Security Guide

Rubrika: Kyberbezpečnost

  • Odborná veřejnost má možnost vyjádřit se ke změnám zákona č. 181/2014 Sb., o kybernetické bezpečnosti

    Odborná veřejnost má možnost vyjádřit se ke změnám zákona č. 181/2014 Sb., o kybernetické bezpečnosti

    V červenci minulého roku schválila Vláda ČR Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2021 až 2025. Z toho plynou úkoly, které budou mít svůj přesah do legislativního rámce kybernetické bezpečnosti v České republice. Zmíněný proces přinese celou řadu podstatných změn, které se také promítnou do obsahu zákona o kybernetické bezpečnosti, a proto NÚKIB opět vyzývá odbornou veřejnost k zasílání návrhů, které mohou být podnětem k návrhu změny obsahu tohoto zákona.

    V červenci minulého roku schválila Vláda ČR Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2021 až 2025 (bližší informace zde). Z tohoto Akčního plánu plyne pro NÚKIB celá řada úkolů na následující období. Mezi ně patří i ty, které mohou a budou mít svůj přesah do legislativního rámce kybernetické bezpečnosti v České republice, resp. do zákona č. 181/2014 Sb., o kybernetické bezpečnosti. Zároveň s tím probíhá také na úrovni Evropské unie revize směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (tzv. směrnice NIS). Přestože není proces změn této směrnice ještě ukončen, již nyní je zřejmé, že přinese celou řadu podstatných změn, které se také promítnou do obsahu zákona o kybernetické bezpečnosti a povedou k jeho podstatným změnám.

    Při této příležitosti NÚKIB opět vyzývá odbornou veřejnost k zasílání návrhů, které mohou být podnětem k návrhu změny obsahu zákona o kybernetické bezpečnosti a jeho prováděcích právních předpisů. NÚKIB dlouhodobě zpracovává tzv. Bílá místa, tedy dokument, v rámci kterého identifikuje nedostatky a podněty ke zlepšení právní úpravy. Návrhy odborné veřejnosti považuje NÚKIB za neocenitelný zdroj informací. NÚKIB bude tyto návrhy pravidelně vyhodnocovat a v případě jejich relevantnosti zapracovávat do připravovaných změn. Tuto výzvu zveřejnil NÚKIB již v září minulého roku, avšak s ohledem na blížící se termín přijetí finálního znění revize směrnice NIS2 a následnou nutnost její transpozice do českého právního řádu NÚKIB upozorňuje odbornou veřejnost na skutečnost, že vhodný termín pro zaslání stěžejních podnětů je do konce června 2022. NÚKIB bude jakékoliv podněty zaslané odbornou veřejností vyhodnocovat průběžně i poté, nicméně možnost jejich uplatnění již může být menší.

    Odbornou veřejností navrhovaná změna musí splňovat základní náležitosti, aby se jí NÚKIB zabýval. Podmínkou je, aby navrhovaná změna byla relevantní k dané problematice, byla alespoň stručně zdůvodněna a obsahovala návrh řešení. Navrhovaná změna musí ctít podmínky právního státu a principy, na kterých je postaven zákon o kybernetické bezpečnosti. NÚKIB si vyhrazuje právo navrhovanou změnu odmítnout (především pokud bude rozporná s budoucím zněním směrnice NIS2), případně změnit její navrhovanou podobu při zachování původní myšlenky. Cílem NÚKIB je především blíže identifikovat praktické problémy s požadavky, které pro odbornou veřejnost a povinné osoby ze zákona plynou, a napomoci k jejich odstranění.

    Za účelem jednotného zpracování navrhovaných změn využijte formulář zveřejněný v části legislativa – zákon o kybernetické bezpečnost (zde). Vyplněný formulář prosím zasílejte e-mailem na adresu regulace@nukib.cz s předmětem „ZKB – návrhy změn“.

    Tento proces není součástí žádného ze stanovených legislativních procesů. Návrhy změn je, s ohledem na výše uvedené, možné zasílat bez časového omezení (vždy však platí, že čím dříve budou návrhy úřadu známy, tím dříve bude možné je zohlednit). Nicméně návrhy zaslané do června 2022 budou moci být zohledněny v rámci připravované novelizace zákona o kybernetické bezpečnosti realizované v souvislosti s revizí směrnice NIS.

    Zdroj: nukib.cz; JM

  • SecurityScorecard naváže spolupráci s Exclusive Networks, cílem je urychlit zavádění bezpečnostních ratingů v Evropě

    SecurityScorecard naváže spolupráci s Exclusive Networks, cílem je urychlit zavádění bezpečnostních ratingů v Evropě

    Americká společnost SecurityScorecard navazuje spolupráci s Exclusive Networks na podporu přijetí bezpečnostních ratingů v Evropě. Partnerství obou společností reaguje na rostoucí poptávku zákazníků a partnerů z celé Evropy po zviditelnění kybernetické bezpečnosti a rychlejším rozhodování.

    Společnost SecurityScorecard, světový lídr v oblasti auditů kybernetické bezpečnosti, ve středu oznámila uzavření celoevropské smlouvy o výhradní distribuci s globálním specialistou na kyberbezpečnost v digitální infrastruktuře, společností Exclusive Networks. Cílem je urychlit zavádění bezpečnostních ratingů v Evropě. Partnerství se specializovaným distributorem Ignition Technology, vlastněným společností Exclusive Networks, umožňuje evropským organizacím získat přístup k okamžitému hodnocení, analýzám a průběžnému monitoringu bezpečnostních rizik a posílit tak jejich bezpečnostní pozice.

    Díky zkušenostem Exclusive Networks dramaticky vzroste počet evropských organizací, které budou schopny okamžitě zlepšit své bezpečnostní pozice

    Vývoj geopolitické situace nutí evropské úředníky pro bezpečnost informatiky (CISO) přehodnocovat kyberbezpečnostní pozice a vyžaduje od nich větší přehled o celém prostoru k útoku než kdykoli předtím,” říká viceprezident společnosti SecurityScorecard pro prodej v regionu EMEA Jan Bau. “Díky zkušenostem společnosti Exclusive Networks, která usnadňuje zavedení převratných bezpečnostních řešení – jako je například hodnocení SecurityScorecard – v regionu EMEA, dramaticky vzroste počet evropských organizací, které budou schopny okamžitě zlepšit své bezpečnostní pozice díky tolik potřebným datům, přehledu a poznatkům.”

    Společnost SecurityScorecard nabízí komplexní bezpečnostní audity, automatizované hodnocení a pokyny od expertů z oboru a vydává snadno srozumitelné tabulky s hodnocením na stupni A-F pro jednodušší komunikaci, efektivní poskytování zpráv o plnění bezpečnostních požadavků (compliance reporting) a informovanější rozhodování. Její řešení umožňuje organizacím automatizovat a urychlit výměnu bezpečnostních dotazníků díky více než 20 šablonám průzkumů plnění požadavků (compliance) a správě dotazníků v libovolném měřítku.

    Společnost Exclusive Networks se zaměřuje na uspokojení poptávky zákazníků a partnerů z celé Evropy po nejúčinnějších kyberbezpečnostních řešeních na současném trhu” říká Sean Remnant, ředitel pro strategii společnosti Exclusive Networks. „SecurityScorecard poskytuje naší síti zákazníků a partnerů okamžitý přehled o bezpečnostních pozicích jejich společností i společností jejich dodavatelů a obchodních partnerů a umožňuje jim dokonale pochopit jejich skutečná kybernetická rizika.

    Exclusive Networks využívá jedinečný model ‘local sale, global scale’

    Exclusive Networks je globálním důvěryhodným specialistou na kybernetickou bezpečnost pro digitální infrastrukturu, který pomáhá lidem i organizacím při přechodu do zcela důvěryhodného digitálního světa. Společnost Exclusive Networks provozuje pobočky ve 43 státech a je schopna poskytovat služby zákazníkům ve více než 170 zemích na pěti kontinentech. Ve svém podnikání využívá jedinečný model ‘local sale, global scale’, který kombinuje mimořádné zaměření a hodnotu místních nezávislých firem s globálním dosahem a nabídkou služeb jediné celosvětové distribuční společnosti.

    O společnosti SecurityScorecard

    SecurityScorecard, financovaná prvotřídními investory včetně Evolution Equity Partners, Silver Lake Waterman, Sequoia Capital, GV, Riverwood Capital a dalších, je s více než 12 miliony průběžně hodnocených společností světovým lídrem v analýzách kybernetické bezpečnosti. Patentovanou ratingovou technologii společnosti SecurityScorecard, kterou v roce 2013 založili odborníci na bezpečnost a rizika dr. Aleksandr Yampolskiy a Sam Kassoumeh, využívá více než 30 000 organizací pro řízení podnikových rizik, řízení rizik třetích stran, podávání zpráv správním radám, due diligence, uzavírání pojištění kybernetických rizik a regulační dohled.

    SecurityScorecard nabízí jako první poskytovatel bezpečnostních auditů také služby digitální forenzní analýzy a reakce na incidenty. Svým zákazníkům a partnerům z celého světa tak přináší skutečně komplexní pojetí prevence a reakce v kybernetické bezpečnosti. Na cestě k bezpečnějšímu světu transformuje způsob, jakým firmy vnímají a ošetřují kybernetická rizika, a jak o nich informují své správní rady, zaměstnance a dodavatele. Důvěryhodný a transparentní rating Instant SecurityScorecard si může vyžádat jakákoli organizace.

    Zdroj: TZ; JM

  • V Praze se uskutečnilo třetí setkání Platformy k výzkumu a vývoji v kybernetické a informační bezpečnosti, tématem bylo posílení v oblasti výzkumu a vývoje

    V Praze se uskutečnilo třetí setkání Platformy k výzkumu a vývoji v kybernetické a informační bezpečnosti, tématem bylo posílení v oblasti výzkumu a vývoje

    Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) uspořádal 31. března 2022 ve spolupráci s Technologickou agenturou České republiky (TA ČR) již třetí setkání Platformy k výzkumu a vývoji v kybernetické a informační bezpečnosti. Tématem jednání bylo posílení možností spolupráce v oblasti výzkumu a vývoje v kybernetické a informační bezpečnosti na národní i mezinárodní úrovni.

    Platforma sdružuje zástupce veřejného, akademického a soukromého sektoru – setkání se zúčastnili například zástupci Technologického centra Akademie věd ČR, Ministerstva vnitra, NAKIT, CESNET a vysokých škol (MU, VUT, VŠB-TUO, ČVUT).

    Účastníky přivítal náměstek ředitele NÚKIB Jaroslav Šmíd a předseda TA ČR Petr Konvalinka. Zástupci NÚKIB následně představili novinky v oblasti národního výzkumu a vývoje, například v souvislosti s novým Národním plánem výzkumu a vývoje v oblasti kybernetické a informační bezpečnosti a budováním Národního koordinačního centra. V rámci prezentací Ministerstva průmyslu a obchodu, TA ČR a Technologického centra AV ČR byly přiblíženy možnosti finanční podpory v oblasti kybernetické bezpečnosti z národních i unijních programů. V neposlední řadě hovořil zástupce AFCEA o významu spolupráce a možnostech jejího posílení.

    Součástí setkání byla i debata na téma veřejné podpory a koordinace jejího poskytování v rámci výzkumu a vývoje v kybernetické bezpečnosti. Dále byla diskutována role Platformy v rámci vznikajícího Národního koordinačního centra.

    Účastníci se shodli na důležitosti sdílení informací týkajících se možností zapojování do národních a evropských programů v oblasti kybernetické bezpečnosti, stejně jako na pokračování spolupráce v této oblasti.

    Další setkání Platformy k výzkumu a vývoji v kybernetické a informační bezpečnosti je předběžně plánováno na červen 2022.

    Zdroj: nukib.cz; JM

  • Hlavním tématem letošní konference CIO Agenda bude kybernetická bezpečnost firem

    Hlavním tématem letošní konference CIO Agenda bude kybernetická bezpečnost firem

    Tématem konference CIO Agenda, která se koná 30. března v prostorách O2 universum, bude kybernetická bezpečnost – velmi aktuální téma, které je spíše otázkou trvalého procesu. Letošní program konference se zaměří na to, jak dobře připravit systémy, aplikace a všechny jejich uživatele včetně managementu na známé i dosud neznámé kritické situace. Akce se koná jako osobní setkání a moderuje ji Petr Koubský.

    Kybernetická bezpečnost je trvalý proces, ne stav. I když si myslíte, že máte všechno dobře, tak to může dopadnout blbě. A vývoj situace posledních měsíců napovídá, že o svoji kybernetickou bezpečnost se chtě nechtě musí zajímat každý podnik, společnost, firma. Proto je to i téma konference CIO Agenda, která se koná 30. března v prostorách O2 universum. Jedná se o velké výroční setkání šéfů IT, které ale stále častěji navštěvují také další členové top managementu, protože ti v konečném důsledku nesou veškerou zodpovědnost za chod firmy.

    Program je rozdělený na tři části – velmi reálné hrozby, recepty na jejich minimalizaci a závěrečná výměna názorů

    Letošní program konference CIO Agenda se zaměří na to, jak dobře připravit systémy, aplikace a všechny jejich uživatele včetně managementu na známé i dosud neznámé kritické situace. “Zaměříme se na aktuální hrozby a návody, jak postupovat při řešení bezpečnostních incidentů, abychom zabránili nejen ztrátám finančním, ale i případnému poklesu důvěry klientů a poškození dobré pověsti,” říká Michaela Dvořáková za společnost Blue Events, pořadatele konference. Letošní ročník dostal lakonický název “Jak se vyhnout fakt velkému prů*eru” a zájem o účast je rekordní. Akce se koná jako osobní setkání, nově ve větších prostorách O2 universum a moderuje ji Petr Koubský, redaktor pro vědu a techniku Deníku N. Program je rozdělený na tři části, od popisu velmi reálných hrozeb, přes recepty na jejich minimalizaci, až po závěrečnou výměnu názorů mezi hackery, bezpečnostními manažery, právníkem a soudním znalcem.

    O ostatní kriminalitě páchané v kyberprostoru promluví Ondřej Kapr z Policejního prezidia ČR

    Víte, jaké případy se v oblasti kybernetické bezpečnosti nejvíce vyšetřují? Odpoví vám Ondřej Kapr z Policejního prezidia ČR. Půjde o tak zvanou ostatní kriminalitu páchanou v kyberprostoru, kdy bývá největší hrozbou překonání lidského faktoru. Máte přehled o tom, co o vás a vaší firmě “ví” internet? Pozadí hackerských skupin poodhalí etičtí hackeři ze skupiny Cyber Rangers Daniel Hejda a Jan Marek. Nevyhnou se přitom tématu jako je výše výkupného u ransomware útoků.

    Vystoupení Miroslava Holého ze strojírenské společnosti ELBA

    Zajímá vás, jak se s útokem hackera vypořádala slovenská společnost s 350 zaměstnanci? Pak si nenechte ujít vystoupení Miroslava Holého ze strojírenské společnosti ELBA. Celá počítačová síť se zde po útoku hackerů zastavila vloni v dubnu, a to těsně před výplatami, pryč byla i veškerá technická dokumentace ke všem produktům. Dozvíte se, jak se s tím firma emočně, časově i finančně vypořádala. Co se obvykle děje v prvních hodinách hackerského útoku a co v následujících dnech po jeho odhalení? Jaká je správná reakce a na které kroky (ne)zapomenout? Na to se zaměří Radek Šichtanc, ředitel útvaru Bezpečnosti společnosti O2. O tom, co chcete vědět, ale nechcete zažít, zase bude z praxe hovořit Radek Beneš, soudní znalec v oblasti IT a kybernetické kriminality.

    Další řečníci: Pavel Srnka (ANECT) a Miloslav Lujka (Check Point)

    Jak může vypadat týden pod kybernetickým útokem v roli CIO od pondělí do pátku? To vám prozradí Pavel Srnka (ANECT) a Miloslav Lujka (Check Point). Jestliže si v pondělí ráno myslíte, že víte, co vám reálně hrozí a hezky to prezentujete, tak v úterý už může být vše jinak, protože se objeví jiný útok. A pozor, hackeři nespí ani o víkendu. A navíc, jak upozorňuje Lukáš Svozil (NTT Czech Republic), žádný zázračný software vás dnes spolehlivě nespasí, takže nezbývá než se opakovaně zamýšlet nad tím, co všechno zahrnuje komplexní kyberbezpečnost podniku. Každá organizace disponuje arsenálem bezpečnostních technologií, některá menším, některá větším. Je však tento arsenál moderní a stačí na moderní hrozby? Využíváme jej opravdu tak, abychom nebyli na konci dne sami sobě reálnou hrozbou? V tomto příspěvku ukáže Dalibor Kačmář (Microsoft) krásu a kouzlo XDR řešení.

    Závěrečná diskuse pod vedením Michala Horáčka (Microsoft) poskytne šanci porozumět problematice kybernetické bezpečnosti ze všech důležitých úhlů. Dříve, než se rozhodnete, jak se chcete chránit, musíte vědět, před čím se chránit a co vám hrozí, když to dělat nebudete. Celý program najdete ZDE.

    Zdroj: TZ; JM

  • Většina Čechů se obává ruských kyberútoků. 7 z 10 lidí ale zatím nezměnilo zabezpečení svých zařízení.

    Většina Čechů se obává ruských kyberútoků. 7 z 10 lidí ale zatím nezměnilo zabezpečení svých zařízení.

    Ruské pokusy o kybernetické útoky jsou podle 65 % lidí reálnou hrozbou pro občany České republiky. Nejčastěji se Češi obávají o svoje peníze, zneužití bankovní karty nebo elektronického bankovnictví hackerem se bojí tři čtvrtiny dotázaných. Přesto ale 71 % Čechů zatím nezměnilo přístup k zabezpečení svého počítače, mobilního telefonu či dalších zařízení. Podle expertů ze společnosti WIA je nejdůležitější udělat si revizi hesel a nepoužívat stejné heslo na více místech.

    Zhruba šestina lidí si kvůli zvýšenému riziku kybernetického útoku začala dávat větší pozor na podvodné e-maily. Jenom 5 % dotázaných si změnilo hesla k účtům a e-mailovým schránkám nebo začalo používat správce hesel. Vyplývá to z průzkumu telekomunikační společnosti WIA. Sběr dat byl realizován prostřednictvím aplikace Instant Research agentury Ipsos.

    Největší strach mají Češi o finance a soukromí

    Výrazný nárůst ruských kybernetických útoků zaznamenali odborníci, firmy i občané zejména během dnů ihned po začátku invaze na Ukrajinu.

    Jedná se zejména o rozesílání podvodných e-mailů s cílem vylákat od lidí jejich osobní údaje. Více rozšířený byl během posledních týdnů také takzvaný malware s původem v Rusku. Jde o programy, které narušují funkce zařízení nebo v něm potají provádějí činnost, o které uživatel vůbec neví,“ vysvětluje Filip Malina, CEO společnosti WIA poskytující kybernetické zabezpečení pro domácnosti i firmy.

    Ruské pokusy o kybernetické útoky vnímají nejčastěji lidé ve velkých městech. Za reálné riziko je považuje 79 % Pražanů a 60 % obyvatel zbytku Čech, na Moravě je to 67 %. Nejvíce se lidé obávají o to, že by při kybernetickém útoku mohli přijít o peníze. Přes 75 % lidí by se v případě ohrožení hackerem bálo zneužití bankovní karty či elektronického bankovnictví. Zneužití svých osobních údajů považuje za riziko 57 % Čechů. Skoro třetina lidí se obává také narušení soukromí, tedy úniku fotografií, videí nebo soukromé korespondence, nebo dokonce sledování okolí přes webkameru.

    Ke zneužití bankovní karty může dojít i při běžném nákupu po internetu. Pokud zadáváte údaje k platební kartě, vždy si proto zkontrolujte, že jste na stránce se šifrovaným připojením. Poznáte to podle ikonky zámku vlevo od příkazového řádku prohlížeče, případně že adresa začíná zkratkou ‚https‘ namísto běžného ‚http‘,“ říká Malina.

    Před riziky se dá snadno bránit, Češi to ale zatím nedělají

    Ačkoli si Češi uvědomují zvýšené riziko kybernetických útoků, většinou zatím nic nedělají k tomu, aby jim předcházeli. Třetina lidí o změně zabezpečení svého počítače a dalších zařízení uvažuje, 38 % dotázaných však svůj přístup k ochraně před hackerskými útoky měnit nehodlá.

    Pokud se chceme vyhnout ohrožení, měli bychom si především udělat pořádek ve svých heslech. Nikdy bychom neměli stejné heslo používat na více místech, aby v případě jeho prolomení nedošlo k ohrožení více účtů. Hesla bychom měli také pravidelně měnit. Kdo to v poslední době nedělal, měl by si nyní hesla aktualizovat a nastavit si upozornění zase za rok. Případně je možné využít správce hesel. Ten za vás vytvoří složitá náhodná hesla, která si přitom nebudete muset pamatovat,“ radí Malina.

    Zatím si ale změnilo hesla nebo začalo používat správce hesel jen 5 % lidí. Stejně tak pouze 5 % dotázaných začalo používat dvoufázové ověření. To odborníci důrazně doporučují, protože se díky němu nikdo nemůže přihlásit k účtům z nového zařízení, aniž by to jejich vlastník schválil v mobilním telefonu.

    Softwarové společnosti nepřetržitě vyvíjí nové typy ochrany proti přibývajícím druhům virů a útoků. Uživatelé by si proto měli co nejčastěji aktualizovat svůj operační systém a antivirus, aby je ochránil proti nejnovějším hrozbám,“ doporučuje Malina. Operační systém si podle průzkumu aktualizovala jen necelá 4 % lidí. Méně než 10 % dotázaných si nainstalovalo na svých zařízeních antivirový program nebo si ověřili jeho aktualizaci.

    Ještě větší pozor by si měly dávat firmy, které mohou při kybernetickém útoku přijít o citlivá data. Měly by proto kromě hesel a antivirových programů používat i firewall a VPN, šifrovat pevné disky a průběžně monitorovat síť.

    Telekomunikační společnost WIA

    WIA je česká technologická společnost se specializací na telekomunikační služby pro domácnosti, firmy i instituce. Poskytuje mimo jiné internetové připojení, cloudová řešení, kybernetické zabezpečení či inovativní formy telekonferencí a týmové spolupráce.

    Zdroj: TZ; JM

  • Dopady ekonomických sankcí vůči Rusku mohou vést k nedodržení smluvních závazků ze strany ICT dodavatelů

    Dopady ekonomických sankcí vůči Rusku mohou vést k nedodržení smluvních závazků ze strany ICT dodavatelů

    Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal v souvislosti se vzrůstající hrozbou nedodržení smluvních závazků ze strany dodavatelů ICT služeb a produktů s významným vztahem k Ruské federaci VAROVÁNÍ podle zákona o kybernetické bezpečnosti. K vydání tohoto Varování přistupuje z preventivních důvodů, přesto je hrozba pravděpodobná až velmi pravděpodobná.

    Hrozba spočívá v dopadech ekonomických sankcí vůči i ze strany Ruské federace, které mohou vést k nedodržení smluvních závazků ze strany ICT dodavatelů, kteří mají významný vztah k Ruské federaci.

    NÚKIB doporučuje organizacím podléhajícím zákonu o kybernetické bezpečnosti podniknout preventivní kroky k tomu, aby možné nedodržení smluvních závazků ze strany dodavatelů s významným vztahem k Ruské federaci neomezilo funkčnost jimi spravovaných systémů. Dále doporučuje zohlednit tuto hrozbu v plánech kontinuity činností tak, aby bylo možno zajistit poskytování služeb i pokud se hrozba realizuje.

    K vydání tohoto Varování přistupujeme z preventivních důvodů. Varujeme před zvýšenou mírou hrozby, kterou se osoby povinné podle zákona o kybernetické bezpečnosti mají zabývat i běžně. Jedná se o hrozbu, že některý jejich důležitý dodavatel ICT nedodá potřebné produkty či služby. NÚKIB Varováním stanovuje úroveň této hrozby, která souvisí s dodavateli, u kterých je vzhledem k aktuálním ekonomickým sankcím vyšší šance, že nebudou schopni plnit své závazky,“ říká ředitel NÚKIB Karel Řehka.

    NÚKIB tuto hrozbu z hlediska pravděpodobnosti hodnotí na úrovni Vysoká, tedy hrozba je pravděpodobná až velmi pravděpodobná. V souvislosti s touto hrozbou doporučuje provedení úkonů, které jsou popsány ve VAROVÁNÍ.

    Varováním se správci a provozovatelé systémů regulovaných zákonem o kybernetické bezpečnosti musí zabývat, zejména ji musí zohlednit v analýze rizik a přijmout adekvátní opatření. Návrh možných opatření obsahuje vydané Varování. Osobám, které nespadají pod zákon o kybernetické bezpečnosti, lze rovněž doporučit, aby zvážily provedení kroků doporučovaných Varováním, pokud to pro své potřeby shledají jako relevantní.

    Celý text Varování najdete na tomto odkazu.

    Zdroj: nukib.cz; JM

  • ÚMČ Praha 5 intenzivně řeší následky kybernetického útoku, provoz je částečně omezen

    ÚMČ Praha 5 intenzivně řeší následky kybernetického útoku, provoz je částečně omezen

    MČ Praha 5 je pod kybernetickým útokem a v současné době řeší technické a bezpečnostní záležitosti v souvislosti s touto mimořádnou situací. Provoz odborů ÚMČ Praha 5 je dočasně omezen a požadavky, ke kterým je nutno využít počítačové technologie, nelze v současné době uskutečnit. Již 16. 3. podala starostka MČ Prahy 5 Mgr. Renáta Zajíčková trestní oznámení na neznámého pachatele ve věci kybernetického útoku na IT systémy MČ Prahy 5.

    ÚMČ Praha 5 intenzivně řeší následky kybernetického útoku. Z tohoto důvodu je od pondělí 21. 03. 2022 provoz úřadu stále ještě v omezeném režimu. Je možné komunikovat přes datovou schránku MČ. „O dalších krocích či znovuobnovení jednotlivých agend odborů bude veřejnost neprodleně informována,“ vzkazuje prostřednictvím webových stránek MČ Praha 5 svým občanům.

    Dne 16. 3. 2022 podala starostka MČ Prahy 5 Mgr. Renáta Zajíčková trestní oznámení na neznámého pachatele ve věci kybernetického útoku na IT systémy MČ Prahy 5. Vzhledem k vyšetřování policií ČR není možné poskytovat více informací.

    Seznam všech aktuálně fungujících služeb, činností a kontaktů je k dispozici na webových stránkách úřadu.

    Zdroj: praha5.cz; JM

  • Reakce na bezpečnost používání ruského softwaru a hardwaru: ruské firmy a dopady na ICT

    Reakce na bezpečnost používání ruského softwaru a hardwaru: ruské firmy a dopady na ICT

    Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) reaguje na četné dotazy týkající se používání ruského softwaru a hardwaru. Jejich legislativa totiž umožňuje zpravodajským službám a silovým složkám daného státu narušit důvěrnost u společností, které se nacházejí v jejich jurisdikci. V případě Ruské federace NÚKIB doposud neměl dostatečnou informační jistotu k tomu, aby vydal zákonné opatření, které by omezovalo možnosti použití těchto produktů v systémech regulovaných zákonem o kybernetické bezpečnosti.

    NÚKIB reaguje na časté dotazy, které se týkají bezpečnosti používání ruského softwaru a hardwaru. Dlouhodobě vyhodnocuje možná rizika spojená s produkty, jejichž vývoj či výroba probíhá v Rusku a dalších zemích, jejichž legislativa umožňuje zpravodajským službám a silovým složkám daného státu narušit důvěrnost, dostupnost či integritu uchovávaných nebo zpracovávaných dat u společností, které se nacházejí v jejich jurisdikci.

    V případě Ruské federace NÚKIB doposud neměl dostatečnou informační jistotu k tomu, aby vydal zákonné opatření, které by omezovalo možnosti použití těchto produktů v systémech regulovaných zákonem o kybernetické bezpečnosti. Přesto však upozorňuje uživatele těchto produktů na možnosti, které Ruské federaci dává jeho legislativa. Současně upozorňuje, že izolace Ruska může mít dále vliv na poskytování podpory uživatelům, což se týká zejména bezpečnostních aktualizací a zveřejňování informací o nových hrozbách. Upozorňuje na potřebu zohlednit výše uvedené skutečnosti v analýze rizik.

    Zdroj: nukib.cz; JM

  • Sociální sítě jako válečná zbraň

    Sociální sítě jako válečná zbraň

    Zatímco několik set kilometrů od našich hranic dochází k ruské vojenské invazi na Ukrajinu, bojištěm hybridní války je také Česká republika. Přestože se informační boj odehrává ve virtuálním prostředí sociálních sítí, jeho důsledky přinesou utrpení skutečným lidem ve skutečném světě.

    Síla sociálních sítí

    Sociální sítě nejsou jen zábavní platforma. Podle výzkumu AMI Digital Index 38 % Čechů říká, že sítě jsou pro ně zdrojem zpráv a informací o světě. Měli bychom si proto být dobře vědomi, že všechny informace, které skrze sociální sítě dostáváme, prošly velmi přísným filtrem a jsou nám šité na míru. Cílem algoritmů sociálních sítí v žádném případě není poskytovat nám vyvážené zpravodajství. Na sociálních sítích se setkáváme výhradně s tím, co chceme a priori vidět.

    Jak je to možné? Sociální sítě usilují o naši pozornost a chtějí docílit toho, že na nich budeme trávit co nejvíce času. Proto o nás neustále sbírají velké množství informací, učí se, co máme rádi, a následně nám poskytují právě takový a pouze takový obsah, který odpovídá našim preferencím a zájmům. Milovník aut uvidí více příspěvků s auty. Nastávající maminka bude obklopena obrázky malých dětí. A toho, kdo věří na chemtrails, algoritmy obklopí „nezvratnými důkazy“ a příspěvky dalších stejně smýšlejících lidí.

    Efekt komnaty ozvěn

    Všechny sociální sítě proto jsou ideálním prostředím pro vznik komnaty ozvěn – uzavřeného prostoru, ve kterém se setkávají výhradně lidé společného náhledu na svět. V každé komnatě ozvěn, ať jde o skupinu na Facebooku nebo diskuzi pod příspěvkem populistického politika, rezonují jen určité názory, které jsou většinou obyvatel komnaty přijímány, zatímco oponentní názory jsou ostře odmítnuty.

    To vede k radikalizaci i jinak umírněných lidí. Pokud nás algoritmus Facebooku začne obklopovat nekriticky a jednostranně interpretovanými politickými zprávami, pokud získáme dojem, že všichni naši virtuální „přátelé“ zastávají jediný názor, sami se v důsledku potvrzujícího zkreslení a v touze sdílet světonázor svého okolí začneme utvrzovat v tom, že tento názor je jediný možný a jediný správný.

    Informační boj

    Facebookové skupiny jsou typickou zbraní hybridní války. Je pozoruhodné, že skupiny, které ještě donedávna šířily protiočkovací agendu, nyní plynule přešly na proruský narativ. Dobrým příkladem je skupina Češi, táhněme za jeden provaz, která má více než 33 tisíc členů. Ve skupině se nyní šíří především příspěvky podporující ruskou invazi a materiály ruské propagandy.

    Důsledky informačního boje

    Cílem informačního boje není přesvědčit české občany, že „Rusko je dobré, Západ je špatný“, ale rozmělnit fakta v duchu přísloví „na každém šprochu pravdy trochu“. Proto tématem hybridního boje není výhradně adorace Ruska, ale typicky migrace (narativ „EU nezvládá migraci a vystavuje své občany bezpečnostnímu riziku“) nebo covid (narativ „západní elity se snaží ovládnout obyčejné lidi skrze smyšlenou pandemii“). Důsledkem je rozvrácená a polarizovaná společnost, která nedůvěřuje svým politikům, elitám a autoritám. Politici bez jasné a silné důvěry občanů pak nemají mandát činit jasná a silná politická nebo vojenská rozhodnutí. Hybridní operace Ruska na sociálních sítích v České republice tedy může ovlivnit ochotu českých politiků zasáhnout na Ukrajině.

    Staňte se opravdovými hrdiny hybridního boje

    Chcete se stát hrdiny hybridního boje? Máte možnost. Kriticky hodnoťte předkládané informace. Když narazíte na nepravdivý příspěvek, nelajkujte ho, nesdílejte, nekomentujte – to vše by napomohlo jeho dalšímu šíření. Přestaňte sledovat lidi, kteří nepodložené informace rozšiřují. Na dezinformace můžete také upozornit organizaci Demagog.cz, která spolupracuje přímo s Facebookem a Instagramem, pomáhá označovat nepravdivé příspěvky a může zajistit, aby se dále nešířily.

    Zdroje: AMI Digital Index 2021, https://amidigital.cz/ami-digital-index-2021/

    Autor: Ondřej Tyleček (www.fairytailors.cz), zpracovala Andrea Novotná

  • NÚKIB vydal metodiku k hlášení kybernetického bezpečnostního incidentu, má přinést větší právní jistotu a zvýšit počet nejvýznamnějších hlášení

    NÚKIB vydal metodiku k hlášení kybernetického bezpečnostního incidentu, má přinést větší právní jistotu a zvýšit počet nejvýznamnějších hlášení

    Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal „Metodiku k hlášení kybernetického bezpečnostního incidentu“. Dokument má za cíl stanovit, které případy narušení bezpečnosti informací lze považovat za taková narušení dostupnosti, důvěrnosti a integrity, která není nezbytně nutné hlásit Úřadu a jejichž hlášení nebude Úřad vymáhat, což by mělo mít za cíl přinést větší právní jistotu a zvýšit počet hlášení kybernetických bezpečnostních incidentů, zejména těch nejvýznamnějších.

    V kybernetickém prostoru a fyzickém světě může nastat řada situací, při nichž dojde k narušení dostupnosti, důvěrnosti nebo integrity informací. V praxi se mohou tyto situace velmi lišit ve svém reálném dopadu – od zcela zásadních, až po zcela marginální, nemající žádný dopad na poskytované služby nebo shromážděné údaje. Zákon č. 181/2014 Sb., o kybernetické bezpečnosti (dále jen „zákon o kybernetické bezpečnosti“), již od svého původního znění ukládá povinnost orgánům a osobám, které pod něj spadají, hlásit kybernetické bezpečnostní incidenty relevantním CERT týmům – vládnímu CERT nebo národnímu CERT.

    Počet hlášených kybernetických bezpečnostních incidentů dlouhodobě neodpovídá reálnému počtu incidentů

    Dosavadní zkušenosti NÚKIB však vedou k tomu, že počet hlášených kybernetických bezpečnostních incidentů dlouhodobě neodpovídá reálnému počtu incidentů, které by měly být hlášeny. Vedle celé řady potenciálních problémů v rámci procesu zvládání kybernetických bezpečnostních incidentů u jednotlivých povinných osob se dále jako jeden z důvodů dlouhodobě jeví především problematická šíře definice kybernetického bezpečnostního incidentu podle § 7 odst. 2 zákona o kybernetické bezpečnosti a srozumitelnost platné právní úpravy. Úřad měl a má z tohoto důvodu dlouhodobý cíl – stanovit, které případy narušení bezpečnosti informací lze považovat za taková narušení dostupnosti, důvěrnosti a integrity, která není nezbytně nutné hlásit Úřadu a jejichž hlášení nebude Úřad vymáhat, což by mělo mít za cíl přinést větší právní jistotu a zvýšit počet hlášení kybernetických bezpečnostních incidentů, zejména těch nejvýznamnějších.

    Tento dokument vznikl jako základ realizace tohoto cíle a odráží

    • poznatky Úřadu a jeho zkušenosti,
    • princip zasahování veřejné moci do práv osob pouze v nezbytném rozsahu a zásadu

    hospodárnosti a efektivnosti,

    • skutečnost, že mezinárodní diskurs směřuje k hlášení pouze incidentů s významným

    dopadem, a

    • smysl a účel povinnosti hlásit kybernetické bezpečnostní incidenty.

    Celý dokument „Metodika k hlášení kybernetického bezpečnostního incidentu“ najdete zde.

    Zdroj: nukib.cz, publikace Metodika k hlášení kybernetického bezpečnostního incidentu; JM