Auditování kybernetické bezpečnosti přináší stále nové výzvy

Rozhovor původně vyšel v interním bulletinu Správy železnic Moderní železnice v červnu 2025.  Ředitel interního auditu GŘ Správy železnic Karel Peška v něm vyzdvihuje osvědčenou spolupráci s odborníky z EY na metodice auditování kybernetické bezpečnosti a oceňuje rozsáhlou expertizu, kterou v této oblasti organizaci poskytují.

Autor: Tomáš Johánek

Ve druhé polovině roku vstoupí v účinnost nový zákon o kybernetické bezpečnosti implementující požadavky evropské směrnice NIS2. Jednou z klíčových inovací je zvýšený důraz na řízení bezpečnosti dodavatelského řetězce. O co konkrétně jde, jsme se zeptali ředitele odboru interního auditu Karla Pešky.

Váš odbor se již delší dobu věnuje i auditování informačních a komunikačních technologií (ICT) a kybernetické bezpečnosti. V této oblasti vše začalo na základě vaší vize, kdy jste na přelomu let 2020 a 2021 začal s podporou generálního ředitele budovat oddělení auditu IT a kybernetické bezpečnosti. Jak tento proces probíhal?

Vize vybudování vlastního útvaru ICT auditu byla motivována především potřebou zvýšit efektivitu a kvalitu auditů v oblasti informačních a komunikačních technologií. K 1. dubnu 2021 se mi podařilo sestavit tým odborníků, kteří se specializují na ICT audit včetně auditu kybernetické bezpečnosti. Tento krok umožnil Správě železnic lépe reagovat na rychle se měnící technologické prostředí a poskytovat vrcholovému vedení naší organizace maximální přidanou hodnotu i v oblasti ICT.

Odbor interního auditu má ale také v gesci administraci bezpečnostního testování. O co se vlastně jedná?

Ano, má v gesci administraci bezpečnostního testování, včetně rámcové dohody na bezpečnostní testování. Z této dohody je možné formou objednávek realizovat ve spolupráci s renomovaným externím partnerem jednotlivé typy bezpečnostních testů. Podle přístupu tyto testy dělíme interně na auditní, tedy sloužící pro účely ověřování skutečností v rámci probíhajícího interního auditu, a ostatní, kde odbor interního auditu zajišťuje administraci bezpečnostního testu. Testování je vždy prováděno buď na žádost, nebo v součinnosti se Správou železniční telematiky. Nejčastějším typem realizovaného testu je penetrační testování webové aplikace.

Penetrační testování je spojeno také s auditováním kybernetické odolnosti naší organizace. Můžete nám přiblížit, jak takový audit vypadá?

V rámci auditu kybernetické odolnosti organizace jsme realizovali sadu penetračních testů zaměřených na možnost ovládnutí naší ICT infrastruktury hackerem. Hlavním cílem bylo zjistit, jak složité by bylo pro útočníka se do naší ICT infrastruktury infiltrovat, usídlit se v ní a dále šířit svoje aktivity. Za tímto účelem jsme provedli test bezpečnostního nastavení standardního zaměstnaneckého notebooku, bezpečnostní test hlavních serverů elektronické pošty, otestování portů v zasedacích místnostech, skenování Wi-Fi sítí a penetrační test outsourcovaných tiskových řešení (se souhlasem dodavatele). Jelikož o kybernetické odolnosti rozhoduje i vhodné nastavení přístupových oprávnění k bezpečnostním nástrojům naší organizace, zaměřil se auditní tým i na tento bod. V neposlední řadě jsme také formou rozsáhlé phisingové kampaně (internetový podvod použitý k získání citlivých údajů) ověřili vyzrálost procesů bezpečnostního dohledového centra kybernetické bezpečnosti (SOC SŽ).

Na závěr bych se rád zeptal na auditování řízení dodavatelského řetězce. Jak probíhají zákaznické audity v rámci auditu kybernetické bezpečnosti u provozovatelů a významných dodavatelů naší organizace?

Auditování řízení dodavatelského řetězce je důležitou součástí našeho přístupu ke kybernetické bezpečnosti. Počet případů, kdy byly různé organizace kompromitovány kvůli nedostatečnému zabezpečení dodavatelského řetězce, stále roste. I proto jsme se rozhodli v rámci druhého tříletého cyklu auditu kybernetické bezpečnosti přistoupit k tzv. zákaznickým auditům, kdy na základě uzavřených smluvních ustanovení ověřujeme nastavení systému řízení bezpečnosti informací u vybraných dodavatelů. U nich rozlišujeme, zda jde o významné dodavatele naší organizace, či provozovatele kritické informační infrastruktury. Zákaznický audit pak probíhá v souladu se Zvláštními obchodními podmínkami pro zakázky v oblasti ICT, a to včetně auditního šetření na místě. Výsledkem je výrok auditora sumarizující vyzrálost systému řízení bezpečnosti informací konkrétního dodavatele.