Komplexní kybernetická bezpečnost dle NIS-2: Od školení po krizový plán

#CYBER SECURITY, #BUSINESS, #INFORMATION

Nečekejte na útok! Je to drahé.

Kybernetické útoky už nejsou jen „problém IT oddělení,“. Jsou byznysovou krizí! S vyhlášením NIS-2 (požadavky kybernetické bezpečnosti v EU), otázkou není „JESTLI“ vaše firma bude napadena, ale „JAK DOBŘE“ jste připraveni, když útok přijde.

  • Platíte fakturu na základě e-mailu od svého šéfa – jenže on ji nikdy neposlal.
  • Zvedáte telefon a váš šéf žádá potvrzení platby – jenže on to není, ale podvodný AI-generovaný hlas.
  • Klikáte na odkaz v e-mailu od „obchodního partnera“, který žádá citlivé údaje. On to také není a a tím otevíráte dveře útočníkům

Jste připraveni rozpoznat hrozbu dřív, než bude pozdě?

Chci vědět více

Myslíte si, že se vás to netýká?

Mohou to být „malé“ incidenty, ale co když dostanete zprávu: „Dosáhli jste stamilionového obratu. Je čas se o úspěch podělit.“

Takový e-mail nechcete dostat – jde o začátek vydírání po ransomware útoku.

  • Firemní procesy zablokované
  • Provoz firmy na nule
  • Firemní síť infiltrovaná 
  • Data zašifrovaná
  • Požadavek na milionové výkupné na stole

Otázkou není „JESTLI“ vaše firma bude napadena, ale „JAK“ jste připraveni, až takový útok přijde. 

Kolik dní vydržíte?

Máte zálohy? Pokud je obnovíte do infiltrované sítě, útok se může opakovat. Výkupné poroste, data se mohou objevit na dark webu.

Co teď?

  • Propustit všechny ajťáky?
  • Zaplatit výkupné?
  • Obrátit se na policii?
  • Vyjednávat?

Můžete si být jistí, že:

  • výkupné se nebude navyšovat s nezkušeným vyjednavačem?
  • únos dat a vydírání o další výkupné se nebude opakovat?
  • firemní data neskončí na (ne)veřejném dark webu k použití ostatním kriminálním živlům?

Kolik dní takové situace jako firma vydržíte? Jaké máte s takovými situacemi zkušenosti? Jaká plánujete preventivní, krizová a post-incidenční opatření?

Platné certifikáty nestačí

Slušná firma má zájem o business, tvrdou prací zlepšuje své know-how a má pozoruhodné finanční výsledky. Kdo by se nechtěl bránit proti parazitům na úsilí druhých?

Ano, máte certifikáty:

  • ISO 9001 (chráníte své zákazníky)
  • ISO 27001 a SOC 1, 2 (chráníte informace svých zákazníků)
  • NIS-2 dle nZKB (chráníte existenci firmy)

Certifikáty jsou jen rámce pro aplikovanou kybernetickou bezpečnost a bezpečnost informací. Splnění požadavků na udělení certifikátu je jedna věc. Komplexní a efektivní příprava na kybernetický útok je věc jiná. Náklady na udělení certifikátů se neustále zvyšují a k tomu je nutné ještě kalkulovat s náklady na vybudování optimálních ochranných struktur.

Kdo nevnímá smysl NIS2 a rizika kybernetické bezpečnosti:

  • platí v lepším případě penále státu
  • v horším případě tučné výkupné
  • v nejhorším případě přijde o firmu
Chci konzultaci

Prevence je levnější než výkupné 💸

Kybernetické útoky přicházejí rychle – a často bez varování. Připravte svou firmu na to, co přijde. Pomůžeme vám s auditem, školením i krizovým plánem.

Chci konzultaci

Cesta k optimální ochraně firmy

Víme, že finanční zdroje, aktuální cash flow, likvidita jsou zásadními předpoklady pro úspěšnou pro implementaci ochranných opatření.

Víme, že v každé firmě se snaží zavádění takových změn finančně, procesně a organizačně „optimalizovat“. Je to logické. Ovšem hrozí nebezpečí, že v rámci optimalizace šlápnete do pořádné bahnité louže, např.:

  • Data můžete svěřit poskytovali cloudových řešení. Co když někdo napadne infrastrukturu tohoto poskytovatele a vy se ke svým datům nedostanete? Vytváříte tak technologický dluh.
  • Pracovníci nejsou z mateřské školky. Všichni přece víme, co na pracovní notebook patří a nepatří. Je to logické. Co když recepční nechá svůj notebook přihlášený a bez dozoru? Vytváříte tak uživatelský dluh.
  • Ajťáci jsou profíci. Na notebooky zaměstnanců nainstalují antivirus a automatické odhlášení po 15 minutách. Uživatelská kreativita v obcházení bezpečnostních opatření je bezmezná. Vytváříte tak administrativní dluh.

Multi-oborové komplexní zkušenosti jsou zásadní pro smysluplné plánování. Náš tým multioborových odborníků připravil aktivity ve dvou stupních:

  • 1. Informujeme důkladně: Školení, díky kterému získáte komplexní přehled (lze financovat z dotací)
  • 2. Implementujeme optimálně: Důsledné zavedení změn, pohotovost pro případ nouze
Chci konzultaci

Kybernetická bezpečnost je komplexní téma

Téma kybernetické bezpečnosti a bezpečnosti informací vnímáme komplexně jako nekonečný cyklus, který tvoří vzájemně se ovlivňující preventivní, incidenční a post-incidenčních opatření.

1️⃣ v před incidenční fázi Before

2️⃣ V INCIDENČNÍ DURING

3️⃣ V POST-INCIDENČNÍ FÁZI AFTER

Provádíme audit bezpečnostních opatření, navrhujeme řešení, dohlížíme na implementaci a zajišťujeme krizovou komunikaci. Monitorujeme IT, testujeme a definujeme nouzové scénáře.

Rozlišujeme úroveň hrozby a jednáme dle incidentních plánů. Při útoku spouštíme krizový zásah: analýza IT, vyjednávání, komunikace i právní podpora.

Provádíme audity postupu, analyzujeme příčiny prolomení a vypracujeme „Lessons Learned“ s návrhy zlepšení. Dozorujeme implementaci změn a podporujeme firmu v krizové komunikaci.


Poskytované služby

Nabízíme komplexní podporu firem v oblasti kybernetické bezpečnosti dle NIS-2 – od školení zaměstnanců a managementu, přes administrativní pomoc s financováním, až po implementaci funkčních a certifikovatelných bezpečnostních opatření.

1️⃣ Školení firem v rámci IT a digitálních dovedností

Implementace NIS-2 a kybernetické bezpečnosti není jen doménou IT pracovníků. Vedení musí vědět, o co se jedná, aby bylo možné efektivně spolupracovat s IT odborníky a řídit spolupráci s ostatními zaměstnanci, popř. spolupracovníky firmy. Zavedení kybernetické bezpečnosti z 0 na 100 % je mýtus.

Během školení informujeme o rámci pro efektivní a postupné zvyšování účinnosti příslušných opatření.

Chci konzultaci

2️⃣ PODPORA A PORADENSTVÍ K FINANCOVÁNÍ OPATŘENÍ

Pro financování lze využít též podpory v rámci již schválených projektů:

ETIK – Digitální vzdělávání, reg.č. CZ.31.6.0/0.0/0.0/23_101/0008629

SŽ – Digitální vzdělávání, reg.č. CZ.31.6.0/0.0/0.0/23_101/0008628

Ověření splnění všech podmínek pro získání podpory k financování a provedení všemi administrativními náležitostmi pro dosažení na podporu.

Chci konzultaci

3️⃣ IMPLEMENTACE POŽADAVKŮ PODLE SMĚRNICE NIS-2

Provádíme audit bezpečnostních opatření, navrhujeme řešení, dohlížíme na implementaci a zajišťujeme krizovou komunikaci. Monitorujeme IT, testujeme a definujeme nouzové scénáře.

Rozlišujeme úroveň hrozby a jednáme dle incidentních plánů. Při útoku spouštíme krizový zásah: analýza IT, vyjednávání, komunikace i právní podpora.

Provádíme audity postupu, analyzujeme příčiny prolomení a vypracujeme „Lessons Learned“ s návrhy zlepšení. Dozorujeme implementaci změn a podporujeme firmu v krizové komunikaci.


Proč kybernetická bezpečnost není jen o IT?

Data a klíčoví lidé jsou páteří každého podniku. Bez nich firma nepřežije – s nimi ale může růst. Efektivní práce s daty a jejich ochrana zvyšují konkurenceschopnost a odolnost vůči rizikům.

Selhání bezpečnostních opatření často nesouvisí jen s technikou, ale i s lidským faktorem. Proto je klíčová kombinace precizního odhadu rizik, smysluplných změn a dobře řízené interní i externí komunikace.

Směrnice NIS-2 je příležitostí, jak posílit procesy a odolnost firmy – pokud se k ní přistoupí chytře a prakticky.

Náš tým

Náš tým tvoří odborníci na právo, krizovou komunikaci, vyjednávání i technickou stránku bezpečnosti. Společně pokrýváme celý cyklus – od školení a prevence až po zvládání incidentů a podporu při obnově provozu.

Tomáš Burda – krizový vyjednavač: Na základě svých zkušeností z krizového vyjednávání je členem incident response týmu. Poskytuje svoji podporu při vytváření postupů pro případ ransomware incidentu.

Jan Dušátko – odborník na kybernetickou bezpečnost: Poskytuje rámcový přehled toho, co v zavedení kybernetické bezpečnosti a bezpečnosti opatření skutečně funguje, funguje jen z části nebo nefunguje vůbec.

Jiří Střelec – odborník na krizovou komunikaci a PR: Poskytuje podporu při zavádění změn ve firmách. Pro případ ransomware incidentu poskytuje podporu pro krizovou komunikaci s veřejností a uvnitř firmy, kdy je nutné bleskově rozhodovat co, kdy a komu sdělovat.

Jan Valoušek – advokát: Odborník na nový nZKB, získání certifikace dle NIS-2, advokátní podpora při komunikaci s exekutivními úřady pro případ ransomware incidentu. Poskytuje aktivní administrativní podporu při získání dotací pro první fázi školení.

Jan Mexo Řehák – krizový vyjednavač: 12 let se věnoval IT, posledních 19 let je vyjednavačem. Hledá “to nejlepší z obou světů”. Pomáhá při vytváření strategií pro-vedení změny, v krizových incidencích a a při nastavení prevence.

Od školení po krizovou komunikaci

Zvládnout útok není jen o IT. Je to o lidech, procesech a připravenosti. Provedeme vás celým cyklem bezpečnosti – než něco nastane, během i po incidentu.

Chci konzultaci