Webinář: nové produkty kybernetické bezpečnosti CRA

00:00:18
Já ve stydu vítám mého kolegu, experta, specialistu na kybernetickou bezpečnost Martina Pulpána. Martine, vítej.

00:00:25
Děkuji za přivítání, dobrý den vám divákům.

00:00:29
Ptát se budu já, moje jméno je Martin Pavelka a pracuji v Českých radiokomunikacích jako produktový manažér pro kybernetickou bezpečnost a manažované služby. Náš webinář je interaktivní, v průběhu celého webináře je možné pokládat otázky do četu, my se pokusíme na ně na závěr odpovědět. Zároveň ten webinář také natáčíme, jeho záznam, respektive místo, kde bude záznam uložen, vám oznámíme. Martine, úvod máme za sebou, pojďme rovnou k věci. Co podle tebe nejčastěji a bezprostředně ohrožuje firmy, vodníky z pohledu kybernetické bezpečnosti? Kde vidíš to největší riziko?

00:01:08
Paradoxně největší riziko je uživatel a jeho chování. Tam patří stahování různých infikovaných souborů, které mohou zavlézt do sítě malware. Je to potom třeba ztráta přihlašovacích údajů pomocí různých podvodných linků a fiktivních stránek. Potom jsou to slabá hesla, vůbec firemní zabezpečení jako takové. Dále jsou velmi problematické třeba úniky citlivých informací přes sociální sítě, kdy zaměstnanci prezentují například projekty, na kterých pracují na různých sociálních sítích. Zatím nevědomky dostávají citlivá informace mimo společnost. Další problémy jsou různé. PDF-ka, případně různé linky, které směřují na nějaký podvodný software, podvodný malware, který dokáže velmi rychle zašifrovat třeba disky počítačů ve firmě a podobně. Ale jsou to i třeba fyzické problémy v bezpečnosti, jako jsou třeba citlivé dokumenty na tiskárnách, kde tiskárny většinou bývají ve společnostech na chodbách, kde kdokoliv si může vzít nějakou citlivou smlouvu s osobními údaji nebo nějaké údaje o projektu a podobně.

00:02:43
Určitě platí, že každá firma by měla mít nějaký plán, jak se proti takovýmhle hrozbám bránit. Jak by měl vypadat takovýhle plán?

00:02:52
Phishing je pravda, že je vlastně velmi jednoduchý levný útok, který je navíc velmi účinný. Říká se, že 60% phishingových útoků je úspěšný. Je to finančně nenáročný útok, takže je velmi populární a nemusí to být jenom řekněme nějaká phishingová kampaň, která je prezentována plošně na internetu a snaží se infikovat vlastně toho, kdo například klikne na ten phishingový e-mail, ale můžou to být třeba i cílené phishingové kampaně, zvaný spare phishing, který je obzvláště nebezpečný, který navíc může kombinovat i několik metod komunikace s tím uživatelem, jednak je to e-mailová komunikace, potom to může být komunikace přes nějakou třeba SMS-ku, textovou zprávu, WhatsApp zprávu, Messenger, v kombinaci třeba ještě s Dále neotevírat slepě přílohy, je potřeba mít různé anti-phishingové a anti-malwareové nástroje, které jsou schopní včas zareagovat, případně umět monitorovat i obsah provozu v síti a rozeznat potom už třeba na napadených počítačích nějakou podezřelou komunikaci mezi stanicí a nějakým command control serverem a podobně.

00:04:33
Co můžu jako firma udělat, abych se nestal terčem kybernetickýho útoku? Existují nějaká základní pravidla vůbec?

00:04:40
Je to kombinace řekněme nějakých tří faktorů. Jeden z těch faktorů je mít správně napsanou bezpečnostní politiku. K tomu, abych mohl mít správně napsanou bezpečnostní politiku, tak musím znát, co v té sítě mám a jak to celé funguje. jaké mám aplikace, jak funguje ta společnost. Druhý pílíř bezpečnosti jsou procesy. To znamená, to, co mám v té bezpečnostní politice, se musí projevit v nějakém popisu toho, co kdy, kde a jak má kdo dělat. A tento proces musí být ještě těm účastníkům té komunikační infrastruktury známým, musí být vyškoleni, proškoleni. A třetí část je ta technologická. To znamená, jsou to technologie, které nám zajišťují řekněme nějakou ochranu kombinaci bezpečnostních technologií z procesy a z pravidly, která nás dokáže potom uchránit a vlastně omezit nějaké hrozby, které s tou kybernetickou bezpečností přicházejí.

00:05:49
Skvěle. Pojďme se posunout té legislativě. Základní legislativní rámec týkající se kybernetické bezpečnosti v českém právním řádě představuje Zákon o kybernetické bezpečnosti, včetně všech prováděcích vyhlášek. co by mě jako firmu nebo organizaci mělo zajímat z pohledu legislativy.

00:06:20
Dneska tady máme, řekněme, kybernetický zákon, který reaguje a zohledňuje tuto evropskou direktivu, která se jmenovala NIS. Dneska máme vlastně update této direktivy, která se jmenuje NIS 2, která už byla Evropským parlamentem schválená. Čekáme teď na úpravu naší národní legislativy, to znamená, bude novelizace kybernetického zákona, včetně prováděcích vyhlášek. a to bude mít velký dopad na to, čím se organizace a společnosti v České republice budou muset řídit. Vlastně tato směrnice NIS-2 reaguje na nějakou nedostatečnou míru kybernetického zabezpečení ve státech Evropské unie. Snaží se vyrovnat rozdíly tak, aby ty státy používaly stejné metriky a stejné parametry kybernetické bezpečnosti Ty největší rozdíly je, že se vlastně rozšiřuje působnost na další organizace, které původně v tom kybernetickém zákonu nebo v té původní směrní cynis nebyly. A ty vybrané subjekty budou muset dodržovat, řekněme, určité postupy, určité pravidla, kam patří třeba gap analýza, analýza rizik, s kterými musí pracovat na základě těchto analýz, potom musí mít navržená různá technická organizační opatření, šifrování odesílaných zpráv, elektronické podpisy. A vlastně je potřeba definovat kompletní bezpečnostní politiky a postupy, které se dají potom auditovat. A samozřejmě NUCIP, to znamená Národní úřad pro kybernetickou a informační bezpečnost, je ta autorita, který bude kontrolovat, jakým způsobem firmy plní tyto podmínky.

00:09:10
Já tady jenom doplním nuky poveřejného do veřejné konzultace návrh změní nového zákona, který právě vychází z NIS 2, tuším do konce února k veřejným připomínkám, následně teda bude probíhat ta transpozice do českého práva.

00:09:22
Ano, dá se očekávat, že vlastně během tohoto roku proběhne vlastně celá ta novelizace, celý ten novelizační proces v rámci direktiv Evropské unie. Je tam nejzaší termín někdy polovina příštího roku, kdy vlastně všechny státy Evropské unie tuto legislativu už musí mít aktivní. jsou to firmy, které podnikají v oblasti dopravy letecké, dopravy železniční, vodní a podobně. Pak jsou to samozřejmě bankovní instituce a finanční instituce. Patří tam zdravotnictví, výroba farmaceutických prostředků, léků a podobně. Pytná voda, zpráva, řekněme, různých vodovodů, kanalizací a podobně. Patří tam ale i digitální infrastruktura, to znamená provozovatelé digitální infrastruktury, typicky operátoři. A jsou to potom samozřejmě organizace veřejné správy, organizace, které se zabývají nějakým kritickým výzkumem, typicky třeba ve směrný výzkum a podobně. Pak je druhá kategorie organizací, kterým se říká důležité subjekty, vlastně v té směrnici NIS-2. Tam patří třeba poštovní korýrní služby, nakládání z odpady s chemickými látkami, potravinová výroba klíčové potraviny, výroba třeba zdravotnických prostředků,

00:11:54
Rozhodl se, že prostě tyhle ty pravidla nebo předpisy budou ignorovat? Hrozí mi něco?

00:12:03
První věc je, že ty dotyčné subjekty budou vyzváni Nukybem a budou informováni, že do toho spadají a proběhne informační kampaň, tak jmená ty menší společnosti, které by měly vědět, že do toho spadají, že se jich to týká. Pokud nebudou reagovat, tak by Nukyb měl v relativně rychlé době potom začít realizovat, tabulka postihů, které se vztahují na tyto společnosti, a to je až 10 milionů korun, nebo 2% z celosvětového obratu za předchozí finanční období. Tyto pokuty se mohou ještě lišit v závislosti na té lokální legislativě. Tohle jsou, řekněme, nejnižší doporučené hodnoty těch pokut, ale i ta lokální administrativa si potom může v rámci té jednotlivé země Evropské unie tyto pokuty zvýšit.

00:13:22
Zdá se, že ta agenda je poměrně komplexní a bohatá. Jak s tím v rámci Českých radiokomunikací můžeme našim zákazníkům pomoct?

00:13:29
Tak my jsme připravili, řekněme, sadu služeb, které vlastně souvisí s přípravou na tu směrnici NIS-2 a jsme schopní začít pracovat, řekněme, s tou organizací na základě nějaké první rekognizkace terénu, aby jsme si řekli, jaká je základní analýza stavu. penetrační testy bezdrátových sítí, Wi-Fi sítí. Spousta organizací Wi-Fi už standardně používá a bývá to jako slabý článek. Dále na to máme návazné služby, které mohou být například simulovaný DDoSový útok, kde jsme schopni na tuto organizaci poslat DDoSový útok aplikační a volumetrický, který prověří odolnost systému té organizace a potom je to nějaká třeba průběžná validace zranitelností cesta zákazníka. Je to v podstatě celý ten proces, jak se dá s Českými rady komunikacemi spolupracovat. Již jsme mluvili o nějakých základních analýzách, které nám definují, v jakém stavu ta společnost je. Za druhé, my potřebujeme zjistit nějaký cílový stav, kam by se měla ta společnost dostat. To vlastně řeší GAP analýza. Na základě té GAP analýzy je potřeba udělat nějaký jaký dopad to má na firmu a na základě toho se nastaví určitá nápravná opatření. Z toho nám potom vyplynou jednotlivé projekty, které souvisí například s redefinicí bezpečnostních politik, procesním nastavením, ale samozřejmě to mohou být využení technologické projekty, jako je dodávka určitých bezpečnostních prvků do komunikační infrastruktury zákazníka, tak aby jsme zabránili některým rizikům, není úplně jednoduchá disciplína. Do toho tady jsou další různé komunikační modely, jako je Zero Trust a tak dále, kde vlastně musíte sledovat tu cestu toho uživatele v tom vašem komunikačním prostředí a velmi pečlivě kontrolovat, co tam dělá, jakým způsobem tam funguje, co mu dovolíte, co mu nedovolíte. A celý tento proces může být završen nějakou certifikací, která může být například certifikace na ISO 27001 nebo podle jiných norm. Ta certifikace není vše vzpásná, ale zaručuje to té firmě určitý standard, podle kterého musí fungovat. A směrnice NIS 2 de facto vychází z ISO 27001, takže pokud organizace má tuto certifikaci nebo je připravena na tuto certifikaci, tak v podstatě splňuje požadavky, Co se týče praktické ukázky těch jednoduchých cen, my jsme si tady připravili takový balíček, řekněme, pro malou a střední firmu, který zahrnuje vlastně to opravdu potřebné, co by ty organizace měly udělat, aby věděly, v jakém stavu ta kybernetická bezpečnost je. Navíc dneska je vypsaná dotační výzva, kterou vypsalo Ministerstvo průmyslu a obchodu analýzu rizik, penetrační testy, perimetru, Wi-Fi a webových aplikací. A potom je tam pokročilá analýza provozu, která pro malou firmu představuje, řekněme, investici téměř 600 tisíc. Pro střední firmu tam to samozřejmě záleží, jak ta firma je rozsáhlá, ale pohybuje se to někde kolem milionu korun. A díky dotaci dosáhneme výrazně velké úspory. U malé firmy je to zhruba půl milionová úspora. O dotaci musí zažádat ta příslušná firma, ten příslušný subjekt, ale my jsme schopni celou tu administrativu vyřešit za zákazníka, napsat dotační žádost. pomoci zákazníkovi v podstatě připravit kompletní dokumentaci. Zákazník akorát podepíše tuto žádost prostřednictvím této zprostředkovatelské firmy, my tuto žádost podáme na MPO. Během dubna by měla tato žádost být schválená. Pokud bude schválená, tak jsme schopni vlastně, nebo i musíme v rámci té dotační výzvy do 6 měsíců provést tyto služby. Ještě by bylo možná vhodné říci, co jsou to malé firmy a střední firmy. Je tam limit 250 zaměstnanců, což je asi ten hlavní ukazatel a služby nesmí překročit 3 miliony v celkovém objemu té dotace. A další limit je ten, že ta firma musí být registrovaná v České republice. A pak jsou tam takové ty běžné limity, že musí mít účetní závěrky v registru, musí mít známé majitelé a podobně, což u těch dotačních žádostí je běžná záležitost. Já ještě ukážu poslední slide, který tady mám připravený. Ten poslední slide souvisí vlastně s celým portfoliem služeb, které České radiokomunikace nabízí, které už potom třeba nejsou součástí, Takže to je asi všechno, co se týče přehledu služeb a jak české radiokomunikace mohou pomoci zákazníkům, nejenom malým a středním firmám.

00:22:28
Takže pokud to velmi rychle schrnu, 85% dotace, velmi velkorysá dotace, platná do 31. třetí tohoto roku, týká se převyšší malých a středně velkých podniků. Ty omezení si zmínil, ale neznamená to, že by mohl tyto služby čerpat jakýkoliv podnik, který je na českém trhu skvělý. Když jsem tedy nějaká taková malá nebo středně velká firma, jakým způsobem tedy o ty služby nebo o dotace zažádat?

00:22:56
Nejjednodušší způsob je kontaktovat našeho obchodního zástupce. Ti jsou proškoleni, dokáží potom ten požadavek interně zpracovat. Zašleme vám template vlastně smlouvy žádosti o dotaci s nabídkou těchto služeb.

00:23:48
požadavky s obou stránků. Skvělý. Já bych možná doplnil, že kromě obchodníka, samozřejmě ten, kdo nemá našeho obchodníka, může využít kontaktu na našich webových stránkách, který zrovna teďka na mreži je pustila, tak je možné se tam přihlásit, ta adresa bude uvedená v našem chatu. No, napadá mě snad poslední otázka, proč si vybrat České radiokomunikace k takovéto spolupráci?

00:24:14
České radiokomunikace jsou důvěryhodný subjekt, který je na trhu už dlouho, zabývá se datovými komunikacemi, takže ta expertíza tady je a samozřejmě rozšířila expertízu o kybernetickou bezpečnost a je to ideální kombinace v okamžiku, kdy si nakupujete například komunikační služby nebo cloudové služby, tak jsme schopní udělat i posouzení, pokud máte jiného dodatku, Četě radiokomunikace jsou organizace, která je platným hráčem a partnerem pro vás v oblasti kibernetické bezpečnosti.

00:25:08
Skvělý. Já jsem vyčerpal svoje otázky, děkuji moc za tvoje odpovědi. Můžeme si teda vrhnout na chat. Já tady mám pokyn z režie, že ne, možná všichni jsou schopni pokládat otázky do chatu. Důvodem je zřejmě to, že ne všichni mají účet na Microsoftu. Kolegyně tady informuje, že Pokud má někdo takový problém, může poslat dotaz e-mailem a nám se tady potom objeví díky zprostředkování. Dobrý den, je v okruhu definice malé a velké firmy i limit obratu firmy.

00:25:42
Je, je tam limit obratu firmy, ten limit, já vám hnedka řeknu, jak je velký. Je to někde kolem 30 milionů euro ročně. Klíčový limit je počet těch zaměstnanců. MPO definuje velikost té firmy, 250 zaměstnanců a je potřeba potom doložit samozřejmě určitý závěrky a další dokumenty k té žádosti, které souvisí s tím, aby ta firma opravdu splněla tyto požadavky.

00:26:22
Další dotaz, definujte malou firmu, prosím. Ještě něco, co bysme mohli doplnit k tomu, co jsi řekl?

00:26:31
Možná je tam ještě jeden limit. Ta firma nesmí být součástí nějakého konzorcia. V okamžiku, kdy je tam vlastník, například nějaká velká společnost akciová, která samozřejmě už nespadá do toho malého a středního podniku, tak to na to má vliv, protože se to počítá jako celek z pohledu Ministerstva průmyslu a obchodu. Je to jeden subjekt. Dále tam nesmí být řekněme nějaký veřejní funkcionáři, kteří mají víc jak 25 % účastí v této společnosti. A to jsou v podstatě takové ty běžné podmínky, které v těch dotačních titulech jsou.

00:27:16
Měla? Pak tady máme dotazy z e-mailu. Musím čerpat všechny vámi nabízené služby, které jsme tady ukazovali?

00:27:25
Nemusíte, dá se to udělat individuálně. I to tak děláme individuálně, nicméně tohle je takový balíček, který by měl proběhnout u každé firmy, každé velikosti. Takže dřív nebo později tyhle služby čerpat můžete a protože je tady ta velmi výhodná dotační výzva, tak je dobré to bandlovat dohromady. Fyzickou bezpečnost v tomto případě neřešíme, můžeme dát různá doporučení, ale můžeme to udělat jako službu v podstatě nad rámec těchto analytických služeb. Děláme třeba i kontrolu, řekněme, ono to souvisí s fyzickou bezpečností, ale to, jakým způsobem se dá do firmy dostat, pokud tam třeba nefunguje správně vrátnice, velmi velký tlak a tam právě dochází potom k různým problémům, kdy například zavoláte asistence v součetního oddělení jménem pana ředitele nebo někoho z managementu a snažíte se přesvědčit, aby provedla nějakou platbu, kterou ji jako pošlete do e-mailu atd. No takže tam se potom ukáže opravdu, jak ti zaměstnanci jsou vycvičeni na tyto nátlaky, protože Není potom úplně jednoduché odolat. Je potřeba opravdu vědět, že tímto způsobem ta společnost nikdy nefunguje a není možné vlastně zaplatit fakturu způsobem, že pan ředitel vám ji pošle třeba přes WhatsApp a potřebuje ji rychle okamžitě zaplatit a tak dále. Takže to jsou běžné podvodné praktiky, které se používají vlastně při útocích nejenom na firmy, ale i na jednotlivce.

00:29:54
Dobře, děkuju. Sympatická otázka. Musím toto vše podstupovat, když se nám do posudnictví

00:30:11
Já bych to řekl tak, jako s humorom, takových jsme viděli.

00:30:16
Dobře, budete služby poskytovat i po konci března?

00:30:21
Budeme, tyto služby jsou vázané vlastně tím březnovým termínem jenom kvůli té dotaci, ale tyto služby poskytujeme vlastně celoročně a je to součást nového portfolia ČR v rámci jejich služeb obecně pro zákazníky, nejenom pro malé a střední firmy.

00:30:41
Poslední otázka, kterou tady vidím, je 250 zaměstnanců je limit pro malou nebo střední firmu? Kolik pracovníků je malá firma?

00:30:48
Je to 250 zaměstnanců celkem, to znamená, ta dotace nerozlišuje, jestli máte 50 zaměstnanců nebo 200 zaměstnanců, ale nazývají to malá, střední firma. My v těch službách to máme rozdělené, protože pokud ta firma je jako menší, tak třeba nároky na ty analýzy jsou jako výrazně levnější, protože tam nestrávíte tolik času s tou analýzou.

00:31:40
NPO nerozlišuje velikost, je malá v střední z pohledu našeho nějakého nadcenění. To samozřejmě důležité je, ale to se samozřejmě asi vyřeší při těch schůzkách. kde se kvalifikuje velikost té poptávané služby. Další dotaz, jak často by měla probíhat analýza rizik?

00:31:59
Dobrá otázka, měli byste ji řešit průběžně. Ideální stav je, že ta společnost má riskového manažera, který vlastně ta rizika průběžně monitoruje a s každou změnou, která souvisí, řekněme se změnou biznesu, se změnou technologií, počty zaměstnanců, expanze biznesu, redukce biznesu atd., tak by se to mělo v té analýze rizik objevit.

00:32:43
Já už tady žádnou otázku nevidím.

00:32:46
To se týká vlastně i penetračních testů a dalších věcí, kde taková doporučená perioda je minimálně jednou, případně dvakrát ročně si nechat udělat penetrační testy na aplikace, na infrastrukturu. Protože samozřejmě s tím, jak se mění různě verze těch aplikací, rozšiřují se ty aplikace, nebo se mění hardware, případně se mění firmware na tom hardwareu, protože mnohem lepší je být dopředu připraven a v případě nějakého útoku vědět, co mám dělat. A v okamžiku, kdy to vím, tak ten dopad těch kybernetických útoků se minimalizuje minimálně třeba o 80-90%. I když ten útok je úspěšný, já mu potom dokážu zabránit, dokážu udělat i nějakou takovou remediaci, to znamená opravu těch počítačů, které byly napadeny a tak dále. A tohle to musí mít dopředu nadzvičené, dopředu připravené.

00:34:27
a budeme se s vámi těšit na nějaký další český webinář. Naschledanou.

00:34:33
Děkujeme, naschledanou.