Popis kurzu:
Kybernetická bezpečnost v OT prostředí – od norem k praxi
Operační technologie (OT) – řídicí systémy elektráren, rozvodné sítě, průmyslové linky nebo vodovodní infrastruktura – jsou stále častějším terčem sofistikovaných útoků. Přitom na ně nelze aplikovat tradiční IT bezpečnostní přístupy jeden ku jednomu.
Tentokurz vám poskytne strukturovaný pohled na řízení kybernetických rizik v průmyslovém prostředí. Propojuje mezinárodní normy (ISA/IEC 62443, NIST SP 800-82) s reálnou architekturou IACS systémů, typickými zranitelnostmi průmyslových aktiv a praktickými metodami hodnocení rizik. Vychází z konzultační praxe v prostředí kritické infrastruktury a regulovaných odvětví.
- Pochopíte klíčové principy norem ISA/IEC 62443 a NIST SP 800-82 a jejich roli v řízení kybernetické bezpečnosti OT prostředí
- Zorientujete se v Purdue referenčním modelu IACS (úrovně 0–5) a naučíte se mapovat reálné prostředí do jeho vrstev
- Získáte přehled typických zranitelností průmyslových aktiv – PLC, RTU, SCADA, HMI – technických, procesních i organizačních
- Naučíte se strukturovaně identifikovat a kategorizovat hrozby působící na jednotlivé úrovně architektury
- Dostanete praktický rámec pro výpočet rizika a prioritizaci bezpečnostních opatření v prostředí OT
Školení zahrnuje konzultaci s lektorem zaměřenou na přípravu obsahu na míru dle potřeb vaší organizace Obsah lze přizpůsobit konkrétnímu sektoru nebo regulatornímu kontextu.
Komu je kurz určen:
Kurz je určen pro odborníky, kteří pracují s průmyslovými řídicími systémy nebo odpovídají za kybernetickou bezpečnost v prostředí kritické infrastruktury a regulovaných odvětví.
🛡️
CISO a manažeři kybernetické bezpečnosti - Zodpovídáte za bezpečnost organizace zahrnující OT prostředí. Webinář vám dá strukturovaný rámec pro hodnocení rizik a komunikaci s vedením i regulátorem.
⚙️
OT/ICS inženýři a správci - Pracujete přímo s průmyslovými řídicími systémy. Pochopíte bezpečnostní kontext vaší architektury a naučíte se identifikovat rizika ve vlastním prostředí.
🔍
Bezpečnostní analytici a auditoři - Provádíte audity nebo analýzy rizik v OT prostředí. Dostanete referenční rámec podle NIST 800-82 a metodiku hodnocení zranitelností průmyslových aktiv.
📋
Risk a compliance manažeři - Potřebujete rozumět OT rizikům pro účely reportingu, pojistných procesů nebo regulatorních kontrol (NIS2, ZoKB, vyhláška 409/2025 Sb.).
Vhodné pro sektory: Energetika, výroba a průmysl, vodárenství, dopravní infrastruktura, zdravotnictví, ropovody a plynovody, obranný průmysl a další oblasti s přítomností průmyslových řídicích systémů.
Obsah kurzu:
Pět tematických bloků, obsah je postaven na zkušenostech z reálných implementací v průmyslovém prostředí a konzultační praxe v oblasti kritické infrastruktury.
Blok 01 - Normy ISA/IEC 62443 a NIST SP 800-82 – kontext a propojení
Úvod do klíčových standardů OT bezpečnosti a jejich praktické využití v organizaci – bez zbytečné teorie, s důrazem na reálný přínos.
- Kontext využití standardů v reálném OT prostředí
- Role norem v rámci řízení kybernetické bezpečnosti
- Klíčové principy ISA/IEC 62443: lifecycle, zóny a konduity, security levels
- NIST 800-82 jako doporučený referenční rámec
- Vazba na ISMS (ISO 27001) a BCMS (ISO 22301)
- Legislativní požadavky v oblasti kybernetické bezpečnosti OT
- Jak normy efektivně aplikovat v organizaci
Blok 02 - Referenční model IACS podle NIST 800-82 – Purdue model úrovně 0–5
Detailní pohled na architekturu průmyslových řídicích systémů – základ pro analýzu rizik a návrh bezpečnostních opatření.
- Mapování reálných OT a IACS prostředí do Purdue modelu
- Toky dat mezi úrovněmi a identifikace míst vzniku bezpečnostních rizik
- Časté chyby v segmentaci a oddělení OT a IT prostředí
- Využití referenčního modelu při analýze rizik a návrhu opatření
Blok 03 - Typická aktiva a jejich zranitelnosti podle úrovní 0–5
Přehled průmyslových aktiv napříč architekturou a jejich nejčastější bezpečnostní slabiny – technické, procesní i organizační.
🔧 Technické
- Nepatchované systémy
- Slabá nebo chybějící autentizace
- Nezabezpečené protokoly
- Legacy systémy bez podpory
📋 Procesní
- Nedostatečné řízení změn
- Absence asset managementu
- Chybějící zálohování konfigurací
- Neřízené vzdálené přístupy
👥
Organizační
- Chybějící odpovědnosti
- Nejasné role OT vs. IT
- Absence bezpečnostních politik
- Nedostatečné povědomí
- Přehled aktiv: PLC, RTU, SCADA, HMI, servery, síťové prvky
- Kontext aktiv vůči klíčovým procesům a kontinuitě
- Praktické zkušenosti z analýz a nástrojů pro identifikaci zranitelností
- Specifika legacy systémů v OT prostředí
Blok 04 - Hrozby působící na aktiva podle úrovní 0–5
Kategorizace a přiřazení hrozeb ke konkrétním vrstvám architektury – se zkušenostmi z auditní a konzultační praxe.
- Kategorizace hrozeb: externí aktéři, interní chyby, dodavatelský řetězec, selhání technologií
- Přiřazení hrozeb ke konkrétním úrovním architektury
- Reálné scénáře útoků na OT prostředí a jejich dopady
- Dopady provozní, bezpečnostní a finanční
- Využití threat intelligence a OSINT při identifikaci hrozeb
- Co organizace skutečně podceňují – zkušenosti z praxe
Útočníci cílí na OT prostředí záměrně – přerušení výroby, ohrožení fyzické bezpečnosti nebo výpadek kritické infrastruktury mají nesrovnatelně vyšší dopad než typický IT incident.
Blok 05 - Výpočet rizika a prioritizace opatření
Praktický přístup k hodnocení rizik v OT prostředí – kombinace metodik a zkušenostního přístupu s ukázkou na reálném příkladu.
- Praktický přístup k hodnocení rizik – kombinace metodik
- Ukázka výpočtu rizika na příkladu z OT prostředí
- Stanovení priorit a návrh opatření (technická, organizační, procesní)
- Vazba na řízení kontinuity a krizové řízení
- Reporting směrem k managementu
- Využití výstupů při strategickém rozhodování
Cílem není nulové riziko, ale
schopnost organizace identifikovat, pochopit a vědomě řídit rizika, která jsou pro její provoz a bezpečnost nejvýznamnější.
Certifikace:
Po absolvování kurzu získáte certifikát AIM Agency
Materiály:
V ceně kurzu jsou studijní materiály v elektronické podobě, které vám pomohou udržet si znalosti i po školení. Materiály jsou prakticky zaměřené tak, abyste se k nim mohli vracet při řešení reálných problémů ve firmě.
