Přehled lednových novinek a událostí

Přehled lednových novinek a událostí

01. 02. 2022
Přinášíme vám přehled událostí a zajímavostí, které se během ledna odehrály napříč spektrem informační a kybernetické bezpečnosti. Horkým tématem je zranitelnost v knihovně log4j, kterou úspěšně řešíme už od prosince. Díky rychlé reakci jsme navíc odhalili další kritické zranitelnosti! Stále aktuálním tématem je novela zákona o elektronických komunikacích. Ukazuje se, že ne všechny státní instituce zákon dodržují. To i mnohem více se dočtete v dnešním bulletinu.

Zranitelnost log4j

V prosinci se objevila jedna velmi nepříjemná zero-day bezpečnostní zranitelnost v nenápadné, avšak velmi rozšířené logovací monitorovací knihovně log4j. Ta je součástí velkých platforem i malých projektů na celém světě. Předpověď, že jí velmi rychle začnou zneužívat hackeři k neoprávněnému přístupu k systémům, se vyplnila.

Po objevení této zranitelnosti pod názvem CVE-2021-44228 jsme okamžitě kontaktovali naše klienty s nabídkou, či spíše „požadavkem“ na zahájení rychlého skenování jejich infrastruktur a aplikací. Rychlá reakce se vyplatila, překvapilo nás, v kolika různých systémech a zařízeních je tento nástroj použit a jak je relativně složité ho objevit a zjistit, zda je daný systém zranitelný. V této činnosti i nadále pokračujeme, neboť tyto kontroly v řadě případů objevily i zcela nesouvisející kritické zranitelnosti, které je potřeba ihned řešit.

 

Nejčastější otázky ohledně cookies

Od 1. 1. 2022 platí novela § 89 odst. 3 zákona o elektronických komunikacích, o které jsme vás informovali v prosincových aktualitách. Mimo jiné se týká i užívání cookies – nově je zapotřebí aktivní souhlas uživatele. S tím souvisí úprava vašich stávajících cookies lišt, kde např. nesmíte mít žádné checkboxy předem zaškrtnuté! Pokud nabídnete možnost „přijmout všechny“, musíte také nabídnout možnost „odmítnout všechny“.

Nezapomeňte, že souhlas musí být dobrovolný, nemůžete tedy zakázat nebo znemožnit uživateli návštěvu webu, pokud souhlas neudělí. Problematika je v detailech mnohem širší, na nejčastější otázky ohledně cookies odpovídá Úřad pro ochranu osobních údajů.

 

Ministerstva zaskočil zákon

Myslíte si, že státní instituce a orgány státní moci jdou ostatním příkladem v dodržování platné legislativy? Deset ze čtrnácti českých ministerstev do konce ledna dosud nesplnilo výše zmíněné zákonné povinnosti aktivního souhlasu uživatele s používáním cookies. Většina ministerstev zodpovědnost svaluje na své dodavatele (resp. argumentují jejich vytížeností).

Velice sporné je pak tvrzení ministerstva spravedlnosti, které považuje za technicky nezbytné i cookies služby Google Analytics. Ty však slouží ke sledování pohybu uživatelů po webu. Orgánům státní moci však žádné postihy nehrozí – jsou totiž zákonem o zpracování osobních údajů vyloučeny z uložení sankce či správního trestu.

 

Obrana proti nevyžádanému telemarketingu

Nová legislativa má další dopady – stejně jako je nově zapotřebí aktivní souhlas s užíváním cookies, je zapotřebí i aktivní souhlas s telemarketingovými hovory. V praxi to znamená, že vás telemarketingové společnosti nemohou svévolně kontaktovat na nyní nelegální bázi přístupu „opt-out“. Úřad pro ochranu osobních údajů zveřejnil návod, kde podrobně popisuje, jak se nevyžádaným telefonickým marketingovým hovorům efektivně bránit.

 

Největší digitální nesmysl roku 2021

Webzin Digitální svobody vypsal koncem loňského roku žertovnou soutěž o největší digitální nesmysl. Po závěrečném rozstřelu s erotickými pomůckami, které mohou sbírat údaje o intimních aktivitách, se na pomyslném stupni vítězů (nebo spíše stupni hanby) ocitla rychlovarná konvice s Wi-Fi konektivitou. Myslíte, že má nějaký, byť sebemenší, smysl on-line sledovat teplotu vody v konvici, kterou máte před očima?

 

Mozilla bude analyzovat, jak Facebook sleduje uživatele

Technologie Facebook Pixel představuje pouhý pixel vložený do milionů webových stránek po celém internetu. Webům umožňuje sledovat své návštěvníky, upřesňovat informace o jejich profilech a cílit na ně reklamy i v okamžicích, kdy zrovna sociální síť Facebook aktivně nepoužívají. Společnost Mozilla, která stojí za prohlížečem Firefox, vyhlásila Facebook Pixelu „boj“, jehož cílem je analyzovat sledovací síť Facebooku.

 

Certifikace kyberbezpečnosti

NÚKIB se může stát vnitrostátním orgánem pro certifikaci v oblasti kyberbezpečnosti. K zabezpečení této činnosti NÚKIB identifikoval potřebu vytvoření nových pracovních míst. Smyslem certifikace má být zvýšení důvěry v produkty, služby a procesy. Certifikace bude dobrovolná, jak informoval ministr pro místní rozvoj a digitalizaci Ivan Bartoš. Vláda navrhne v následujících dnech a týdnech urychlené projednání související novely zákona v poslanecké sněmovně.

 

Zvýšené riziko kybernetických útoků na zdravotnická zařízení

Aktivita a četnost kybernetických útoků do určité míry kopíruje vlny pandemie Covid-19. S tím souvisí i nebezpečí hrozící českým nemocnicím. Důvodem je větší množství lidí, kteří využívají kybernetický prostor. Hodně útočníků navíc zneužívá situaci, kdy mohou své oběti snáze dostat pod tlak. Zvyšují tak své šance na získání výkupného. Více prozradil v rozhovoru šéf NÚKIBu Karel Řehka.

 

Únik údajů téměř 7 milionů uživatelů OpenSubtitles

18. ledna byla na stránce OpenSubtitles zveřejněna zpráva o tom, že došlo k úniku informací o uživatelích. Útočník zneužil SQL Injection zranitelnost a získal tak veškerá data z databáze uživatelů. Po exfiltraci dat požadoval útočník výkupné za to, že data smaže. Po zaplacení výkupného se však data přesto objevila veřejně na internetu. Informace obsahovaly přihlašovací jméno, e-mail a hesla všech uživatelů. OpenSubtitles vnutili všem uživatelům změnu hesla a doporučují všem, kteří použili stejné heslo i jinde, aby si ho změnili i tam.

 

Souboj hackera a zaměstnance

Naučte se ochránit firmu proti kybernetickým hrozbám díky hře Clashing. Clashing je profesionální on-line školení informační bezpečnosti v podobě karetní hry, kde spolu změří síly hacker a zaměstnanec firmy. Každý zaměstnanec si může hru Clashing zahrát také z pohledu útočníka. Díky hravé formě se zaměstnanci snadno naučí bezpečné chování v kybernetickém prostředí a správné návyky i mimo něj.

Nechte nám na sebe kontakt a společně najdeme ideální řešení pro vaši bezpečnost

Jaromír Žák
Jaromír Žák
Ředitel
Jaromír se podílí na rozvoji a strategii našeho businessu a zodpovídá za kvalitu veškerých služeb.
Rychlý kontakt
Náš konzultant se vám ozve do 24 hodin od poptávky.
Individuální přístup
Poradíme vám s vaším problémem a najdeme pro vás ideální řešení na míru.
Náskok před konkurencí
Kromě toho, co vás zajímá, si vždy odnesete i něco navíc, abyste byli neustále krok před konkurencí.
NEXT GENERATION SECURITY SOLUTIONS s.r.o.
U Uranie 18, 170 00 Praha 7

IČ: 06291031
DIČ: CZ06291031

NGSS má zaveden systém řízení bezpečnosti informací dle normy ČSN ISO/IEC 27001:2014. Politika systému řízení bezpečnosti informací (ISMS) NGSS zde.
Etický kodex
Nevíte si rady?
Ozvěte se nám.