w w w . v i a v i s . c z
1 / 36
Jak na bezpečnost dat
Vladimír Lazecký
vladimir.lazecky@viavis.cz
www.viavis.cz
2 / 36
Obsah přednášky
Aktuálně z kyber světa
Opakování – bezpečnost dat
Stanovení nároků na bezpečnost
Praktické příklady
www.viavis.cz
3
Stav Wall of Shames 30.10.2025
www.viavis.cz
4
Monitoring Darknet
www.viavis.cz
5
Kyber útoky v ČR aktuálně
https://hunters55rdxciehoqzwv7vgyv6nt37tbwax2reroyzxhou7my5ejyid.onion/companies/3433731161
www.viavis.cz
6
Kyber útoky aktuálně – nový trend
Útoky bez šifrování dat
Pouze zcizení
Následné vydírání
www.viavis.cz
7
Kyber útoky v ČR aktuálně
www.viavis.cz
8
Kyber útoky v ČR aktuálně
https://www.morphisec.com/blog/cicada3301-ransomware-
threat-analysis/
Jak detekovat skupinu
Analýza vektorů útoku
Využití zranitelností
Způsoby postupu
Někteří útočníci se „schovávají“
Ztížení řešení útoků
www.viavis.cz
9
Jak vyjednávat - HUNTERS – vyjednávací chat
Inspirujte se
Ransomware.live
Novum
Vydírání po telefonu
Bezchybná čeština
Spoofing tel. čísla
www.viavis.cz
10
Aukce dat obětí
http://arcuufpr5xxbbkin4mlidt7itmr6znlppk63jbtkeguuhszmc5
g7qdyd.onion/?cat=5
www.viavis.cz
11
Trendy – útoky jsou dostupnější
http://fraudgptqdzh5wnn4qspamvfuktt2bdbok5axsijwlu27cnvp
xgy2kyd.onion/
www.viavis.cz
12
Jak byste reagovali?
Organizace byla napadena:
Útok se podařilo včas detekovat
Nedošlo k nasazení ransomware
Zastaralé systémy (RSW neběžel)
Útočníci aktualizovali – ztratili čas
Došlo k extrakci dat
Forenzní analýza nebyla schopna detekovat, jaká data unikla
Byla provedena investigativní analýza – negativní výsledek
www.viavis.cz
13
Jak byste reagovali?
Jaké kroky byste dále podnikli?
Jaká případná rizika detekujete?
www.viavis.cz
14
Kam tím mířím…
Mezi extrahovanými daty mohla být data partnerů
Kryjí tuto situaci standardní NDA?
Jak byste tento problém řešili?
Vzor NDA
www.viavis.cz
15
Doplnění NDA
Povinnosti příjemce informací:
Neprodleně informovat o incidentech, které mohou souviset s daty poskytovatele
Poskytnout součinnost v řešení incidentu
Odpovědnosti za škodu a pokuty:
Limitace škody a pokut v případě informování, součinnosti a řešení
Plná odpovědnost u zatajení incidentu a ohrožení poskytovatele informací
www.viavis.cz
16
Bezpečnost informací/dat - prakticky
Co si pod pojmem “bezpečnost dat“ představujete?
Jste majitelé firmy, odpovědní manažeři, jak bezpečnost dat vyřešíte?
www.viavis.cz
17
Bezpečnost informací/dat - prakticky
Bezpečnost dat/informací:
Dosažení stanovené míry:
Důvěrnosti
Dostupnosti
Integrity
Hodnověrnosti – autenticity (rozdíl proti integritě?)
www.viavis.cz
18
Pojďme si hrát - prakticky
Jste bezpečnostní manažeři organizace (zvolte si jaké)
Úkol od top managementu: „Vyřešte mi ochranu dat“
Jak budete postupovat?
Co vše budete řešit?
www.viavis.cz
19
1. Krok – hranice, scope, dekompozice
Jinými slovy – nastavení hranic:
Co se zahrnuje do řešení bezpečnosti a co už ne
Definice perimetru
Velmi důležitý krok
Příklady:
Celá firma/konkrétní lokalita/konkrétní provoz
Celý informační systém/jeho část
Konkrétní procesy
www.viavis.cz
20
1. Krok – hranice, scope, dekompozice
Dekompozice organizace na business aktiva/obchodní funkce/primární aktiva
Problém s pochopením pojmu „business aktivum/primární aktivum/obchodní funkce“
(dosaďte si cokoli) u manažerů
Co je business aktivum?
Produkt?
Vedení běžných účtů pro banku?
Krypto burza?
Vyrobený automobil?
Oblast činnosti?
Obchod?
Finanční řízení?
Personalistika?
www.viavis.cz
21
Business aktivum/obchodní funkce/primární aktivum
Klíčová otázka, co to je?
Neexistuje univerzální recept
Soubor procesů, činností, které tvoří samostatný celek (je třeba je chránit)
Činnosti poskytované navenek pro klienty
Generují zisk
Za jejich účelem je organizace zřízena
Činnosti poskytované uvnitř
Interní klienti
Jsou nezbytné pro fungování organizace
Pozor u překryvu a vzájemně ovlivňujících se procesů
Doporučuji analyzovat VELMI pečlivě v kontextu organizace
www.viavis.cz
22
Rizika špatné dekompozice
Rizika špatného pochopení/dekompozice
Příliš široké business procesy:
Velký rozsah informačních aktiv – problém ochrany
BCP se nedá navrhnout – nelze stanovit rozumné parametry
Nepřiměřeně vysoké náklady
Komplikovanost, neotestovatelnost
Špatně pochopené procesy:
Nesmyslné parametry
Riziko => business proces = produkt
Konzultační náraz u BIA a AR => špatní vlastníci, nerelevantní odpovědi
www.viavis.cz
23
Máme dekomponováno, jak dál?
BIA – Business Impact Analysis => jaký dopad bude mít, když se stane…
Nepodcenit:
Stanovení stupnice hodnot škody
Odpovídající představa o dopadu
Level Impact Value in thescale
1
Reducing theefficiency of work in
multiple departments, a possibleincrease
in incoordination and downtime
Up to 10.000 USD
2
Disrupting work in the organization,
significantly reducing theeffectiveness of
the activities of individual departments.
10.000 - 5.000.000 USD
3
Stopping some activities and providing
services. Outgrowing the framework of
the organization, the possibility of
mediating problems, reducing the credit
of the organization. The organization
does not actually carry out the usual
agenda, harming the interests of clients.
5.000.000 - 100.000.000 USD
4
Stopping most activity and service
provision. Very high impacts on the
organization's service delivery.
Outgrowing the framework of the
organization, media coverage of
problems, a significant reduction in the
organization's credit
More than 100.000.000 USD
www.viavis.cz
24
BIA – co dále nepodcenit
Parametry hodnocení
Dostupnost:
Relevantní škála
Způsob výpočtu stanovení dopadu
Důvěrnost:
Jaká ztráta důvěrnosti se hodnotí
Integrita:
Vysvětlení, co ztráta integrity znamená
Hodnověrnost:
Relevance hodnocení, zahrnutí do integrity
Ne vždy je vodítko dané metodikou KB vhodné
Unavailability longer than 1 minute
Unavailability longer than 5 minutes
Unavailability longer than 15minutes
Unavailability longer than 30minutes
Unavailability longer than 1 hour
Unavailability longer than 4 hours
Unavailability longer than 1 day
Unavailability longer than 2 days
Unavailability longer than 1 week
Unavailability longer than 2 weeks
Unavailability longer than 4 weeks
Data loss since last backup
Complete data loss
Loss ofconfidentiality
Loss of integrity
www.viavis.cz
25 / 36
Máme dekomponovány obchodní funkce (primární aktiva)
Detekce informačních aktiv:
Co je informační aktivum?
S jakými informacemi pracují (jaká informační aktiva konzumují)
Problémy:
Je vlastník obchodní funkce schopen detekovat relevantní informační aktiva?
Jde opravdu o informační aktiva?
Kdo je vlastník konkrétního informačního aktiva?
Co se sdílenými informačními aktivy? (Jedno aktivum sdílí více obchodních funkcí)
www.viavis.cz
26 / 36
Informační aktiva
Cílem je stanovení nároků na Důvěrnost x Dostupnost x Integritu x (Hodnověrnost)
Druhým podstatným cílem je stanovení hodnoty informačního aktiva
Proč hodnoty?
K čemu se hodnota využije?
www.viavis.cz
27 / 36
BIA informačních aktiv
Hodnocení dopadu incidentů na informační aktiva:
Dopady prolomení CIA Triad
Principiálně stejný postup jako u BIA obchodní funkcí (primárních aktiv)
www.viavis.cz
28 / 36
BIA informačních aktiv – stupnice hodnocení
Východisko – stupnice hodnocení obchodních funkcí
Opět – vypovídající představa o dopadu (hodnotě)
Nutno pečlivě volit
Level Impact Value in thescale
1
Reducing the efficiency of work in
multiple departments, a possible increase
in incoordination and downtime
Up to 10.000 USD
2
Disrupting work in the organization,
significantly reducing theeffectiveness of
the activities of individual departments.
10.000 - 5.000.000 USD
3
Stopping some activities and providing
services. Outgrowing the framework of
the organization, the possibility of
mediating problems, reducing the credit
of the organization. The organization
does not actually carry out the usual
agenda, harming the interests of clients.
5.000.000 - 100.000.000 USD
4
Stopping most activity and service
provision. Very high impacts on the
organization's service delivery.
Outgrowing the framework of the
organization, media coverage of
problems, a significant reduction in the
organization's credit
More than 100.000.000 USD
www.viavis.cz
29 / 36
BIA informačních aktiv – oblasti hodnocení
Oblasti hodnocení:
Oblasti dopadů incidentů, které aktivum ohrožují
Existují šablony – opět pečlivě volit
A: Bezpečnost a zdraví osob
B. Ochrana osobních údajů
C. Zákonné a smluvní povinnosti
D. Trestně právní odpovědnost
E. Veřejný pořádek
F. Mezinárodní vztahy
G. Řízení a provoz organizace
H. Ztráta důvěryhodnosti
I. Finanční ztráty
J. Zajištěni obchodní funkce
www.viavis.cz
30 / 36
BIA informačních aktiv – škály hodnocení
Škály hodnocení:
Stanovení takových škál, které mají smysl
Existují šablony – opět pečlivě volit
Dostupnost Důvěrnost Hodnověrnost Integrita
Nedostupnostdelšínez1minuta
Nedostupnostdelšínež5minut
Nedostupnostdelšínež15minut
Nedostupnostdelšínež30minut
Nedostupnostdelšínež1hodina
Nedostupnostdelšínež4hodiny
Nedostupnostdelšínež1den
Nedostupnostdelšínež2dny
Nedostupnostdelšínež1týden
Nedostupnostdelšínež2týdny
Nedostupnostdelšínež4týdny
Ztrátadatodposlednízálohy
Kompletníztrátadat
Interníztrátadůvěrnosti
Úplnáztrátadůvernosti
Narušeníhodnověrnosti
Ztrátaintegritytegrity
www.viavis.cz
31 / 36
BIA informačních aktiv – stanovení výsledné hodnoty
Např. – více hodnocených parametrů dostupnosti => jaká je výsledná hodnota?
Výpočet dostupnosti -
maxima
4 3 2 1
Nedostupnost delšínež
1 minuta
3 2 1 1
Nedostupnost delšínež
5 minut
3 2 1 1
Nedostupnost delšínež
15 minut
3 2 1 1
Nedostupnost delšínež
30 minut
3 2 1 1
Nedostupnost delšínež
1 hodina
4 3 1 1
Nedostupnost delšínež
4 hodiny
4 3 1 1
Nedostupnost delšínež
1 den
4 3 2 1
Nedostupnost delšínež
2 dny
4 3 2 1
Nedostupnost delšínež
1 týden
4 3 2 1
Nedostupnost delšínež
2 týdny
4 3 3 1
Nedostupnost delšínež
4 týdny
4 4 3 1
Ztráta dat od
posledního backupu
4 4 2 1
Kompletní ztráta dat
4 4 3 2
www.viavis.cz
32 / 36
Co následuje
Stanovení vazby – informační aktivum x IKT aktivum (podpůrné aktivum)
Přenos hodnoty informačního aktiva na IKT aktivum:
Vždy maximální hodnota informačních aktiv, které nese
Provedení analýzy rizik IKT aktiv:
Hrozby
Zranitelnosti
Frekvence
Dopad
Míra rizika => návrh opatření na jeho snížení
www.viavis.cz
33 / 36
Pojďme si to zkusit
Navrhněte typ organizace – alespoň základní pochopení fungování
Popišme “obchodní model“
Stanovte požadavky na bezpečnost dat
www.viavis.cz
34
Prostor pro vaše dotazy…
Děkujeme za pozornost
▪ Vladimír Lazecký