobení požadavkům a specifikům organizace;
• dokonalá a bezpečná integrovatelnost s komplexními heterogenním infrastrukturami;
• predikovatelné provozní náklady;
• přímočará integrace s interními systémy.

Jak s IDM/IGA začít – krok za krokem

V Orchitechu používáme open-source řešení Wren:IDM, které poskytuje všechny klíčové funkce nutné k pokrytí požadavků pokročilého řízení identit. Zároveň je však flexibilní a rozšiřitelné a umožňuje tak pokrýt i nestandardní požadavky.

Při realizaci pak obvykle postupujeme v těchto krocích:

1. Vstupní analýza: Podrobně analyzujeme stávající situaci a procesy.
2. Návrh řešení: Vypracujeme cílový koncept popisující cílový stav a vytvoříme konkrétní plán implementace.
3. Vývoj a integrace: Postaráme se o vývoj a zavedení systému včetně příslušných integrací a pečlivě naplánované migrace. 

Dlouhodobá podpora: Poskytujeme průběžné aktualizace, optimalizaci a školení.

Shrnutí – od správy účtů ke strategickému řízení

Přechod od technické správy účtů k plnohodnotnému IDM/IGA řešení je zásadním krokem ke kybernetické bezpečnosti, efektivitě a souladu s legislativou. Jeho přínosy jsou reálné, měřitelné a potvrzené v praxi.

Pokud vás zajímá, jak IDM s IGA může pomoci právě vaší organizaci, obraťte se na nás pro nezávaznou konzultaci.

Kontaktujte nás zde.

The post Od správy účtů k řízení identit – jak IDM/IGA zvyšuje bezpečnost a efektivitu appeared first on Orchitech.

Bez dne přesně po roce se naši běžci (zleva: Lukáš, Ondra, Martin a Tomáš) zasloužili o opět krásné celkové 220. místo z 1031 týmů se skvělým časem přesně o minutu pomalejším než loni – 1:37:25. Nejrychlejším závodníkem byl letos Lukáš s rekordním časem 21:44. Gratulujeme!

Tým Orchi.run() byl už tradičně zastoupen i v kategorii dětí a Orchiděti také uspěly!

The post Orchi.run() 2025 appeared first on Orchitech.