Digitálne služby dnes zabezpečujú chod kľúčových firemných procesov. Tok dát, dokumentov a informácií medzi systémami prebieha automaticky a vo veľkých objemoch. Ako však firma vie, že sú tieto služby skutočne bezpečné a že citlivé interné údaje nemôžu uniknúť? Pre firmy ako Rohlík, Alza, 4HOME či Bosonožka je práve táto otázka zásadná, a aj z tohto dôvodu si ako svojho partnera vybrali GRiT.
V spoločnosti GRiT pristupujeme k bezpečnosti ako k priebežne riadenej oblasti, ktorá sa premieta do návrhu, vývoja aj prevádzky našich služieb. Jedným z nástrojov, ktorými pravidelne overujeme ich odolnosť, sú práve penetračné testy realizované externými špecialistami.
O tom, ako testovanie prebieha a ako pracujeme s jeho výsledkami, hovorí Lukáš Portl, Head of Development v GRiTu, ktorý má dlhodobo na starosti oblasť vývoja a bezpečnosti.
Čo sú penetračné testy a na čo slúžia
„Penetračné testy sú v podstate simulované útoky na systém,“ vysvetľuje Lukáš Portl. „Vykonáva ich špecializovaná externá firma alebo certifikovaní etickí hackeri, ktorých cieľom je preniknúť do služby rovnakým spôsobom, akým by sa o to pokúsil skutočný útočník.“
Zmyslom testov je odhaliť slabé miesta skôr, než by ich mohol zneužiť niekto zvonku. Ide ako o technické nedostatky v implementácii, tak aj o chyby v konfigurácii, nastavení prístupov alebo v aplikačnej logike.
Bezpečnosť ako súčasť riadenia rizík
Penetračné testy nie sú v GRiTu jednorazovou aktivitou. „Bezpečnosť je pre vedenie GRiTu dlhodobo jednou z najvyšších priorít,“ vysvetľuje Portl. „Zároveň je to nevyhnutná súčasť certifikácie ISO/IEC 27001, ktorú máme už viac ako 10 rokov a pravidelne ju obnovujeme. Bez systematického testovania by nebolo možné tento štandard splniť.“
Bezpečnosť v tomto ponímaní znamená snahu nielen eliminovať riziká, ale vedieť ich identifikovať, vyhodnocovať a riadiť. Pravidelné testovanie umožňuje overovať, či prijaté opatrenia zodpovedajú aktuálnym hrozbám a či služby obstojí aj v nestandardných situáciách.
Tento prístup je dôležitý aj z pohľadu zákazníkov, ktorí čoraz častejšie potrebujú preukázať, že ich dodávateľ pracuje s údajmi systematicky a v súlade s platnou legislatívou. Najmä v kontexte nového zákona o kybernetickej bezpečnosti, ktorý do českého právneho rámca prenáša požiadavky smernice NIS2, rastie dôraz na preukázateľné riadenie bezpečnosti a rizík u dodávateľov digitálnych služieb.
Ako prebiehajú penetračné testy v GRiTu a aké riziká sa pri testoch najčastejšie odhaľujú
Penetračné testy v GRiTu prebiehajú každoročne a týkajú sa všetkých kľúčových služieb, ktoré zákazníci využívajú – ORiON (elektronická výmena dát EDI), LOKiA WMS (skladový systém) a iNVOiCE FLOW (systém na automatizáciu práce s dokladmi).
Testovanie je nedestruktívne a prebieha mimo špičky, zvyčajne vo večerných hodinách alebo cez víkendy. Nevykonávajú sa útoky typu DDoS a nedochádza k žiadnemu zásahu do zákazníckych údajov.
„Ak sa pri testovaní narazí na slabinu, pri ktorej by ďalší postup mohol ohroziť stabilitu služby alebo údajov, daná časť sa zastaví,“ zdôrazňuje Portl. „Primárne sa zameriavame na zraniteľnosti definované v rámci OWASP Top 10. Ide napríklad o chyby v autentizácii, injekčné útoky typu SQL injection alebo XSS, nesprávne nastavenie oprávnení alebo prístupov k dátam,“ vysvetľuje.
Okrem technických zraniteľností pomáhajú penetračné testy GRiTu často odhaliť aj chyby v logike aplikácie. Typicky môže ísť o situácie, keď môže používateľ vykonať operáciu, ku ktorej by z hľadiska role alebo oprávnení nemal mať vôbec prístup.
Od zistení k náprave
Výstupom penetračných testov je podrobná správa, v ktorej sú zistené riziká rozdelené podľa závažnosti. Každý nález je interne vyhodnotený a premietnutý do konkrétnych krokov – buď formou okamžitej nápravy, alebo ako súčasť plánovaných úprav vo vývoji.
„Testovanie nám poskytuje spätnú väzbu, ktorú využívame na dlhodobé zlepšovanie bezpečnosti, či už v kóde, architektúre alebo procesoch,“ uzatvára Portl.
V tomto roku prebehli penetračné testy vo februári 2026 a systémy počas nich bežali stabilne a bez výpadkov. Testovanie identifikovalo niekoľko zraniteľností, ktorých výskyt je pri tomto type overovania bežný. Zistenia sa postupne riešia v rámci nadväzujúcich nápravných opatrení, ktoré sa premietajú do ďalších úprav vývoja a prevádzky služieb.
Cloud, kontinuita a pripravenosť na krízové scenáre
Spoločnosť GRiT prevádzkuje svoje služby v prostredí Amazon Web Services (AWS) a Microsoft Azure, teda na platformách, ktoré spĺňajú prísne medzinárodné normy vrátane ISO/IEC 27002, PCI-DSS a ďalších bezpečnostných rámcov. Tým je zabezpečená ochrana údajov zákazníkov pred rizikami spojenými s nelegálnou činnosťou, fyzickým prístupom aj prírodnými hrozbami.
Súčasťou návrhu služieb je geograficky redundantné zálohovanie a vysoká dostupnosť aj v prípade regionálneho výpadku dátových úložísk. Všetky komponenty sú nepretržite monitorované pomocou monitorovania PRTG, ktoré je nezávislé od samotných cloudových platforiem.
Bezpečnosť je úzko prepojená s kontinuitou prevádzky a pripravenosťou na krízové situácie. Dostupnosť našich služieb je pre nás kľúčovým ukazovateľom spoľahlivosti a dlhodobo ju udržiavame na úrovni 99,8 %. Práve vďaka stabilnej prevádzke a dôrazu na prevenciu dochádza k rozsiahlejším výpadkom len zriedka. GRiT má vypracované a pravidelne testované postupy na obnovu služieb a riadenie incidentov. Tieto scenáre sa každoročne overujú – od dostupnosti záloh cez technické obnovenie až po spoluprácu s dodávateľmi. Obnovenie služieb je nastavené tak, aby bolo možné do 14 hodín od zistenia výpadku.
Bezpečnosť ako dlhodobý záväzok
Bezpečnosť v GRiT stojí na systéme, overovaní, ľuďoch a pripravenosti. Netvrdíme, že riziká neexistujú – tvrdíme, že vieme identifikovať, riadiť a priebežne znižovať. A hlavne, že to robíme dlhodobo, zrozumiteľne a s rešpektom k tomu najdôležitejšiemu: dôvere našich klientov.
Riešite schvaľovanie faktúr?
30 minút, žiadny záväzok. Ukážeme vám, ako iNVOiCE FLOW zapadne do vášho ERP.
