Kontakt



Kontakty

+420 777 774 535

poradna@top-solution.cz

Sledujte LinkedIn

pro užitečný obsah

Technická opatření z nZKB dle NIS2: Aplikační bezpečnost

Penetrační test a sken zranitelností:

Podívejte se očima hackera na své IT

Každý člověk i systém má slabiny. Proto je penetrační test a skenování zranitelností důležité nejen kvůli nZKB. Řízeně vás při nich hackneme a najdeme slabiny dříve, než to udělá útočník, auditor nebo úřad a způsobí škody. Pentest uděláme na míru, vysvětlíme jeho závěry a poradíme, jak účinně a přiměřeně snížit rizika.

Jaké pentesty umíme?
N

Známe sítě, útoky, normy a legislativu

Jsme technici, ale i konzultanti. Poradíme, jak pentest zapojit do řízení rizik.

N

Pentest probíhá bez omezení provozu

Předem si totiž definujeme časy, kdy je možné nejvíce zatížit 

IT infrastrukturu.

N

Bezplatná konzultace výsledků pentestu

PDFko bez kontextu je k ničemu. Od nás víte, co zlepšit, ne jen co nefunguje.

N

Jistota kvality díky našim certifikacím

Nejsme kovářova kobyla! Máme ISO 9001, 27001 a TISAX® nejvyšší úrovně AL3.

ArcelorMittal Europe CZ s.r.o
Formplast Purkert, S.r.o
Delirest services s.r.o
Asseco Solutions a.s
I&C Energo a.s
IBM
Kiekert-CS, s.r.o
kyb
Magna Cartech spol. s r.o
Megabooks.cz
PROXIM s.r.o
PLAKOR CZECH s.r.o
logo_ixperta
Puncovni uřad
Sellier & Bellot
Raben Logistics Czech s.r.o
SCHURTER spol. s r.o
SCHURTER spol. s r.o
TEDOM a.s

Proč penetrační testování a sken zranitelností?

N

Legislativní povinnost

Ve vyšším režimu je povinný pentest každé 2 roky a sken zranitelností aktiv 1x ročně. V nižším jsou povinné jen skeny.

N

Prevence rizik

Odhalíte rizika dřív, než to udělají útočníci. Předejdete výpadkům provozu a únikům dat, které stojí peníze i důvěru.

N

Řízené zlepšování odolnosti

Díky testům můžete prioritizovat opatření a efektivně zlepšovat zabezpečení. Investujete tam, kde to nejvíc potřebujete.

Najdeme slabiny dřív, než to udělá útočník, auditor nebo úřad

01

Externí penetrační test

Kudy se k vám dostane útočník bez přístupu?

P

Compliance jistota – splníte požadavek na vnější skeny a pentesty v ISO 27001, TISAX® i nZKB dle NIS2.

P

Snížíte riziko výpadků provozu i úniku dat,

protože odhalíte slabiny a zranitelnosti aktiv.

P

Zefektivníte investice do bezpečnosti – zjistíte, které oblasti zabezpečit prioritně a které počkají.

Co test zahrnuje?

  • Prověříme vnější bezpečnostní perimetr – to, co je ve firmě vidět z internetu.
  • Zjistíme otevřené porty, běžící služby, jejich verze a zranitelnosti.
  • Zkontrolujeme www aplikace, bezpečnost certifikátů a odolnost proti průniku.
  • Vytvoříme manažerské shrnutí, zprávu a projdeme výsledky.
  • Cena: Stanovujeme dle počtu IP adres
    Chci odhalit rizika

    02

    Interní penetrační test

    Co může útočník napáchat po získání přístupu?

    P

    Vybrousíte kyberbezpečnost a reakci 

    na incidenty ohrožující chod i reputaci firmy.

    P

    Ověříte spolehlivost zabezpečení a funkčnost opatření, konfigurací i procesů.

    P

    Snížíte potenciální finanční škody incidentů

    – odhalíte scénáře vedoucí k vysokým ztrátám.

    Co test zahrnuje?

    • Simulace hackerského útoku uvnitř firmy.
    • Testujeme ve třech fázích:
      -       Útočník bez přístupu (jako by se do sítě dostal poprvé).
      -       Běžný zaměstnanec (uživatelský účet).
      - IT správce (administrátorská práva).

    • Vytvoříme zprávu, manažerské shrnutí a projdeme výsledky.

    • Cena: Stanovujeme v Manday dle složitosti IT a rozsahu testu

      Chci otestovat zabezpečení

      Jak s námi probíhá penetrační testování?

      Během 5 kroků zjistíte, zda se na své zabezpečení můžete spolehnout i v krizové situaci

      1

      Podepíšeme NDA,

      smlouvu o testování 

      a stanovíme plán testu.

      2

      Nasbíráme co nejvíce dat
      o vaší infrastruktuře a organizaci.

      3

      Podle dostupných dat začneme hledat vrátka a zranitelnosti.

      4

      Zranitelnosti zkusíme využít k průniku do firemní IT infrastruktury.

      5

      Vytvoříme report,
      projdeme výsledky

      a poradíme, co dělat.

      Testujeme jako útočníci, radíme jako partneři

      Naše testy vám zvýší odolnost,  ne počty PDFek

      Vidíme IT očima útočníků

      Jako auditoři jsme prošli stovky IT provozů. Známe postupy ze surové praxe hackerů a různá rizika firem.

      Jistota procesně, technicky i právně

      Spojujeme 15 let znalostí ze stovek auditů s 20 lety praxe v IT. V týmu máme i právníky. Pořešíme všechny souvislosti.

      Každý test je na míru vaší infrastruktuře

      Co firma, to jiná rizika. Nevyužíváme postupy podle šablony, testování stavíme v kontextu vašich rizik.

      Podpoříme vás mezinárodně

      Řešení dodáváme
      i v angličtině a kdekoli ve světe pro vaše pobočky.

      Prověřená kvalita našich řešení

      Za to ručí naše
      certifikac      e ISO 9001, 27001 a TISAX® nejvyšší úrovně AL3.

      reference

      Asseco Solutions a.s. | Miloš Vejdělek |
      Vedoucí ekonomického sektoru

      S panem Tvrzníkem z Top Solution, jako pověřencem DPO (Data Protection Officer), spolupracujeme již od roku 2018, kdy vstoupilo v účinnost nařízení GDPR. Proces ochrany osobních údajů nám implementoval velice pečlivě, rychle, přesně a je pro nás jasný i srozumitelný.

      Dodnes nám poskytuje cenné poradenství v celém rozsahu problematiky GDPR. Spolupráce nás těší, protože je velmi kvalitní a je znát jeho vysoká znalost této oblasti. Ze strany všech zúčastněných, zvláště managementu naší společnosti, je velká spokojenost.

       

      Schurter spol. s r.o. | Tomáš Dvořák |
      Quality management

      Spolupráci s firmou Top Solution jsme zahájili v roce 2018. Naším cílem bylo vypořádat se s, tehdy úplně novými, požadavky na ochranu osobních údajů (GDPR). Spolupráci jsme následně rozšířili o implementaci a certifikaci ISO 27001. Nad naše původní očekávání jsme tím získali komplexní řešení pro bezpečnost informací, zahrnující i soulad s GDPR.

      K dodnes trvající spolupráci s Top Solution přispívá fakt,že kromě znalostí a profesionálního přístupu jsou jejich lidé pozitivní, empatičtí a dokáží zohlednit také naší firemní kulturu. Řešení, která jsme společně vybudovali, tak odpovídají našim potřebám a organizačním i finančním možnostem. Velmi si vážím otevřeného jednání, sdílení zkušeností, vidění souvislostí v širokém kontextu a hledání řešení, která dávají smysl.

      Ixperta, s.r.o. |

      Stanislav Čihák | IMS manager

      Expanze našich služeb v oblasti automotive si ze strany zákazníků vyžadovala splnit vyšší úroveň certifikace TISAX®. Pro popis spolupráce s Top Solution mě jako první napadá slovo „efektivní“.

       Příprava i pomoc při samotné certifikaci probíhaly podle plánu. Nastalé změny a neplánované situace, které se vždy mohou objevit, jsme spolu vyřešili k oboustranné spokojenosti. Splnili jsme svůj hlavní cíl — získat certifikaci TISAX® vyšší úrovně i s ochranou prototypů.

      Jako bonus jsme získali množství znalostí a nových pohledů v oblasti řízení bezpečnosti informací. Fotbalově řečeno, vyzdvihl bych přístup s výrazným tahem na branku, tedy na dosažení určeného cíle.

      Remarkplast s.r.o

      Remarkplast Services s.r.o. | Ing. Miloš Uherka | Manažer IMS 

      K zajištění certifikace TISAX nás vedla potřeba ochránit data a požadavek zákazníků. Se spoluprací s Top Solution jsme spokojení, vše je v pořádku a ceníme si jejich přístupu i komunikace. Nastavili jsme ochranu dat a jejich uspořádání. Díky tomu jsme zlepšili ochranu dat i po technické stránce.

       

       

      Všechny reference

      Reference

      Asseco Solutions a.s. | Miloš Vejdělek | Vedoucí ekonomického sektoru

      S panem Tvrzníkem z Top Solution, jako pověřencem DPO (Data Protection Officer), spolupracujeme již od roku 2018, kdy vstoupilo v účinnost nařízení GDPR. Proces ochrany osobních údajů nám implementoval velice pečlivě, rychle, přesně a je pro nás jasný i srozumitelný.

      Dodnes nám poskytuje cenné poradenství v celém rozsahu problematiky GDPR. Spolupráce nás těší, protože je velmi kvalitní a je znát jeho vysoká znalost této oblasti. Ze strany všech zúčastněných, zvláště managementu naší společnosti, je velká spokojenost.

       

      Schurter spol. s r.o. | Tomáš Dvořák |
      Quality management

      Spolupráci s firmou Top Solution jsme zahájili v roce 2018. Naším cílem bylo vypořádat se s, tehdy úplně novými, požadavky na ochranu osobních údajů (GDPR). Spolupráci jsme následně rozšířili o implementaci a certifikaci ISO 27001. Nad naše původní očekávání jsme tím získali komplexní řešení pro bezpečnost informací, zahrnující i soulad s GDPR.

      K dodnes trvající spolupráci s Top Solution přispívá fakt,že kromě znalostí a profesionálního přístupu jsou jejich lidé pozitivní, empatičtí a dokáží zohlednit také naší firemní kulturu. Řešení, která jsme společně vybudovali, tak odpovídají našim potřebám a organizačním i finančním možnostem. Velmi si vážím otevřeného jednání, sdílení zkušeností, vidění souvislostí v širokém kontextu a hledání řešení, která dávají smysl.

      Ixperta, s.r.o. | Stanislav Čihák | IMS manager

      Expanze našich služeb v oblasti automotive si ze strany zákazníků vyžadovala splnit vyšší úroveň certifikace TISAX®. Pro popis spolupráce s Top Solution mě jako první napadá slovo „efektivní“.

      Příprava i pomoc při samotné certifikaci probíhaly podle plánu. Nastalé změny a neplánované situace, které se vždy mohou objevit, jsme spolu vyřešili k oboustranné spokojenosti. Splnili jsme svůj hlavní cíl — získat certifikaci TISAX® vyšší úrovně i s ochranou prototypů.

      Jako bonus jsme získali množství znalostí a nových pohledů v oblasti řízení bezpečnosti informací. Fotbalově řečeno, vyzdvihl bych přístup s výrazným tahem na branku, tedy na dosažení určeného cíle.

       

      Remarkplast s.r.o

      Remarkplast Services s.r.o. | Ing. Miloš Uherka | Manažer IMS 

      K zajištění certifikace TISAX nás vedla potřeba ochránit data a požadavek zákazníků. Se spoluprací s Top Solution jsme spokojení, vše je v pořádku a ceníme si jejich přístupu i komunikace. Nastavili jsme ochranu dat a jejich uspořádání. Díky tomu jsme zlepšili ochranu dat i po technické stránce.

       

       

      Číst více
      Všechny reference

      Jak zjistit, zda se mě týká nZKB dle směrnice NIS2?

      E

      Samoposouzení, tipy a informace

      Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean
      commodo ligula eget dolor. Aenean massa. Cum sociis natoque penatibus
      et magnis dis parturient montes, nascetur ridiculus mus. Donec quam felis,
      Cum sociis natoque penatibus
      et magnis dis parturient montes, nascetur ridiculus mus. Donec quam felis,
      ultricies nec, pellentesque eu, pretium quis, sem. Nulla consequat massa
      quis enim. Donec pede justo, fringilla vel, aliquet nec, vulputate..
      Zobrazit více

       Jaké hlavní povinnosti přináší nový zákon?

      E

      Vše o hlavních povinnostech ze zákona

      Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean
      commodo ligula eget dolor. Aenean massa. Cum sociis natoque penatibus
      et magnis dis parturient montes, nascetur ridiculus mus. Donec quam felis,
      Cum sociis natoque penatibus
      et magnis dis parturient montes, nascetur ridiculus mus. Donec quam felis,
      ultricies nec, pellentesque eu, pretium quis, sem. Nulla consequat massa
      quis enim. Donec pede justo, fringilla vel, aliquet nec, vulputate..
      Zobrazit více

      FAQ

      Penetrační test a sken zranitelností

      Jak často požaduje nZKB penetrační testování a skenování zranitelností?

      Pro vyšší režim povinností nZKB ukládá povinnost dělat penetrační testování relevantních IT aktiv alespoň jednou za 2 roky a provádět skenování zranitelností jednou ročně. Pro nižší režim není penetrační test povinný, ale skenování zranitelností aktiv musí řešit na pravidelné bázi.

      Jaký je rozdíl mezi interním a externím pentestem?

      Externí penetrační test je zkouška toho, jak těžké je zvenku prolomit vaše zabezpečení. Simulujeme útočníka, který nemá přístup ani kontext o firmě a zkouší, kde najde vrátka. Tento pentest je vhodný pro odhalení širšího spektra rizik. Naopak interní penetrační test už simuluje situaci, kdy se někdo dostal k vám do infrastruktury. Pomůže vám opravit rizika, díky kterým zmírníte škody potenciálního útoku a vybrousíte bezpečnost i reakci na kybernetický incident.

      Stačí nám pentest jako důkaz o testování pro kontrolu z NÚKIB nebo audit ISO 27001 či TISAX®?

      Ano, splníte požadavek. Pentest byste ale neměli provádět pro odškrtnutí povinnosti a založení dalšího PDF na cloud. Udělejte z nich s námi raději součást řízení rizik firmy a vybudujte odolnou organizaci, které nic jen tak nenaruší chod, bezpečnost dat ani nepoškodí reputaci. 

      Jak často má smysl pentest opakovat?

      Minimálně v rozsahu, který požaduje zákon podle vašeho režimu povinností, nebo při každé významné změně v infrastruktuře (pořízení nového systému, změna v architektuře apod.) Penetrační test pravidelně využijte jako další nástroj pro řízení rizik ohrožujících chod, reputaci a bezpečí firmy. 

      Jak dlouho pentest trvá a jaká součinnost je potřeba?

      Konkrétní doba trvání záleží na mnoha faktorech. Třeba externí pentest – pokud testujeme jen hrstku IP adres, výstup může být v řádu dní. Pokud se ale jedná o desítky či stovky, může jít o týdny. Interní pentest závisí na složitosti firmy (počet systémů, rozsáhlost infrastruktury, požadavky na pentest apod.) – může jít o dny až měsíce. Nezávazně nás kontaktujte a zjistěte, jak to přesně bude ve vašem případě.

      Dovedeme vás k souladu s nZKB dle NIS2 a kyberbezpečnosti

      nejen na papíře

      Kontaktujte nás

      Do 24 hodin se vám ozveme a projdeme vaše potřeby, cíle a možnosti.

      Potom pošleme nezávazný návrh řešení a vy rozhodnete, co dále.

      Kontakt

      Co zahrnují organizační opatření z nZKB dle NIS2?

      E

      Které opatření zde má vyšší režim a které nižší?

      Organizační opatření zahrnují procesy a dokumentace, které slouží jako manuál, jak se chovat bezpečně, nebo něco dělat správně. Podporují pasivně bezpečnost. Když jsou správně uchopené, zajišťují, že kyberbezpečnost funguje nejen na papíře, navíc podporují její kontinuitu a usnadňují bezpečný onboarding nových zaměstnanců. Organizační opatření můžete poznat i v sérii #UmímeNIS2.

      Zobrazit více

      Organizační opatření pro vyšší režim zahrnují:

      • systém řízení bezpečnosti informací,
      • požadavky na vrcholné vedení,
      • stanovení bezpečnostních rolí,
      • řízení bezpečnostní politiky a bezpečnostní dokumentace,
      • řízení aktiv,
      • řízení rizik,
      • řízení dodavatelů,
      • bezpečnost lidských zdrojů,
      • řízení změn,
      • akvizice, vývoj a údržba,
      • řízení přístupu,
      • zvládání kybernetických bezpečnostních událostí a incidentů,
      • řízení kontinuity činností a
      • provádění auditu kybernetické bezpečnosti,

      Organizační opatření pro nižší režim zahrnují:

      • systém zajišťování minimální kybernetické bezpečnosti,
      • požadavky na vrcholné vedení,
      • řízení aktiv,
      • řízení rizik,
      • bezpečnost lidských zdrojů,
      • řízení kontinuity činností,
      • řízení přístupu,
      • řešení kybernetických bezpečnostních incidentů

      Co zahrnují technická opatření z nZKB dle NIS2? 

      E

      Které opatření zde má vyšší režim a které nižší?

      Technická opatření zahrnují postupy a technologie pro aktivní ochranu dat a kontinuity podnikání. Spojením s organizačními opatřeními (procesy, dokumentace) vzniká celistvý systém řízení bezpečnosti informací, který vaši firmu chrání každý den. I technická opatření můžete poznat v sérii #UmímeNIS2.

      Zobrazit více

      Technická opatření pro vyšší režim zahrnují:

      • fyzická bezpečnost,
      • bezpečnost komunikačních sítí,
      • správa a ověřování identit,
      • řízení přístupových práv a oprávnění,
      • detekce kybernetických bezpečnostních událostí,
      • zaznamenávání událostí,
      • vyhodnocování kybernetických bezpečnostních událostí,
      • aplikační bezpečnost,
      • kryptografické algoritmy,
      • zajišťování dostupnosti regulované služby a
      • zabezpečení průmyslových, řídících a obdobných technických aktiv.

      Technická opatření pro nižší režim zahrnují:

      • řízení identit a jejich oprávnění,
      • detekce a zaznamenávání kybernetických bezpečnostních událostí,
      • bezpečnost komunikačních sítí,
      • aplikační bezpečnost a kryptografické algoritmy.

      Jaké jsou hlavní povinnosti pro nový zákon o kybernetické bezpečnosti podle NIS2?

      E

      Co musíme jistojistě splňovat a nejede přes to vlak? 

      • Do 60 dnů po účinnosti zaregistrovat přes portál NÚKIB své regulované služby.
      • Po tom, co vám NÚKIB doručí rozhodnutí o registraci, do 30 dnů přes portál nahlásit kontaktní údaje (IČO atd.)
      Zobrazit více
      • Stanovit rozsah řízení kyberbezpečnosti identifikací primárních a podpůrných aktiv + vést evidenci všech aktiv v rozsahu (i těch vyřazených, včetně důvodu vyřazení).
      • Zavádět bezpečnostní opatření podle režimu nejpozději do 1 roku od doručení rozhodnutí o registraci od NÚKIB.
      • Hlásit kyber incidenty na portál NÚKIB (vyšší režim NÚKIB, nižší Národnímu CERT).
      • Informovat zákazníky o incidentech a hrozbách max. do 1 roku od doručení rozhodnutí o registraci od NÚKIB.
      • Provádět protiopatření vydané NÚKIB (výstraha, varování, reaktivní protiopatření — nižší režim nezavazuje varování) ve lhůtě a podle úkonů v protiopatření a výsledek hlásit NÚKIB.
      • Pokud jste strategicky významnou službou (NÚKIB vám sdělí už při registraci), tak rok ode dne, kdy jste se jí stali, musíte začít zjišťovat a evidovat informace o dodavatelích bezpečnostně významných dodávek (mechanismus BDŘ).
      • Stejně, jako výše, pokud jste strategicky významní, musíte zajišťovat dostupnost regulované služby v nezbytném rozsahu, ve stanoveném čase a kvalitě z území České republiky.

      Musíme mít do roka od doručení rozhodnutí o registraci z NÚKIB zavedena všechna opatření?

      E

      Existuje nějaké nutné minimum a postupné dodělání?

      Pro oba režimy existuje nutné minimum, ale jen v případě firem, které začínají doslova na zelené louce a mohou to prokázat. Firmy začínající od nuly ve vyšším režimu musí mít alespoň zmapovaná všechna aktiva regulovaných služeb, analýzu a plán zvládání rizik, BIA analýzu, prohlášení o aplikovatelnosti a krizový plán. Zbytek pak mohou dodělat v rámci přehledu bezpečnostních opatření.

      Zobrazit více

      Nižší režim, začíná-li firma od nuly, má nutné minimum přímo v návrhu vyhlášky pro nižší režim.  Jde o § 4 odstavec 2 až 7 a § 5, 6 a 11 v návrhu vyhlášky pro nižší režim. Zbytek opatření lze rovněž dodělat v rámci přehledu bezpečnostních opatření.

      Jak zjistit, zda se mě týká nZKB dle směrnice NIS2?

      E

      Samoposouzení, tipy a informace

      Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean
      commodo ligula eget dolor. Aenean massa. Cum sociis natoque penatibus
      et magnis dis parturient montes, nascetur ridiculus mus. Donec quam felis,
      Cum sociis natoque penatibus
      et magnis dis parturient montes, nascetur ridiculus mus. Donec quam felis,
      ultricies nec, pellentesque eu, pretium quis, sem. Nulla consequat massa
      quis enim. Donec pede justo, fringilla vel, aliquet nec, vulputate..
      Zobrazit více

       Jaké hlavní povinnosti přináší nový zákon?

      E

      Vše o hlavních povinnostech ze zákona

      Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean
      commodo ligula eget dolor. Aenean massa. Cum sociis natoque penatibus
      et magnis dis parturient montes, nascetur ridiculus mus. Donec quam felis,
      Cum sociis natoque penatibus
      et magnis dis parturient montes, nascetur ridiculus mus. Donec quam felis,
      ultricies nec, pellentesque eu, pretium quis, sem. Nulla consequat massa
      quis enim. Donec pede justo, fringilla vel, aliquet nec, vulputate..
      Zobrazit více