Základy kybernetické bezpečnosti pro úředníky ÚSC

Cílovou skupinou tohoto vzdělávacího programu jsou všichni úředníci územních samosprávných celků bez ohledu na odbor jejich působnosti.
Práce v rámci digitálního prostředí je součástí aktivit každého úředníka při výkonu správních činností. Porozumění základům kybernetické bezpečnosti by mělo být klíčovou dovedností úředníků vzhledem k povaze dat, se kterými pracují.

1. Úvod do kybernetické bezpečnosti

• Význam kybernetické bezpečnosti
• Přehled důležitosti kybernetické bezpečnosti pro osobní a pracovní život s příklady z reálného světa.
• Základní pojmy a terminologie
• Seznámení s klíčovými termíny, jako jsou malware, firewall, VPN, a jejich význam v kontextu ochrany dat.

2. Zákonné povinnosti

• Přehled relevantních právních předpisů
• Informace o povinnostech vyplývajících úředníkům a úřadům ÚSC ze Zákonu o kybernetické bezpečnosti (ZoKB), Obecného nařízení o ochraně osobních údajů (GDPR), Směrnice o bezpečnosti sítí a informačních systémů (NIS2) a dalších relevantních právních předpisů.
• Zodpovědnosti úředníků ÚSC v oblasti ochrany dat a zabezpečení
• Jak splnit zákonné povinnosti a co to znamená pro každodenní práci.

3. Hrozby a rizika

• Typy kybernetických hrozeb
• Popis jednotlivých typů hrozeb, včetně malware, phishing, ransomware, a jejich dopad na uživatele.
• Aktuální trendy a statistiky kybernetických útoků
• Analýza současných útoků a přehled trendů v kybernetické kriminalitě.

4. Zabezpečení osobních a pracovních zařízení

• Základy zabezpečení operačních systémů
• Jak zabezpečit operační systémy proti vnějším útokům, pravidelné aktualizace, antivirové programy.
• Zabezpečení mobilních zařízení a tabletů:
• Nejlepší praktiky pro ochranu mobilních zařízení, včetně šifrování, zabezpečených aplikací a správy zařízení.

5. Správa a ochrana hesel v kybernetické bezpečnosti

• Vytváření a bezpečná správa silných hesel
• Metody pro generování zapamatovatelných a bezpečných hesel.
• Využití správců hesel pro bezpečné ukládání a správu.
• Principy dvoufázového ověření pro zvýšení bezpečnosti účtů
• Strategie pro pravidelnou aktualizaci hesel a zabezpečení účtů různými metodami
• Workshop a interaktivní části kurzu poskytnou praktické zkušenosti s těmito nástroji a technikami.

6. Zabezpečení sítí

• Základy síťového zabezpečení
• Základní koncepty a nastavení bezpečné sítě
• Bezpečné používání Wi-Fi a veřejných sítí
• Jak bezpečně využívat veřejné Wi-Fi sítě, rizika a opatření k minimalizaci hrozeb.

7. Bezpečnost dat

• Základy šifrování a zabezpečení dat
• Příklad metod šifrování dat a jejich aplikace pro ochranu citlivých informací.
• Bezpečné ukládání a sdílení citlivých informací
• Postupy pro bezpečné ukládání dat a sdílení informací mezi týmy a v rámci organizací.
• Ochrana před phishingem a sociálním inženýrstvím
• Rozpoznání a reakce na phishingové útoky – jak identifikovat phishingové pokusy a co dělat, pokud jste cílem útoku.
• Opatření proti sociálnímu inženýrství
• Strategie a nástroje pro ochranu před útoky, které zneužívají lidské chování.
• Reakce na incidenty
• Plány reakce na incidenty a jejich vytvoření – jak vytvořit efektivní plán reakcí na incidenty a klíčové kroky při zvládání bezpečnostních incidentů.
• Postupy při ztrátě dat nebo v případě bezpečnostního incidentu – jak se zachovat v případě úniku dat nebo bezpečnostního porušení, komunikační strategie a další kroky.

8. Vývoj a implementace bezpečnostních politik

• Bezpečnostní pravidla v rámci ÚSC
• Tvorba interních bezpečnostních pravidel – jak vytvořit a implementovat efektivní bezpečnostní politiky v rámci organizace.
• Principy vzdělávání v rámci kybernetické bezpečnosti
• Školení a vzdělávání zaměstnanců v oblasti kybernetické bezpečnosti – strategie pro vzdělávání a trénink zaměstnanců, rozvoj bezpečnostní kultury ve firmě.

9. Závěrečný blok

• Audit na zkoušku
• Praktický audit zabezpečení, aby účastníci mohli aplikovat naučené dovednosti v kontrolovaném prostředí.
• Diskuse a zhodnocení naplnění očekávání účastníků

Microsoft Certified Trainer, Microsoft Certified System Engineer

Aktivně působí v oblasti IT od roku 1995. V letech 2002-2006 společnosti Microsoft Česká republika zastával pozici architekt kybernetické bezpečnosti, systémový inženýr pro kybernetickou bezpečnost a architekt IT technologií pro velké společnosti v ČR a SR. Během svého působení ve společnosti Microsoft absolvoval prestižní Microsoft TSP Academy, Redmond, USA, jejíž profesní vzdělávací program je zaměřený na rozvoj technických a obchodních dovedností profesionálů v oblasti IT. Od roku 2006 je v soukromém sektoru. Do roku 2020 ve společnosti Mainstream Technologies, nyní ve společnosti Target Five. Věnuje se primárně architektuře IT technologií pro velké společnosti s důrazem na kybernetickou bezpečnost. Své znalosti neustále rozšiřuje, o čemž vypovídají i profesní certifikace, mezi které patří Microsoft Certified Trainer, Microsoft Certified System Engineer, CISSP training and certification, HP Network Systems Proffesional, Certified Novell Administrator či Fortinet NSE 3. Je držitelem osvědčení NBÚ Důvěrné.

Od samého počátku byla součástí jeho práce i přednášková činnost. Přednášel mimo jiné na akcích Microsoft Technet, konferenci Internet ve státní správě a samosprávě, Security Summit. Je držitelem certifikátu Microsoft Certified Trainer, prokazujícího vysoké odborné zkušenosti a lektorské schopnosti.

Microsoft Certified Trainer, Microsoft Certified System Engineer
Své profesní působení v oblasti IT započal v roce 2000 na pozici odborného lektora specializovaných kurzů pro správce a architekty IT se zaměřením na kybernetickou bezpečnost a infrastrukturu. V následného působišti ve společnosti Mainstream Technologies působil jako architekt IT technologií pro velké společnosti, systémový inženýr a lektor. Následně ve společnosti Target Five rozšířil svoji roli o architekta kybernetické bezpečnosti. Je držitele řady respektovaných profesních certifikací, jako Microsoft Certified Trainer, prokazující vysoké odborné zkušenosti a lektorské schopnosti, Microsoft Certified Technology Specialist, Microsoft Certified Systems Engineer: Security nebo Microsoft Certified Professional.

Ing. Michal Marek, Director Customer Success, Microsoft Česká republika
Ing. Jan Mikulecký, Ph.D., CISM, CGEIT, CRISC, CDPSE, ředitel odboru kybernetické bezpečnosti, Ministerstvo práce a sociálních věcí ČR

• Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů
• Zákon č. 226/2022 Sb., kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů
• Nařízení (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů – Obecné nařízení o ochraně osobních údajů (GDPR)
• Zákon č. 110/2019 Sb., o zpracování osobních údajů
• Směrnice Evropského parlamentu a Rady (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii
• Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů
• Zákon č. 121/2000 Sb., autorský zákon
• Vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)

Doporučená odborná literatura v českém jazyce:

• Šulc, V. Kybernetická bezpečnost. Plzeň: Aleš Čeněk, 2022. ISBN 978-80-7380-737-5.
• Sedlák, P. a Konečný, M. Kybernetická (ne)bezpečnost: Problematika bezpečnosti v kyberprostoru. Brno: CERM, 2022. ISBN 978-80-7623-068-2.
• Kolouch, J. CyberCrime. Praha: CZ.NIC, 2023. ISBN 978-80-904248-8-7.
• Řehka, K. Informační válka. Praha: CZ.NIC, 2023. ISBN 978-80-904248-9-4.

Další doporučené zdroje:

• Podpůrné materiály [online]. Praha: Národní úřad pro kybernetickou a informační bezpečnost, 2024. Dostupné z: https://nukib.gov.cz/cs/kyberneticka-bezpecnost/