Rubrika: Kyberbezpečnost

Co všechno v rámci společnosti 2K Consulting s.r.o. děláte?

Naše společnost se zaměřuje na řešení problematiky bezpečnosti v různých oblastech.  Aktuálně máme nejvíce klientů v oblasti ochrany osobních údajů (GDPR) a spisové služby. V naší nabídce také najdete BOZP, PO a ochranu měkkých cílů. Klientům se snažíme nabídnout komplexní služby v oblasti bezpečnosti.

Rozsáhlá činnost vyžaduje spoustu odborníků. Kdo všechno s vámi spolupracuje?

Momentálně máme v týmu kolem 15 osob, pokud nepočítám partnerské organizace, které jsou součástí našich projektů. V našich řadách najdete bývalé příslušníky bezpečnostních sborů nebo zaměstnance, kteří pracovali na oddělení auditu ve státní a veřejné správě. Podařilo se nám také oslovit odborníky na IT právo a kyberbezpečnost. V oblasti GDPR jsme členem Spolku pro ochranu osobních údajů, z.s. a máme zastoupení v pracovních skupinách. Dále jsme členy ASMP a Hospodářské komory.

Pro koho jsou vaše služby vhodné?

Máme klienty ze státní sféry a veřejné správy, kde zajišťujeme služby pro obce a jejich příspěvkové organizace tedy převážně školy a školská zařízení. Každopádně jsou naše služby vhodné i pro komerční sektor tj. firmy a OSVČ.

Co se týče škol, jak hodnotíte úroveň v oblasti bezpečnosti?

Myslím si, že jsme stále na začátku, kdy bude potřeba hodně práce. Vedení škol a pedagogové jsou zavaleni administrativní činností a bezpečnost je pro ně pojem, který vnímají, ale nemají čas a kapacitu se jí intenzivněji věnovat. Vše je většinou v pořádku do doby, než se stane bezpečnostní incident. Já jsem začal realizovat projektové dny na bezpečnost a učím pedagogy i žáky vnímat tuto oblast zábavnou formou.

Myslíte, že by dětem dnes pomohla branná výchova?

Výchova ke zvládání krizí neboli branná výchova na základní a střední školy určitě patří.

Někdy se tohoto tématu okrajově dotknou v dějepise nebo občanské výchově. Projektové dny zaměřené na bezpečnost, které na školách probíhají, jsou tak podle mne důležité. Je potřeba žákům zábavnou formou přiblížit, jak zvládat krizové situace u mimořádných událostí. Nácvikové akce, jak bojovat se střelcem nebo ozbrojeným útočníkem již na školách probíhají formou spolupráce s Policii ČR nebo jinými složkami IZS.

Co je v současnosti největší bezpečnostní problém v institucích?

Největším bezpečnostním problémem jsou ve většině případů zaměstnanci. Selhání formou porušení pravidel, interních předpisů a směrnic, může mít za následek nejen škody v oblasti financí, ale také může dojít i k ohrožení života s následkem smrti.  Jelikož dnes přechází organizace častěji do online prostředí, je kybernetická bezpečnost velice důležitá. Hackerské útoky ukázaly na spoustě příkladů, jak moc může bolet, když máte omezený či zcela nefunkční systém či provoz. Vždy je lepší prevence než čekat na bezpečnostní incident či jinou mimořádnou událost.

Velkým tématem bylo a občas stále je GDPR. Podle mínění některých lidí to je jen další administrativní zátěž. Co byste jim jako odborník odpověděl?

Uvedu hned na začátek příklad. Představte si, že využíváte řadu mobilních aplikací pro „snadnější život a pohodu mít vše v telefonu“, najednou Vám někdo tento telefon odcizí a Vy přijdete o všechno, včetně krádeže Vaší osobní identity, která může mít pro Vás velké následky. Ochrana osobních údajů tu byla uzákoněna od roku 2001, není to věc nová. Firmy a organizace by tedy k implementaci GDPR měly přistupovat zodpovědně. To, že se Evropská Unie rozhodla nastavit jednotná pravidla pro všechny může být vnímáno jako diktát, ale každá organizace je zodpovědná za zpracování osobních údajů svých klientů a zaměstnanců a musí jí brát zodpovědně. V případě spáchání bezpečnostní incidentů, pak může docházet nejen k udělení sankcí od kontrolních a dozorových orgánů, ale také k vymáhání náhrady škody. Za důležité také považuji to, že každá organizace, musí mít jasně definovaná pravidla odpovědnosti jednotlivých zaměstnanců při zpracování osobních údajů, včetně pracovní náplně, pracovních smluv a pravidelného školení v této problematice.

Ovlivnila Vaši práci epidemie covid?

Pokud vykonáváte služby formou auditní činnosti, tak se bez místního šetření neobejdete. Byli jsme tedy odkázání pouze na odborné konzultace, které jsme poskytovali formou telekonferencí a využití jiných online služeb.

Co Vás přivedlo k oblasti bezpečnosti?

Byl jsem členem pracovních skupin v oblasti prevence kriminality a na toto téma byla pak zaměřená má diplomová práce. Po studiích na VŠ, jsem měl nastoupit k Policii ČR, ale pak přišla autonehoda a od záměru jsem ustoupil. V oblasti bezpečnosti tak pracuji od roku 2013 a nelituji. Je to velmi zodpovědná a náročná práce. Oceněním pro mě je také to, že jsem se byl v roce 2020 vyhlášený jako pověřenec roku v oblasti ochrany osobních údajů (GDPR).

Co plánujete ve 2K Consulting do budoucna?

Plány a záměry jsou jasné. Určitě půjdeme cestou budování dlouhodobých vztahů s našimi klienty a obchodními partnery. Jde nám především o kvalitu v oblasti poskytování služeb, budování důvěry a aby se na nás klienti mohli spolehnout. Budeme usilovat o rozvoj našich projektů Bezpečný úřad a Bezpečná organizace.

 

 

.

Sedm přednášek a sedm expertů v jednom dni nabídne 9. ročník česko-slovenské bezpečnostní konference HackerFest 2021. Přednášky budou vysílány online přes customizované rozhraní a budou určeny pro CIO, IT ředitele a manažery, IT Security manažery, bezpečnostní specialisty, a všechny zájemce o téma IT bezpečnost, hacking, a etický hacking.

Konference HackerFest 2021 ukáže nejnebezpečnější triky současných hackerů, hacking moderních zařízení, webových aplikací, operačních a antivirových systémů na reálných ukázkách nejaktuálnějších hacking hrozeb v celém světě. Přednášet budou William Ischanoe, Ondřej Ševeček, Martin Haller, Roman Kümmel, Jan Marek a Jan Pilař.

Cílem konference je ukázat nejucelenější přehled nejvíce nebezpečných podob hackingu, seznámení se s hackingem ve všech aktuálních podobách a vytvoření představy o bezpečnostních slabinách vaší firmy.

Konferenci organizuje počítačová škola GOPAS, která je největším poskytovatelem školení v oblasti informačních technologií na českém i slovenském trhu. I přesto, že působí na poměrně malém trhu, patří GOPAS k jedněm z největších poskytovatelů IT školení v Evropě.

Více informací najdete zde.

Zdroj: hackerfest.cz, gopas.cz

Společnost O2 vydala Security report za první část roku 2021, kde ukazuje konkrétní případy útoků a také způsoby, jakým se hackeři snažili přepadnout firemní infrastruktury. Celkem zaznamenala díky službě O2 Security 199 400 000 konkrétních incidentů.

Pandemie onemocnění Covid-19 nastolila ve světě velmi nezvyklou situaci. Jednou ze změn, která plošně ovlivnila pracovní sféru, bylo časté zařazování home office ze strany zaměstnanců. Práce se tedy mnohem více přesunula do online prostředí a na cloudy, čehož využili právě hackeři, jak tvrdí Security report společnosti O2.

Například hackeři konkrétně využívali např. Vir Conficker (64 000 incidentů za měsíc leden), virus využívající nedostatky v operačním systému Windows. Díky nim je napadený počítač zpřístupněn vzdálenému připojení. Vysoký počet incidentů byl spojen také se softwarem Blackdoor agent (13 000 incidentů za měsíc leden), který se šíří pomocí podvodných e-mailů.

Mezi další způsoby ohrožující firemní struktury patřily v mnoha případech např. Ramnit, Authedmine, Awesometoptreats, Free Gifts nebo Phishing.

„Typická phishingová kampaň využívala například výročí firmy Adidas. Jak už to bývá, k získání “dárků” od firmy bylo potřeba vyplnit osobní údaje. Za ně falešný „adidas“ sliboval zdarma boty, trička nebo roušky. Mezi údaji byl i požadavek k uhrazení poštovného, čímž útočníci získali jak drobnou sumu za poštovné, tak i údaje k vaší kreditní kartě, které dokázali dále obratem zneužít,“ uvádí report O2.

 

Více konkrétních informací naleznete zde.

Zdroj: blog.o2.cz

Vláda schválila Akční plán ke strategii kybernetické bezpečnosti, který dává jasnou představu, kam se Česká republika chce v zajišťování kybernetické bezpečnosti a také budování kybernetické obrany v následujících pěti letech ubírat. Akční plán obsahuje body týkající se např. posílení kybernetické bezpečnosti ve zdravotnictví, posuzování rizikového profilu dodavatelů, omezování vysoce rizikových dodavatelů pro bezpečné zavádění telekomunikačních sítí nastupujících generací i efektivní strategické komunikace zaměřené na zvládání velkých kybernetických bezpečnostních incidentů.

Samotná Národní strategie kybernetické bezpečnosti stojí na třech základních pilířích: Sebevědomě v kyberprostoru, Silná a spolehlivá spojenectví a Odolná společnost.

Nově schválený akční plán obsahuje konkrétní kroky směřující k dosažení cílů jednotlivých strategií.

„Strategie a akční plán dávají jasnou představu, kam se ČR chce v zajišťování kybernetické bezpečnosti a také budování kybernetické obrany v následujících pěti letech ubírat. Zároveň je ze strategie i akčního plánu jasně patrná vůle ke spolupráci nejen napříč státní sférou a bezpečnostními složkami, ale i s akademickou sférou a soukromým sektorem. Což je možná to vůbec nejdůležitější, protože kybernetická bezpečnost musí stát na spolupráci,“ říká ředitel NÚKIB Karel Řehka.

Sebevědomě v kyberprostoru

V rámci tohoto pilíře nabízí akční plán tematické celky: Společný přístup ke kybernetické bezpečnosti, Strategická komunikace, Bezpečná infrastruktura, Rozvoj schopností, Sebevědomá reakce, Prevence a potírání kriminality, Národní právní úprava, Úpravy a aktualizace regulatorního rámce a Věda a výzkum.

Silná a spolehlivá spojenectví

Tematické celky tohoto pilíře jsou: Efektivní mezinárodní spolupráce, prohlubování a tvorba aktivních spojenectví, Mezinárodní právo, správa internetu a lidská práva online a Sdílení schopností a expertizy.

Odolná společnost

V rámci Odolné společnosti se potom jednotlivé body zabývají těmito tématy: Zabezpečení digitální veřejné správy, Kvalitní systém vzdělávání, Osvětová a vzdělávací činnost a Odborné vzdělávání a posilování expertní základny.

Zkušenosti z loňského i letošního roku ukázaly, že je velmi důležité věnovat se zejména kybernetické bezpečnosti v oblasti zdravotnictví. Akční plán proto počítá s kontinuálním posilováním kybernetické bezpečnosti v tomto segmentu pomocí tvorby metodických materiálů, cvičení, sdílení informací o hrozbách a dalšími způsoby. Velkou pozornost si také připisuje mechanismus atribuce závažných kybernetických útoků, krizové řízení a přípravy na případné budoucí krize.

Celý Akční plán ke strategii kybernetické bezpečnosti najdete zde.

Zdroj: nukib.cz

V pondělí 26. července schválila vláda Zprávu o stavu kybernetické bezpečnosti (ZSKB), která je hlavním dokumentem, jenž shrnuje dění v oblasti kybernetické bezpečnosti v České republice v uplynulém roce. Počet kybernetických incidentů hlášených Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) loni vzrostl. Největší počet incidentů detekovaly instituce veřejné správy a zdravotnická zařízení.

Zatímco v roce 2019 bylo kybernetických incidentů 217, letos jich bylo nahlášených již 468. Zároveň roste i závažnost incidentů, což v loňském roce ukázaly například útoky na zdravotnický sektor.

 „Uplynulý rok jasně ukázal, že kyberprostor není bezpečným místem. Nikdo nemohl přehlédnout útoky ransomwarem, které v době nastupující pandemie ochromily mimo jiné Fakultní nemocnici Brno a způsobily škody za stovky milionů korun. Počet útoků kontinuálně narůstá a jejich obětí se stávají další a další instituce,“ uvádí ředitel NÚKIB Karel Řehka.

Mezi nejčastější typy útoků patřily v roce 2020 podle respondentů dotazníků spam, phishing a skenování vnějších sítí organizací. Oproti tomu čelily dotazované instituce pouze v řádu jednotek např. sniffingu (skenování vnitřní sítě) nebo nelegální těžbě kryptoměn.  Jako nejzávažnější útoky respondenti hodnotili ransomware, DoS/DDoS útoky, spear-phishingové e-maily a pokusy o zneužití zranitelností.

Celosvětový problém je nedostatek odborníků na kybernetickou bezpečnost.

Podíl vynaložených nákladů na kybernetickou bezpečnost zůstává s rokem 2019 srovnatelný a u většiny respondentů se opět pohybuje v rozmezí 0 – 5 % na celkovém rozpočtu organizací. S tím souvisí další ze závažných problémů – v kybernetické bezpečnosti je nedostatek prostředků na její zajišťování a také nedostatek odborníků, který představuje celosvětový problém. V důsledku vyšší poptávky jsou schopny vyšší mzdové náklady těchto odborníků zaplatit spíše organizace ze soukromého sektoru. Za nejhůře obsaditelné role či služby v oblasti kybernetické bezpečnosti považují respondenti architekta kybernetické bezpečnosti a bezpečnostní dohled SIEM.

Ochrana profilů na sociálních sítích.

Ze ZSKB také vyplývá např. to, že se organizace nezaměřují na ochranu svých sociálních sítí. Celkem 68 % respondentů nepoužívá k jejich zabezpečení vícefaktorové ověření, přestože výrazně zvyšuje zabezpečení přístupu k digitálním platformám a při zneužití odcizeného účtu může dojít například k poškození reputace napadené instituce. 86 % respondentů potom nemá zpracované ani postupy pro řešení případného zcizení účtů na sociálních sítích.

Zprávu o stavu kybernetické bezpečnosti České republiky za rok 2020 naleznete zde.

Zdroj: nukib.cz, ZSKB

V Izraeli proběhla v termínu 19. – 22. července konference Cyber Week, na níž ředitel Národního úřadu pro kybernetickou a informační bezpečnost Karel Řehka pronesl jeden ze zahajovacích projevů týkající se národní strategie kybernetické bezpečnosti na léta 2020 – 2025.

Cyber Week je jednou z největších a nejprestižnějších světových akcí, které se zaměřují na kybernetickou bezpečnost a každoročně se jí účastní tisíce expertů na tuto oblast. Dlouhodobě patří k nejsledovanějším událostem roku.

Karel Řehka, ředitel Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), pronesl jeden ze zahajovacích projevů na konferenci Cyber Week, která se konala koncem července v Tel Avivu v Izraeli. Projev se týkal především Národní strategie kybernetické bezpečnosti na léta 2020 – 2025, kterou koncem loňského roku schválila vláda. Tato strategie je založena na třech základních pilířích, jež se nazývají: Sebevědomě v kyberprostoru, Silná a spolehlivá spojenectví a Odolná společnost.

„Naše Národní strategie kybernetické bezpečnosti vychází z nutnosti celostního přístupu ke kybernetické bezpečnosti a spolupráce napříč celou společností, a to jak na domácí půdě, tak i na mezinárodním poli,“ uvedl Řehka. „Česká republika vnímá Izrael jako svého dlouholetého přítele, přičemž pevnost tohoto přátelství byla již mnohokrát prověřena. Jsem hrdý, že se to týká i oblasti kybernetické bezpečnosti, která může sloužit jako příklad tohoto spojenectví.“

Kromě zástupců NÚKIB se akce zúčastnila také delegace poslanců Parlamentu ČR a zástupci našeho diplomatického sboru. Čeští zástupci v Izraeli zároveň jednali s řadou místních institucí dlouhodobě spolupracujících s Českou republikou. Patří mezi ně například izraelský protějšek NÚKIB Izrael National Cyber Directorate (INCD), izraelské ministerstvo obrany, Israel Cyber Alliance, Mezioborové centrum kybernetického výzkumu na univerzitě v Tel Avivu a další.

„Izrael patří v oblasti kybernetické bezpečnosti k naprosté špičce. Naše vzájemná dlouhodobá spolupráce založená na oboustranné výměně informací a zkušeností je podpořená i tím, že zde NÚKIB má svého kybernetického attaché. Tato spolupráce je rovněž výrazným posílením bezpečnosti ČR, neboť náš přístup k ochraně kritické infrastruktury můžeme konzultovat s těmi nejlepšími,“ uzavírá Karel Řehka.

Cyber ​​Week nabízí jedinečné setkání odborníků na kybernetickou bezpečnost, lídrů v oboru, startupů, investorů, akademiků, diplomatů a vládních úředníků. V roce 2019 se akce zúčastnilo více než 9 000 hostů z více než 80 zemí. Cyber ​​Week nabízí podnětnou diskuzi o znalostech, metodách či nápadech z dané oblasti.

Více informací najdete na oficiálních stránkách zde.