V prosinci se objevila jedna velmi nepříjemná zero-day bezpečnostní zranitelnost v nenápadné, avšak velmi rozšířené logovací monitorovací knihovně log4j. Ta je součástí velkých platforem i malých projektů na celém světě. Předpověď, že jí velmi rychle začnou zneužívat hackeři k neoprávněnému přístupu k systémům, se vyplnila.
Po objevení této zranitelnosti pod názvem CVE-2021-44228 jsme okamžitě kontaktovali naše klienty s nabídkou, či spíše „požadavkem“ na zahájení rychlého skenování jejich infrastruktur a aplikací. Rychlá reakce se vyplatila, překvapilo nás, v kolika různých systémech a zařízeních je tento nástroj použit a jak je relativně složité ho objevit a zjistit, zda je daný systém zranitelný. V této činnosti i nadále pokračujeme, neboť tyto kontroly v řadě případů objevily i zcela nesouvisející kritické zranitelnosti, které je potřeba ihned řešit.
Od 1. 1. 2022 platí novela § 89 odst. 3 zákona o elektronických komunikacích, o které jsme vás informovali v prosincových aktualitách. Mimo jiné se týká i užívání cookies – nově je zapotřebí aktivní souhlas uživatele. S tím souvisí úprava vašich stávajících cookies lišt, kde např. nesmíte mít žádné checkboxy předem zaškrtnuté! Pokud nabídnete možnost „přijmout všechny“, musíte také nabídnout možnost „odmítnout všechny“.
Nezapomeňte, že souhlas musí být dobrovolný, nemůžete tedy zakázat nebo znemožnit uživateli návštěvu webu, pokud souhlas neudělí. Problematika je v detailech mnohem širší, na nejčastější otázky ohledně cookies odpovídá Úřad pro ochranu osobních údajů.
Myslíte si, že státní instituce a orgány státní moci jdou ostatním příkladem v dodržování platné legislativy? Deset ze čtrnácti českých ministerstev do konce ledna dosud nesplnilo výše zmíněné zákonné povinnosti aktivního souhlasu uživatele s používáním cookies. Většina ministerstev zodpovědnost svaluje na své dodavatele (resp. argumentují jejich vytížeností).
Velice sporné je pak tvrzení ministerstva spravedlnosti, které považuje za technicky nezbytné i cookies služby Google Analytics. Ty však slouží ke sledování pohybu uživatelů po webu. Orgánům státní moci však žádné postihy nehrozí – jsou totiž zákonem o zpracování osobních údajů vyloučeny z uložení sankce či správního trestu.
Nová legislativa má další dopady – stejně jako je nově zapotřebí aktivní souhlas s užíváním cookies, je zapotřebí i aktivní souhlas s telemarketingovými hovory. V praxi to znamená, že vás telemarketingové společnosti nemohou svévolně kontaktovat na nyní nelegální bázi přístupu „opt-out“. Úřad pro ochranu osobních údajů zveřejnil návod, kde podrobně popisuje, jak se nevyžádaným telefonickým marketingovým hovorům efektivně bránit.
Webzin Digitální svobody vypsal koncem loňského roku žertovnou soutěž o největší digitální nesmysl. Po závěrečném rozstřelu s erotickými pomůckami, které mohou sbírat údaje o intimních aktivitách, se na pomyslném stupni vítězů (nebo spíše stupni hanby) ocitla rychlovarná konvice s Wi-Fi konektivitou. Myslíte, že má nějaký, byť sebemenší, smysl on-line sledovat teplotu vody v konvici, kterou máte před očima?
Technologie Facebook Pixel představuje pouhý pixel vložený do milionů webových stránek po celém internetu. Webům umožňuje sledovat své návštěvníky, upřesňovat informace o jejich profilech a cílit na ně reklamy i v okamžicích, kdy zrovna sociální síť Facebook aktivně nepoužívají. Společnost Mozilla, která stojí za prohlížečem Firefox, vyhlásila Facebook Pixelu „boj“, jehož cílem je analyzovat sledovací síť Facebooku.
NÚKIB se může stát vnitrostátním orgánem pro certifikaci v oblasti kyberbezpečnosti. K zabezpečení této činnosti NÚKIB identifikoval potřebu vytvoření nových pracovních míst. Smyslem certifikace má být zvýšení důvěry v produkty, služby a procesy. Certifikace bude dobrovolná, jak informoval ministr pro místní rozvoj a digitalizaci Ivan Bartoš. Vláda navrhne v následujících dnech a týdnech urychlené projednání související novely zákona v poslanecké sněmovně.
Aktivita a četnost kybernetických útoků do určité míry kopíruje vlny pandemie Covid-19. S tím souvisí i nebezpečí hrozící českým nemocnicím. Důvodem je větší množství lidí, kteří využívají kybernetický prostor. Hodně útočníků navíc zneužívá situaci, kdy mohou své oběti snáze dostat pod tlak. Zvyšují tak své šance na získání výkupného. Více prozradil v rozhovoru šéf NÚKIBu Karel Řehka.
18. ledna byla na stránce OpenSubtitles zveřejněna zpráva o tom, že došlo k úniku informací o uživatelích. Útočník zneužil SQL Injection zranitelnost a získal tak veškerá data z databáze uživatelů. Po exfiltraci dat požadoval útočník výkupné za to, že data smaže. Po zaplacení výkupného se však data přesto objevila veřejně na internetu. Informace obsahovaly přihlašovací jméno, e-mail a hesla všech uživatelů. OpenSubtitles vnutili všem uživatelům změnu hesla a doporučují všem, kteří použili stejné heslo i jinde, aby si ho změnili i tam.
Naučte se ochránit firmu proti kybernetickým hrozbám díky hře Clashing. Clashing je profesionální on-line školení informační bezpečnosti v podobě karetní hry, kde spolu změří síly hacker a zaměstnanec firmy. Každý zaměstnanec si může hru Clashing zahrát také z pohledu útočníka. Díky hravé formě se zaměstnanci snadno naučí bezpečné chování v kybernetickém prostředí a správné návyky i mimo něj.
