Přehled dubnových novinek a událostí

Přehled dubnových novinek a událostí

29. 04. 2022
Přinášíme vám přehled událostí a zajímavostí, které se během dubna odehrály na poli informační a kybernetické bezpečnosti. NÚKIB opakovaně varuje před podvodnými telefonáty, vydává bezpečnostní analýzu komunikačních aplikací a vyzývá k součinnosti odbornou veřejnost k zasílání podnětů v souvislosti s novelizací zákona o kybernetické bezpečnosti. To vše i mnohem více se dočtete v dnešním bulletinu.

NÚKIB vyzývá k součinnosti odbornou veřejnost

Legislativní opatření a zákony se vyvíjejí s ohledem na společenskou poptávku, aktuální potřeby a okolnosti. Výjimkou není ani zákon č. 181/2014 Sb., tedy zákon o kybernetické bezpečnosti. Jelikož se Česká republika zavázala k tzv. harmonizaci se směrnicemi Evropské unie, čeká na příslušnou aktualizaci i zákon o kybernetické bezpečnosti. Měly by se do něj promítnout dopady revize směrnice Evropského parlamentu a Rady EU 2016/1148 z 6. 7. 2016 týkající se opatření k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v EU (tzv. směrnice NIS).

Novela směrnice NIS zatím nedoznala definitivní podoby, na jejím znění stále ještě pracuje Evropský parlament. Už nyní je přesto jisté, že finální podoba směrnice NIS bude znamenat značné dopady do zákona o kybernetické bezpečnosti, ve kterém dojde ke značným změnám. Souběžně s tím Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) pracuje na dokumentu s pracovním názvem Bílá místa, v rámci kterého zjišťuje nedostatky současné právní úpravy a sbírá podněty k nápravě.

NÚKIB vyzývá k součinnosti odbornou veřejnost k zasílání podnětů, které mohou přispět k připravovanému návrhu zákona o kybernetické bezpečnosti a souvisejících předpisů. Všechny zaslané náměty bude úřad pečlivě vyhodnocovat a v případě, že je vyhodnotí jako relevantní, bude je zapracovávat do připravovaných změn. Podmínkou pro zapracování je, aby navrhovaná změna byla relevantní k dané problematice, dále aby byla alespoň stručně zdůvodněna a obsahovala návrh řešení. Navrhovaná změna musí ctít podmínky právního státu a principy, na kterých je postaven zákon o kybernetické bezpečnosti.

Vaše návrhy můžete zasílat NÚKIBu do konce června 2022, a to buďto prostřednictvím webového formuláře, nebo e-mailem s předmětem „ZKB – návrhy změn“.

 

Upozorňujeme na podvodné telefonáty

NÚKIB vydal varování ohledně stále trvající kampaně podvodných telefonátů (tzv. vishing), během kterých se podvodníci vydávají za technickou podporu společnosti Microsoft. Snahou podvodníků je získání údajů k vaší platební kartě.

Scénář těchto telefonátů má vždy podobný charakteristický průběh:

  • Volající číslo se zobrací jako zahraniční, obvykle německé, belgické nebo francouzské.
  • Volající hovoří špatnou angličtinou a vydává se za pracovníka Microsoftu.
  • Volající vám oznámí, že je váš počítač infikovaný a svá tvrzení podpírá na základě získání vaší důvěry pomocí společné kontroly parametrů, které ovšem můžete na každém počítači s operačním systémem Windows.
  • Volající se se pokusí přesvědčit k instalaci softwaru pro vzdálený přístup k počítači (Anydesk, SupRemo, TeamViewer ad.).
  • Pokud některý z výše uvedených nástrojů skutečně nainstalujete a držíte se pokynů volajícího, pokusí se získat údaje o vaší platební kartě.
  • Poté vás volající směřuje k provedení vícefázové autentifikace vaší platby (popř. se pokusí na váš počítač nainstalovat malware pomocí příkazové řádky).

Pokud se sami stanete terčem podobného telefonátu, podle NÚKIBu byste měli postupovat takto:

  • Zřetelně hovor odmítněte.
  • Poté co nejdříve zavěste (pouhé zavěšení telefonátu bez komentáře obvykle vede k dalším hovorům během následujících dní).
  • Podezřelý telefonát oznamte Policii České republiky.

NÚKIB upozorňuje, že vlna těchto podvodných telefonátů bude pokračovat i v následujících dnech a týdnech, jejich frekvence se zatím nesnižuje.

 

Používejte pouze bezpečné komunikátory

V současnosti máme k dispozici a používáme celou škálu komunikačních a chatovacích aplikací a platforem. Ne všechny však odpovídají doporučovaným standardům, zejména s ohledem na použití tzv. end-to-end šifrování. Jedná se o bezpečnostní funkci, díky které je komunikace mezi příjemcem a odesílatelem zprávy ochráněná. To znamená, že není čitelná pro nikoho jiného než obě zmíněné strany, a to včetně provozovatelů komunikačních aplikací (případně dalším stranám, které mají ke komunikaci přístup nebo jej mohou získat). Pokud aplikace end-to-end šifrování nepoužívají, je komunikace dostupná i provozovatelům služby (a případně dalším stranám, viz výše).

Národní úřad pro kybernetickou a informační bezpečnost připravil analýzu následujících komunikátorů:

  • Threema
  • Signal
  • Telegram
  • Whatsapp
  • Messenger
  • Google Messages
  • iMessages

Aplikace, které šifrování metodou end-to-end využívají, jsme v seznamu označili tučným písmem a symbolem ✔. Kompletní analýza NÚKIB potom zohledňuje i (ne-)splnění dalších bezpečnostních parametrů zmíněných komunikátorů jako např. vyžadování osobních údajů, automatické mazání zpráv nebo spojení provozovatele s bezpečnostními incidenty ad.

 

Do katalogu cloud computingu zapsáni první poskytovatelé služeb

Informační koncepce České republiky počítá s vybudováním národního cloud computingu, který by měl být realizován formou tzv. hybridního eGovernment cloudu (eGc). Ten by se měl skládat ze dvou částí: státní (provozované a vlastněný státem) a komerční (provozované soukromými subjekty).

Za účelem postupné realizace eGs stát (v zastoupení Ministerstvem vnitra) zřídil tzv. katalog cloud computingu. Jedná se o veřejný seznam, který obsahuje následující údaje:

  • nabídky poskytování cloudových služeb orgánům veřejné správy
  • poptávky orgánů veřejné správy cloudových služeb
  • údaje o cloud computingu využívaném orgány veřejné správy

22.3.2022 byli do katalogu cloud computingu zapsaní první čtyři soukromí poskytovatelé cloudových služeb. Ti úspěšně prošli náročným procesem zápisu, který mj. vyžaduje splnění 35 bezpečnostních kritérií a všech dalších požadavků plynoucích ze zákona.

„Zapsaní poskytovatelé splnili veškeré požadavky zákona č. 365/2000 Sb. pro zápis do katalogu cloud computingu a jsou způsobilí zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy, bezúhonní v rozsahu bezúhonnosti požadované po kvalifikovaném správci kvalifikovaného systému elektronické identifikace a způsobilí pro poskytnutí cloud computingu orgánu veřejné správy z hlediska veřejného pořádku, bezpečnosti a dodržování práv třetích osob,“ informovalo o zápisu do katalogu cloud computingu Ministerstvo vnitra.

 

ÚOOÚ zveřejnil výroční zprávu za rok 2021

Úřad pro ochranu osobních údajů (ÚOOÚ) publikoval na svých webových stránkách výroční zprávu za minulý rok. Ve výroční správě Úřad shrnuje svoji činnost během roku 2021, mj. se vyjadřuje ke svému výkladovému stanovisku ohledně novely zákona o elektronických komunikacích, konkr. k otázce cookies. Úřad konstatoval, že by uživatel stránek měl mít možnost svobodné volby, tedy odmítnutí souhlasu stejně jako jeho udělení. Provozovatelé webových stránek se tedy museli připravit na změnu, kdy je možné shromažďovat osobní údaje návštěvníků stránek pouze na základě jejich prokazatelného souhlasu (princip „opt-in“). O těchto skutečnostech jsme vás informovali v našem loňském prosincovém přehledu novinek.

ÚOOÚ se dále ve své výroční zprávě detailně věnuje opatřením přijatým během pandemie covid-19, uvádí příklady z provedené kontrolní činnosti a neopomíjí ani evropskou a mezinárodní spolupráci vč. problematiky předávání osobních údajů do třetích zemí a mezinárodním organizacím.

Úřad ve své zprávě uvádí i několik zajímavých čísel, např. nejčastější stížnosti a podněty:

  • 26 % stížností se týkalo zpracování údajů pro marketingové účely (obchodní sdělení a marketingové hovory)
  • 13 % stížností se týkalo zveřejnění/zpřístupnění osobních údajů
  • 13 % stížností se týkalo výkonu práv subjektů údajů dle čl. 15 až 21 obecného nařízení
  • 13 % stížností se týkalo monitorování fyzických osob prostřednictvím kamer
  • 8 % stížností se týkalo porušení povinností správce osobních údajů
  • 6 % stížností se týkalo zpracování osobních údajů v rámci opatření proti nemoci covid-19
  • 4 % stížností se týkaly zpracování osobních údajů v pracovněprávních vztazích
  • 3 % stížností se týkaly zpracování osobních údajů prostřednictvím cookies

 

Nejvyšší správní soud učinil přelomové rozhodnutí

V předchozím (březnovém) přehledu novinek jsme vás informovali, že Nejvyšší správní soud (NSS) vydal usnesení, podle kterého nemocnice nejsou veřejným subjektem – nelze jim tedy uložit pokutu za případné porušení směrnic GDPR. A to i v případech, kdy jsou nemocnice zřízeny a vlastněny veřejnými orgány moci (kraji) a jsou financovány z veřejného zdravotního pojištění.

Zanedlouho poté ale potvrdil NSS pokutu ve výši 40 000 Kč uloženou nemocnici kontrolované Úřadem pro ochranu osobních údajů. Jak k tomu došlo? Zmíněná nemocnice sice poskytuje zdravotní péči, které je bezesporu ve veřejném zájmu, ovšem patří zároveň mezi akciové společnosti, které nečerpají prostředky z veřejných rozpočtů. Z toho důvodu není veřejným subjektem ve smyslu zákona o zpracování osobních údajů, u něhož by mělo být rozhodnuto o upuštění od potrestání.

„Nemocnice, coby akciová společnost, nedostává peníze na svůj provoz a fungování přímo z veřejných rozpočtů. Získává je jako protiplnění za konkrétní lékařské úkony, které vykáže zdravotním pojišťovnám. Stejným způsobem je ostatně financován jakýkoli jiný poskytovatel zdravotnické péče,“ vyjádřil se k celému případu předseda ÚOOÚ Jiří Kaucký.

 

Společnost Frontex porušila GDPR

Evropská pohraniční a pobřežní agentura pro ochranu hranic Frontex využívá ke zpracování dat kombinované cloudové řešení. To se skládá z produktů Microsoft Office 365, cloudu od Amazon Web Services a cloudového řešení Microsoft Azure.

Jakým způsobem agentura Frontex zpracovává osobní osobních údaje, tím se zabýval Evropský inspektor ochrany osobních údajů (EDPS), který dozoruje zpracování dat unijními institucemi. Po ukončení šetření EDPS došel k závěru, že Frontex postupoval v rozporu s příslušnými pravidly. Neprovedl totiž dostatečné posouzení dopadů na ochranu soukromí. Podle EDPS Frontext adekvátním způsobem neposoudil rizika a nutnost dalších opatření k ochraně dat. EDPS dále konstatoval, že Frontext nedokumentoval nezbytnost využití právě uvedených cloudových služeb, ani právní odůvodnění pro sběr „servisních dat“ ze strany Microsoftu.

 

Nechte nám na sebe kontakt a společně najdeme ideální řešení pro vaši bezpečnost

Jaromír Žák
Jaromír Žák
Ředitel
Jaromír se podílí na rozvoji a strategii našeho businessu a zodpovídá za kvalitu veškerých služeb.
Rychlý kontakt
Náš konzultant se vám ozve do 24 hodin od poptávky.
Individuální přístup
Poradíme vám s vaším problémem a najdeme pro vás ideální řešení na míru.
Náskok před konkurencí
Kromě toho, co vás zajímá, si vždy odnesete i něco navíc, abyste byli neustále krok před konkurencí.
NEXT GENERATION SECURITY SOLUTIONS s.r.o.
U Uranie 18, 170 00 Praha 7

IČ: 06291031
DIČ: CZ06291031

NGSS má zaveden systém řízení bezpečnosti informací dle normy ČSN ISO/IEC 27001:2014. Politika systému řízení bezpečnosti informací (ISMS) NGSS zde.
Etický kodex
Nevíte si rady?
Ozvěte se nám.