Problém kybernetické bezpečnosti už dlouhodobě představuje pro Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) nedostatek finančních prostředků na její zajišťování. Potýkáme se také s nedostatkem odborníků na kybernetickou bezpečnost v českých institucích a organizacích. Potenciální pracovníci jsou bohužel odrazováni podfinancováním této oblasti.
NÚKIB se však v uplynulém roce snažil rozvíjet aktivity zaměřené na zvyšování povědomí o kybernetické bezpečnosti. Docházelo k rozsáhlému vzdělávání zaměstnanců veřejné správy. Tak například kurzy Dávej kyber! a Šéfuj kyber! proškolily přes 26 500 uživatelů.
Co se závažnosti kybernetických hrozeb týče, převažovaly tyto:
Oblastí, která si v tomto ohledu zaslouží zvláštní pozornost, je zdravotnictví, které v posledních letech čelí kybernetickým útokům převážně ze zahraničí. Ať už se jedná o phishing, ransomware nebo skenování systémů. Novým kurzem Kyber nemocnice! prošlo přes 4 400 zaměstnanců ve zdravotnictví.
Tip → Přečtěte si celou Zprávu o stavu kybernetické bezpečnosti České republiky za rok 2021. NÚKIB při její přípravě spolupracoval s dalšími 280 subjekty. Byly mezi nimi instituce regulované zákonem o kybernetické bezpečnosti i jiné, které spravují důležité systémy.
Úřad pro ochranu osobních údajů (ÚOOÚ) zaznamenal u velkých internetových společností, které denně oslovují statisíce lidí, řadu nedostatků porušujících ochranu osobních údajů. Provozovatelé dostali v prvním pololetí prostor, aby se nové legislativě přizpůsobili. V tuto chvíli ale ÚOOÚ dodržování již monitoruje a vymáhá. Činnost ÚOOÚ probíhá nejen na základě podnětů a stížností, ale také na základě předem stanoveného plánu kontrol pro letošní rok 2022.
Mezi hlavní nedostatky řadíme:
Populární decentralizovaná burza kryptoměny Ethereum v úterý oznámila, že někteří uživatelé přišli o Ethereum v přepočtu za téměř osm milionů amerických dolarů. Jednalo se o phishingový útok, který lákal uživatele na UNI tokeny zdarma. Ti, kteří neodolali, byli následně přesměrováni na rozhraní připravené útočníky. V tomto rozhraní byla vygenerována transakce „setApprovalForAll“ – ta útočníkům umožnila, aby převedli všechny kryptoměny z peněženek obětí.
S novou metodou, jak odhalit identitu uživatelů přes webové stránky, přišli výzkumníci z New Jersey Institute of Technology. Metoda je schopna odhalit e-mailovou adresu a jména účtů na známých sociálních sítích a službách.
Jak metoda funguje? Uživatel, který je přihlášen na určité platformě, současně vstoupí na škodlivou stránku. V případě, že má útočník možnost sdílet obsah s uživatelem na této platformě, vytvoří si seznam uživatelů. Těmto uživatelům posléze povolí přistup k datům a odkazuje na ně přes škodlivé stránky. Útočník díky informaci o užití CPU cache prohlížečem pak dokáže identifikovat uživatele s povoleným přístupem.
Na začátku července spustilo Ministerstvo práce a sociálních věcí pod vedením Mariana Jurečky (KDU-ČSL) webový formulář, přes který mohou lidé žádat o příspěvek na bydlení. Formulář obsahoval i kód společnosti Google, který sbíral informace pro cílení webové stránky.
Googlu byla tímto způsobem předána informace o tom, který konkrétní počítač stránku s žádostí o příspěvek navštívil. Informace o historii navštívených webů umožňují zobrazovat webovou reklamu. V případě, že uživatel užívá i další služby společnosti Google (např. Gmail), získá i informace o jeho identitě.
Nesouhlasíte s předáváním informací pro reklamu? No a co?
Od začátku letošního roku je předávání informací pro reklamu možné pouze poté, co jej uživatelé stránek výslovně odsouhlasí, jenomže web ministerstva práce údaje posílal i v případě výslovného nesouhlasu.
Chyba byla odstraněna jen zčásti
Sledovací kódy z formuláře pro příspěvek na bydlení ministerstvo sice odstranilo, ale na vstupní stránce formuláře zůstala videa s návody na vyplnění. Tato videa se načítají ze služby YouTube, která – jak jinak – rovněž patří Googlu, a rovněž odesílá informace o návštěvnících.
Těšit se můžete na Cyber Days 2022, Festival bezpečného internetu, který bude probíhat po celý měsíc říjen, či Konferenci GDPR 2022, kterou pořádá Spolek pro ochranu osobních údajů.
Česká konference etického hackingu
Jsme hrdým Silver partnerem konference CYB3R Days 2022, která se koná pod záštitou NÚKIB. Názorné příklady a demonstrace vám pomohou, abyste se vyhnuli slepým místům a zvýšili tak potenciál zdaru při odhalování případného útoku. Ať už jste manažer, hacker, člen security týmu či analytik, přidejte se k nám na konferenci CYB3R Days 2022!
Datum konání: 1.–31. října 2022
NÚKIB připravuje ve spolupráci s partnery v pořadí už třetí ročník Festivalu bezpečného internetu. Akce probíhá tradičně v měsíci říjnu, který je Evropským měsícem kybernetické bezpečnosti. Těšit se můžete na řadu vzdělávacích konferencí, webinářů a kampaní.
Neváhejte navštívit informační stránky, kde si už nyní můžete prohlédnout nabídku aktivit NÚKIB. Brzo bude doplněna i možnost registrace.
Spolek pro ochranu osobních údajů pořádá Konferenci GDPR 2022, která se bude konat 6. října 2022. Akce se věnuje problematice zpracování osobních údajů a účastníci se mohou těšit na celou řadu zajímavých přednášek.
Registrace je již otevřena – v rámci early bird přihlášení můžete při registraci do 15. 8. 2022 získat slevu na vstupném. Čím dříve tedy vyplníte Registrační formulář, tím lépe pro vás a vaši peněženku.
Snad jsme vás rozsáhlým přehledem novinek a aktualit příliš nezahltili. Věříme, že vám červencové zajímavosti ze světa kybernetické bezpečnosti zpříjemnily letní dny a obohatily vás o další poznatky. Uvidíme, co přinese měsíc srpen.