V posledních dvou letech se v CzechInnu stále více do hloubky zabýváme tematikou kybernetické a informační bezpečnosti, která je dnes alfou a omegou úspěšného působení každé firmy i organizace. Realizujeme osvětové akce, na kterých propojujeme trojlístek atributů bezpečnost – odolnost – udržitelnost, propojujeme ty, kteří kyberbezpečnostní služby nabízejí a poptávají, a úzce komunikujeme s klienty našeho domovského EDIH Cybersecurity Innovation Hub, který je svými aktivitami schopen podpořit české podniky i veřejné organizace.
Ze všech těchto aktivit nám vyplývá komplexní obrázek o tom, jak jsou české firmy a organizace na nebezpečí číhající na jejich data skutečně připraveny, ale také jaké mýty a předsudky v oblasti kybernetické a informační bezpečnosti stále panují. Rádi bychom Vám jej přiblížili v tomto článku – a současně Vám dali návod na konstruktivní řešení problémů, které v podnikové praxi i veřejném sektoru vyvstávají.
Po více než dvou letech od oficiálního zahájení svého projektu mohou členové konsorcia EDIH Cybersecurity Innovation Hub mnoho vyprávět o tom, nakolik různorodě je téma kyberbezpečnosti pojato v českém firemním i veřejnoprávním prostředí. Připomeňme jen, že v konsorciu jsou krom jeho koordinátora CyberSecurity Hub, z.ú. – zapsaného ústavu spoluzaloženého třemi českými univerzitami (Masarykovou univerzitou, ČVUT v Praze a VUT v Brně) – také tyto jeho tři spoluzakladatelské univerzity samotné a dále Network Security Monitoring Cluster jako čtvrtý člen content týmu. Konsorcium doplňují čtyři business development, komunikační a organizační partneři – sdružení CzechInno, Technologické centrum Praha, Regionální hospodářská komora v Brně a Industry Cluster 4.0:
A jaké jsou podle našich zkušeností z práce s klienty ty nejčastější mýty a předsudky, s kterými se v oblasti kybernetické a informační bezpečnosti při realizaci našich služeb potkáváme? Zde je jejich výčet:
- Pokud zrovna nejsem online z pracovního zařízení, nemusím se obávat žádného útoku.
Omyl!
Proč? Celá řada dnešních útoků kombinuje prvky kybernetické (= online a za použití digitálních nástrojů) a informační bezpečnosti, které mohou pocházet z fyzického prostředí a umně je propojuje do akcí, které mohou oběť zmást a znejistět natolik, že útočníkovi sdělí své osobní údaje, vyzradí citlivé informace svého zaměstnavatele nebo se nechají vlákat do pasti, která umožní spáchat škody na jejich vlastních datech nebo datech a systémech jejich zaměstnavatele. Příkladem mohou být útoky využívající informací získaných o Vás na sociálních sítích k útoku na Vaši pozici v profesním životě.
- Optimální je, když IT oddělení v naší firmě či organizaci a nebo externí poskytovatel ICT řeší i bezpečnost. Vyznají se v tom přeci nejlépe!
Omyl!
Proč? Řízení bezpečnosti v organizaci je jedním ze základních atributů jejího úspěšného vedení a dlouhodobého fungování, informační technologie jsou jen jedním z jejích nástrojů. Nastane-li bezpečnostní incident, musí se o něm jako první dozvědět pracovník, který má současně právo zastavit výrobu, vypnout systémy nebo zastavit poskytování online služby. O tom nemůže rozhodnout správce sítě, nýbrž pouze člen nejvyššího vedení firmy či organizace.
- Chceme-li posílit bezpečnost organizace, stačí k tomu vyrobit interní dokument nebo metodiku a seznámit s ní všechny zaměstnance. Bezpečnostní pravidla se přeci v čase nemění.
Omyl!
Proč? Divili byste se – a zejména naši kolegové, kteří školí tematiku bezpečnosti ve vztahu k umělé inteligenci by mohli povídat – jak rychle jde kupředu komplexita, sofistikovanost a rozpoznatelnost nebo naopak neidentifikovatelnost útoků, které jsou spáchané kombinovanými metodami (tedy kombinací technik v online a fyzickém světě) a nebo s pomocí AI. Co bylo před několika lety fikcí – například realizace fingovaného telefonického rozhovoru nebo dokonce videohovoru s Vaším šéfem – je nyní smutnou realitou a řada lidí tedy i při zachování nastavených bezpečnostních pravidel může podlehnout útoku jen proto, že si zkrátka neuvědomí „že je něco špatně“. A psaná pravidla přitom ani nemusí porušit. Je proto extrémně důležité v prostředí stále se zintenzivňujících bezpečnostních hrozeb školit Vaše zaměstnance, k jejich vzdělávání přistoupit systematicky a bezpečnostní kurzy je nechat absolvovat i opakovaně – a to optimálně ve spolupráci s živým lektorem tak, abyste předešli nedorozumění nebo nedostatku pozornosti věnované sdělovaným informacím.
- Dáme-li zaměstnanci služební mobil nebo notebook k dispozici i pro soukromé použití, firmě to finančně neublíží a pro zaměstnance je to vítaný benefit
Omyl!
Proč? Hodnota zařízení nebo neomezeného paušálu Vám nikdy nevyváží obrovská bezpečnostní rizika, která při poskytování jakýchkoli elektronických pracovních prostředků (jimiž jsou dnes i automobily) Vašim zaměstnancům k soukromému využití přinášíte své firmě nebo organizaci. Při prolomení jejich zabezpečení se útočník může dostat nejen do Vašich systémů, ale z druhé strany například i k bankovnímu kontu zaměstnance. Naopak při útoku skrz účet Vašeho zaměstnance na sociální síti může být napaden Váš systém firemní. Auto se v rámci útoku na software jeho výrobce může stát neovladatelným a způsobit nenávratné škody na zdraví osob, které s profesním působením Vašeho zaměstnance nemají nic společného. A tak lze dále pokračovat.. Několik tisícikorun na odměnách nebo příplatku ke mzdě jistě lépe pomůže ocenit výkony Vašeho zaměstnance a nepřinese ani zlomek rizik, která jdou ruku v ruce s kombinací využívání elektronických zařízení k profesním a soukromým účelům.
- Kybernetická bezpečnost je hlavně o ochraně proti škodlivému softwaru a kybernetickým útokům
Omyl!
Proč? Útok na Vaše data může útočník s úspěchem spáchat i jiným způsobem – a nemusí k tomu ani nutně využít ransomware, spyware, trojské koně nebo zahltit Váš server DDoS útokem. A v řadě případů mu pomáháte i Vy sami – nezodpovědným roztrušováním osobních dat tam, kde za jejich poskytnutí nedostáváte žádnou protihodnotu, přehnaným sdílením informací o Vás a Vaší rodině nebo i Vaší firmě na sociálních sítích nebo i jen prostým ze slušnosti vpouštěním osob do vchodu nebo do výtahu tam, kde přístup má fungovat jen na čipy nebo karty. Na všechny tyto metody dbáme v rámci našich školení zaměřujících se na posílení bezpečnosti a odolnosti firem a organizací našich klientů i jejich jednotlivých zaměstnanců.
A co z toho všeho plyne?
VAŠE FIRMA ČI ORGANIZACE JE JEN NATOLIK SILNÁ, NAKOLIK SILNÝ JE JEJÍ NEJSLABŠÍ ČLÁNEK.
Protože bychom rádi posílili i ty nejslabší z Vás, na jaro 2025 jsme pro Vás v rámci EDIH Cybersecurity Innovation Hub připravili balíček služeb určený všem českým firmám či veřejným organizacím, které mají zájem posílit svou bezpečnost a odolnost.
Jeho součástí jsou:
- Školení základů kyberbezpečnosti pro všechny nebo vybrané Vaše zaměstnance:
- Online nebo u Vás ve firmě či organizaci
- V rozsahu 4, 2×4 nebo 4x4hodin, v závislosti na tom, jak rozsáhlé si na spolupráci s námi vyčleníte kapacity
- Tematické mikrokurzy pro manažery:
- Obvykle online, ale můžeme našeho lektora vyslat i k Vám
- V rámci 2hodinového školení si členové Vašeho nejvyššího vedení osvojí základy kyberbezpečnosti, základy bezpečného řízení organizace, novou kyberbezpečnostní legislativu včetně tolik diskutované NIS 2 směrnice, která se již brzy v obsahu nového zákona o kybernetické bezpečnosti promítne i do českého práva
- Základy bezpečnosti pro Vaše interní nebo externí správce ICT:
- Čtyřdílný online kurz, v jehož rámci si Vaše IT oddělení nebo i externí správci ICT osvojí základní zásady bezpečné správy informačních a komunikačních technologií i sítí
- Specifická tematická školení pro pokročilejší uživatele nebo správce ICT:
- Aktuálně nabízíme kurz Kyberbezpečnostní aspekty AI – deepfakes, v rámci kterého se účastníci dozvědí jak funguje tvorba audií nebo videí (spolu)vytvořených umělou inteligencí, jak jde pokrok v této disciplíně kupředu a jak se jim bránit. Překvapením pro Vás bude, že uměle vytvořenou nahrávku, hlas nebo fotografii již dnes spolehlivě nepoznáte a že lze s úspěchem imitovat i v reálném čase.
- Kyberbezpečnostní skeny, hodnocení kyberbezpečnostní úrovně Vaší organizace a navazující konzultace:
- Využíváme k nim metodiky NÚKIB a unikátního know-how našich výzkumníků z Českého vysokého učení technického v Praze a praktiků z Network Security Monitoring Clusteru
- Pro pokročilejší týmy pak nabízíme kyberbezpečnostní cvičení na CyberRangeCZ:
- V jeho rámci si vyzkoušíte pozici útočníka i oběti a nacvičíte si, jak úspěšně zvládnout probíhající útok v reálném čase – a o co tíže bude na cvičišti, o to lehčeji pak bude na bojišti
- Pro firemní klienty pak můžeme nabídnout i konzultace k:
- novým obchodním modelům (i se zapracováním pravidel vyšší bezpečnosti, odolnosti a udržitelnosti)
- možnosti získat dotační nebo investiční financování pro Váš projekt nejen v oblasti kyberbezpečnosti.
A co je největším benefitem všech těchto služeb?
AŽ DO VYČERPÁNÍ KAPACIT NAŠEHO PROJEKTU JSOU PRO VŠECHNY ZPŮSOBILÉ KLIENTY – DÍKY DOTACI Z PROGRAMU DIGITÁLNÍ EVROPA A Z NÁRODNÍHO PLÁNU OBNOVY – ZCELA ZDARMA
Dvěma základními podmínkami pro možnost účasti v projektu je sídlo Vaší firmy nebo veřejné organizace v tuzemsku, uzavření smlouvy o spolupráci a neexistence střetu zájmů s některým z partnerů našeho konsorcia.
Od firemních klientů pak dále potřebujeme:
- splnění limitu velikosti Vaší firmy – do 499 zaměstnanců včetně propojených podniků
- volný objem na účtu veřejné podpory de minimis
A V NEPOSLEDNÍ ŘADĚ: NAŠE KONSORCIUM JE TECHNOLOGICKY A EKONOMICKY NEZÁVISLÉ,
Tvořené veřejnými vysokými školami a nevládními neziskovými organizacemi na podporu podnikání a inovací. Naším cílem není tvorba zisku, obchodování s námi nabízenými technologiemi nebo řešeními nebo naplňování politického zadání, nýbrž realizace projektu, jejichž náklady hradí z veřejných prostředků hradí Evropská komise a Ministerstvo průmyslu a obchodu, jimž odpovídáme za kvalitu a nezávislost svých služeb.
Zajímá Vás víc?
Aktuální výčet konsorcia našeho EDIH najdete na www.cybersecurityhub.cz > Služby.
Napište nám na office@czechinno.cz a rádi se budeme bezpečnostním potřebám Vaší firmy či organizace věnovat!