David C. HÁJÍČEK

Znalec v oboru kybernetika se zaměřením na bezpečnost informačních systémů, technologií a elektronických komunikací. Využijte mou více než dvacetiletou praxi získanou v poradenských, telekomunikačních i softwarových společnostech. Nabízím zkušenosti z malých projektů (poradenské projekty do 1 milionu CZK) i velkých zakázek (ICT projekty s rozpočty v řádech desítek milionů EUR).

Court witness in the Cybernetics, with specialization on ICT Security and Cyber security. Count on more than 20 years of experience in the ICT Security gained on small/medium projects (advisory projects with budget up to 1 million CZK) in advisory, telecom and SW companies, as well as on huge corporate projects (ICT projects with budget in tens of millions EUR).

Vysoká flexibilita

Nevyužijete expertní služby trvale? Zvolte outsourcing odborných rolí.

Přes 20 let praxe

Praxe v odborných projektových i provozních pozicích v ICT.

Vysoká odbornost

Vzdělání v teoretické informatice (Fakulta informatiky MU) a právu (Právnická fakulta MU, Nottingham Trent University); odborné certifikace – CISA, CISSP, CISM; lektor pražských univerzit.

Diskrétnost a spolehlivost

Prověrky NBÚ stupně Důvěrné (v minulosti Tajné, NATO Secret).

High flexibility

Need expertise on ad-hoc/limited basis? Use outsourcing of expert roles.

More than 20 years of experience

Experience from project and operations expert positions in ICT.

High expertise

Theoretical informatics (Faculty of Informatics – Masaryk University in Brno) and Law (Faculty of Law – Masaryk University in Brno, Nottingham Trent University) education; professional certifications – CISA, CISSP, CISM; lector on Prague Universities.

Privacy and reliability

NBU Security clearance – level Confidential (in the past level Secret and NATO Secret).

O mně

IT bezpečností se zabývám od roku 2001. Během své kariéry jsem měl možnost spolupracovat s řadou předních odborníků v různých odvětvích ICT na projektech pro Veřejnou správu evropských států, mezinárodní finanční instituce, telekomunikační společnosti i distribuční a výrobní podniky. V klíčových pozicích jsem se podílel také na realizaci rozsáhlých informačních systémů určených pro zpracování utajovaných informací (do úrovně Tajné, NATO Tajné, EU Vyhrazené).

Podílel jsem se na návrhu rozsáhlých prostředí pro bezpečnostní dohled finančních institucí, veřejné správy i telekomunikačních a distribučních společností v České republice. Mám zkušenosti s vývojem SW (koordinace týmů menší a střední velikosti a aplikace OWASP metodologie). Mimo jiné jsem se podílel na optimalizaci vývojového procesu pro českou pobočku jedné z evropský finančních institucí či vývoji software v souladu s požadavky standardu ISO/IEC 15408 (úroveň EAL2 a EAL3).

Připravoval jsem několik významných společností na certifikaci řídícího systému bezpečnosti (ISMS) a procesního rámce (ITSM) podle ISO standardů - ISO 27001 a ISO 20000 - a zaváděl procesy řízení kontinuity činností (BCM) podle ISO 22301.

Mohu nabídnout letité zkušenosti v oblasti zajištění legislativní, kontraktuální a normativní shody (např. Sarbanes-Oxley Act sect. 404, ISAE 3402, SOC 2, J-SOX, PCI DSS, NIS Směrnice a Zákon o kybernetické bezpečnosti, Nařízení GDPR, právní úprava duševního vlastnictví, právní úprava ochrany utajovaných informací) a orientaci v aktuálním vývoji legislativy a normalizace na mezinárodní úrovni (Směrnice NIS 2, Nařízení DORA a MiCA).

Poradenská činnost

Využijte mých zkušeností v těchto oblastech:

Ochrana osobních údajů a GDPR
Kybernetická bezpečnost a související právní úprava
Ochrana utajovaných informací
Kybernetická kriminalita
ČNB regulace ICT
Ochrana duševního vlastnictví v ICT

Znalecké posudky

Nechte si zpracovat znalecký posudek v některé z oblastí:

Zabezpečení aktiv (ICT, data)
Naplnění zákonných požadavků
Naplnění kontraktuálních požadavků

Kybernetické kriminality
Kybernetických incidentů
Zranitelností a hrozeb

Požádejte o úvodní konzultaci v rozsahu 3 hodiny ve vzdálenosti do 30 km od Prahy jen za 4.500 CZK.

Služby

Využijte mých služeb v olbasti ICT bezpečnosti.

Znalecké posudky v oblasti ochrany dat

Máte podezření, že někteří z vašich uživatelů či ICT správců "vynáší" firemní informace? Mají vaše interní data k dispozici partneři či dokonce konkurence, aniž byste jim je vy sami poskytli? Nechte si zpracovat znalecký posudek pro případ řešení situace soudní cestou.

Znalecký posudek koncového zařízení

Vykazuje některý z počítačů ve vaší síti nestandardní chování? Máte podezření, že některý z vašich zaměstnanců nevyužívá výpočetní techniku v souladu se svými pracovními povinnostmi? Obáváte se, že zařízení používaná ve vaší organizace nejsou zneužívána k úniku citlivých informací či dokonce trestné činnosti? Ověřte si své podezření věrohodným způsobem.

Znalecké posudky v oblasti kybernetické kriminality

Máte podezření, že se některý z vašich zaměstnanců dopouští fraudu, neoprávněně využívá vaše ICT zdroje nebo páchá jinou kriminální činnost v kyberprostoru? Objednejte si věrohodnou analýzu, která vaše podezření potvrdí či vyvrátí a připraví vám argumenty pro případný soudní spor.

Znalecký posudek bezpečnosti ICT systému

Řídíte výskyt bezpečnostních zranitelností ve svých systémech? Máte jistotu, že váš dodavatel neopomněl ošetřit případné slabiny a neponechal v systému slabá místa využitelná útočníky? Nechte si zpracovat bezpečnostní posudek svého ICT systému.

Zpracování zadávací dokumentace

Častým nešvarem je nesprávný výběr kvalifikačních a hodnotících kritérií, či další nedostatky v zadávacím procesu. Přestože zadavatel zpravidla ví, o jakou službu či produkt stojí, nebývá vždy jednoduché ji specifikovat tak, aby vyhověl dikci zákona. Rád Vám pomohu vyhnout se nepříjemnostem v podobě postihu ze strany ÚOHS.

Zavedení řízení bezpečnosti a procesů

Existuje mnoho rámců pro řízení bezpečnosti v organizaci. Pomůžeme Vám zvolit a zavést ten nejvhodnější. Pomůžeme Vám s rodinou standardů ISO 27000, ISO 20000, ISO 22301, SOC 2, DORA, MiCA PCI-DSS, ISAE 3402 a dalšími.

Kybernetická bezpečnost (NIS/NIS 2 Directive)

Směrnice NIS 2 významně rozšiřuje působnost a dopady našeho zákona o kybernetické bezpečnosti. Máte jistotu, že se nestáváte provozovatelem či správcem významných IS, systému KII, základních nebo digitálních služeb? Pomohu Vám připravit se.

Penetrační test a sken zranitelností

Jsou vaše systémy zabezpečeny proti standardním, ale i novým útokům? Víte, jaké úsilí stačí útočníkovi, aby překonal bezpečnostní opatření a napadl vaše ICT prostředí? Objednejte si sken zranitelností či penetrační test.

Audit úrovně dodávaných služeb

Máte pochybnosti, zda váš partner nebo dodavatel dodržuje bezpečnostní opatření, ke kterým se zavázal? Nechte si zpracovat audit úrovně dodávaných služeb a prověřte úroveň dodávek.

Outsourcing bezpečnostních rolí

Potřebujete obsadit některou z rolí zavedenou zákonem o kybernetické bezpečnosti - bezpečnostního manažera, architekta nebo auditor - a z jakéhokoliv důvodu nemůžete vybrat mezi zaměstnanci? Potřebujete interního auditora, ale nevyužiejte jeho služeb na plný úvazek? Obraťte se na mě.

GDPR - Pověřenec osobních údajů

Dopadá na vás povinnost obsadit roli pověřence osobních údajů dle GDPR, ale není možné či vhodné ji obsadit vaším zaměstnancem? S námi dosáhnete významných úspor i vysoké úrovně záruk.

Utajované informace

Nedisponujete zaměstnanci s odpovídající úrovní "bezpečnostních prověrek", přičemž zpracování osobních údajů je důležité pro vaše obchodní aktivity? Obraťte se na nás - připravíme vaši organizaci na certifikaci a zabezpečíme obsazení odpovídajících rolí (odpovědná osoba, bezpečnostní ředitel)

Bezpečnostní QA

Je bezpečnost důležitou součástí řešení, které vlastními silami realizujete či vyvíjíte s partnerem? Potřebujete odborný dohled nad tím, zda jsou prosazovány odpovídající principy informační bezpečnosti? Zapojíme se do projektových struktur, kde vaše zájmy prosadíme.

Bezepčný vývoj aplikací

Vyvíjíte software pro zákazníky? Chcete, aby Vaše webové nebo mobilní aplikace byly vyvinuty v souladu s bezpečnostními standardy (zejména OWASP)? Potřebujete vyvíjet v souladu s ISO 15408? Obraťte se na mě.

Bezpečnostní analýzy

Potřebujete se rychle zorientovat v některém bezpečnostním či procesním tématu? Obraťte se na nás - pomůžeme vám provést ad-hoc bezpečnostní analýzu nebo analýzu rizik?

Ověření procesů v provozu

Prověřte, zda jsou vaši zaměstnanci schopni reagovat na nestandardní situace. Pojďte si s námi "zahrát" formou SIMEXu (Simulation Excercise). Připravíme pro vás simulaci skutečných útoků či krizových situacích BEZ ohrožení vašich klíčových systémů a procesů.

Řízení bezpečnostní incidentů

Potřebujete sledovat, řídit a řešit bezpečnostní incidenty ve Vaší společnosti? Obraťte se na nás. Pomůžeme Vám nasadit/nastavit odpovídající nástroje a navrhneme s Vámi odpovídající procesy.

Business Continuity & Disaster Recovery

Je pro Vás kličové udržet obchodní procesy a zajistit vysokou dostupnost ICT systémů pro jejich podporu? Pomůžeme Vám nastavit procesy kontinuity činností a obnovy po havárii.

Služba úschovy kódu

Potřebujete zajistit dostupnost zdrojových kódů SW, který je vyvíjen na míru pro vás, pro případ ukončení spolupráce s dosavadním dodavatelem? Využijte služby úschovy zdrojového kódu.

Reference

Mezi mé klienty patří nadnárodní společnosti, veřejnoprávní instituce, i střední a drobné podniky. Těším se, že se mnou navážete spolupráci také vy.

Spořitelní družstvo ANO

Zpracování metodiky analýzy rizik (dle požadavků ČNB) a prvotní zpracování analýzy rizik.

CSC, s. r. o.

Zpracování bezpečnostního projektu a agenda bezpečnostního ředitele/odpovědné osoby pro utajované informace

W.A.G. payment solutions, a.s.

GDPR požadavky na architekturu nového IS.

KSRZIS

Vypracování metodiky pro řízení životního cyklu IS - součást smluvní dokumentace pro dodávky resortních IS.

Magistrát hl. města Prahy

Vypracování znaleckého posudku o úrovni zabezpečení datového centra dle Uptime Institute.

Orange Business Services

Zpracování bezpečnostní dokumentace a podpora při ISAE 3402.

T-Systems International

Projektová podpora při návrhu, implementaci a provozu datových panevropských sítí pro EU.

Wincor-Nixdorf, s. r. o.

Operační podpora v oblasti sledování a řízení zranitelností provozovaných systémů.

Kvalita služeb

Vracející se klienti

75%

Míra spokojenosti klientů

90%

Vytíženost (pracovních dní v roce)

96%

Podíl "reklamací"

V přípravě...

FAQ

Jaké výhody má obsadit některou z rolí externistou?

Dle odst. 2 § 257 zákoníku práce nesmí výše požadované náhrady škody přesáhnout 4,5násobek průměrného měsíčního výdělku, což při sankcích stanovených zákony o kybernetické bezepčnosti či ochraně osobních údajů není mnoho. Při uzavření smlouvy s jiným subjektem můžete výši záruk sjednat v libovolné výši.

Jakou certifikaci musím mít jako pověřenec ochrany osobníc údajů?

V současné době neexistuje žádná zákonem požadovaná certifikace. ÚOOÚ jedná s ČIA o vytvoření systému vydávání osvědčení o ochraně osobních dajů, nicméně jejich získání bude pravděpodobně dobrovolné.

Neprovozuji IS kritické infrastruktury ani významný IS. ZoKB se na mě nevztahuje.

Zákon o kybernetické bezpečnosti - implementující NIS Directive - zavádí další tytpy IS, jejichž správci se stanou subjekty tohoto zákona. Jsou jimi správci a provozovatelé IS Základních služeb a digitálních služeb. Zajímá vás víc?

Mgr. David C. HÁJÍČEK, LL.M. Soudní znalec

ProfesionalitaVizeZkušenosti

SpolehlivostDiskrétnostLoajalita