BRANŻA: MSP, MSSP, INTEGRATORZY IT · NIS-2 ART. 21

Kaseya 2021: jeden atak, 1500 firm sparaliżowanych przez MSP.
Dostawcy usług zarządzanych pod NIS-2 Załącznik I pkt 9.

Szkolenie dla MSP, MSSP i integratorów IT - zgodne z NIS-2 (Załącznik I pkt 9), dokumentacja audytowa.

Grupy 5-30 osób, stacjonarnie lub online (Zoom) Dla zarządu, HR i IT Security - materiały dopasowane do roli
Zamów 30-min rozmowę Zobacz co dostajesz
Dlaczego to nie teoria

Trzy ataki, które pokazały jak jeden MSP może położyć dziesiątki klientów

Bycie MSP ma dwie strony: skala daje przewagę kosztową - i skalę ataku. Poniżej konkretne incydenty z ostatnich lat, każdy z linkiem do źródła.

1

Kaseya VSA — supply chain ransomware, lipiec 2021

Grupa REvil wykorzystała podatność zero-day (CVE-2021-30116) w platformie RMM Kaseya VSA. Efekt: około 60 bezpośrednich klientów Kaseya (MSP) zainfekowanych, a przez nich 800-1 500 firm klientów końcowych w kilkudziesięciu krajach. REvil zażądał 70 mln USD za uniwersalny deszyfrator. Przykład pokazowy: jedno włamanie do dostawcy narzędzia RMM = setki zakładów stoją.

Źródła: Wikipedia - Kaseya VSA · CISA - Guidance dla MSP · Varonis - analiza ataku.

2

SolarWinds Orion — SUNBURST, grudzień 2020

Rosyjska grupa APT (SVR) wprowadziła trojan do legalnej aktualizacji platformy monitoringu SolarWinds Orion. Orion miał ponad 33 000 klientów, a złośliwą aktualizację pobrało około 18 000 organizacji, w tym Pentagon, Departament Skarbu, Microsoft, FireEye. Atak niewykryty przez 9 miesięcy. Ubezpieczyciele oszacowali łączne straty dotkniętych firm na średnio 12 mln USD per firma. Klasyczny przykład: integrator = single point of failure dla setek klientów.

Źródła: US GAO - skala ataku · Wikipedia - SolarWinds breach · MITRE ATT&CK C0024.

3

ConnectWise ScreenConnect — CVE-2024-1709, luty 2024

Krytyczna podatność (CVSS 10.0) typu authentication bypass w popularnym narzędziu zdalnego zarządzania używanym przez tysiące MSP. Wystarczy żądanie HTTP z dodatkiem do URL-a, by przejąć całą konsolę ScreenConnect bez hasła. W ciągu kilku dni aktywnie wykorzystywały ją LockBit, Black Basta i Bl00dy - MSP tracili dostęp do konsol, a przez konsole atakujący wchodzili do sieci klientów. CISA wpisała CVE-2024-1709 do KEV (Known Exploited Vulnerabilities) 22 lutego 2024.

Źródła: CISA KEV alert · Huntress - analiza techniczna · Palo Alto Unit42.

68% naruszeń cyber angażuje element ludzki.

U MSP ten "element ludzki" to nie tylko Twój inżynier - to każda osoba z dostępem do narzędzi, które mają klucze do sieci klientów. Konto admina ScreenConnect phishowane z laptopa helpdesku = koniec. Szkolenie pracowników to nie "miękki dodatek" - to obrona, która adresuje 2/3 realnego ryzyka u Ciebie i u Twoich klientów.

Źródło: Verizon Data Breach Investigations Report 2024 — "the human element was a component of 68% of breaches".

Co musisz wiedzieć

NIS-2 w 4 punktach

Co musisz zrobić

Wdrożyć procedury bezpieczeństwa, regularnie szkolić zespół (kadrę zarządzającą i pracowników), prowadzić rejestr ryzyk i incydentów, wyznaczyć osobę odpowiedzialną. Termin: dyrektywa już obowiązuje, polska ustawa KSC w transpozycji.

Kogo dotyczy

MSP, MSSP, integratorów IT, dostawców usług zarządzanych od progu SME (50 osób lub 10 mln EUR obrotu). Dostawców objętych firm dotyczy przez zapisy kontraktowe (zarządzanie łańcuchem dostaw - art. 21).

Co grozi za brak

Kara administracyjna do 10 mln EUR lub 2% rocznego obrotu (wybiera się kwotę wyższą). Przy podmiotach kluczowych - osobista odpowiedzialność członków zarządu (art. 20).

Co sprawdza audytor

Dokumentację procedur bezpieczeństwa, dowody przeprowadzonych szkoleń (lista obecności, program, certyfikaty), plan reagowania na incydenty, gotowość do raportowania w 24h.

Wartość

Co konkretnie dostajesz

Szkolenie dopasowane do realiów MSP i integratora IT - RMM, PSA, ticketing, dostępy do konsol klienckich, onboarding nowych inżynierów. Realne scenariusze ataków na branżę, nie generyczne slajdy "uważaj na phishing".

Szkolenie na żywo (3, 5 lub 8h)

Stacjonarnie u Ciebie w biurze lub online przez Zoom. 6-8 modułów zależnie od pakietu. Zespół helpdesku, NOC i handlowców dostaje realne przykłady: phishing pod MFA konta admina, BEC w kontekście faktury od klienta, podszycie pod "inżyniera vendora RMM", socjotechnika pod nowego inżyniera w trakcie onboardingu.

Dokumentacja audytowa

Lista obecności z podpisami, program szkolenia, test końcowy z wynikami per osoba, imienne certyfikaty. Wszystko w PDF, podpisane elektronicznie. Dokładnie to, co chce zobaczyć audytor wewnętrzny (art. 21) oraz Twój klient w due diligence (art. 21 ust. 2 lit. d - supply chain).

Dopasowanie do branży

Realne scenariusze dla MSP - mail od "serwisu ConnectWise z krytycznym patchem", faktura od "stałego vendora sprzętu" z podmienionym kontem, prośba od "nowego klienta" o dostęp testowy do konsoli, podszycie pod prezesa do działu sprzedaży z "pilnym przelewem". Nie abstrakcja - rzeczy, które już się zdarzyły.

Test końcowy + wynik per osoba

12 pytań, wynik procentowy, zapis kto zdał. Podstawa do audytu: nie wystarczy obecność - trzeba pokazać, że wiedza została sprawdzona. Szczególnie istotne dla helpdesku i inżynierów z dostępem do konsol klientów. Wyniki w raporcie zbiorczym + imiennie.

W cenie, bez dopłat: certyfikat imienny PDF dla każdego uczestnika, konsultacje 1:1 (20 min przed + 20 min po szkoleniu), dojazd i nocleg w cenie (cała Polska).

Trzy pakiety - od 3 do 8 godzin, dopasowane do Was

Starter
3 godziny
4 moduły podstawowe
  • Phishing i BEC
  • Hasła i MFA (ze szczególnym naciskiem na konta admin)
  • Bezpieczna praca z pocztą
  • Co robić w razie incydentu

Dla: zespoły 5-15 osób, pierwsze szkolenie w firmie.

Standard
5 godzin
6 modułów + warsztat
  • Wszystko ze Startera
  • Ataki na branżę ICT (RMM, PSA, supply chain na vendora)
  • Socjotechnika - onboarding nowego inżyniera, podszycie pod klienta
  • Warsztat: rozpoznawanie phishingu w realnych mailach

Dla: zespoły 10-30 osób, kompleksowe pokrycie art. 21.

Pełny dzień
8 godzin
6 + 2 moduły + praktyka
  • Wszystko ze Standardu
  • Moduł dla zarządu (obowiązki NIS-2 art. 20)
  • Dane osobowe, RODO i supply chain security w praktyce
  • Praktyka: analiza realnej kampanii phishingowej na MSP

Dla: zespoły 20+ osób, firmy z NOC, helpdeskiem 24/7 i własną ofertą security.

Po szkoleniu Twój zespół

Cena

Transparentna stawka za osobę

Bez pakietów ukrytych kosztów. Bez minimum zamówienia poza 5 osobami. Dojazd i nocleg w cenie - cała Polska. Poza tym zasięgiem - ustalamy indywidualnie.

Stacjonarnie u Ciebie
W Twojej sali, z Twoimi narzędziami i przykładami
800 PLN netto / os

Dojazd i nocleg w cenie · minimum 5 osób

Online
Przez Zoom
600 PLN netto / os

Nagranie dostępne przez 30 dni · minimum 5 osób

Szybki rachunek. MSP 25 osób, pakiet Standard online: 25 × 600 PLN = 15 000 PLN netto. Jeden udany phishing na konto admina = przeciętnie kilkaset tysięcy PLN kosztów odzyskiwania + retencja klienta, który akurat idzie do konkurencji. A kara z art. 34 NIS-2 za nieudokumentowanie szkoleń zaczyna się od 10 mln EUR lub 2% rocznego obrotu.

Najczęstsze pytania

Cztery obiekcje, z którymi spotykam się najczęściej. Jeśli masz inną - napisz na kontakt@cybertrening.com.

Mamy ISO 27001. To wystarczy pod NIS-2?

Nie. ISO 27001 to ramy zarządzania bezpieczeństwem informacji. NIS-2 nakłada konkretne obowiązki: zgłoszenie istotnego incydentu w 24h, rejestr ryzyk, szkolenia kadry zarządzającej z cyber, osobista odpowiedzialność członków zarządu. ISO jest dobrym punktem startu - ale audytor NIS-2 zapyta o inne artefakty. Na szkoleniu pokazuję mapowanie 1:1 między kontrolami ISO 27001 a wymogami art. 21 NIS-2 - po szkoleniu wiadomo, co jest już pokryte, a co trzeba dorobić.

Damy radę sami - YouTube, blogi, ChatGPT.

Ogólną wiedzę - tak. Wymogi audytowe - nie. NIS-2 to tekst dyrektywy 2022/2555 + polska ustawa KSC (transpozycja) + praktyka krajowego organu. Audyt sprawdzi: "kto prowadził szkolenie, jaki był program, jaka jest dokumentacja odbioru, kiedy ostatnie szkolenie, czy kadra zarządzająca uczestniczyła". Nagranie z YouTube ani output z ChatGPT tego nie da. Szkolenie z konkretnym trenerem, podpisana lista obecności, certyfikat imienny = artefakt audytowy.

Mamy czas - NIS-2 w Polsce jeszcze nie obowiązuje.

Dyrektywa weszła w życie 18 października 2024. W Polsce transpozycja przez ustawę KSC (projekt). Większość państw UE już ma przepisy krajowe, kary są naliczane. Nawet przed pełną transpozycją krajowi dostawcy/kontrahenci objęci NIS-2 będą pytać o zgodność - bo to element zarządzania łańcuchem dostaw z art. 21. JBS (2021), Change Healthcare (2024), Dole (2023) - każda z tych firm w dniu ataku myślała, że ma czas. Nie miała.

Czy można sfinansować szkolenie z KFS/BUR?

Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) planowana na Q4 2026 - po wpisie firmy MŚP oraz instytucje publiczne będą mogły otrzymać zwrot nawet 80% kosztów z KFS (Krajowy Fundusz Szkoleniowy) dla prywatnych i z dedykowanych mechanizmów dla publicznych. Do tego czasu dla sektora publicznego sugerujemy własne budżety szkoleniowe lub porozumienia międzyinstytucjonalne. Jeśli BUR jest kluczowy - można zaplanować szkolenie na IV kwartał.

Dlaczego mi zaufać

Adrian Maryniewski

Adrian Maryniewski

Tester oprogramowania • Trener

LinkedIn

9 lat w IT - jako tester oprogramowania widziałem z bliska, jak działają systemy firm od środka. Wiem gdzie zwykle pojawiają się luki i jak atakujący je wykorzystują. Na szkoleniu nie czytam teorii ze slajdów - pokazuję realne ataki krok po kroku, na przykładach z MSP, MSSP i integratorów IT.

  • Certyfikaty: ISTQB (testowanie), CompTIA Security+ (w toku).
  • Doświadczenie projektowe: Nordea Bank, DNV, Logintegra, xcactus.
  • Ukończone kursy: OTWA (Ofensywne Testowanie Web Aplikacji), Zostań Pentesterem, Cyber Awareness EY, Cyber Awareness Santander Consumer Bank.
  • Specjalizacja: Testowanie aplikacji webowych, szkolenia z cyberbezpieczeństwa dla pracowników biurowych.

Zamów 30-min rozmowę

Sprawdzimy czy NIS-2 Was dotyczy. Dobierzemy moduły pod Waszą firmę. Dostaniecie wycenę. Zero spamu, zero zobowiązań - nawet jeśli nie kupujecie.

Zgłoszenie trafi bezpośrednio do mnie - odpowiadam osobiście w ciągu 24h. Dane przetwarzane zgodnie z RODO.