Podcast na Úvod do kybernetické bezpečnosti

Kapitoly

Úvod do bezpečnosti

Tři pilíře bezpečnosti

Hrozby a zranitelnosti

Co je to riziko?

Událost vs. Incident

Zákony a Evropská unie

Normy a standardy

Kdo je kdo v kyberbezpečnosti

Závěrečné shrnutí

Přepis

Natálie: Víte, co je ta jedna věc z kybernetické bezpečnosti, která u maturity poplete osmdesát procent studentů? Je to ten zdánlivě malý rozdíl mezi informační a kybernetickou bezpečností. A my si ukážeme, jak v tom už nikdy neudělat chybu.

Jakub: Přesně tak, Natálie. Zní to skoro stejně, ale ten rozdíl je klíčový. Když ho pochopíte, všechno ostatní do sebe zapadne.

Natálie: Posloucháte Studyfi Podcast. Tak jdeme na to, Jakube. Jaký je tedy ten zásadní rozdíl?

Jakub: Představ si informační bezpečnost jako ochranu informace jako takové, a to v jakékoliv podobě. Je jedno, jestli je na papíře, v počítači, nebo jestli si ji jenom řeknete nahlas.

Natálie: Takže když zamknu šuplík s tajnými dokumenty, dělám informační bezpečnost?

Jakub: Přesně! A kybernetická bezpečnost se pak soustředí čistě na ten digitální svět. Chrání počítače, sítě, data v online prostoru... prostě kyberprostor.

Natálie: Dobře, to dává smysl. Informační je o informacích kdekoliv, kybernetická o digitálním prostředí. V souvislosti s tím se často mluví o triádě CIA. To neznamená tajnou službu, že ne?

Jakub: Naštěstí ne, i když trochu tajností v tom je. Jde o tři pilíře: důvěrnost, integritu a dostupnost. Anglicky Confidentiality, Integrity, Availability – proto CIA.

Natálie: A co přesně znamenají?

Jakub: Důvěrnost znamená, že se k informacím dostanou jen ti, co mají. Jako když pošleš zprávu jen kamarádovi a nikdo jiný si ji nepřečte.

Natálie: Rozumím. A integrita?

Jakub: To je jistota, že data nikdo po cestě nezměnil. Že zpráva „přijdu v 5“ nedorazí jako „přijdu v 9“. A dostupnost je jednoduchá – data a systémy musí fungovat, když je potřebuješ.

Natálie: Super, to je jasné. Pojďme na další pojmy. Často slyším slova jako hrozba, zranitelnost, riziko... Zní to dost nebezpečně.

Jakub: Použijeme jednoduchou analogii. Představ si, že tvůj dům je informační systém. A tvoje televize je „aktivum“ – něco cenného, co chceš chránit.

Natálie: Okay, mám dům a v něm televizi. Chápu.

Jakub: „Hrozba“ je zloděj, který se ti chce vloupat dovnitř. Je to potenciální nebezpečí.

Natálie: A „zranitelnost“?

Jakub: To je otevřené okno v přízemí. Je to slabé místo, kterého může ten zloděj využít.

Natálie: Aha! Takže zloděj je hrozba a otevřené okno je zranitelnost. To je skvělé přirovnání.

Jakub: A teď to spojíme dohromady. „Riziko“ je pravděpodobnost, že hrozba, tedy zloděj, využije zranitelnosti, tedy otevřeného okna, a způsobí škodu na aktivu – ukradne ti televizi.

Natálie: Takže riziko vlastně propojuje hrozbu a zranitelnost s možným dopadem.

Jakub: Přesně tak. Dokonce na to existuje zjednodušený vzoreček: Riziko = Hrozba × Zranitelnost × Dopad.

Natálie: Takže v digitálním světě je třeba slabé heslo typická zranitelnost.

Jakub: Ta největší! Mít heslo „heslo123“ je jako nechat klíče ve dveřích s cedulkou „Zazvoňte, jestli nejsem doma“.

Natálie: Dobře, tak to si jdu hned po nahrávání změnit heslo. Tímhle jsme probrali naprosté základy. Co nás čeká dál?

Jakub: Dál nás čeká malá detektivka. Naučíme se rozlišovat mezi pouhým podezřením a skutečným zločinem v digitálním světě. Tedy mezi kybernetickou bezpečnostní událostí a incidentem.

Natálie: Událost a incident? To zní skoro stejně. Jaký je v tom rozdíl?

Jakub: Obrovský! A je to klíčové pro pochopení celé kyberbezpečnosti. Představ si to takhle... Kybernetická bezpečnostní událost je jen zaznamenaný jev, který by mohl mít vliv na bezpečnost. Ale nemusí.

Natálie: Takže třeba... neúspěšný pokus o přihlášení k mému e-mailu z nějaké neznámé IP adresy?

Jakub: Přesně! To je perfektní příklad. Je to podezřelá aktivita, kterou musíš vyhodnotit. Je to jako kouřový alarm. Může to být připálený toast, nebo může hořet. Ta událost je ten alarm.

Natálie: Aha, takže to je jen varování. Co je potom ten incident?

Jakub: Incident je ten požár. Je to událost, která už skutečně narušila bezpečnost. Někdo se ti do toho e-mailu opravdu dostal, zašifroval ti data ransomwarem, nebo ukradl citlivé informace.

Natálie: Takže incident narušuje tu naši známou trojici – důvěrnost, integritu nebo dostupnost. Třeba DDoS útok, který shodí webové stránky, je narušení dostupnosti.

Jakub: Přesně tak. Úspěšný phishing, únik dat, neoprávněný přístup... to všechno jsou incidenty. Takže zjednodušeně: událost je podezření, incident je potvrzený problém. A to je rozdíl, který u státnic chtějí slyšet.

Natálie: Dobře, to dává smysl. Ale tohle všechno musí být nějak ošetřené v zákonech, ne? Které jsou ty nejdůležitější?

Jakub: Určitě. A tady pozor, nedávno proběhla velká změna. Ten absolutně nejdůležitější předpis, který musíš znát, je nový zákon o kybernetické bezpečnosti, číslo 264/2025 Sb.

Natálie: Počkat, 2025? Takže je úplně nový?

Jakub: Ano, je účinný od listopadu 2025 a nahrazuje starý zákon z roku 2014. Souvisí to s evropskou směrnicí NIS2, o které se taky zmíníme. Cílem je prostě zvýšit laťku bezpečnosti napříč celou Unií.

Natálie: Takže starý zákon už není důležitý?

Jakub: Pro historický kontext ano, ale u zkoušky se zaměř na ten nový. Pak tu máme samozřejmě GDPR – obecné nařízení o ochraně osobních údajů. To je obr, kterého zná asi každý.

Natálie: Toho se všichni bojí. Takže GDPR se řeší i v kyberbezpečnosti?

Jakub: A jak! Chrání osobní údaje, takže pokud dojde k úniku dat, je to velký problém nejen z pohledu kyberbezpečnosti, ale i z pohledu GDPR. Na to pak navazuje český zákon o zpracování osobních údajů.

Natálie: A co ta směrnice NIS2, kterou jsi zmiňoval?

Jakub: NIS2 je v podstatě evropský motor za tím novým českým zákonem. Rozšiřuje okruh firem a institucí, které musí bezpečnost řešit, a zpřísňuje pravidla. Je to snaha sjednotit a posílit obranu v celé EU.

Natálie: Rozumím. Zákony nám říkají, CO musíme dělat. Ale říkají nám i JAK to máme dělat?

Jakub: Skvělá otázka! Právě od toho tu máme normy. Nejsou to zákony, ale spíš takové kuchařky nebo manuály, jak na to. Nejdůležitější je řada norem ISO/IEC 27000.

Natálie: ISO... to znám z různých certifikátů na výrobcích.

Jakub: Přesně tak. Je to značka kvality. A v bezpečnosti jsou klíčové tři: ISO 27001, 27002 a 27005. Zkusím to zjednodušit.

Natálie: Prosím!

Jakub: Představ si, že si chceš postavit super bezpečný dům. Norma ISO 27001 je jako stavební povolení a projekt. Říká ti, že musíš mít zavedený celý systém řízení bezpečnosti, takzvaný ISMS. Je to rámec, podle kterého se můžeš nechat i certifikovat.

Natálie: Dobře, mám projekt. A co dál?

Jakub: Norma ISO 27002 je pak obrovský katalog bezpečnostních opatření. To je seznam všech možných zámků, kamer, plotů a alarmů, které můžeš použít. Je to spíš inspirace a doporučení.

Natálie: A ta poslední, 27005?

Jakub: Ta se zaměřuje na řízení rizik. Pomůže ti zjistit, jestli tvůj dům stojí v záplavové oblasti nebo jestli ti hrozí spíš zloději. Pomáhá ti identifikovat a ošetřit rizika. Takže 27001 říká CO, 27002 dává tipy JAK, a 27005 řeší PROČ a PROTI ČEMU.

Natálie: Super, to je skvělá pomůcka. A kdo na to všechno v Česku dohlíží? Kdo je ten hlavní hlídač?

Jakub: Tím hlavním orgánem je NÚKIB – Národní úřad pro kybernetickou a informační bezpečnost. To je ústřední mozek celé operace. Vydávají varování, metodiky, kontrolují a koordinují řešení incidentů.

Natálie: A když se opravdu něco stane? Kdo přijede hasit ten požár, o kterém jsme mluvili?

Jakub: Na to máme specializované týmy, kterým se říká CERT nebo CSIRT. Jsou to takoví kybernetičtí hasiči. V Česku jsou nejdůležitější dva: vládní GovCERT.CZ, který spadá pod NÚKIB, a národní CSIRT.CZ, který provozuje sdružení CZ.NIC.

Natálie: A na evropské úrovni?

Jakub: Tam máme agenturu ENISA. Ta pomáhá všem členským státům a snaží se sladit noty, abychom v Evropě táhli za jeden provaz. Pak samozřejmě Policie ČR řeší kyberkriminalitu a Ministerstvo vnitra má na starosti celkovou bezpečnostní politiku.

Natálie: Páni, to byla spousta informací, ale myslím, že teď to do sebe všechno zapadá. Zkusme to na závěr celé shrnout.

Jakub: Jasně. Takže, to nejdůležitější, co si odnést... Zaprvé, rozlišujte mezi informační bezpečností, která chrání informace jako takové, a kybernetickou bezpečností, která chrání kyberprostor. Základem je vždy důvěrnost, integrita a dostupnost.

Natálie: Zadruhé, pamatujte si rozdíl mezi událostí, což je jen podezření, a incidentem, což je skutečné narušení bezpečnosti.

Jakub: Přesně. Zatřetí, klíčovým právním předpisem je nový zákon o kybernetické bezpečnosti 264/2025 Sb., který navazuje na evropskou směrnici NIS2. A nezapomeňte na GDPR.

Natálie: Co se týče norem, pamatujte na trojici ISO 27001, 27002 a 27005. A hlavními hráči v Česku jsou NÚKIB a týmy CSIRT.

Jakub: To je perfektní shrnutí. Kdo tohle bude vědět, ten u zkoušky zazáří. Je to základní mapa, se kterou se v kyberbezpečnosti neztratíte.

Natálie: Jakube, moc ti děkuju, že jsi nám to takhle skvěle vysvětlil. Bylo to super užitečné.

Jakub: Já děkuju za pozvání, Nátálie. Vždycky rád pomůžu zkrotit digitální strašáky.

Natálie: Tak snad jsme je dneska trochu zkrotili. Všem našim posluchačům děkujeme za pozornost. Držíme vám palce u zkoušek a slyšíme se zase příště u dalšího dílu Studyfi Podcastu. A nezapomeňte, s námi to zvládnete! Mějte se hezky.

Jakub: Na shledanou.