Přehled prosincových novinek a událostí

Přehled prosincových novinek a událostí

02. 01. 2023
Přinášíme vám v tomto kalendářním roce již poslední přehled událostí a zajímavostí, které se během posledního měsíce odehrály na poli informační a kybernetické bezpečnosti. NÚKIB testuje schopnost nemocnic řešit kybernetické útoky, byla schválena definitivní podoba směrnice NIS2 a došlo k masivnímu úniku dat společností LastPass a Twitter. To vše i mnohem více se dočtete v dnešním bulletinu.

Zdravotnická zařízení pod kybernetickou palbou

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v polovině letošního prosince uspořádal speciální cvičení Health Czech pro zdravotnická zařízení, která spadají pod působnost zákona o kybernetické bezpečnosti. Zástupci nemocnic skládající se z expertů na kybernetickou bezpečnost, lékařskou péči nebo komunikaci v rámci cvičení řešili simulovaný hackerský útok vedoucí k nenadálému výpadku systému. Smyslem cvičení bylo ověřit, jak by účastníci zvládli reagovat v případě skutečného kybernetického útoku. Akce podobného typu jsou určitě na místě – NÚKIB uvádí, že jen za uplynulý rok 2022 čelily hackerským útokům desítky zdravotnických zařízení a nemocnic. Převážně se jednalo o kybernetické útoky typu DDoS klasifikované jako významné a méně významné bezpečnostní incidenty. Jeden ze zaznamenaných incidentů byl klasifikován dokonce jako velmi významný.

 

Rada EU schválila směrnici NIS2

O přípravě implementace nové směrnice Evropské unie NIS2 jsme vás informovali v zářijovém, říjnovém i listopadovém bulletinu. NÚKIB k implementaci NIS2 připravil specializované stránky, kde se dočtete, koho se nové povinnosti týkají, jakým způsobem budou muset organizace zabezpečovat své služby, jaké incidenty budou hlásit, jaké budou sankce za neplnění požadavků a další specifika NIS2. Konkrétní povinnosti budou vyplývat ze změn, které NÚKIB představí na začátku roku 2023, a především z konečných legislativních změn, které přijmou naši zákonodárci. Zatím poslední novinkou je přijetí finálního znění směrnice NIS2 Radou Evropské unie. Směrnice tak vstoupí v platnost koncem prosince 2022. Celou problematiku implementace nové směrnice jsme pro vás shrnuli v samostatném článku o NIS2.

Chcete vědět, zda budou mít připravované změny skutečně dopad i na vaši společnost? Potřebujete zaregistrovat vaši organizaci do seznamu povinných subjektů? Rádi byste vypracovali plán zavádění povinných bezpečnostních opatření? Obraťte se na nás, celým procesem vás provedeme krok za krokem a vy tak získáte jistotu, že budete v naprostém souladu s legislativou, jakmile směrnice NIS2 vstoupí v platnost prováděcím zákonem ČR.

 

Zneužití certifikátů pro podpis malwaru

Společnost Google v průběhu prosince informovala o zneužití většího množství certifikátů pro podepisování systémových aplikací určených na platformu Android. Pokud je nějaký kód podepsán výše zmíněným certifikátem, jsou mu udělena v operačním systému vysoká oprávnění, což je v případě malwaru vážné bezpečnostní riziko. Společnosti Samsung, LG, Mediatek a Revoview, kterým byly zneužité certifikáty vydány, již podnikly odpovídající reaktivní opatření. Pokud tedy patříte mezi uživatele zařízení uvedených společností, měli byste být plně chráněni, je ovšem nutné provést aktualizaci vašeho zařízení.

 

Další masivní únik hesel společnosti LastPass

LastPass, jeden z nejznámějších provozovatelů cloudových správců hesel, již podruhé v tomto roce zaznamenal neoprávněný průnik do svých systémů. Druhý kybernetický útok využil poznatků z prvního průlomu a kybernetičtí útočníci tak mohli teoreticky získat přístup k datům obsahující zákaznické informace. LastPass uvádí, že vzhledem k „zero-knowledge“ architektuře vlastního správce nemohlo dojít ke kompromitaci uložených hesel. Přesto je na místě obezřetnost a z hlediska politiky předběžné obezřetnosti doporučujeme přinejmenším přenastavení uložených dat či migraci na spolehlivější a bezpečnější službu, např. Roboform či KeePass.

 

Uniklé uživatelské informace z Twitteru nyní ke stažení zdarma

V průběhu letošního roku došlo skrze již opravenou chybu v API Twitteru k úniku informací z přibližně 5,4 milionu uživatelských účtů (neoficiální informace uvádějí až 17 milionů), zejména e-mailových adres a telefonních čísel jednotlivých uživatelů. Databáze s uniklými údaji byla již v létě prodána, ovšem před několika týdny byla bezplatně zveřejněna na hackerském diskuzním fóru.

 

Vyjednávání právních předpisů o umělé inteligenci a elektronické identitě

Rada EU bude vyjednávat s Evropským parlamentem ohledně návrhů právních předpisů o umělé inteligenci (AIA) a elektronické identitě (eIDR). AIA počítá se zákazem technologií představujících nepřijatelné riziko, např. sociální hodnocení lidí. Navržená úprava ovšem nepočítá s původně zakotvenou klauzulí o zákazu biometrické identifikace ve veřejných prostorech. Aktualizace eIDR, tedy „evropské digitální peněženky“ by měla umožnit soukromoprávní prokazování totožnosti. Uvedené právní předpisy se významně dotknou i zpracování osobních údajů v České republice, např. v ohledu přizpůsobení české bankovní identity (SONIA) celoevropskému systému. O dalším vývoji jednání na půdě Evropského parlamentu o obou předpisech vás budeme informovat v dalším bulletinu.

Nechte nám na sebe kontakt a společně najdeme ideální řešení pro vaši bezpečnost

Jaromír Žák
Jaromír Žák
Ředitel
Jaromír se podílí na rozvoji a strategii našeho businessu a zodpovídá za kvalitu veškerých služeb.
Rychlý kontakt
Náš konzultant se vám ozve do 24 hodin od poptávky.
Individuální přístup
Poradíme vám s vaším problémem a najdeme pro vás ideální řešení na míru.
Náskok před konkurencí
Kromě toho, co vás zajímá, si vždy odnesete i něco navíc, abyste byli neustále krok před konkurencí.
NEXT GENERATION SECURITY SOLUTIONS s.r.o.
U Uranie 18, 170 00 Praha 7

IČ: 06291031
DIČ: CZ06291031

NGSS má zaveden systém řízení bezpečnosti informací dle normy ČSN ISO/IEC 27001:2014. Politika systému řízení bezpečnosti informací (ISMS) NGSS zde.
Etický kodex
Nevíte si rady?
Ozvěte se nám.