Jak testujeme odolnost služeb GRiT? Penetrační testy a ochrana zákaznických dat

Digitální služby dnes zajišťují chod klíčových firemních procesů. Tok dat, dokumentů a informací mezi systémy probíhá automaticky a ve velkých objemech. Jak ale firma ví, že jsou tyto služby skutečně bezpečné a že citlivá interní data nemohou uniknout? Pro firmy jako Rohlík, Alza, 4HOME či Bosonožka je právě tato otázka zásadní, a i z toho důvodu si jako svého partnera vybrali GRiT.

V GRiTu k bezpečnosti přistupujeme jako k průběžně řízené oblasti, která se promítá do návrhu, vývoje i provozu našich služeb. Jedním z nástrojů, jak jejich odolnost pravidelně ověřujeme, jsou právě penetrační testy realizované externími specialisty.

O tom, jak testování probíhá a jak s jeho výsledky pracujeme, mluví Lukáš Portl, Head of Development v GRiTu, který má oblast vývoje a bezpečnosti dlouhodobě na starosti.

Co jsou penetrační testy a k čemu slouží

„Penetrační testy jsou v podstatě simulované útoky na systém,“ vysvětluje Lukáš Portl. „Provádí je specializovaná externí firma nebo certifikovaní etičtí hackeři, jejichž cílem je proniknout do služby stejným způsobem, jakým by se o to pokusil skutečný útočník.“

Smyslem testů je odhalit slabá místa dřív, než by je mohl zneužít někdo zvenčí. Jde jak o technické nedostatky v implementaci, tak o chyby v konfiguraci, nastavení přístupů nebo v aplikační logice.

Bezpečnost jako součást řízení rizik

Penetrační testy nejsou v GRiTu jednorázovou aktivitou. „Bezpečnost je pro vedení GRiTu dlouhodobě jednou z nejvyšších priorit,“ vysvětluje Portl. „Zároveň je to nutná součást certifikace ISO/IEC 27001, kterou držíme více než 10 let a pravidelně obnovujeme. Bez systematického testování by nebylo možné tento standard naplnit.“

Bezpečnost v tomto pojetí znamená snahu nejen eliminovat rizika, ale umět je identifikovat, vyhodnocovat a řídit. Pravidelné testování umožňuje ověřovat, zda přijatá opatření odpovídají aktuálním hrozbám a zda služby obstojí i v nestandardních situacích.

Tento přístup je důležitý i z pohledu zákazníků, kteří stále častěji potřebují doložit, že jejich dodavatel pracuje s daty systematicky a v souladu s platnou legislativou. Zejména v kontextu nového zákona o kybernetické bezpečnosti, který do českého právního rámce přenáší požadavky směrnice NIS2, roste důraz na prokazatelné řízení bezpečnosti a rizik u dodavatelů digitálních služeb.  

Jak penetrační testy v GRiTu probíhají a jaká rizika se při testech nejčastěji odhalují

Penetrační testy v GRiTu probíhají každoročně a týkají se všech klíčových služeb, které zákazníci využívají – ORiON (elektronickou výměnu dat EDI), LOKiA WMS (skladový systém) a iNVOiCE FLOW (systém pro automatizaci práce s doklady).  

Testování je nedestruktivní a probíhá mimo špičku, typicky ve večerních hodinách nebo o víkendech. Neprovádějí se zátěžové útoky typu DDoS a nedochází k žádnému zásahu do zákaznických dat.

„Pokud se při testování narazí na slabinu, u které by další postup mohl ohrozit stabilitu služby nebo data, daná část se zastaví,“ zdůrazňuje Portl. „Primárně se zaměřujeme na zranitelnosti definované v rámci OWASP Top 10. Jde například o chyby v autentizaci, injekční útoky typu SQL injection nebo XSS, nesprávné nastavení oprávnění nebo přístupů k datům,“ rozvádí.

Vedle technických zranitelností GRiTu penetrační testy často pomáhají odhalit i chyby v aplikační logice. Typicky může jít o situace, kdy uživatel může provést operaci, ke které by z pohledu role nebo oprávnění vůbec neměl mít přístup.

Od nálezů k nápravě

Výstupem penetračních testů je detailní report, ve kterém jsou zjištěná rizika rozdělena podle závažnosti. Každý nález je interně vyhodnocen a promítnut do konkrétních kroků – buď formou okamžité nápravy, nebo jako součást plánovaných úprav ve vývoji.

„Testování nám dává zpětnou vazbu, kterou používáme k dlouhodobému zlepšování bezpečnosti, ať už v kódu, architektuře nebo procesech,“ uzavírá Portl.  

V letošním roce probíhaly penetrační testy v únoru 2026 a systémy během nich běžely stabilně a bez výpadků. Testování identifikovalo několik zranitelností, jejichž výskyt je u tohoto typu ověřování běžný. Nálezy jsou postupně řešeny v rámci navazujících nápravných opatření, která se promítají do dalších úprav vývoje a provozu služeb.

Cloud, kontinuita a připravenost na krizové scénáře

GRiT provozuje své služby v prostředí Amazon Web Services (AWS) a Microsoft Azure, tedy na platformách, které splňují přísné mezinárodní standardy včetně ISO/IEC 27002, PCI-DSS a dalších bezpečnostních rámců. Tím je zajištěna ochrana dat zákazníků před riziky spojenými s nelegální činností, fyzickým přístupem i přírodními hrozbami.

Součástí návrhu služeb je geograficky redundantní zálohování a vysoká dostupnost i při oblastním výpadku datových úložišť. Všechny komponenty jsou nepřetržitě monitorovány pomocí PRTG monitoringu, který je nezávislý na samotných cloudových platformách.

Bezpečnost je úzce propojena s kontinuitou provozu a připraveností na krizové situace. Dostupnost našich služeb je pro nás klíčovým ukazatelem spolehlivosti, a dlouhodobě ji držíme na úrovni 99,8 %. Právě díky stabilnímu provozu a důrazu na prevenci se k rozsáhlejším výpadkům dostáváme ojediněle. GRiT má zpracované a pravidelně testované postupy pro obnovu služeb a řízení incidentů. Tyto scénáře se každoročně ověřují – od dostupnosti záloh přes technickou obnovu až po spolupráci s dodavateli. Obnova služeb je nastavena tak, aby byla možná do 14 hodin od okamžiku detekce výpadku.

Bezpečnost jako dlouhodobý závazek

Bezpečnost v GRiTu stojí na systému, ověřování, lidech a připravenosti. Neříkáme, že rizika neexistují – říkáme, že je umíme pojmenovat, řídit a průběžně snižovat. A hlavně, že to děláme dlouhodobě, srozumitelně a s respektem k tomu nejdůležitějšímu: důvěře našich klientů.