CETIN pomůže firmám s jejich kyberbezpečností i přípravou na NIS2 - cetin.cz
CETIN pomůže firmám s jejich kyberbezpečností i přípravou na NIS2
Jaké změny nastanou v souvislosti s kyberbezpečností třeba pro elektrárny, průmyslové podniky nebo nemocnice? Jak nejen těmto organizacím může CETIN pomoct? A jak se náš Head of Group Cyber Security Services Luboš Řádek stal expertem na kybernetickou bezpečnost? To a mnohem více se dočtete v článku, který vznikl na základě CETIN podcastu. Ten si můžete poslechnout i v přehrávači na konci článku.
Luboš se v oblasti bezpečnosti pohybuje vlastně už od vysoké školy. Svou profesní kariéru začal na Univerzitě obrany v Brně, kde vystudoval obor Komunikační a informační systémy. Po dokončení studia nastoupil na základnu komunikačních a informačních systémů do Prahy, kde v IT pokračoval. „Vyzkoušel jsem si toho v armádě opravdu hodně. Třeba jsme krimpovali kabely nebo vyplétali racky pro různé mise v zahraničí,“ zavzpomínal bývalý voják z povolání.
Po nějaké době práce v armádě se mu naskytla příležitost přejít do ČEZu. Tam dostal společně s kolegy na starost přípravu bezpečného fyzického i virtuálního prostředí pro výběrové řízení na dostavbu nových bloků pro jadernou elektrárnu v Temelíně. „Stavěli jsme třeba vysoce zabezpečené místnosti, kam jste mohli jít jen přes rentgenové rámy bez mobilu a bez hodinek. Také jsme měli softwary, které hlídaly dokumenty týkající se potenciálních výběrových řízení a dodavatelů jaderných bloků.“
Na tomto úkolu pracoval zhruba čtyři roky. K nové výstavbě nakonec nedošlo, a Luboš tak přešel na jinou pozici. „Prošel jsem školením na tzv. etického hackera a dostal na starost otestovat kybernetickou bezpečnost ČEZu.“ S týmem připravovali metodiku a následně objížděli solární, vodní, větrné i jaderné elektrárny a testovali bezpečnost jejich provozních technologií.
I Lubošova další práce byla u firmy, která zajišťuje kritickou infrastrukturu. Nastoupil do společnosti Letiště Praha, která provozuje pražské letiště. „Dostal jsem tam příležitost vytvořit centrum kybernetického zabezpečení. Nezávislý audit následně potvrdil, že za tři roky se nám povedlo vytvořit zabezpečení srovnatelné s finančním sektorem. To bylo velké vyznamenání,“ zavzpomínal.
Následně si ještě vyzkoušel práci u železnice a na konci loňského roku nastoupil do CETINu. „Možná to zní jako klišé, ale tato práce je pro mě zatím největší výzvou, protože se dotýká v podstatě 90 procent obyvatel či společností, které běží na kritické infrastruktuře CETINu. Zatím se nám daří stavět skvělý tým a myslím, že výsledky budou pecka.“
CETIN chce know-how o kyberbezpečnosti předávat dál
Luboš pracuje v CETINu na nově vzniklé pozici Head of Group Cyber Security Services. „Můj úkol je zabezpečit nejen interně CETIN, ale hlavně nabízet služby externím firmám a organizacím. Naše znalosti a zkušenosti se zabezpečením infrastruktury CETINu tak předáváme dál.“
Podle Luboše se však téma těžko vysvětluje „Půjde nejen o byznys, ale také o edukaci. Je potřeba klientům vysvětlit, co bude k zajištění kyberbezpečnosti potřeba a proč je to vůbec důležité. Je nutné naučit vedení firmy i její zaměstnance, jak vybudovat správnou kulturu.“
Navíc se blíží čas, kdy podle evropské směrnice NIS2 bude pro více organizací povinné, aby si zajistily odpovídající požadavky pro kybernetickou bezpečnost. Půjde třeba o firmy a organizace v oblasti energetiky, průmyslu nebo zdravotnictví. Řada subjektů však nemá se zajištěním kybernetické bezpečnosti žádné zkušenosti. „V první řadě by se každá organizace měla podívat, jestli se jich NIS2 bude týkat.“ K tomu můžete využít i náš web: www.cetin.cz/nis2/overit-nis2
„Pokud organizace zjistí, že se jí NIS2 týká, je nutné se nahlásit na Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Během prvního roku pak musí splnit vše, co směrnice nařizuje. Jde o to, aby na konci přechodného období byla organizace tzv. kyberneticky bezpečná.“
Aby toho docílila, musí nejprve začít s administrativní agendou. „Má za úkol zjistit, co je pro ni kritické a co musí chránit. Následně je nutné identifikovat rizika a mít je pokrytá. Přinese to tlak i na jednotlivce v dané organizaci. Musí si vybudovat různé bezpečnostní návyky a pravidelně se vzdělávat. Například budou muset hlásit různé kybernetické incidenty, adekvátně zálohovat data nebo obnovovat antiviry,“ popsal změny odborník.
CETIN nabídne i celkovou kontrolu kyberbezpečnosti nebo řešení incidentů
Díky novému centru – Intelligent Security Operations Center – začneme pod značkou CETIN X nabízet služby kybernetické bezpečnosti také různým firmám a organizacím. Doposud šlo jen o interní služby. „Podařilo se nám na českém trhu získat opravdu zajímavé odborníky, kteří mají centrum na starost a provozují ho. Navíc máme připravené technologie, které jsou nejlepší na trhu. Díky tomu dokážeme odborně a rychle dodávat kvalitní dohled nad kybernetickou bezpečností.“
Přechod z pouze interní práce na systémy externích organizací přináší řadu změn. Nejde však jen o to, naučit se pracovat v neznámém prostředí. „Narážíme na to, že si náš xSOC chtějí některé firmy najmout jen kvůli tomu, že na kyberbezpečnost získaly dotaci. Často ale potřebují vystavět základy, než jim můžeme odpovědně nabídnout celkový dohled. To už je jen třešnička na dortu.“ Proto jim rádi poradíme s čím začít a domluvíme se, že jim tyto služby dodáme v momentě, kdy pro ně bude užitečný.
Kromě toho v CETINu chystáme také službu, která pomůže s řešením konkrétních kybernetických incidentů, tzv. Cyber Security Incident Response Team (CSIRT). „Je to tým odborníků, který je na značkách, připravený ihned řešit případný útok. Je to taková forma pojištění. Zároveň je tým schopný také sbírat důkazy, které jsou následně použitelné v při soudním sporu.“
Služba CSIRT je nezávislá. „Je hlavně pro organizace, které sice mají vlastní xSOC, ale vědí, že jde o incident opravdu velkého rozsahu, na který nemají robustní interní tým, který by to vyřešil.“
I kvůli rozrůstající se nabídce služeb, které CETIN plánuje nabízet, shání Luboš do svého týmu nové kolegy. „Neustále sháníme analytiky. Můžou to být lidé, kteří mají zkušenosti, ale i úplní začátečníci. Stačí mít znalosti IT, zbytek je zvládneme velmi rychle naučit.“
Kromě analytiků hledáme také enterprise architekty nebo kolegy do interního IT. Nabídku všech aktuálních volných pozicích najdete na www.cetin.cz/kariera