Martine, mezi lety 2014 – 2018 jste působil na Národním bezpečnostním úřadu a podílel se na vytvoření nové, samostatné instituce, Národního úřadu pro kybernetickou a informační bezpečnost. Jak toto vyčlenění NÚKIB probíhalo v praxi? Co všechno bylo potřeba zajistit, aby jednak plynule pokračovaly dosavadní agendy, a zároveň bylo nastartována fungování nového úřadu?
Martin Konečný (GUARDIANS.cz): Na samotném vyčlenění tehdejšího Národního centra kybernetické bezpečnosti (NCKB) z NBÚ do NÚKIB jsem se přímo nepodílel. Byl jsem součástí jednoho z hlavních “businessů” úřadu a měl jsem na starosti tým Regulace, auditu a podpory, což byl tým odpovědný za praktické dopady regulace na povinné subjekty, poskytování podpory regulovaným subjektům a provádění kyberbezpečnostních auditů a kontrol. Prakticky jsme museli zajistit plynulé poskytování dosavadní agendy s tím rozdílem, že se nám postupně měnili poskytovatelé podpůrných agend (např. ICT, personální, právní oddělení atp.). Na druhou stranu, po strategické stránce bylo samozřejmě potřeba spolupracovat, a tak jsem se se svým týmem podílel na přípravě plánů a strategie pro rozvoj úřadu z hlediska agend, které měl můj tým na starosti.
Jak jste se vůbec k tématu kybernetické a informační bezpečnosti dostal a co vás v roce 2014 dovedlo na NBÚ?
Martin Konečný (GUARDIANS.cz): Už od 8. třídy základní školy, možná i dřív, jsem se věnoval “hraní si” se stavbou a “správou” PC. Prázdniny jsem pravidelně trávil na brigádě v ICT firmě nedaleko svého bydliště, a tak nějak jsem se postupně do ICT oboru dostával víc a víc. Tenkrát ta cesta byla od správy ICT, k webům, později k programování. Na střední škole jsem si udělal drobnou odbočku, studoval jsem strojní průmyslovku se zaměřením na programování CNC strojů, ale na vysokou jsem se dal na cestu ICT managementu. Při vysoké škole jsem začal podnikat, zabýval jsem se poskytováním ICT služeb, to byla skvělá zkušenost, neboť mi praktické zkušenosti usnadňovaly studium. Ale později jsem se viděl někde jinde a táhlo mě to více od “provozního” ICT a vývoje k bezpečnosti. Rozhodl jsem se své tehdejší zákazníky předat kolegům z jiných firem z okolí a zkusit štěstí na NBÚ.
Do tehdejšího NCKB jsem tenkrát nastupoval v době, kdy už byl platný kybernetický zákon a zahájen legislativní proces u vyhlášky o kybernetické bezpečnosti a vyhlášky o významných informačních systémech. Můj úkol byl poskytovat metodickou podporu v oblasti plnění bezpečnostních opatření. Byla to pro mě opravdu nezapomenutelná zkušenost, ať už z hlediska kontrastu v porovnání komerčního a veřejného sektoru, z hlediska výborného kolektivu, který se nám podařilo vybudovat, z hlediska získání nových znalostí, příležitostí a zkušeností a v neposlední řadě také kvůli skvělému leadershipu.
Už souběžně s působením na NÚKIB jste fungoval i jako nezávislý ICT konzultant. Před 2 lety jste pak založil společnost Guardians.cz, která sdružuje nezávislé profesionály věnující se právě kybernetické a informační bezpečnosti. Jakým směrem, ať už tematicky nebo sektorově, se vaše společnost zaměřuje?
Martin Konečný (GUARDIANS.cz): Nejsem úplně typ člověka, který by za sebou pálil mosty. Proto jsem byl velmi vděčný za to, že mi bylo umožněno ponechat si aktivní dosavadní živnost, a já tak mohl svým bývalým zákazníkům postupně pomáhat s transferem mých služeb na jiné dodavatele, případně se o ně ještě částečně “starat”. Vzhledem k povaze práce v NCKB jsem se nemusel bát jakéhokoliv střetu zájmů, neboť to nebylo v případě mých tehdejších zákazníků relevantní (byly to spíše malé firmy z mého okolí). Zároveň jsem se ale začal ve volném čase věnovat i poradenství v oblasti informační a kybernetické bezpečnosti (tehdy to bylo pro ne-regulované společnosti) a poskytování školení. To byl benefit jak pro mě, tak i pro mého tehdejšího zaměstnavatele – já si mohl přilepšit ke svému platu úředníka a získat trochu jiné zkušenosti a pohledy z jiných firem a mohl jsem tyto poznatky uplatňovat i ve svém zaměstnání ve státní správě. Díky tomu jsem nepřišel o praktické zkušenosti, což se dle mého názoru někdy děje.
Po cca pěti letech ve státní správě jsem se vydal zpět do komerčního sektoru. Po několika letech jsem se rozhodl vydat zcela vlastní cestou. Založil jsem Guardians.cz, ve kterých se z hlediska služeb zaměřujeme spíše na “information/cyber security governance & management” a to bez ohledu na sektor. Tedy s jediným rozdílem – a to tím, že necílíme na státní správu, ale soustřeďujeme se na komerční sféru. Poskytujeme primárně služby související s podporou firem v oblasti:
Zákona o kybernetické bezpečnosti (zejm. poskytování služeb manažera kybernetické bezpečnosti s poněkud unikátním přístupem)
ISMS (požadavky podle standardů řady ISO/IEC 27k)
Nově i bezpečností AI a low-code/no-code platforem
Výše jsou uvedeny naše hlavní služby, samozřejmě je s tím ale spojena řada drobných služeb, jako jsou školení, bezpečnostní analýzy, podpora při výběru nových bezpečnostních technologií atp. Přes to všechno se snažíme držet své odbornosti a tam, kde naše odbornost končí, spolupracujeme s řadou partnerů – od právníků, penetračních testerů, technologických vendorů atp.
Začínáte nabízet i služby týkající se kybernetické bezpečnosti u tzv. low- code/no-code a AI platforem. Můžete stručně vysvětlit, oč se jedná?
Martin Konečný (GUARDIANS.cz): Zatímco několik let zpátky, když firmy potřebovaly nějakou drobnou aplikaci, např. pro správu zákazníků, zakázkových listů, ale i integrační platformy k propojení různých systémů, musely si pořídit speciální systémy, nebo zaplatit zakázkový vývoj. V dnešní době má většina aplikací dostupná API rozhraní a firmy tak mohou pomocí API a tzv. low-code a no-code platforem, skoro bez nutné znalosti programovat, propojovat aplikace za účelem získání chybějících funkcí. Cílem je nejčastěji získání nové funkcionality, automatizace opakujících se procesů, dosažení vyšší produktivity, snížení chybovosti atp.
Využití v podstatě záleží na potřebách každé organizace, ale také na kreativitě. Dnes si i malá firma může snadno automatizovat svůj specifický prodejní proces tak, že propojí webový registrační formulář s fakturačním systémem a e-mailem, zákazníkovi e-mailem automaticky posílá zakázkové listy, proforma faktury, sleduje pohyby v bance, a v momentě, kdy zákazník uhradí proforma fakturu, propíše stav k fakturaci a zákazníkovi zajistí odeslání zboží nebo zakoupeného digitálního obsahu s daňovým dokladem. Jiné využití může být při práci s různými zdroji informací a dat (PDF, excely, RSS kanály), které potřebujeme před-zpracovat pomocí AI / LLM nástrojů a provést hrubou analýzu, jako podklad k další analýze ze stran experta.
Zní to velmi zajímavě. Nehrozí ale v praxi riziko, že nadšení z efektivity přebije uvažování o bezpečnostních rizicích, které při využití těchto platforem organizaci hrozí?
Martin Konečný (GUARDIANS.cz): Přesně tak. Podle našich zkušeností se uživatelé často zaměřují jen na výstupy a požadované funkce a zabývají se pouze otázkou, zda automatizace, kterou si naklikali v no-code platformě funguje. Málokdy řeší, jak je to bezpečné. Přitom ale mnohdy používají jeden účet “na všechno”, bez zapnuté vícefaktorové autentizace (např. shodný účet k firemnímu e-mailu i k no-code platformě). V no-code platformě si pak nastaví spojení přes API do e-mailu, do banky, do sdíleného úložiště, do fakturačního systému, do chatGPT účtu, do CRM atd.) Pro útočníky jsou pak účty do low-code / no-code platforem bez zapnuté MFA snadný cíl. V momentě, kdy se útočník dostane k platformě, snadno si nakliká proces, který např. vytáhne data z propojených systémů, nebo zneužije funkční propojení na e-mail uživatele, a aniž by si toho uživatel všiml, využívá platformu k útokům založených na principu BEC (business e-mail compromise).
Mnoho uživatelů a firem si neuvědomuje rozdíly v tom, že nástroje, které jsou zdarma, často neumožňují řadu bezpečnostních funkcí, někdy ani MFA, častěji jsou to ale funkce volby data regionů, SSO integrace, ukládání logů atp. Využití takových nástrojů nás může, mimo jiné, vystavit riziku porušení GDPR a jiných regulací.
K efektivnímu posuzování těchto rizik je vždy nutné znát celý kontext - detailní business proces, technologie (API, SaaS) a jejich zranitelnosti, data a jejich objem která jsou zpracovávaná prostřednictvím low-code / no-code a AI nástrojů atp.
Klientům nabízíte i pomoc s přípravou na certifikaci jejich systému řízení kybernetické bezpečnosti (SOC 2, ISO/IEC 27001). Je o tyto služby zájem a kde a pro koho vidíte přínos této certifikace v praxi?
Martin Konečný (GUARDIANS.cz): Specifickou skupinou našich zákazníků jsou například firmy, které potřebují být zapsány v katalogu eGovernment cloudu. Po některých z nich, v závislosti na bezpečnostní úrovni poskytovaných služeb, jsou vyžadovány právě SOC 2 reporty a ISMS certifikace, infrastrukturní penetrační testy atd.
Pro certifikaci se zpravidla firmy rozhodují, aby mohly prokázat shodu s pravidly, podle kterých se certifikuje, obchodním partnerům. Aby získaly potenciální nové obchodní partnery a aby nepřišly o stávající zákazníky nebo obchodní partnery. V dnešní době bývá často ve smlouvách s dodavateli požadováno, že dodavatel musí mít certifikaci podle ISO/IEC 27001, nebo obdobnou. Pakliže požadovanou certifikaci nemá, musí se například podrobovat pravidelným zákaznickým auditům ze strany obchodního partnera. Na mezinárodním poli bývá často, kromě ISMS, požadován SOC 2 Type II report, nebo dle typu kontraktu a druhu obchodního partnera i specifické standardy (např. bezpečnostní standardy pro karetní transakce PCI-DSS).
Přínos certifikace vidím minimálně dvojí:
Certifikovaným to přinese zvýšení konkurenceschopnosti a pokud je samotné certifikované ISMS implementováno správně, tak primárně systematičnost v řízení a zabezpečování informací potřebných pro existenci a fungování samotného businessu.
Obchodním partnerům to pak přináší jakousi formu záruky, že daný dodavatel splňuje normou stanovené požadavky na řízení bezpečnosti informací.
K tomu bych však rád zmínil důležitou věc: Požadavek na ucelený systém ochrany informací (ISMS) je dnes, z mého pohledu, minimum. V praxi jsem se nejednou setkal s případem, kdy dvě srovnatelné firmy měly certifikované ISMS, ale praktická úroveň zajišťování informační bezpečnosti byla v každé z firem naprosto odlišná. Jedna z nich by s největší pravděpodobností zvládla kybernetický útok s nízkým dopadem, druhou by to “položilo”. To samozřejmě tak trochu degraduje celý princip ISMS certifikací.
Otázkou tedy je – můžeme se u řízení bezpečnosti u dodavatelů spokojit jen s ISMS certifikací? K řízení bezpečnosti u dodavatelů je proto nutné přistupovat komplexněji (pravidelný monitoring dodavatelů, pravidelné testování, CTI atp.). Bohužel, s nedostatkem kompetencí a zdrojů toto často sklouzává k “papírové” záležitosti a dotazníkům, které dodavatelé vyplní a obchodní partneři na své straně jen založí pro účely “compliance”. Pokud bych měl něco firmám v oblasti ISMS poradit, tak by to bylo, aby k ISMS požadavkům přistupovaly smysluplně, aby se soustředily na praktickou aplikaci požadavků, tedy na to, aby ISMS prakticky přispívalo k efektivnímu řízení bezpečnosti a až poté na “papíry”, ale to by bylo ještě na dlouhé povídání.
Podílíte se také na iniciativě CyberSecurityPlatform.cz, která má za cíl sdílet zkušenosti a poznatky v oblasti kybernetické bezpečnosti jak mezi experty z praxe, tak se studenty souvisejících oborů. Jak píšete, jedním z motivů pro založení byla neexistence odborného sdružení či platformy pro předávání poznatků. Je o sdílení zkušeností mezi kyberbezpečnostními experty i studenty zájem? Jaké jsou hlavní aktivity CyberSecurityPlatform.cz?
Martin Konečný (GUARDIANS.cz): Myslím, že o odborné komunity je v poslední době velký zájem právě kvůli zmíněnému sdílení zkušeností. Praktické úskalí téměř ve všech online komunitách, kde se pohybuji, je “user-generated content”, tedy obsah, který do komunity dodávají její členové. Od svého založení již CyberSecurityPlatform.cz prošla určitým vývojem a změnami. Původně byly její aktivity orientované primárně do online prostředí a členství pro jednotlivce i firmy bylo placené, zájem byl, ale obsahu ze strany členů moc ne.
Pak jsme se v realizačním týmu shodli na tom, že odborníků na kyberbezpečnost je tak málo, že většinou nemají kapacitu tvořit obsah do platformy, kde si navíc musí platit členství. Proto jsme změnili přístup a jednotliví členové mají do platformy přístup zdarma, což nám pomáhá komunitu rozšiřovat. V online prostředí se snažíme udržovat aktuální informace ke kybernetickému zákonu a také nám slouží ke sdílení relevantních událostí (meetupů, konferencí atp., které pořádáme my, partneři, nebo třetí strany), k hostování našich nebo partnerských e-learningových kurzů atd. Samozřejmě, že v online prostředí probíhá i komunikace a sdílení zkušeností z řad členů. Nicméně ze zkušeností se nám osvědčilo, a větší radost nám dělá, živé setkávání členů.
K tomu, abychom vytvořili prostor a příležitost pro networking a sdílení zkušeností mezi členy, pořádáme konference, meetupy i neformální setkávání “Cybersecurity Pivo”, která startujeme úvodní přednáškou na předem stanovené téma. S našimi aktivitami nám pomáhají komerční partneři, neboť díky jejich ročním příspěvkům a podpoře ve formě participace na našich akcích máme prostředky k tomu, abychom celou platformu utáhli nákladově.
Mimo hromadné akce organizujeme i kurzy ke kybernetickému zákonu nebo soutěž, kde se snažíme o propojení teorie a praxe. Na realizaci a přípravě všech našich akcí se mohou podílet všichni partneři a členové platformy. Až na výjimky, je většina z našich akcí veřejně přístupných, tedy mohou se na ně zastavit i ti, kteří například váhají, zda se do komunity chtějí zapojit.
Už řadu let se zaměřujete na audity a kontroly kybernetické bezpečnosti v jednotlivých organizacích, ať už ve státní správě, nebo nyní z pozice soukromé společnosti. Jaký je v České republice o informační a kybernetickou bezpečnost obecně zájem, ať už ve veřejném nebo soukromém sektoru? A co více pomáhá dát tomuto tématu patřičný důraz, vlastní špatná zkušenost z bezpečnostního incidentu, nebo nové regulace typu NIS2 či DORA?
Martin Konečný (GUARDIANS.cz): Z povahy služeb, které nabízím, se do organizací nejčastěji dostávám za účelem pomoci jim se zajištěním shody s kybernetickým zákonem, nebo za účelem zavést ISMS před certifikací. To by se dalo zařadit do proaktivních činností. Moje zkušenost tedy je, že firmy se o informační a kybernetickou bezpečnost zajímají kvůli regulaci, nebo že se z určitých důvodů vydávají cestou ISMS certifikace. Nyní tomu zájmu samozřejmě napomáhá i zmíněná regulace DORA, NIS2 a jiné regulace.
Přímo po incidentech do firem většinou nevstupuji. To je dáno tím, že v tento moment mají firmy odlišné starosti a potřebují “rapid response team”, který jim v krátkém čase pomůže minimalizovat dopady incidentu a případně obnovit infrastrukturu atd.
Jako auditor pak mohu figurovat pouze tam, kde se nepodílím na implementaci bezpečnostních opatření. Motivace auditovaných firem k provádění auditu ale také nejčastěji vyplývá z výše zmíněného ISMS nebo z uvedených regulací. V některých případech provádím i zákaznické audity u významných dodavatelů správců kritické informační infrastruktury.
V působnosti NIS2, resp. nového zákona o kybernetické bezpečnosti, se ocitnou tisíce, možná spíše desetitisíce organizací, které dosud kybernetickou bezpečnost systematicky neřeší. Budou mj. potřebovat personální kapacity jak na úpravu svého fungování a zavedení regulatorních požadavků, tak na navazující každodenní činnost. Tolik volných expertů na kybernetickou bezpečnosti v České republice prostě není. Co s tím?
Martin Konečný (GUARDIANS.cz): To je složitá otázka... Když pominu pozitivní rovinu, že nárůst regulovaných organizací znamená více příležitostí a práce pro současné bezpečnostní odborníky, právníky, auditory atp., obávám se spojených negativních dopadů spojených s enormním nárůstem práce pro NÚKIB. Ten nárůst může být opravdu “nárazový” (přeci jen se bavíme o změně počtu povinných subjektů ze stovek na tisíce). Úřad tak bude nutně potřebovat podstatně více odborníků na kybernetickou bezpečnost.
Bez změny přístupu státu může dojít k výrazné fluktuaci stávajících odborníků, kterým komerční sektor nabídne podstatně vyšší mzdy. Bez odborníků na straně regulátora v praxi “sklouzneme” k soustředění se na byrokracii, papírové plnění předpisů. To časem nebude bavit ani odborníky v komerčním sektoru, a tak “utečou” pracovat do zahraničí. Je to politický problém, o kterém se mluví dlouho, ale který se opravdu musí vyřešit. Řešení problému bude mít významný dopad na to, jak bude regulace v praxi vnímána. Držme si všichni palce.
Bohužel nemám jednoznačnou odpověď na otázku, jak přistupovat k nedostatku odborníků na kybernetickou bezpečnost v ČR. Jak tomu pomáhá školství? To je další velká oblast, o které bychom se mohli bavit hodiny. Stěžejní je držet krok s dobou, mít pružnější osnovy a hlavně více spolupracovat s praxí (už i s ohledem na nedostatek pedagogických pracovníků v odborné výuce). Další z možností se mi nabízí vznik oborových center sdílených security služeb. Zjednodušeně si představme, že pro skupinu podobných firem bude fungovat takové centrum, které bude poskytovat potřebné security služby. Rozdíl oproti současným komerčním službám typu MSSP, SOCaaS by byl v tom, že se poskytovatel zaměří na určitý obor/odvětví a stanovený počet zákazníků. Samozřejmě ani to problém zcela nevyřeší a nese to s sebou další rizika a otázky, ale je to jedna z variant.
Dále je hodně podstatná osvěta nejen u běžných uživatelů, ale i u technických ICT, ale i OT (Operational Technology) příbuzných oborů. Hlavním myšlenkou této osvěty je maximální snaha o aplikaci principů security by design / by default napříč příbuznými obory. Cílem by mělo být, aby stroje a jiná zařízení, která firma nasadí, software a služby, které spustí atp., byly již od samotného počátku konfigurace a vývoje bezpečné. Tím si trochu ulehčíme od případů, kdy s omezeným budgetem nasadíme systém, který až poté chceme zabezpečit a hledáme bezpečnostního experta, který nám dá posudek, že systém je bezpečnostně špatně již od návrhu architektury.
Dále je třeba upozornit na fakt, že NIS2 s sebou přinesla nárůst falešných odborníků, v horším případě i podvodníků, kterým osobně říkám “NIS2 fantomové”. Je potřeba to nebrat na lehkou váhu, neboť takový “fantom” může firmu navést do zcela slepé uličky. Moje obecná rada, jak se vyhnout NIS2 fantomům je, aby si firma vždy prověřila relevantní zkušenosti, reference a také background jednotlivých konzultantů, kteří do firmy nastupují s cílem pomoci s novým kybernetickým zákonem.
Co byste doporučil společnosti, která bude od podzimu tohoto, nebo možná od začátku příštího roku, muset plnit požadavky nového zákona o kybernetické bezpečnosti?
Je toho spoustu. Začal bych ale tím, že ve všech případech nemusí být zcela jednoznačné, která organizace pod připravovanou regulaci spadne. Někdy je totiž nejprve nutný právní rozbor samotné definice relevantní regulované služby.
Po vyjasnění, jestli se na organizaci kyberbezpečnostní regulace bude vztahovat, doporučuji neunáhlit se, nezabořit se rovnou do detailu požadavků na bezpečnostní opatření ale, soustředit se na potřebné zdroje, primárně lidské, příp. hledání vhodného dodavatele, který s implementací pomůže. Dále na plánování budgetu a potřebných interních zdrojů z hlediska součinnosti
Z konkrétních kroků doporučuji na prvním místě začít s identifikací aktiv a poté s identifikací a analýzou rizik. Tím, že organizace bude mít správně identifikovaná aktiva, dostává potřebný kontext, tedy přehled o tom, co chránit (jaká data a informace a jaké technologie). Analýza rizik pak organizacím pomáhá s rozhodováním a prioritizací o opatřeních. Pokud jde o následné kroky, raději bych se nepouštěl do generické rady o tom, s čím pokračovat, je to individuální, zpravidla záleží na kontextu a rizicích, ale i na maturity úrovni každé organizace.
Může nám s efektivním využitím zdrojů i v oblasti kybernetické bezpečnosti a odolnosti pomoci umělá inteligence? Pokud ano, tak jak?
Martin Konečný (GUARDIANS.cz): Odpověď na otázku využití AI, nebo spíše ML (Machine Learning) a LLMs (Large Language Models) v oblasti kyberbezpečnosti, by si zasloužila vlastní článek, nicméně zjednodušeně – tyto technologie nám pomáhají už nyní a v určité míře už dlouho (např. v případě bezpečnostních funkcí jako je anti-spam filter, nástrojů jako XDR, DLP apod.). Tyto technologie nám budou čím dál větším pomocníkem i při pokročilých detekcích, automatizacích při bezpečnostním testování, v SOAR řešeních, CTI apod. V oblasti cybersecurity governance nám pak budou tyto technologie velkým pomocníkem např. při draftování různých politik, pravidel, automatickém mapování různých frameworků, vzdělávání na míru každého zaměstnance atd.
Dopad na efektivní využití lidských zdrojů to samozřejmě má a bude mít v případě, že tyto technologie využíváme efektivně (pracujeme se správnými daty, využíváme na vhodné činnosti v daném procesním workflow, kontrolujeme bezpečnost a správnost výstupů atp.), díky čemuž nám to šetří čas. Na druhou stranu, zároveň se nám rozšiřuje budoucí “hlad” trhu po odbornících na kybernetickou bezpečnost právě o oblast AI. Kromě problematiky zranitelností AI a správné implementace musíme řešit zneužívání těchto technologií k ilegálním účelům, jako je tvorba deepfakes nebo prolamování kryptografie. Proto obecně pro nejbližších 10 let neočekávám, že bychom mohli díky AI nějak slevit na kompetenčních nárocích, které jsou kladeny například na zákonem požadované role manažera, architekta nebo auditora kybernetické bezpečnosti.
Martin Konečný je konzultant a auditor kybernetické a informační bezpečnosti. Zabývá se primárně kybernetickým zákonem a implementací požadavků podle norem řady ISO/EC 27k (ISMS). Vystudoval manažerskou informatiku a management podnikové infrastruktury na VUT v Brně. Pracoval v NÚKIB, kde měl na starosti agendu a procesy kolem regulace a auditů a kontrol kybernetického zákona. Stojí za projektem tvorby vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti. Budoval agendu ochrany osobních údajů (GDPR) v prostředí mezinárodní firmy a působil jako Cyber & Information Security Manager v energetickém sektoru. Spoluautor několika knižních publikací a autor řady odborných článků. Na jaře 2022 Martin založil expertní komunitu CyberSecurityPlatform.cz, kde usiluje o vzájemné propojování expertů na kybernetickou a informační bezpečnost.
GUARDIANS.CZ je tým nezávislých profesionálů, kteří se specializují na informační a kybernetickou bezpečnost. Do portfolia jejich služeb spadá např. podpora zákazníků při plnění požadavků kybernetického zákona a systému řízení bezpečnosti informací (ISMS) podle ISO/IEC 27001. Klíčovou službou je poskytování role Manažera kybernetické bezpečnosti (MKBaaS). Kromě dalších služeb, souvisejících s ISMS a MKBaaS, se GUARDIANS.CZ zabývá i bezpečností no/low-code platforem a AI.
