Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) spolu s britskou Agenturou pro kybernetickou a infrastrukturní bezpečnost (CISA), americkým Federálním úřadem pro vyšetřování (FBI), americkou Národní bezpečností agenturou (NSA) a úřady pro kybernetickou bezpečnost Evropy, Velké Británie a Ameriky společně vydal 36stránkový dokument Principles and Approaches for Secure by Design Software. Zahrnuje principy vedoucí k bezpečnosti softwaru a jeho cílem je, aby se na trhu objevovaly odladěné produkty bez bezpečnostních zranitelností.
Ředitel NÚKIB Lukáš Kintr k dokumentu dodává: „Vážíme si spolupráce s CISA a ostatními mezinárodními partnery, kteří se na dokumentu podíleli. (…) Ve světě, kde narůstá závislost na technologiích, je nutné prosazovat přístup Secure by Design, který posílí naši kybernetickou odolnost, ochranu uživatelů i kritické infrastruktury, a to napříč kontinenty“.
Zbystřete, pokud využíváte ve WordPressu plugin sloužící k odesílání obsahu od uživatelů „User Submitted Posts“. Odborníci odhalili novou zranitelnost (CVE-2023–45603), která umožňuje i neautorizovaným uživatelům nahrávat soubory s vloženým kódem napsaným v PHP. K mitigaci zranitelnosti co nejdříve aktualizujte plugin na nejnovější verzi.
Evropská centrální banka (ECB) plánuje zavést tzv. digitální euro, měnu, která by při zachování možnosti hotovostních transakcí měla umožňovat elektronické online i offline platby. Chráněná by měla být maximálními bezpečnostními standardy. Evropský sbor pro ochranu osobních údajů (EDPB) spolu s Evropským inspektorem pro ochranu osobních údajů (EDPS) předložili ve společném stanovisku několik požadavků na zajištění vysoké úrovně ochrany dat i osobních údajů, zejména v režimu offline. Celé stanovisko zmíněných institucí k připravované digitální měně najdete v tomto dokumentu.
Používáte zařízení s webovým operačním systémem Cisco IOS XE s aktivovaným modulem web UI? Kritická zranitelnost CVE-2023-20198 umožňuje prostřednictvím podvrženého uživatelského účtu převzít kontrolu nad celým zařízením! Zranitelnost můžete mitigovat vypnutím modulu web UI. Pokud to z nějakého důvodu není možné, povolte dostupnost tohoto modulu pouze z lokální sítě.
NÚKIB ve spolupráci se zástupci tuzemských operátorů telekomunikačních služeb, ústředních správních úřadů, bezpečnostních složek a zpravodajských služeb uspořádal netechnické cvičení kybernetické bezpečnosti TELCO23, které proběhlo 17. a 18. října. Cílem cvičení bylo ověření správného nastavení procesů a scénářů v případě rozsáhlého kybernetického útoku, a to nejen z hlediska minimalizace škod způsobených kyberútokem, ale i z hlediska komunikace (k veřejnosti, médiím). Samotné scénáře, podle kterých se během cvičení postupovalo, čerpaly kromě jiného i z kvalifikovaného odhadu expertů na kybernetickou bezpečnost.
Není všechno zlato, co se třpytí, a i nablýskané produkty Applu mohou někdy pod líbivým povrchem ukrývat nemilá překvapení. Stejně jako procesory řady A a M. V případě Applu mají nekorektně implementovanou funkci spekulativního vykonávání procesního cyklu, kterou mohou využít útočníci k vypsání adresního prostoru přiděleného aplikaci Safari – a získat tak citlivá data. Apple žádnou opravu nemá v úmyslu a nezbývá tak než se spolehnout na slova objevitelů této bezpečnostní trhliny, že podobný útok je mimořádně náročný na provedení – a teoreticky se s ním setkáme pouze výjimečně.
Stále více uživatelů využívá i k pracovním účelům generativní umělou inteligenci prostřednictvím chatbotů jako ChatGPT nebo Bard. Ve Velké Británii jde dokonce o celých 65 % zaměstnanců. Pomiňme nyní etické otázky nebo zamyšlení nad kvalitou dat poskytovaných těmito chatboty, ale zaměřme se na bezpečnostní hledisko.
Jak je to s ochranou osobních údajů? Jak je to s citlivými daty, např. firemním know-how? Z výše uvedených 65 % Britů, co tyto aplikace používá v zaměstnání, jich celých 17 % zaneslo do chatbotů citlivá firemní data, i když si plně uvědomovali možná bezpečnostní rizika. Proč to představuje problém? Tato data se mohou následně použít k natrénování budoucích verzí AI. Navíc používání těchto aplikací vyžaduje další uživatelský účet, což je samo o sobě potenciální hrozbou (účet lze napadnout a získat tak např. historii komunikace).
Některé společnosti už proto využívání chatbotů k pracovním účelům zcela zakázaly (např. Samsung), jiné zavádí bezpečnostní politiky, které mají minimalizovat rizika. Vám doporučujeme alespoň jednu z těchto dvou variant nebo alespoň uspořádat firemní školení na dané téma.
Organizace se začínají připravovat na zavedení nových požadavků kybernetické bezpečnosti souvisejících s transpozicí směrnice NIS2 do českého prostředí. Jaké jsou první zkušenosti s posouzením stavu u organizací nově zavádějících požadavky kybernetické bezpečnosti? Jaký je stav a jaký vliv mají již provozované systémy managementu? Co je vhodné pro zavedení požadavků kybernetické bezpečnosti ve vyšší a nižší úrovni regulované služby?
Tyto otázky podrobně rozebíral náš kolega Antonín Šefčík na 11. ročníku konference kybernetické bezpečnosti pořádané českou pobočkou AFCEA International, kde sdílel své zkušenosti s přípravou organizací na nové požadavky kybernetické bezpečnosti.