Skrytá hrozba dodavatelských řetězců: Jsou chytré kamery a IoT zařízení rizikem pro vaši obec či školu?
IoTkybernetická bezpečnostdodavatelé

Skrytá hrozba dodavatelských řetězců: Jsou chytré kamery a IoT zařízení rizikem pro vaši obec či školu?

Tým Váš Pověřenec

1. června 2026

Zabezpečili jste školní počítače, úřad má silná hesla a vaše servery chrání moderní antivirus. Znamená to, že jste v bezpečí? V dnešní době bohužel ne. Stále častěji se ukazuje, že pomyslnou „otevřenou bránou“ pro hackery i pro únik osobních údajů nejsou vaše vlastní systémy, ale zařízení a služby vašich dodavatelů. Pojďme se podívat, proč Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) bije na poplach a jak se v praxi chránit.

 

Digitalizace obcí a škol přináší obrovské výhody. Instalují se chytré kamerové systémy na náměstích, interaktivní tabule ve třídách, chytré senzory (IoT) pro měření spotřeby energií nebo systémy pro elektronické otevírání dveří. Problémem je, že každé takové zařízení je ve skutečnosti malý počítač připojený do vaší sítě.

 

V kontextu nového zákona o kybernetické bezpečnosti (vycházejícího ze směrnice NIS2) se tak bezpečnost dodavatelského řetězce stala jedním z nejdůležitějších témat.

 

Proč jsou dodavatelé a levné technologie rizikem?

Představte si, že si obec pořídí nový, cenově velmi výhodný kamerový systém od dodavatele z třetí země, před kterým NÚKIB opakovaně varuje. Může se stát hned několik věcí:

 

1. Únik osobních údajů (GDPR): Kamery snímají tváře občanů nebo žáků. Pokud mají zařízení v sobě tzv. „zadní vrátka“ (backdoors), mohou se tyto záznamy bez vašeho vědomí odesílat na servery do zahraničí. Z pohledu GDPR jako správce dat selháváte a nesete plnou odpovědnost.

2. Kybernetický útok přes slabý článek: Chytrý termostat nebo kamera často nemají tak silné zabezpečení jako váš hlavní server. Útočník se nabourá do špatně zabezpečené kamery a odtud se po vnitřní síti dostane až k účetnímu softwaru úřadu nebo databázi žáků.

3. Výpadky a ransomware: Pokud je zasažen dodavatel vašeho cloudového informačního systému, ze dne na den přijdete o přístup k matrikám, známkám nebo rezervačnímu systému.

 

5 praktických tipů, jak rizika minimalizovat (a co můžete udělat hned zítra)

Nemusíte hned odpojovat všechny kamery a vracet se k papíru. Kybernetická bezpečnost a compliance spočívají v řízení rizik. Zde je 5 konkrétních kroků, jak svou organizaci chránit:

1. Udělejte si digitální inventuru

Nelze chránit to, o čem nevíte. Sepište si všechna zařízení připojená do vaší sítě (kamery, tiskárny, chytré tabule, čidla teploty) a všechny softwary třetích stran, které používáte. Tento seznam je základem pro jakoukoliv další práci s bezpečností.

2. Změňte výchozí hesla a pravidelně aktualizujte

Nejčastější chyba, kterou při auditech vídáme? Chytrá kamera na budově školy má stále přístupové jméno „admin“ a heslo „1234“ nebo „admin“. Každé nové zařízení musí mít ihned po instalaci změněno heslo na silné a unikátní. Stejně tak je nutné pravidelně instalovat aktualizace firmwaru – pokud je výrobce už nevydává, zařízení by mělo být vyřazeno.

3. Oddělte zařízení od hlavní sítě (Segmentace)

Chytré žárovky, senzory a kamery by nikdy neměly být ve stejné počítačové síti, ve které paní účetní zpracovává výplaty nebo starosta čte důvěrné e-maily. Požádejte svého IT správce o nastavení oddělené sítě (tzv. VLAN) speciálně pro tato zařízení (IoT). Pokud je zařízení napadeno, útočník se nedostane k citlivým datům.

4. Ošetřete bezpečnost v dodavatelských smlouvách

Zabezpečení nesmí být jen nepsanou dohodou. Až budete vypisovat výběrové řízení na nový systém, zaneste bezpečnostní požadavky přímo do smlouvy.

●   Vyžadujte garanci, že data neopustí Evropskou unii.

●   Sjednejte si zpracovatelskou smlouvu (DPA) dle GDPR.

●   Určete si reakční doby pro případ, že dodavatel čelí kybernetickému incidentu.

5. Sledujte varování NÚKIB a nepodceňujte původ technologií

Při nákupu technologií nehleďte jen na nejnižší cenu. Prověřte si, zda výrobce technologií nefiguruje na seznamu rizikových dodavatelů, před kterými varují státní bezpečnostní složky. Ušetřené desítky tisíc při nákupu se mohou proměnit v milionové škody při nápravě hackerského útoku nebo při pokutách od ÚOOÚ.

 

Neřešte to sami, jsme v tom s vámi

Zajistit bezpečnost napříč celým dodavatelským řetězcem může být pro vedení obce nebo ředitele školy stresující úkol. Zvláště když musíte balancovat mezi rozpočtem, zákonem o zadávání veřejných zakázek a nařízeními o kyberbezpečnosti a GDPR.

 

Jak vám můžeme pomoci?

V rámci našich služeb pro obce, školy a další instituce neřešíme jen papírování. Náš tým odborníků pro vás zajistí:

●   Analýzu rizik dodavatelů: Prověříme smlouvy a technologie, které používáte nebo plánujete koupit.

●   Audit kamerových systémů: Zkontrolujeme, zda vaše kamery plní přísné požadavky GDPR a zda nejsou hrozbou pro vaši počítačovou síť.

●   Komplexní správu v platformě VPoint: Všechny smlouvy, analýzy rizik a evidence budete mít bezpečně na jednom místě.

 

Nenechte bezpečnost vaší instituce v rukou náhody (nebo nezodpovědných dodavatelů). Kontaktujte nás a domluvte si nezávaznou konzultaci. Zjistíme, kde máte slabá místa a pomůžeme vám je vyřešit dříve, než je objeví někdo jiný.

Související články

Digital Services Act: nová pravidla pro bezpečnější online prostředí
Digital Services ActDSA
Digital Services Act: nová pravidla pro bezpečnější online prostředí

Digital Services Act nastavuje nová pravidla pro online služby v EU. Týká se platforem, tržišť, cloudových služeb nebo sociálních sítí a řeší hlavně nahlašování nelegálního obsahu, transparentnost rozhodování, ochranu uživatelů a odpovědnost provozovatelů digitálních služeb.

Tým Váš Pověřenec · 15. června 2026

Co kauza Turek vs. Abel ukazuje o GDPR ve veřejné správě
GDPRveřejná správa
Co kauza Turek vs. Abel ukazuje o GDPR ve veřejné správě

Kauza Turek vs. Abel se rozebírá ze všech možných stran, a jedna z nich je i nakládání s osobními údaji. Bohužel většinou v podobě obecného vykřikování termínu GDPR, bez hlubší analýzy skutečného skutkového stavu a dopadu stávající regulace. Vystoupení vládního zmocněnce Filipa Turka v internetové televizi XTV, kde z papíru přečetl, kolik si měl bývalý analytik Martin Abel vydělat za padesát hodin práce, je přitom z tohoto pohledu zajímavou ukázkou aplikace této problematiky.

Tým Váš Pověřenec · 15. května 2026

AI ve veřejné správě: kde už dnes dává smysl a jak ji využívat v praxi
AIumělá inteligence
AI ve veřejné správě: kde už dnes dává smysl a jak ji využívat v praxi

AI ve veřejné správě už dávno není jen teoretické téma. Stále častěji pomáhá při práci s dokumenty, zpracování žádostí podle zákona č. 106/1999 Sb., GDPR agendou nebo komunikací s občany. Největší přínos přináší tam, kde zrychluje rutinní činnosti, zpřehledňuje informace a snižuje administrativní zátěž. Současně ale roste význam správného nastavení procesů, kontroly výstupů a souladu s evropským AI Actem.

Tým Váš Pověřenec · 6. května 2026