V roce 2023 zaznamenal Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) rekordních 262 vážných kybernetických incidentů, což je téměř dvojnásobek oproti roku 2022. Toto zvýšení bylo způsobené především opakovanými DDoS útoky ze strany proruských hacktivistických skupin. Zvláštní pozornost byla věnovaná dvěma velmi významným incidentům, z nichž jeden postihl strategickou státní instituci a druhý subjekt z obranného sektoru.
Mezi nepříliš vítané novinky patřil nový typ útoku – operace s vysokým počtem účtů vytvořených pomocí botů a rychlý vývoj v oblasti AI a LLM. Ten přispěl k novým typům kybernetických útoků, jako je generování phishingu a škodlivého kódu. Předpokládá se, že tento typ útoku bude do budoucna výrazně častější a sofistikovanější. K posílení kybernetické obrany by měl přispět i nový zákon o kybernetické bezpečnosti (ZoKB), který nabude účinnosti v říjnu tohoto roku. Mimo jiné bude zahrnovat směrnici NIS2.
Evropská komise přijala 31. ledna 2024 první dobrovolné certifikační schéma pro ICT produkty, zvané EUCC. Toto certifikační schéma, které vstoupilo v platnost 27. února 2024, usiluje o zjednodušení a sjednocení procesu hodnocení bezpečnosti ICT produktů napříč EU a zvýšení důvěry spotřebitelů v tyto produkty. Od 27. února 2025 bude možné získat certifikaci dle tohoto schématu.
NÚKIB se aktivně podílí na přípravě této iniciativy a nabízí rozsáhlé informace a podporu na specializovaném webu i prostřednictvím online semináře plánovaného na 27. března 2024. Ten by měl poskytnout podrobnější informace o procesu akreditace a autorizace. Další podrobnosti o akreditaci a autorizaci pro EUCC budou zveřejněné v průběhu března Českým institutem pro akreditace (ČIA).
NÚKIB zkoumá čínský e-shop Temu kvůli možnému nelegálnímu sběr dat, podobně jako to bylo dříve s TikTokem a WeChatem. Čeští zákazníci přitom Temu využívají stále více, stejně jako je tomu u zahraničních spotřebitelů. Společnost Grizzly Research identifikovala aplikaci Temu jako spyware, který může tajně sbírat data uživatelů – doslova uvádí, že aplikace Temu je „nejnebezpečnější spyware, který je v současné době v širším oběhu“.
Aplikace totiž obsahuje funkce s potenciálem získáním přístupu ke všem datům v mobilním zařízení. Existují podezření, že Temu může v budoucnu monetizovat data zákazníků. NÚKIB doporučuje opatrnost – zatím nevydal oficiální varování, ale nabádá k ostražitosti při stahování a používání aplikace Temu, zejména co se týče oprávnění aplikace k používání kamery, mikrofonu a instalaci softwarových balíků.
Úřad pro ochranu osobních údajů (ÚOOÚ) zveřejnil novou metodiku k návrhu a provozování kamerových systémů, která má pomoci zpracovatelům osobních údajů a dodavatelům kamerových systémů se lépe orientovat v povinnostech vyplývajících z GDPR. Metodika pokrývá kamerové systémy se záznamem i v režimu online a navrhuje jejich řazení do čtyř tříd s příklady minimálních opatření a balančního testu. Metodika není právně závazná, ale její aplikace by měla zajistit soulad s GDPR a pokyny EDPB č. 3/2019.
Jak už jsme vás předběžně informovali v prosincovém bulletinu, NÚKIB potvrdil spolupráci s Českým svazem ledního hokeje na zajištění kybernetické bezpečnosti během Mistrovství světa IIHF v ledním hokeji 2024, které se bude konat v Praze a Ostravě. Memorandum mezi NÚKIB a ČSLH zahrnuje spolupráci při zajištění chodu šampionátu a pomoc při řešení případných kybernetických incidentů. Tato akce představuje první spolupráci NÚKIB na takto rozsáhlé sportovní události a odborníky je považovaná za poněkud kontroverzní krok vzhledem k tomu, že NÚKIB je veřejná instituce zajišťující podporu soukromé, nikoliv veřejné akci.
Nový systém elektronických přihlášek na střední školy, dipsy.cz, za kterým stojí Centrum pro zjišťování výsledků vzdělávání (CERMAT), provází od začátku řada problémů a bizarních situací. Nevítaný ohlas způsobil například podíl na vývoji systému nezletilým synem ředitele CERMATu. Kromě diskutabilní (ne-)funkčnosti vyvolává v současnosti obavy z hlediska ochrany osobních údajů a GDPR.
Spolek pro ochranu osobních údajů upozorňuje na nedostatečnou transparentnost a potenciální porušení pravidel GDPR, zejména v kontextu zpracování citlivých údajů nezletilých uchazečů. Dále existují pochybnosti ohledně transparentnosti a dostupnosti informací o zpracování údajů. Nejen v samotném systému dipsy.cz, ale i na webu CERMATu nebo MŠMT.
Consent Mode V2 je aktualizace od Googlu, která se týká způsobu, jakým weby shromažďují souhlasy uživatelů v souladu s pravidly pro používání cookies a GDPR. Nová verze přidává parametry umožňující uživatelům rozhodnout nejen o sběru dat, ale i o jejich využití v reklamních systémech. Consent Mode V2 je vhodný pro webmastery v EU a EHP a začíná platit od března 2024. Webům, které používají Google produkty jako GA4 nebo GTM, se doporučuje Consent Mode V2 implementovat pro zachování funkčnosti remarketingu a modelování konverzí.
Novela zákona připravovaná ministerstvem pro místní rozvoj zavádí centrální registr ubytovaných – cílem je digitalizace a zpřehlednění trhu s ubytováním a zjednodušení byrokracie pro poskytovatele ubytovacích služeb. Registr má zahrnout cizince i české občany a bude sloužit k lepšímu výběru daní i kontrole ubytovacích zařízení. Diskuse se točí kolem ochrany soukromí – údaje mají být v registru šest let. Celý systém vyvolává otázky o zásahu do soukromí a možném napadnutí u Ústavního soudu. Další informace naleznete v rozhovoru na dané téma.
NÚKIB doporučuje kurz „Základy kybernetické bezpečnosti pro učitele“ pro vzdělávání dětí o rizicích kyberprostoru a bezpečném pohybu v něm – kromě témat orientovaných na školní prostředí v kurzu najdete i základní informace, které by děti měly vědět třeba o sociálních sítích, kyberšikaně, kybergroomingu nebo o online sexuálním chování.
Máme radost, že se mladá generace zajímá o technologie a těší nás podporovat jejich další profesní rozvoj. Ůčastníci Technologické olympiády mohli shlédnout několik videoklipů, níže můžete i vy: