Slovník kybernetické bezpečnosti

Směrnice Evropské unie 2022/2555 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii. Nahrazuje původní směrnici NIS z roku 2016 a rozšiřuje regulovaná odvětví. V České republice je transponována zákonem o kybernetické bezpečnosti (ZoKB).

Článek o NIS2 →Zdroj: Směrnice (EU) 2022/2555 (EUR-Lex) ↗

Evropské nařízení o digitální provozní odolnosti finančního sektoru, účinné od 17. ledna 2025. Stanovuje povinnosti pro banky, pojišťovny, investiční firmy a další regulované subjekty v oblasti řízení ICT rizik, hlášení incidentů, testování odolnosti a dohledu nad třetími stranami. Doplňuje NIS2 v oblastech, kde finanční regulace přebírá precedenci.

Zdroj: Nařízení (EU) 2022/2554 (EUR-Lex) ↗

Český zákon, který transponuje směrnici NIS2 do tuzemského právního řádu. Stanovuje povinnosti pro regulované organizace v oblasti řízení rizik, hlášení incidentů NÚKIBu, dodavatelských řetězců a dalších bezpečnostních opatření.

Cyber security governance →Zdroj: Průvodce novým ZoKB (NÚKIB) ↗

Souhrnné označení pro disciplínu zahrnující ochranu informací (jejich důvěrnost, integritu, dostupnost) a ochranu systémů, sítí a dat před kybernetickými hrozbami. V kontextu ZoKB je IKB klíčovým pojmem.

Informační a komunikační technologie. Souhrnné označení pro hardware, software, sítě a služby, které firma využívá pro zpracování a přenos informací.

Český ústřední správní úřad pro kybernetickou bezpečnost, kryptografickou ochranu utajovaných informací a další oblasti. Provádí dohled nad regulovanými organizacemi dle ZoKB a přijímá hlášení o bezpečnostních incidentech.

Zdroj: Oficiální stránka NÚKIB ↗

Agentura Evropské unie pro kybernetickou bezpečnost. Vydává metodiky, standardy a doporučení pro implementaci NIS2, koordinuje národní CSIRT týmy a provozuje EU certifikační rámec. Pro regulované organizace je primárním zdrojem evropského best-practice guidance vedle NÚKIBu.

Zdroj: Oficiální stránka ENISA ↗

Strukturované posouzení aktuálního stavu kybernetické bezpečnosti firmy vůči požadavkům regulace NIS2 a navazujícího zákona o kybernetické bezpečnosti (ZoKB). Výstupem je manažerský report s identifikovanými mezerami a roadmapa nápravných opatření.

Naše gap analýza →

Systém řízení bezpečnosti informací. Sada politik, procesů a kontrol, které organizace zavádí pro řízení informační bezpečnosti. Pro formální certifikaci se nejčastěji používá norma ISO/IEC 27001.

Mezinárodní norma definující požadavky na zavedení, provoz a zlepšování ISMS. Certifikace ISO 27001 je často požadovaná v dodavatelských smlouvách a B2B vztazích.

Zdroj: ISO/IEC 27001 (ISO.org) ↗

BCP je plán kontinuity podnikání, který popisuje, jak organizace pokračuje v klíčových činnostech během krizové události. DRP je plán obnovy po havárii, tedy technický postup obnovy ICT služeb. Dle ZoKB jsou oba plány povinné pro regulované organizace.

Zdroj: ISO 22301 (BCM, ISO.org) ↗

Komplexní rámec pro řízení kontinuity podnikání zahrnující politiky, plány (BCP, DRP), cvičení a kontroly. BCM je širší pojem než samostatný BCP, obsahuje celý lifecycle od analýzy dopadu (BIA) přes návrh, implementaci a testování až po pravidelné zlepšování.

Zdroj: ISO 22301 (ISO.org) ↗

Autentizační metoda vyžadující dva nebo více ověřovacích faktorů (znalost: heslo; vlastnictví: telefon/token; biometrie). MFA je dnes základním kontrolním opatřením proti zneužití kompromitovaných hesel.

Cloudová platforma Microsoftu pro správu identit, přístupů a zabezpečení (dříve Azure Active Directory). Zahrnuje moduly Entra ID (identity), Conditional Access (politiky přístupu), Privileged Identity Management (PIM), Identity Protection (rizikové signály) a další. Pro firmy v Microsoft 365 ekosystému je Entra centrální bod identity governance.

Microsoft Entra healthcheck →Zdroj: Microsoft Entra (docs) ↗

Mechanismus v Microsoft Entra (dříve Azure AD), který povoluje nebo blokuje přístup k zdrojům na základě signálů: geolokace, riziko účtu, stav zařízení, čas, použitá aplikace. Klíčový nástroj pro implementaci zero-trust politik.

Microsoft Entra healthcheck →Zdroj: Microsoft Entra Conditional Access (docs) ↗

Mechanismus v Microsoft Entra (a obdobně v jiných identity platformách) pro řízení privilegovaných rolí. Místo trvalého přiřazení role admin uživatel roli aktivuje just-in-time s schválením a auditní stopou. Zásadní kontrolní opatření proti zneužití kompromitovaných admin účtů a požadavek auditorů ZoKB / ISO 27001.

Microsoft Entra healthcheck →Zdroj: Microsoft Entra PIM (docs) ↗

Trojice e-mailových autentizačních protokolů. SPF určuje, které servery mohou rozesílat e-maily za vaši doménu. DKIM podepisuje odchozí e-maily kryptografickým podpisem. DMARC kombinuje SPF + DKIM a nastavuje politiku, jak naložit se zprávami, které autentizací neprošly.

Zdroj: DMARC.org ↗

Veřejně udržovaný katalog známých zranitelností v software a hardware. Každá CVE má unikátní identifikátor (např. CVE-2024-12345) a popis. Skenery zranitelností porovnávají vaše prostředí proti CVE databázi.

Skenování zranitelností →Zdroj: CVE.org (oficiální katalog) ↗

Standardizovaný systém hodnocení závažnosti zranitelností od 0,0 do 10,0. Skóre zohledňuje technické charakteristiky (vektor útoku, dopad) a slouží k prioritizaci nápravných opatření.

Zdroj: CVSS (FIRST.org) ↗

Pravidelně aktualizovaný seznam deseti nejčastějších bezpečnostních rizik webových aplikací (SQL Injection, XSS, broken access control aj.). Slouží jako základní metodika pro penetrační testy webových aplikací.

Penetrační testy →Zdroj: OWASP Top 10 (owasp.org) ↗

Standard OWASP pro testování bezpečnosti mobilních aplikací (iOS, Android). Definuje úrovně ochrany a kontrolní seznamy pro penetrační testy mobilních aplikací.

Zdroj: MASVS (OWASP) ↗

Cílený bezpečnostní test, který simuluje reálný útok zvenku nebo zevnitř organizace. Cílem je odhalit a verifikovat zneužitelné zranitelnosti, na rozdíl od skenu zranitelností, který pouze identifikuje známé CVE bez ověření exploitovatelnosti.

Penetrační testy →Zdroj: OWASP Web Security Testing Guide ↗

Centralizované pracoviště, které monitoruje, detekuje a reaguje na bezpečnostní incidenty napříč ICT prostředím organizace. Kombinuje technologie (SIEM, EDR/XDR), procesy (playbooky, runbooky) a týmy analytiků (L1 triage, L2 investigace, L3 hunting). Některé organizace SOC provozují interně, jiné využívají externí MSSP (managed security service provider).

Platforma pro sběr, korelaci a analýzu bezpečnostních logů z různých zdrojů (firewally, endpointy, identity, aplikace). SIEM detekuje podezřelé patterny v reálném čase a generuje alerty pro SOC tým. Moderní SIEM řešení (Microsoft Sentinel, Splunk, Elastic) integrují SOAR pro automatizaci response.

EDR je třída bezpečnostních nástrojů, které kontinuálně sledují aktivitu na endpointech (laptopy, servery), detekují podezřelé chování a umožňují vzdálenou response. XDR rozšiřuje pokrytí na další domény (identita, e-mail, cloud, síť), kde korelace napříč nimi odhalí útoky, které jednotlivé nástroje samostatně zachytit nemohou.

Sociálně-inženýrský útok, při kterém útočník vystupuje pod falešnou identitou (typicky e-mailem) a snaží se získat přístupové údaje, finanční prostředky nebo přístup do systémů. Spear phishing cílí na konkrétní osobu, CEO fraud na vedení firmy, quishing využívá QR kódy.

Phishingová kampaň →

Cílený útok, při kterém útočník vystupuje jako legitimní obchodní partner, vedoucí pracovník nebo zaměstnanec a snaží se přimět cílovou osobu k převodu peněz, změně bankovního spojení nebo poskytnutí citlivých informací. BEC bývá dobře cílený a spear-phishingový, často probíhá bez malware složky a obchází klasickou e-mailovou bezpečnost. Patří mezi nejnákladnější třídy útoků na firmy.

Phishingová kampaň →

Třída malware, která šifruje data oběti a požaduje výkupné za jejich obnovu. Moderní ransomware operace často kombinují šifrování s exfiltrací dat (double extortion) a hrozbou jejich zveřejnění. Klíčová obrana: immutable backupy, segmentace sítě, MFA na všech vstupních bodech, EDR/XDR pro detekci pre-encryption fáze a tabletop cvičení pro připravenost krizového managementu.

Případová studie ransomware →

Útok, při kterém se útočník dostane do prostředí cílové organizace přes kompromitovaného dodavatele (software, služba, hardware). Místo přímého útoku na dobře chráněný cíl kompromituje slabší článek v řetězci. NIS2 / ZoKB explicitně vyžaduje řízení rizik dodavatelů (TPRM) a smluvní bezpečnostní požadavky.

Dodavatelský řetězec a NIS2 →

Role definovaná nařízením GDPR. Pověřenec dohlíží nad zpracováním osobních údajů v organizaci, komunikuje s ÚOOÚ a slouží jako kontaktní osoba pro subjekty údajů. Některé organizace musí DPO jmenovat povinně, jiné dobrovolně.

Pronájem bezpečnostních rolí →Zdroj: GDPR čl. 37–39 (EUR-Lex) ↗

Vedoucí pracovník odpovídající za strategii, řízení a každodenní provoz kybernetické bezpečnosti v organizaci. Reportuje obvykle CEO nebo CIO, řídí budgety, vendor relationships, audity a regulatorní compliance.

Pronájem manažerských a auditních rolí →

Systematické vyšetřování bezpečnostního incidentu: sběr a analýza důkazů, identifikace vstupního vektoru, časová osa útoku, rozsah kompromitace. Provádí se obvykle v reakci na incident s cílem porozumět tomu, co se stalo, a zajistit důkazy pro případné právní kroky.

Zdroj: NIST SP 800-86 (Guide to Forensics) ↗

Strukturovaný proces detekce, analýzy, omezení, eradikace a obnovy po bezpečnostním incidentu. Standardní rámec NIST SP 800-61 definuje fáze: příprava → detekce → analýza → containment → eradication → recovery → post-incident review. Dle ZoKB je hlášení významných incidentů NÚKIBu povinné v daných lhůtách.

Zdroj: NIST SP 800-61 (Computer Security Incident Handling) ↗

Charakteristický vzor chování útočníka popsaný v rámci MITRE ATT&CK frameworku: Tactic (cíl, např. lateral movement), Technique (jak ho dosáhnout, např. Pass-the-Hash) a Procedure (konkrétní implementace). Zachycený TTP řetězec konkrétního incidentu pomáhá rozpoznat opakované útoky téhož aktéra a zlepšit detekci.

Zdroj: MITRE ATT&CK ↗

Štábní simulace bezpečnostního incidentu, při které vedení firmy a klíčové role procházejí scénář (např. ransomware útok) bez reálného nasazení techniky. Cílem je otestovat rozhodovací procesy, eskalaci a koordinaci. Doporučovaný nástroj přípravy pro krizové situace.

Záloha uložená tak, že po zápisu nelze přepsat ani smazat (často s WORM, tedy write once read many, režimem nebo s kryptografickým ověřením integrity). Zásadní obrana proti ransomware útokům, které cílí i na zálohovací úložiště.

Standardizovaný dotazník pro hodnocení bezpečnosti cloudových služeb publikovaný Cloud Security Alliance (CSA). Obsahuje cca 250 otázek napříč 17 doménami (governance, IAM, data security, atd.). Pro klienta CAIQ poskytuje strukturovaný způsob, jak vyhodnotit security posture poskytovatele cloud služby; vyplněný dokument se předává v rámci due diligence.

Zdroj: Cloud Security Alliance ↗

Disciplína identifikace, hodnocení a kontroly rizik plynoucích z dodavatelů a obchodních partnerů. Zahrnuje vendor due diligence (často přes CAIQ), smluvní bezpečnostní požadavky, periodické posouzení a monitoring, exit/offboarding plány. Pro NIS2-regulované organizace je TPRM povinnou součástí řízení rizik.

Dodavatelský řetězec a NIS2 →

Český dozorový úřad pro oblast ochrany osobních údajů. Vykonává dohled nad dodržováním GDPR, přijímá stížnosti subjektů údajů a má pravomoc ukládat sankce.

Zdroj: Oficiální stránka ÚOOÚ ↗

Evropské nařízení o ochraně osobních údajů, účinné od 25. května 2018. Stanovuje povinnosti správců a zpracovatelů osobních údajů, práva subjektů údajů a sankce za porušení (až 20 mil. € nebo 4 % celosvětového obratu).

Zásady zpracování OÚ →Zdroj: Nařízení (EU) 2016/679 (EUR-Lex) ↗