Nový zákon o kybernetické bezpečnosti, zvýšené riziko ransomwarových útoků, hrozící zánik rodných čísel a další červnové novinky a události

NGSS prezentuje na významných konferencích

Nezůstáváme pozadu ani stranou a aktivně se účastníme odborných jednání, workshopů a konferencí zaměřených na informační a kybernetickou bezpečnost. Od zveřejnění posledního bulletinu jsme se podíleli hned na třech odborných eventech:

• Jednání skupiny iOK – dvoudenní akce informatiků Olomouckého kraje nabídla celou řadu prezentací. NGSS reprezentoval kolega Martin Juhás se svými přednáškami na téma NIS2 a návrh zákona o kybernetické bezpečnosti (o daném návrhu vás budeme informovat níže); probírala se ale i o bezpečná digitální identita či cloud.
• AFCEA konference – bezpečnostní seminář zaměřený na novou legislativu v oblasti kybernetické bezpečnosti, který začátkem června pořádala ČP AFCEA (Česká Pobočka Armed Forces Communications & Electronics Association – nezisková členská asociace sloužící armádě, vládě, průmyslu a akademické obci jako fórum pro rozvoj odborných znalostí a vztahů v oblasti komunikací a informačních technologií) spolu s NÚKIB (Národním úřadem pro kybernetickou a informační bezpečnost) a Policejní akademií ČR. Jednu z přednášek odprezentoval náš kolega Antonín Šefčík, a to na téma kybernetické bezpečnosti necelý rok po vydání směrnice NIS2 (podívejte se na celou prezentaci). 
• SUTOL Symposium 2023 – konference se za NGSS zúčastnil kolega Martin Hansgut a ve své přednášce se s posluchači podělil o spoustu užitečných podnětů ze své praxe dlouholetého administrátora prostředí Notes/Domino. V druhé prezentaci se pak Martin věnoval Dominu a jeho možnostem autentizace – prohlédněte si všechny přednášky.

Návrh nového zákona o kybernetické bezpečnosti v připomínkovacím řízení

NÚKIB v druhé polovině červan odeslal do mezirezortního připomínkovacího řízení návrh nového zákona o kybernetické bezpečnosti (podívejte se na aktuální návrh). Ten mimo jiné obsahuje i změny vyplývající z evropské bezpečnostní směrnice NIS2 a s konečnou platností by měl nabýt právní účinnosti nejpozději v říjnu 2024. Určitou zajímavostí byla možnost široké i odborné veřejnosti k danému návrhu zasílat připomínky a podněty, které se budou řešit právě v rámci výše uvedeného mezirezortního řízení.

Šéf NÚKIB, Lukáš Kintr, k domu dodává: „Veřejné konzultace nám poskytly cennou zpětnou vazbu, jiný pohled na náš prvotní návrh a celou problematiku. Velice si vážím tak hojného zájmu o bezpečnost českého kyberprostoru. Všem zapojeným děkuji nejen za zaslané podněty, ale i za související konstruktivní debatu, která se zcela určitě přenese také do meziresortního připomínkového řízení. Chystaná legislativa je logickým krokem a nezbytnou reakcí na technologický a bezpečnostní vývoj potřebný pro bezpečnost naší země a občanů. Kybernetická bezpečnost se v dnešní době týká nás všech.“

Padly další pokuty za porušení GDPR

Francouzský dozorový úřad pro ochranu osobních údajů aplikoval vůči společnosti KG COM proceduru One-Stop-Shop (tj. politiku jednoho správního místa) z důvodu, že uvedená společnost má zákazníky v několika členských státech Evropské unie. Podle francouzského dozorového úřadu KG COM shromažďoval nadměrné množství dat a také citlivé údaje bez předchozího a výslovného souhlasu, a navíc nezajistil dostatečnou bezpečnost dat. Konkrétně se jednalo o:

• systematické nahrávání telefonních hovorů,
• shromažďování zdravotních údajů a informací týkajících se sexuální orientace klientů,
• uchovávání bankovních údajů bez souhlasu jednotlivců
• a porušení oznamovací povinnosti při narušení zabezpečení údajů.

Výše udělené sankce vycházela z finanční situace společnosti (t. č. se záporným čistým výsledkem), struktury společnosti čítající pouze několik zaměstnanců, ale i z počtu poškozených subjektů, citlivosti údajů a zvlášť vysokého počtu porušení pravidel ochrany údajů – celková pokuta se vyšplhala do výše 150 000 €.

Dojde k omezení používání a dostupnosti rodných čísel?

Už delší dobu se spekuluje nad omezováním používání a dostupnost rodných čísel. Danou problematiku v posledním vydání Echo24.cz a Týdeník Echo komentuje (celý text dostupný pouze pro předplatitele) člen výboru Spolku pro ochranu osobních údajů František Nonnemann.  Ve větším detailu se s rodnými čísly, riziky spojenými s jejich plošným využíváním a možnými alternativami rodných čísel seznámíte přímo v oficiálním stanovisku Spolku pro ochranu osobních údajů.

Panuje zvýšené riziko ransomwarových útoků

NÚKIB upozorňuje na nové phishingové kampaně vedené proti českým strategickým cílům a veřejným institucím a také na nové trendy v chování ransomwarových útočníků. V posledních dvou týdnech panuje zvýšená aktivita kyberzločineckých skupin, které při svých útocích využívají právě techniku ransomwarových útoků. V souvislosti s ransomwarovými útoky NÚKIB identifikoval řadu kritických zranitelností v systémech FortiOs, MS Exchange, MOVEit a ZyXEL – a důrazně je doporučuje aktualizovat na nejnovější verzi. Podrobný přehled jednotlivých opatření a doporučení naleznete v aktualizovaném dokumentu NÚKIB.

Proběhne 9. ročník konference CyberCon

NÚKIB pořádá již tradiční setkání sdružující řečníky i návštěvníky ze státní, soukromé a akademické sféry. Tentokrát proběhne ve dnech 12. až 14. září a bude se skládat ze tří bloků:

• Den workshopů
• Den určený pro povinné osoby
• Policy den

Registrace na jednotlivé workshopy by měla být spuštěna během letních měsíců, více informací se dozvíte na oficiálním webu CyberConu.

Výročenka k 5. výročí účinnosti GDPR

Spolek pro ochranu osobních údajů vydal elektronickou publikaci, ve které shrnuje nejen uplynulých 5 let s GDPR, ale i vlastní činnost. Za zmínku i stojí i úvodní příspěvky Jiří Kauckého, předsedy Úřadu pro ochranu osobních údajů a Thomase Spaeinga, prezidenta European Federation of Data Protection Officers. Publikace je k nahlédnutí v linkedinovém příspěvku Spolku.