Od 1. 1. 2022 nabyla právní moci legislativní úprava § 89 odst. 3 zákona o elektronických komunikacích, která zásadně změnila dosavadní používání tzv. cookies – o chystaných změnách jsme vás informovali už koncem roku 2021. Tato novela mj. v zásadě ustanovila, že provozovatelé webových stránek musí mít aktivní souhlas uživatele se zpracováním všech cookies kromě těch technických.
Většina provozovatelů webů tedy zavedla tzv. cookies lišty, na kterých mohou uživatelé souhlasy se zpracováním jednotlivých typů cookies udělit, či zamítnout. I přesto, že zmiňovaná novela platí k datu zveřejnění tohoto textu přes 15 měsíců, mnohé cookies lišty nesplňují zákonná kritéria a provozovatelům těchto webů hrozí případné sankce ze strany Úřadu pro ochranu osobních údajů (ÚOOÚ). Jak by teda měla cookies lišta vypadat, abyste splnili všechny zákonné náležitosti? Na nejčastěji kladné otázky ohledně cookies a zpracování souhlasů uživatelů odpovídá přímo ÚOOÚ ve své Poradně.
Národní úřad pro kybernetickou bezpečnost (NÚKIB) varuje před instalací, a zejména používáním mobilní aplikace TikTok, kterou vyhodnotil jako bezpečnostní hrozbu klasifikovanou na úrovni „Vysoká“. Důvodů, které k tak relativně drastické klasifikaci vedly, je hned několik: především jde o značné množství dat shromažďovaných o uživatelích TikToku v zásadě bez jejich vědomí a nakládání s těmito daty. NÚKIB navíc přihlédl ke geopolitické problematice provozovatele platformy TikTok, kterým je čínská společnost ByteDance. Ta prakticky přímo podléhá státu.
Pokud se dle zákona o kybernetické bezpečnosti řadíte mezi tzv. povinné osoby, je vaší povinností okamžitě přijmout přiměřená bezpečnostní opatření v souvislosti s používáním TikToku. Doporučení NÚKIBu je jasné: zakázat instalaci a používání aplikace TikTok na všech soukromých i pracovních zařízeních, která mají přístup do regulovaných systému. Totéž NÚKIB doporučuje i široké veřejnosti, zejména pak zájmovým osobám, tedy těm zastávajícím například vysoké politické, veřejné či rozhodovací funkce.
Jak informoval ÚOOÚ v průběhu března, Evropská rada pro ochranu osobních údajů zahájila koordinovanou kontrolu, kterou bude vykonávat 26 úřadů pro ochranu osobních údajů v rámci celé EU. Jako zprostředkovatelé mezi orgány pro ochranu údajů, jednotlivci a obchodními jednotkami organizací mají fungovat úředníci ustanovení výše uvedenými úřady. Aby bylo možné posoudit, zda mají pověřenci pro ochranu osobních údajů (DPO) ve svých organizacích postavení požadované čl. 37–39 GDPR a zdroje potřebné k plnění svých úkolů, proběhne kontrola v několika krocích:
Výsledky kontrol se nakonec agregují, což umožní hlubší vhled do tématu a přesnější cílení následných opatření na úrovni EU. Iniciativa má zefektivnit prosazování a spolupráci mezi unijními úřady pro ochranu údajů.
NÚKIB vytvořil a spustil webové stránky eucertikikace.nukib.cz specializované na evropský rámec kybernetické bezpečnosti. Zájemci o danou problematiku zde najdou celkem 8 tematických okruhů obsahujících přehledně strukturované, a především ucelené informace stran evropského rámce kybernetické bezpečnosti. Cílem daného rámce je zejména zvýšení úrovně kyberbezpečnosti v rámci celé EU, a to především ve vztahu k produktům a procesům ICT. Pro základní seznámení s danou problematikou doporučujeme začít přehledným vizuálem celého ekosystému evropské kybernetické bezpečnosti.
V polovině března roku 2020 se stala Fakultní nemocnice Brno obětí masivního kybernetického útoku, z jehož následků se do dnešního dne ještě zcela nezotavila. Uvedený kybernetický útok pomocí ransomwaru vyřadil většinu systémů – nemocnice tak přišla o interní údaje v systému, administrativní a ekonomická data nebo údaje z objednávkového systému dárců krve. Obnova klíčových systémů trvala přes dva měsíce, podle hrubých odhadů nemocnice v rámci obnovení provozu proinvestovala více než 300 milionů Kč. Vůči pachateli navíc nebylo vzneseno obvinění kvůli nedostatku vyšetřovacích důkazů. NÚKIB upozorňuje, že počet kybernetických útoků výrazně vzrostl zejména po zahájení války na Ukrajině.
Bezpečností experti odhalili kritickou zranitelnost v e-mailovém klientu Microsoft Outlook označenou jako CVE-2023-23-397. Tato zranitelnost umožňuje za určitých okolností (odesláním škodlivého e-mailu) odcizit NTML údaje bez vědomí uživatele či aktivního souhlasu k provedení akcí ve zmíněném e-mailu.
Společnost Microsoft již vydala záplatu a později i skript, který umožní vyhodnotit, zda byla právě tato zranitelnost na daném zařízení zneužita. Důrazně doporučujeme aktualizovat MS Outlook na nejnovější verzi. Pokud to z nějakého důvodu není možné, okamžitě zablokujte odchozí komunikaci na portu 445 TCP.
