Webinář: Digitalizujte svou bezpečnou budoucnost s CRA

00:00:05
Ten náš webinář je opět interaktivní, můžete pokládat otázky do četu, my se na ně podíváme na závěr našeho vysílání. Náš webinář nahráváme, takže vám potom poskytneme jeho záznam. V tom našem posledním webináři, který proběhl 15. června, jsme se věnovali kybernetické bezpečnosti pro malé střední podniky. Hovořili jsme o tom, že tyto podniky jsou čím dál tím častěji terčem kybernetických útoků. Zároveň jsme tedy dali řadu doporučení pro zabezpečení, které by firmy měly dodržovat. Ty jsi tady zmiňoval krásný případ napadení jednoho výrobního podniku. Takže pokud by náš divák měl zájem zhlédnout, tento záznam je určitě k dispozici na našich stránkách www. techtalks. cz. Dále jsme taky zmínili právě problematiku nové směrnice EU S2 a na to by jsme měli dneska navázat. Přijde mi, že to téma už rezonuje celým veřejným prostorem, protože se samozřejmě týká celé řady odbitví a služeb.

00:01:10
Podle těch dostupných zpráv Českého regulačního úřadu Nukybu se jedná o šest tisíc subjektů a podniků státní nebo soukromé sféry. Někdy se hovoří, už i ty čísla jsou i živější. Možná bychom měli připomenout, co ta směrnice vlastně znamená. Pokud by náš divák tady byl s náma poprvý, týká se teda nějaké bezpečnosti svítí informačních systémů, řekněme rozšiřuje ta opatření k zajištění vysoké úrovně kybernetické bezpečnosti a ochrany kritické infrastruktury. Tím hlavním cílem by se dalo říct je posílit ochranu, zlepšit schopnost členských států reagovat na kybernetické hrozby, zároveň podpořit tu spolupráci mezi jednotlivými členskými státy. NIS 2 jako taková stanovuje pověnosti pro poskytovatele, provozovatele kritické infrastruktury. Nějakým způsobem řeší hlášení kybernetických incidentů a provádí opatření na minimalizaci rizik. Ale samozřejmě nově se týká právě i celé řady běžných organizací a firm.

00:02:20
Taková ta obligátní otázka, se kterou se vlastně potkáváme s našimi klienty, týká se mě směrnice, týká se mojí firmy. Jak to je, Martine? Já možná ještě na úvod bych zmínil situaci, kterou vidíme dnes už v podstatě kolem sebe každý den. Vzniká tady spousta různých firm, firmiček, subjektů, konzultantů, kteří slibují jako různé služby kolem NIS 2. Trošku mi to připomíná situaci před pár lety, když se zavádělo GDPR, kdy najednou se vyrojilo spousta chytrých hlav, kteří všemu rozuměli. A ne všechny rady byly správně, protože potom následně, když třeba se řešily různé problémy vlastně s bezpečnostní informací, tak se zjistilo, že spousta těch subjektů se snažila z těch zákazníků akorát vytáhnout peníze a ty konzultační služby v podstatě byly o ničem.

00:03:15
Trošku mi ta situace připomíná tu dobu zavádění GDPR, takže určitě doporučení, vůbec než začnete s nějakým řešit, jestli to na vás dopadá, jakým způsobem se k tomu postavit a tak dále, vybrte si správného partnera, což je velmi důležité, protože vám jednak může ušetřit spoustu peněz, protože ta kybernetická bezpečnost se dá budovat buď velmi drazé, když můžete nakupovat drahé technologie, investovat desítky, stovky hodin do různých konzultací a nebo se dá budovat chytře, tak abyste splněli ty podmínky, využili třeba i různých menežovaných služeb a dalších věcí, které nemusíte nutně kupovat sami. Dá se využít spousta těch věcí externě a postavit ten systém tak, aby ta kybernetická odolnost vaší firmy jednak splňovala připravovaný nový kybernetický zákon, který vychází z NIS 2.

00:04:13
A zároveň, aby to bylo něco, co podporuje biznis a stojí to, řekněme, rozumné peníze, které ta firmy jsou ochotny a můžou do kybernetické bezpečnosti investovat. A zpátky teda k tvé otázce, koho se NIS 2. týká. Vlastně předchozí směrníce NIS, která vlastně inicialovalavznik původního kybernetického zákona, který stále ještě platí, tak se vztahovala přibližně na 500 až 600 subjektů. Dnes vlastně NIS 2. která už byla přijata 27. prosince 2022, tak zavazuje členské státy, aby přijali nový nebo novelizaci kybernetického zákona, která by měla platit do hřína 2024. A to nutí vlastně jednotlivé členské státy kompletně přepracovat tu legislativu, vypracovat vyhlášky prováděcí a celý ten detail přizpůsobit tomu lokálnímu prostředí členského státu. My dneska už máme na stole návrh novelizace kybernetického zákona, který je v nějaké odborné diskuzi.

00:05:26
podstatě už víme těch 80- 90% věcí, které jsou v té novelizaci kybernetického zákona už jsou dané. Proběhne nějaká rozpráva parlamentem, senátem, pak to prezident podepíše a vlastně do toho hřína příštího roku by tento zákon měl vejít v platnost. Pro firmy to bude znamenat, že do 90. dní musí vyhodnotit, jestli do toho režimu, který je vlastně ve dvojím provedení, to je režim s vyšší povinností a s nižší povinností, jestli do toho patří, a pak se přihlásit do připravovaného portálu Nookybu. Větší subjekty a subjekty s kritickou infrastrukturou bude Nookyb oslovovat napřímo, ale je tam právě povinnost vyhodnotit si ta kritéria a říct si, jestli do té povinnosti spadám a do jaké, a pak se automaticky přihlásit. Pokud se tak nestane, tak jsou tam poměrně velké pokuty a jsou to, řekl bych někdy, jako likvidační pokuty, protože se líší podle velikosti firm a tak mohou dosáhnout relativně velkých částek, kde hrozí až třeba 175 milionů pro ten nižší režim a až 250 milionů korun pro ten vyšší režim.

00:06:50
Nechci tady strašit s těmi pokutami, protože to jsou jenom, řekněme, nějaká krajní řešení, kdyby to některé subjekty opravdu ignorovaly. V těch firmách, které pod to budou spadat, tak je potřeba se podívat, co ta firma dělá a jaký to hlavně má dopad, řekněme, na společnost. Protože ten režim nižších poměrností se vztahuje na poměrně velké množství firm, kde existuje nějakých 18 vyjmenovaných sektorů, které popisují vlastně jednotlivý typ biznesu, na který se ten nový kybernetický sákon bude vztahovat. A pak je tam vyjmenováno, řekněme, jsou sektory kritické infrastruktury, jako je energetika a další věci, které už v podstatě tyto podmínky musí splňovat, protože byly i v minulém režimu součástí kritické infrastruktury a v podstatě takhle fungují. Pro ně se toho příliš mnoho měnit nebude. Ale je potřeba se podívat na dopad na obyvatelstvo.

00:07:55
Tam se mění trošku ta kritéria, protože to není definováno velikostí informačního systému, ale je to definováno dopadem na obyvatelstvo. Můžete si to představit třeba tak, že pokud jste nějaká společnost, která vyvíjí nějaký unikátní produkt, který může ovlivnit, řekněme, životy lidí v nějakém menším městě nebo v části většího města a ta infrastruktura přestane fungovat nebo ten produkt nebudete schopni z důvodu kybernetického útoku dodávat, typicky třeba to mohou být nějaké menší vodárenské společnosti, které zásobují třeba obyvatele nějakého menšího města, který má více jak 50 000 obyvatel, tak tam automaticky spadá do toho režimu vyšších povinností. Může to být ale třeba poskytovatel digitální služby, cloudových služeb a podobně, kde třeba jsou nějaké aplikace kritické infrastruktury státu nebo nějaké organizace, která spadá do toho vyššího režimu a v okamžiku, kdyby ta aplikace nejela a měla to nějaký dopad na obyvatelstvo, opět je tam ten limit více jak 50 000 obyvatel, tak automaticky spadá také do toho režimu vyšších povinností.

00:09:11
Takže to není úplně jednoduché jen tak od pasu střelit, ano, patřím tam, nepatřím tam, týká se mě to, netýká se mě to. Nooclip má na to, v podstatě pracuje na nějakých prováděcích vyhláškách, kde to bude pečlivě vysvětlovat a bude to součástí vlastně doplňku toho kybernetického zákona, ale už nesedá říct podle toho, co v té směrníci NIS 2 je napsáno a jaký je návrh toho kybernetického zákona, vzhledem z 99% jestli tam ta firma spadá nebo tam nespadá. Ale je potřeba, aby se na to podíval odborník a pomohl udělat tzv. business impact analýzu neboli třeba analýzu rizik, tak podívat se na to přes pohled rizika toho businessu a na základě toho vám je schopen doporučit, do jakého režimu byste se měli přihlásit. Neplatí, že malá firma nemůže být v režimu vyšších povinností.

00:10:08
Může to být třeba firma, která pracuje tým 10 výzkumníků v nějaké výzkumné laboratoři, která pracuje na nějakém strategickém výzkumném produktu nebo projektu, tak i řekněme tato malá firma s rozpočtem třeba 50 milionů korun může být v tom režimu vyšších povinností, takže pozor na to. Velikost firm je také další kritérium, takže i když nespadáte přímo do těch kritických výjmenovaných oblastí, tak to, že má firma více jak 50 zaměstnanců, tak automaticky spadá do toho režimu výzkumnějších povinností, to znamená, že musí nějakým způsobem řešit kybernetickou bezpečnost, což by musela tak čítá jako ta směrnice NIS2 vypadá jako evropská direktiva, evropská unie nám něco nařizuje, ale v podstatě formalizuje běžné věci, které běžný subjekt, běžná firma v rámci kybernetické bezpečnosti musí dělat, aby zachovala svůj biznis, aby ochránila vlastně svoje aktiva, aby mohla normálně fungovat.

00:11:15
Víte, že dnes právě i třeba střední a menší firmy jsou velkým cílem útoků, protože pro hackery je to snadná kořist, takže jsou to věci, které musíte dělat tak, či tak, ať do směrnice NIS2 patříte v jakékoliv formě nebo nepatříte. Pokud ta firma je většího charakteru, má více jak 250 zaměstnanců, jsou tam potom ještě obratová kritéria, to znamená, pokud ta firma má obrat větší jak 250 milionů nebo u té velké firmy více jak 1, 2 miliardy korun, tak je potřeba se automaticky přihlásit Nukibu minimálně v tom režimu nižších povinností. Pak samozřejmě záleží na tom, pokud je to třeba nějaký holding a je tam součást toho třeba nějaká kritická infrastruktura, tak automaticky celý ten holding do toho patří.

00:12:06
Pokud jsou tam nějaké běžné agendy, jako je třeba potravinářský průmysl nebo třeba je zemědělství a podobně, tak většinou ty firmy patří do nižších povinností, protože jejich produkty se většinou dají nahradit nějakým dovozem nebo nakoupit od někoho jiného, nemají monopol na trhu a podobně. Takže pozor na to, je opravdu dobré se tou směrnicí NIS2 začít zabývat už teď, protože ta příprava není úplně jednoduchá a to, co je potřeba udělat, tak si řekneme vlastně za chvilku. Martinu určitě jsem na to chtěl právě zeptat. Já jsem chtěl jenom zmínit drobnou poznámku. Předtím, když jsme začali vysílat, jsem se díval na stránky Nukibu, v jakém stavu je vlastně připravená legislativa. Tak 19. 6. byl poslán návrh do mezirezortního připoměnkoho řízení. Zároveň bych chtěl diváky upozornit a nalákat, že my připravujeme nějaký jednoduchý přehledný materiál o NIS2, o těch dopadech.

00:13:07
Samozřejmě nemáme ambici suplovat Nukib, to určitě ne, ale mělo by to pro to první, řekněme, takové jednoduché vyhodnocení postačit. Jsem rád, že si taky zmínil tu návaznost mezi podniky, v podstatě tu nezávislost, protože to se nám taky velice často objevuje jako překvapení u těch jednání, že zákazník je překvapen z toho, že když má někde nějaký podíl, že se vlastně musí na to koukat jako na celek. Dobře, pojďme se teda podívat na ty povinnosti, které ty firmy nově budou mít. Dá se to nějak shrnout? Dá. V podstatě je potřeba se zabývat rizikem. To znamená, pokud ty firmy pracují s riziky, dělají nějaké rizikové analýzy, tak by to pro ně neměl být problém, protože samozřejmě kybernetická bezpečnost je jedno z velkých rizik, na které firmy musí být připraveny. Takže identifikace, hodnocení rizik.

00:14:02
Co si pod tím můžete představit? V podstatě je potřeba se podívat na tom, v jakém stavu ta firma je. Nám říká tzv. gap analýza, která definuje ty mezery, které jsou mezi cílovým stavem a mezi současným stavem. se na to díváme vyloženě z pohledu kybernetické bezpečnosti. Pak je důležitá věc, a to je analýza rizik a vůbec práce s těmi riziky, risk management, kde ta analýza rizik se netýká tolik technologií nebo IT světa, ale týká se hlavně toho biznisu. Aby se identifikovala místa, která je opravdu potřeba schránit, která jsou důležitá pro to, aby ta firma fungovala. Tam si můžete představit třeba informační systém, který když přestane ve společnosti fungovat, tak firma nemůže vyrábět, nemůže prodávat. Můžete si představit nejen komunikační infrastrukturu, ale třeba nějaká data v okamžiku, kdyby byla zmodifikována nebo zcizená nebo nějakým způsobem zneplatněná, tak vlastně ta společnost nemůže fungovat a tak dále.

00:15:06
Takže tam je potřeba ty riziky asi i ohodnotit z pohledu dopadu toho biznisu. V okamžiku, kdy vám vypadne nějaká výrobní linka, tak si může ten zákazník vlastně na základě té analýzy rizik spočítat, kolik by ho to stálo, než tu linku zase zprovozní v okamžiku, kdy ztratí, já nevím, třeba konfigurace nějakých NC strojů a podobné věci, jak dlouho mu bude trvat, než zase obnoví všechny ty konfigurační soubory a podobně, aby se provoz rozjel a to stojí nějaké peníze. To znamená, to nám říká ta analýza rizik, nám říká, jaká jsou rizika, kolik nás stojí to, když vlastně to riziko vznikne a jaký asi zhruba potřebujeme čas na to, aby jsme to obnovili a zároveň je potřeba k tomu dopracovat, řekněme, určité detaily, které souvisí i s jakým způsobem pracujeme se riziky.

00:15:59
To znamená, jaký máme proces toho, když se něco stane. Je to celá vlastně procesní analýza fungování firmy v okamžiku nějakého problému. A tohle to my potřebujeme mít zmapováno, musíme to mít nějak popsáno. Není potřeba vytvářet nějaké složité dokumenty, ale je potřeba to udělat prakticky tak, aby ta společnost opravdu měla, řekněme, nějaký krizový plán, když se něco stane, je pod kybernetickým útokem, co dělat a jakým způsobem postupovat. Což se samozřejmě hodí nejen kvůli té legislativní pověnosti, ale hodí se to i v praxi. Další důležitá věc je implementace těch bezpečnostních opatření. Z té gap analýzy nám výjde, že musíme udělat v rámci technologie něco, musíme udělat v rámci procesů něco, musíme udělat v rámci lidských zdrojů něco atd. Tyto úkoly je potřeba dotáhnout do konce a prakticky zrealizovat.

00:16:58
K tomu je potřeba vytvořit nějaké bezpečnostní politiky, které reflektují to, co v té gap a risk analýze vzniklo. Je potřeba popsat procesy, udělat procesní mapu té společnosti. Pokud firmy pracují s tzv. isomasy dokumentací, tak mají na půl vyhráno, protože je to dokumentace bezpečnostních systémů, která popisuje ten stav v té firmě a vytváří dokumentaci pro jednotlivé procesy, jednotlivé systémy a jednotlivé úkony ve firmě, která ta firma musí dělat. A samozřejmě jsou to nějaké investice do technologií, takže se tam popíšou projekty, které je potřeba zrealizovat k aby jsme se dostali do toho cílového stavu. To může být vyloženě třeba ve finále i projektový plán, kde tento rok ta firma investuje do toho, příští rok do toho. Samozřejmě to znamená nějaké aplánování budžetů v rámci jejich finanční strategie a další věci, na které to má dopad.

00:17:57
A samozřejmě je to i o expertech. Buď je to velká organizace, tak je to o tom, že ty experty si buď najíme sama nebo zaměstná, potřebuje vyškolit na určitou úroveň. Pokud je to menší organizace, tak je a doporučují outsourcing minimálně. Třeba u menších organizací existuje služba, kterou například Česká radiokomunikace nabízí, a to je virtuální CISO, což je v podstatě člověk, který má na starosti kybernetickou bezpečnost a pomáhá managementu a pomáhá IT posunout tu kybernetickou bezpečnost na určitou úroveň a vlastně dohlíží na to, aby všechny ty procesy byly správně nastaveny tak, jak to má být. Protože někdy v rámci běžného života ve firmách na ten nadhled nezbývá čas a většinou třeba IT a bezpečnostní oddělení řeší ty denní úkoly, kterých mají obrovské množství a na ten strategický pohled je někdy lepší si najmout někoho zvenku, který na to dá nějaké doporučení, nějakou radu, umožní udělat ten celkový pohled.

00:19:06
Další důležitá věc, která vlastně stejný z dvojky po to, že moc nového kybernetického zákona vyplývá, je incident management. To znamená mít schopnost vůbec detekovat nějaký problém, nějakým způsobem ho popsat a vlastně povinnost firm, které spadají pod ten nový kybernetický zákon, bude reportovat ten incident do NUKIBU, do Národního úřadu pro kybernetickou bezpečnost. Takže musí umět tyto věci vlastně zpracovat a odreportovat. Ovšem tím reportingem to samozřejmě nekončí, protože je důležité umět také toho rozběh nějakým způsobem čelit. Neznamená to, že musí ta firma za každou cenu umět těm útokům zabránit, protože víme, že žádný systém není stoprocentně bezpečný, ale musí umět s tím pracovat tak, aby minimalizovali rizika. Musí proaktivně umět s tím pracovat, musí umět pracovat třeba i souživateli, vyškolit své zaměstnance, protože, jak jistě víte, zaměstnanci jsou ten největší problém a vlastně ta nejvíce kritická část celého toho bezpečnostního procesu.

00:20:15
Součástí toho je i nějaký kontinuální dohled na tu bezpečnost, protože je potřeba se i z toho proběhlého incidentu poučit, vytvořit nějaká opatření, aby k tomu znovu nedocházelo. A tenhle ten proces je vlastně kontinuální a neustále se opakuje. V okamžiku, kdy netrpím žádným bezpečnostním incidentem, nejsem pod žádným útokem, tak se snažím obecně tu bezpečnost zvyšovat různými, řekněme, implementacemi třeba nových pravidel bezpečnostních do firewallu, pracuji souživateli, školím je na to, aby byly odolní třeba fishingový útokům, což je nejčastější cesta, jak se třeba například malware a ransomware dostane do firem a podobně. Takže tenhle ten proces je v podstatě závislý na tom, jak management té příslušné organizace se potom dlouhodobě postaví k té kybernetické bezpečnosti. A pokud si vejmou vlastně ty principy, které jsou v ten IS- 2 popsány, potažno v tom novém kybernetickém zákonu, tak to je vlastně to, jak by se ta organizace měla chovat a definuje to určitý standard toho bezpečnostního chování v ajtý světě.

00:21:28
Je to hodně. Je to hodně, ano. Je to hodně, proto je třeba začít postupně už teď, protože ten čas jednoho roku, byť se zdá, že je to dlouhé období, nemusí jako nestačit. No samozřejmě, protože to není o tom, že ty firmy mají připravené budžety na to investovat, ale musí se třeba udělat určité rezervy na příští fiskální období atd. Ale ten proces i vlastně po přijetí té NIS2 a toho nového kybernetického zákona bude dlouhodobější. Je to třeba proces, který trvá dva, tři roky, ale Nukib bude kontrolovat to, jestli ty firmy se k tomu postavili čelem a ty věci vlastně řeší. Nikdo nebude chtít, aby v říjnu 2024 to měli všechno stoprocentně bořešeno, ale vlastně inspektoři z Nukibu budou kontrolovat to, jestli ta firma má určité projekty naplánované k tomu, aby splnily všechny ty podmínky, jakým způsobem školí lidi management, jaké jsou připravované investice do dalších let atd.

00:22:29
Takže vychází z věcí, které jim budou muset přidložit, a to je ta gap analýza, ta analýza rizik, a potom nějaký plán, jak se dostat do toho cílového stavu. To je vlastně ten základ. Bezvaný. Pojďme se teda podívat na další část, a to jsou dotace. Existuje dotační titul, minule jsme to tady lehce načali, takže jaké jsou možnosti pro získání peněz z externích zdrojů? No já bych tohleto velmi zdůraznil, protože my jsme tady měli předchozí dotační titul, který byl zaměřen, řekněme, na nějaké konzultační činnosti pohledně kybernetické bezpečnosti. Teď je aktivní od začátku června nový dotační titul, který byl Ministerstvem průmyslu a obchodu nazván Digitální podnik výzva 1. V rámci této výzvy je možné žádat až o 40 dotačních nákladů na technologie kybernetické bezpečnosti a s tím spojené služby.

00:23:31
Takže vlastně konzultace, analýzy, penetrační testy, dodávky firewallů, SD- WAN služby, anti- DDoS řešení a další věci, tak vlastně můžete pořídit o 40 levněji. To je jako neskutečná šance. Pozor, jako tento dotační program má nějaký omezený budžet, někde na úrovni 1, 5 miliardy, ale dá se předpokládat, že se velmi rychle vyčerpá. Ta maximální dotace může mít být někde kolem 5 milionů. A pozor na to, je tam takzvaná deminimis podmínka, to znamená, ty dotace, které ty firmy čerpaly v minulosti, se střítají a nesmí přesáhnout nějakých 200 000 EUR, to znamená těch 5 milionů korun. Takže pokud jste třeba v minulých dotacích čerpali 2- 3 miliony, tak už můžete načerpat třeba jenom další 2 miliony. to je, řekněme, nějaký takový drobný limit. Ale je to obrovská šance, jak si střední a menší firmy mohou velmi výhodně pomoci v oblasti investic do kybernetické bezpečnosti.

00:24:39
Další dotace se tento rok už neočekávají, takže bych doporučil začít na tom pracovat. Ono to není úplně tak jednoduché, aby se vlastně správně požádalo o tuto dotaci, protože Ministerstvo průmyslu a obchodu poměrně detálně kontroluje ty žádosti. Musí tam být velmi, řekněme, odborné zdůvodění, proč vlastně ta firma žádá dotaci, jakým způsobem se zlepší jejich kybernetická bezpečnost, jaké služby na to navazují, jaký je ten cílový stav a podobně. Takže jednak je to něco, s čím České radiokomunikace mohou středním a menším firmám pomoci, jak s vyplněním té žádosti, tak vlastně s přípravou obsahu toho, co v té žádosti je a zároveň potom i s tím zdůvodněním, které je potom důležité proto, aby ta žádost Ministerstvem průmyslu a obchodu úspěšně prošla.

00:25:32
Je potřeba počítat i s tím, že to chvíli trvá, protože naše zkušenost je, že MPO je poměrně zahoceno různými dalšími dotačními tituly, takže můžete čekat třeba dva až tři měsíce na to, než proběhne to shvalovací kolečko. Takže je nejvyšší čas začít, pokud si na tuto dotaci chcete šáhnout, aby jsme během dvou měsíců připravili všechny potřebné dokumenty a tuto dotační žádost podali na ministerstvo průmyslu a obchodu, abyste byli ve hře. Já nevím, jestli to tu zaznělo, ale ten dotační titul, který platil Funuru, vlastně skončil dřív, protože byl vyčerpán, takže proto tady ten apel, abyste v případě, že jste nerozhodní, neváhali a využili až 40% dotace. Ano, už se nám to právě stalo v minulých dotacích, kdy jsme se zákazníky měli připraveno několik žádostí a nestihlo se to z důvodu, že z něčeho nic měsíc dopředu, vlastně před ukončením toho dotačního rámce, tak ministerstvo průmyslu a obchodu ten rámet zavřelo, protože byly vyčerpány prostředky.

00:26:38
Takže tohleto je jako skvělá příležitost, jak do té kybernetické bezpečnosti nainvestovat a spoustu těch věcí si můžete pořídit i jako službu. Já bych tady chtěl zúraznit třeba velmi zajímavou službu, které České radiokomunikace nabízí a to je SD- WAN, protože SD- WAN je velmi moderní technologie, která vlastně kombinuje next generation firewall, kombinuje přístup přes VPN- ky, kombinuje nějaký celkový dohled na tou komunikací, o který se vůbec nemusíte starat. Takže vy vlastně tímhle tím způsobem, pokud máte třeba několik poboček, pokud máte třeba i zahraniční pobočky, tak jste schopni vlastně vyřešit, řekněme, 80% té kybernetické bezpečnosti přes tuto službu, které České radiokomunikace nabízí jako kompletní,řekněme all- in- one službu s kompletním dohledem. Samozřejmostí je potom logování, detekce různých bezpečnostních hrozeb a podobné věci.

00:27:36
Takže vy vlastně vyřešíte tím i ten reporting směrem k Nukybu, protože vlastně České radiokomunikace vám dokážou udělat report tou incidentu, dokážou vám zmapovat celou tu situaci a hlavně ta služba v okamžiku vzniku nějakého incidentu dokáže velmi rychle a průžně reagovat. Na SD- 1 jsme, tuším, v lni natáčeli takový webinář, který je dostupný na stránkách TechTalks, takže pokud by někoho zajímalo, může ho určitě zhlédnout. Jsou tam nějaké další možnosti a typy na to, jak čerpat dotace? Já bych ještě tady právě ukázal sadu služeb, to znamená nějaký úplný přehled nabízených služeb v oblasti kybernetické bezpečnosti, na které lze žádat vlastně o dotace. Už jsme mluvili o těch analýzách, takže může to být nějaká základní analýza kybernetické bezpečnosti, kde na základě té základní analýzy si můžeme říct, spadáte pod nůž z dvojku a případně do jaké kategorie.

00:28:32
Pak jsou to už specializované věci, jako je třeba gap analýza, analýza rizik. Potom jsou to služby, které už souvisí s prověřením kvality bezpečnosti a to je skenování zranitelností, kde se skenuje, řekněme, nějaká sada běžných zranitelností, známých zranitelností systému, které má ten zákazník nasazený a je z toho nějaký report, s kterým se dá potom dále pracovat. Pak je to penetrační testování, to je vlastně další úroveň testování kybernetické bezpečnosti. To penetrační testování může být buď externí infrastruktury, interní infrastruktury, to znamená nějaký přístup do perimetru, případně nějaké chování hackera, který je už uvnitř v síti, může být zaměřený na webové aplikace, na různé systémy, s kterými si pracuje přes nějaká internetová rozhraní a podobně. Může být zaměřený i na konkrétní aplikaci, může být součástí třeba i analýza nějakého zdrojového kódu a podobně.

00:29:30
Potom jsou to různé nástroje, které slouží vlastně k přípravě zaměstnanců firmy na různé phishingové kampaně, což je velmi důležité. Nenalze se tady jenom zabývat phishingem, ale je potřeba to rozšířit na dneska už oblíbenou kombinaci útoků, kterým se říká phishing nebo smishing. Vlastně phishing, jistě každý ví, to je nějaký e- který má za cíl buď propašovat nějaký malware do sítě zákazníka nebo má podvrhnout nějaký odkaz, který je buď závadný, vede na nějaké podvodné weby s cílem třeba vyhlákat přihlašovací údaje. Phishing je v podstatě hlasový call, který může doplňovat, může to být řeštězeno, zákazník dostane e- mail, na základě toho mu někdo zavolá, pošle mu SMS- ku, to je vlastně ten smishing, nejenom SMS- ka, ale třeba WhatsAppová zpráva přes Messenger nebo přes nějaký jiný systém.

00:30:31
A tímhletím tlakem se snaží toho zákazníka přesvědčit, aby mu třeba poskytl přihlašovací údaje k nějakému účtu. Cílem té kampaně je vlastně naučit uživatele správně reagovat na tyto podvody, na tyto kampaně. Pak jsou to DDoSové ochrany poměrně aktuální, třeba proběhlo médií nedávno velký DDoSový útok na Český rozhláz, který byl kombinovaný ještě s dalšími útoky. Často ty DDoSové útoky zakrývají nějaké další aktivity, pokus oprůjník vlastně do systému, do sítě. A ten DDoSový útok vlastně maskuje tyto aktivity a snaží se třeba dostat ty klíčové systémy, jako jsou třeba firewally, nebo různé aplikační firewally do nějakého nekonzistentního stavu, které třeba rebootují a v tom okamžiku se ten hacker snaží dostat dovnitř do sítě a podobně. Takže to je určitě také parketa českých radiokomunikací, kde dokážeme nabídnout poměrně sofistikovanou službu.

00:31:32
a pak je to nějaká pokročilá analýza, kdy spousta těch útoků jsou velmi zákeřné, říká se jim APT útoky, Advanced Persistent Threats, a jsou to útoky, které jsou velmi pomalé, trvají třeba půl roku, rok. Útočník se snaží propašovat do sítě třeba tím phishingovým e- mailem nějaký malý malvérek, který se vám někde usídlí, prohlíží si, jaká tam máte data, co ta firma dělá a tak dále. A nadálku potom může být aktivován, může si stáhnout další část kódů, může to být třeba ransomware. A nejdřív, samozřejmě v té prvotní fázi, dost často dochází k uniku nějakých citlivých dat a následně třeba zašifrování počítačů. Takže k tomu, aby se to zabránilo, tak potřebujete nějakou pokročilou analýzu toho, co se v té síti děje, jestli je tam nějaká komunikace mezi tím malvérem a nějakým command control centrem a podobně.

00:32:27
to vám můžeme poskytnout také v rámci té dotační vyzvy. A pak jsou to vyloženě individuální projekty, které souvisí s implementací technologií, jako jsou firewally, jako jsou různé EDR, endpoint detection response systémy. To znamená, co jsou systémy, které jsou víc než běžný antivirus, ale monitorují, co se na běžném počítači nebo serveru děje a snaží se zabránit nějakým nekalým operacím, třeba s registry nějakému rozšiřování nějakého nežádoucího kódu a podobně. V těch služeb je spousty, sdílené CISO jsem již zmiňoval. Dále jsou to různé služby, které můžeme nabídnout třeba v pomoci s projektovým řízením a vůbec návrhem projektů nebo výběrových řízení vlastně pro dodavatelé na systémy kybernetické bezpečnosti a podobně. Takže těch služeb je opravdu hodně. téma je určitě jeden další webináře, ale dneska nemáme už tolik prostoru. Martine, já ti tuto chvíli asi poděkuju. Podíváme si, jestli máme v chatu nějaké otázky.

00:33:40
Já tady nic nehlídím. Tak možná pojďme ještě teda schrnout takové ty zásadní věci, na co bychom měli možná trošku apelovat, aby si naši posluchači uvědomili a znovu zopakovali ty nejdůležitější, nejzákladnější témata, které. Já možná tady zdůrazním, tento slajd už jste od nás asi viděli, ale budu se opakovat, ale je to velmi důležité, protože kybernetická bezpečnost není NIS2. NIS2 je nějaká evropská direktiva, která tomu dává nějaký formát a rámec a pravidla. A jsou to věci, které jsou velmi praktické, pokud se prakticky uchopí. A je potřeba vlastně se těch věcí nebát a do té kybernetické bezpečnosti dneska už musí investovat každá organizace. V podstatě i každý jednotlivec. Bez nějaké ochrany se dneska už nikdo neobejde. Co je důležité, je tady nějaká dotační výzva. Takže určitě, pokud jste střední a menší organizace, neváhejte a zkuste využít této dotační výzvy.

00:34:43
Jenom pro úplnost dodávám, střední a menší organizace je do nějakých 250 zaměstnanců. Jsou tam potom ještě nějaká kritéria další, ale jenom tak zhruba, abyste věděli. Takže přihlašte se k Pomůžeme vám zjistit, zda do této výzvy spadáte a zda jste schopni si na tuto dotaci šáhnout. Potom druhá věc, kterou bych chtěl zdůraznit. Nepocenujte kybernetickou bezpečnost. To, že nový kybernetický zákon bude platit až od dřína, tak je strašně málo času. Máte něco rok a pár měsíců času, zhruba rok a půl na to, abyste se připravili. A ta příprava není jednoduchá. Jenom ta analitická část může trvat třeba i několik měsíců. Je to o nějaké interakci s vašimi zaměstnanci a manažery. Není to prostě věc, která se dá spíchnout za dva, za tři dny a je hotovo. A ty analýzy jsou potřeba hlavně proto, abyste si vybrali ten správný směr.

00:35:49
A pak je to o chytrém investování do technologií, které nemusí být extrémně drahé. Samozřejmě pokud chcete to nejlepší, kupte si to nejlepší. To jenom doporučuji. Ale v okamžiku, kdy ta firma řeší budget, řeší peníze, což v dnešní době řeší v podstatě všechny společnosti, tak je potřeba si najít nějakou zlatou střední cestu a vybírat technologie nebo kombinace technologií, které se návzájem doplňují, doplnit to správným procesním nastavením, doplnit to správným nastavením bezpečnostních politik a implementaci těch bezpečnostních politik do správné konfigurace technologií. A už jenom tímhle tím, že třeba ta firma má správně rozsegmentovanou síť, jako vy stěžujete hackerům jakýkoliv útok a samozřejmě hacker je líný od podstaty, takže většinou jde, pokud to není cíleně na vaši společnost, tak většinou jde tam, kde je to pro ně jednodušší.

00:36:46
Takže určitě každá aktivita v oblasti kybernetické bezpečnosti je důležitá a nepodceňujte jí. Martin, děkuji za shlednutí. Já jenom připomenu, že pokud vás teda tato témata zaujala, ať se týká dotací nebo kybernetické bezpečnosti NIS, připrava jednoho zákona, že se na nás můžete obrátit prostřednictvím našeho vašeho obchodního zástupce nebo vyplnit kontaktní formulář na našich webových stránkách. Odkaz vidíte dole na obrazovkách. Martin, já ti děkuji za rozhovor a s vámi, s diváky, se těšíme někdy na viděnou. Tak já děkuji za možnost popularizovat kybernetickou bezpečnost, protože osvěta v této oblasti je velmi důležitá, je potřeba jí dělat. Děkuji. Taky děkuji. Na shledanou.