Přehled červencových novinek a událostí

Přehled červencových novinek a událostí

02. 08. 2022
Jsme v polovině léta a svět kybernetické bezpečnosti a informačních technologií nám svým množstvím aktualit a novinek ukazuje, že nikdy nespí a žije si dál svým sveřepým tempem. Podívejte se s námi na zajímavosti, které tento měsíc přinesl, ať už se jedná o Zprávu o kybernetické bezpečnosti NÚKIB, nedostatky, které vykazují lišty cookies, obrovskou krádež kryptoměn na známé burze nebo blížící se události a konference týkající se kybernetické bezpečnosti apod. Je toho opravdu hodně.

Zpráva o kybernetické bezpečnosti

Problém kybernetické bezpečnosti už dlouhodobě představuje pro Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) nedostatek finančních prostředků na její zajišťování. Potýkáme se také s nedostatkem odborníků na kybernetickou bezpečnost v českých institucích a organizacích. Potenciální pracovníci jsou bohužel odrazováni podfinancováním této oblasti.  

NÚKIB se však v uplynulém roce snažil rozvíjet aktivity zaměřené na zvyšování povědomí o kybernetické bezpečnosti. Docházelo k rozsáhlému vzdělávání zaměstnanců veřejné správy. Tak například kurzy Dávej kyber! a Šéfuj kyber! proškolily přes 26 500 uživatelů. 

Co se závažnosti kybernetických hrozeb týče, převažovaly tyto: 

  • phishing či spear-phishing, 
  • podvodné e-maily,  
  • ransomwarové útoky a  
  • skenování vnější sítě.  

  

Nezapomínejme na bezpečnost nemocnic 

Oblastí, která si v tomto ohledu zaslouží zvláštní pozornost, je zdravotnictví, které v posledních letech čelí kybernetickým útokům převážně ze zahraničí. Ať už se jedná o phishing, ransomware nebo skenování systémů. Novým kurzem Kyber nemocnice! prošlo přes 4 400 zaměstnanců ve zdravotnictví.  

Tip → Přečtěte si celou Zprávu o stavu kybernetické bezpečnosti České republiky za rok 2021. NÚKIB při její přípravě spolupracoval s dalšími 280 subjekty. Byly mezi nimi instituce regulované zákonem o kybernetické bezpečnosti i jiné, které spravují důležité systémy. 

 

Cookies lišty vykazují řadu nedostatků 

Úřad pro ochranu osobních údajů (ÚOOÚ) zaznamenal u velkých internetových společností, které denně oslovují statisíce lidí, řadu nedostatků porušujících ochranu osobních údajů. Provozovatelé dostali v prvním pololetí prostor, aby se nové legislativě přizpůsobili. V tuto chvíli ale ÚOOÚ dodržování již monitoruje a vymáhá. Činnost ÚOOÚ probíhá nejen na základě podnětů a stížností, ale také na základě předem stanoveného plánu kontrol pro letošní rok 2022. 

Mezi hlavní nedostatky řadíme: 

  • používání netechnických cookies, a to navíc bez souhlasu, 
  • špatná kategorizace cookies, 
  • neúměrně dlouhá doba jejich platnosti,  
  • absence informací o konkrétních použitých cookies, 
  • cookies lišta znemožňuje nebo ztěžuje čtení webové stránky a 
  • nesprávná klasifikace cookies souborů apod. 

  

Krádež kryptoměn na známé burze 

Populární decentralizovaná burza kryptoměny Ethereum v úterý oznámila, že někteří uživatelé přišli o Ethereum v přepočtu za téměř osm milionů amerických dolarů. Jednalo se o phishingový útok, který lákal uživatele na UNI tokeny zdarma. Ti, kteří neodolali, byli následně přesměrováni na rozhraní připravené útočníky. V tomto rozhraní byla vygenerována transakce „setApprovalForAll“ – ta útočníkům umožnila, aby převedli všechny kryptoměny z peněženek obětí.   

 

Nová metoda, jak odhalit identitu uživatelů přes webové stránky 

S novou metodou, jak odhalit identitu uživatelů přes webové stránky, přišli výzkumníci z New Jersey Institute of Technology. Metoda je schopna odhalit e-mailovou adresu a jména účtů na známých sociálních sítích a službách. 

Jak metoda funguje? Uživatel, který je přihlášen na určité platformě, současně vstoupí na škodlivou stránku. V případě, že má útočník možnost sdílet obsah s uživatelem na této platformě, vytvoří si seznam uživatelů. Těmto uživatelům posléze povolí přistup k datům a odkazuje na ně přes škodlivé stránky. Útočník díky informaci o užití CPU cache prohlížečem pak dokáže identifikovat uživatele s povoleným přístupem. 

 

Formulář pro dávky na bydlení posílal informace Googlu 

Na začátku července spustilo Ministerstvo práce a sociálních věcí pod vedením Mariana Jurečky (KDU-ČSL) webový formulář, přes který mohou lidé žádat o příspěvek na bydlení. Formulář obsahoval i kód společnosti Google, který sbíral informace pro cílení webové stránky.  

Googlu byla tímto způsobem předána informace o tom, který konkrétní počítač stránku s žádostí o příspěvek navštívil. Informace o historii navštívených webů umožňují zobrazovat webovou reklamu. V případě, že uživatel užívá i další služby společnosti Google (např. Gmail), získá i informace o jeho identitě.   

Nesouhlasíte s předáváním informací pro reklamu? No a co? 

Od začátku letošního roku je předávání informací pro reklamu možné pouze poté, co jej uživatelé stránek výslovně odsouhlasí, jenomže web ministerstva práce údaje posílal i v případě výslovného nesouhlasu

Chyba byla odstraněna jen zčásti 

Sledovací kódy z formuláře pro příspěvek na bydlení ministerstvo sice odstranilo, ale na vstupní stránce formuláře zůstala videa s návody na vyplnění. Tato videa se načítají ze služby YouTube, která – jak jinak – rovněž patří Googlu, a rovněž odesílá informace o návštěvnících

 

Blížící se události a konference 

Těšit se můžete na Cyber Days 2022, Festival bezpečného internetu, který bude probíhat po celý měsíc říjen, či Konferenci GDPR 2022, kterou pořádá Spolek pro ochranu osobních údajů. 

 

Zveme vás: CYB3R DAYS 2022  

Česká konference etického hackingu 

Jsme hrdým Silver partnerem konference CYB3R Days 2022, která se koná pod záštitou NÚKIB. Názorné příklady a demonstrace vám pomohou, abyste se vyhnuli slepým místům a zvýšili tak potenciál zdaru při odhalování případného útoku. Ať už jste manažer, hacker, člen security týmu či analytik, přidejte se k nám na konferenci CYB3R Days 2022! 

  • První den konference je věnován manažerům IT/OT, finančním ředitelům a HR. 
  • Druhý den je obsahem zaměřen na technické pozice v kybernetické bezpečnosti. 

 

Festival bezpečného internetu 

Datum konání: 1.–31. října 2022 

NÚKIB připravuje ve spolupráci s partnery v pořadí už třetí ročník Festivalu bezpečného internetu. Akce probíhá tradičně v měsíci říjnu, který je Evropským měsícem kybernetické bezpečnosti. Těšit se můžete na řadu vzdělávacích konferencí, webinářů a kampaní. 

Neváhejte navštívit informační stránky, kde si už nyní můžete prohlédnout nabídku aktivit NÚKIB. Brzo bude doplněna i možnost registrace

 

Konference GDPR 2022  

Spolek pro ochranu osobních údajů pořádá Konferenci GDPR 2022, která se bude konat 6. října 2022. Akce se věnuje problematice zpracování osobních údajů a účastníci se mohou těšit na celou řadu zajímavých přednášek.  

Registrace je již otevřena – v rámci early bird přihlášení můžete při registraci do 15. 8. 2022 získat slevu na vstupném. Čím dříve tedy vyplníte Registrační formulář, tím lépe pro vás a vaši peněženku.  

 

Přejeme, ať do měsíce srpna vstoupíte pravou nohou 

Snad jsme vás rozsáhlým přehledem novinek a aktualit příliš nezahltili. Věříme, že vám červencové zajímavosti ze světa kybernetické bezpečnosti zpříjemnily letní dny a obohatily vás o další poznatky. Uvidíme, co přinese měsíc srpen. 

Nechte nám na sebe kontakt a společně najdeme ideální řešení pro vaši bezpečnost

Jaromír Žák
Jaromír Žák
Ředitel
Jaromír se podílí na rozvoji a strategii našeho businessu a zodpovídá za kvalitu veškerých služeb.
Rychlý kontakt
Náš konzultant se vám ozve do 24 hodin od poptávky.
Individuální přístup
Poradíme vám s vaším problémem a najdeme pro vás ideální řešení na míru.
Náskok před konkurencí
Kromě toho, co vás zajímá, si vždy odnesete i něco navíc, abyste byli neustále krok před konkurencí.
NEXT GENERATION SECURITY SOLUTIONS s.r.o.
U Uranie 18, 170 00 Praha 7

IČ: 06291031
DIČ: CZ06291031

NGSS má zaveden systém řízení bezpečnosti informací dle normy ČSN ISO/IEC 27001:2014. Politika systému řízení bezpečnosti informací (ISMS) NGSS zde.
Etický kodex
Nevíte si rady?
Ozvěte se nám.