O přípravě implementace nové směrnice Evropské unie NIS2 jsme vás informovali v zářijovém i říjnovém bulletinu. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) k implementaci NIS2 připravil specializované stránky, kde se dočtete, koho se nové povinnosti týkají, jakým způsobem budou muset organizace zabezpečovat své služby, jaké incidenty budou hlásit, jaké budou sankce za neplnění požadavků a další specifika NIS2. Zatím poslední novinkou je schválení obecného přístupu k návrhu Radou EU dne 18. 11. Celou problematiku jsme pro vás shrnuli v samostatném článku o NIS2.
Chcete vědět, zda budou mít připravované změny skutečně dopad na vaši společnost? Potřebujete zaregistrovat vaši organizaci do seznamu povinných subjektů? Rádi byste vypracovali plán zavádění povinných bezpečnostních opatření? Obraťte se na nás, celým procesem vás provedeme krok za krokem a vy tak získáte jistotu, že budete v naprostém souladu s legislativou, jakmile směrnice NIS2 vstoupí v platnost.
„Vishing“ (tzv. hlasový phishing nebo voice phishing) je podvodná praktika, pomocí které se útočníci snaží vylákat z obětí kritické informace (a potažmo peníze) prostřednictvím telefonického hovoru. Nebezpečný růst těchto aktivit zaznamenal v průběhu listopadu Úřad pro ochranu osobních údajů (ÚOOÚ), podvodníci se totiž vydávají právě za pracovníky ÚOOÚ. Obvolávají praktické lékaře a zdravotnická zařízení a udávají, že v návaznosti na směrnice EU o ochraně osobních údajů (GDPR) hodlají provést kontrolu zabezpečení údajů o klientech a pacientech v databázích. Požadují sdělení přístupových hesel a umožnění vzdáleného přístupu k souborům a databázím.
ÚOOÚ přitom kontrolní činnost nikdy podobným způsobem neprováděl a neprovádí – případné kontroly ohlašuje přes datovou schránku (popř. písemně či osobně) a vždy disponuje úředním pověřením (totéž platí i pro jiné orgány veřejné moci s oprávněním provádět kontroly). Pokud byste tedy zaznamenali jakoukoliv podobnou žádost o poskytnutí přístupových údajů či umožnění vzdáleného přístupu, pokuste se maximálně identifikovat volajícího (telefonní číslo, jméno, společnost atp.) a incident neprodleně oznamte Policii České republiky.
Na předchozí tradiční ročníky konference Prague 5G Security Conference navázala 3. listopadu v pražském Kongresovém centru Prague Cyber Security Conference. Akce se zúčastnilo přes 500 odborníků na informační a kybernetickou bezpečnost z více než 80 zemí. Účastníci dospěli k závěru, že je třeba posílit spolupráci s národními i mezinárodními partnery stejně jako zintenzivnit kooperaci mezi soukromým, akademickým a státním sektorem – to vše za účelem vytvoření odolné a bezpečné infrastruktury postavené na důvěryhodných technologiích. To potvrdil i ředitel NÚKIB, který v závěrečné řeči zmínil nutnost ochrany kritické informační infrastruktury, nezbytnost mezinárodní kooperace a potřebu okamžitého soustředění se na bezpečnost celého ekosystému dodavatelského řetězce ICT.
Generální advokát Soudního dvora EU potvrdil, že členské státy EU mohou přijímat konkrétnější pravidla k zajištění ochrany práv a svobod. Týká se to pracovněprávních vztahů, zejména v souvislosti s naplněním cílů jako je zajištění rovnosti, diverzity a bezpečnosti. Tím ovšem vzniká v českém prostředí problematické „právní vakuum“, např. ohledně opatření týkajících se diskriminace na pracovišti či nerovnosti v zastoupení různých skupin společnosti mezi zaměstnanci. České právo totiž neumožňuje zpracovávat citlivé osobní údaje zaměstnanců, které se týkají např. pohlaví, etnicity nebo náboženského vyznání. Pro zpracování souvisejících údajů tedy neexistuje v českém právu jakékoliv ustanovení, které by uspokojovalo požadavky GDPR, dle výkladu generálního advokáta. Určitým řešením by mohla být novela zákoníku práce, což je však vzhledem ke kontroverznosti daného tématu zřejmě nepravděpodobné. Nezbývá než hledat konkrétní řešení vždy podle situace každého zaměstnavatele – ideálně nastavením interních pravidel.
Jak se bezpečně pohybovat v online prostředí? S jakými útoky se nejčastěji setkávají občané ČR? A jak se nestát obětí kybernetických útočníků? Nejen o těchto tématech hovořil náměstek ředitele NÚKIB pro řízení sekce Národního centra kybernetické bezpečnosti Tomáš Krejčí v pořadu Drahé Česko na ČT24.
Od začátku listopadu probíhá ve Velké Británii plošné skenování zranitelností všech systémů připojených k internetu. Iniciátorem této aktivity je NCSC (National Cyber Security Centre), který je národním regulátorem kybernetické bezpečnosti. Nejsou známy podrobné detaily použitého technického řešení, nicméně je zřejmé, že skenování je založeno na klasických neautentizovaných síťových skenech (tj. stejných, jaké využívají tradiční skenery zranitelností), kontrola tedy bude pro cílové systémy minimálně invazivní. Záměrem NCSC je zlepšení přehledu o aktuální situaci ve Velké Británii stejně jako připravenosti na situace typu masivního zneužití 0-day zranitelností. Podobné incidenty představují značný problém a jakékoliv zlepšení efektivity reakce ze strany státního dozoru by měla vést k citelnému zlepšení bezpečnostní situace.
Pokud při internetové komunikaci sdělujete citlivé údaje, měly by být vždy zašifrované. Postarat by se o to měly algoritmy, které převádějí digitální komunikaci do nečitelné (tedy šifrované) podoby a po doručení příjemci ji opětovně dešifrují. Jak jsou na tom s bezpečností a šifrováním různé aplikace pro komunikaci? Porovnali jsme pro vás nejpoužívanější mobilní chatovací aplikace zejména s ohledem na míru bezpečnosti i důvěryhodnost provozovatele a výsledky zveřejnili na našem blogu.
