Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) začíná chystat zavedení nové evropské směrnice NIS2 do české legislativy. Zatím je čas, platit by měla až od roku 2024. Přesto byste ji neměli brát na lehkou váhu – rozšíří se totiž počet firem, organizací a subjektů, které musí splňovat povinná kritéria kybernetické bezpečnosti. Odhaduje se, že se nová směrnice dotkne cca 6000 subjektů. Ředitel odboru regulace NÚKIB vysvětluje: „Směrnice NIS2 požaduje po organizacích, které jsou nějakým způsobem důležité, zavést organizační i technická opatření k zajištění jejich kybernetické bezpečnosti, respektive bezpečnosti jejich informačních systémů, které tyto služby zajišťují“. Typicky se změny budou týkat nemocnic, energetických subjektů, vodohospodářských organizací, poskytovatelů veřejných ICT služeb, orgánů veřejné správy ad. Dotčené subjekty budou mít povinnost zavést určité procesy (např. vzdělávání uživatelů, plány kontinuity činností ad.) a dále přijmout technická opatření vedoucí k zajištění kybernetické bezpečnosti (např. zavedení softwaru na vyhodnocování bezpečnostních incidentů).
NÚKIB spolu se čtyřmi ministerstvy, Státní pokladnou Centrem sdílených služeb a Fakultní nemocnicí Plzeň připravili Průvodce řízením aktiv a rizik podle § 4 a § 5 vyhlášky o kybernetické bezpečnosti. Tento návod pomůže především těm, kdo s touto problematikou nemají žádné zkušenosti anebo poslouží jako kontrola a inspirace pro ty, kdo se v posuzování a řízení rizik už trochu vyznají. V dokumentu najdete i praktické příklady a modelové situace, takže si lépe představíte aplikaci uvedených doporučení. Podívejte se na něj.
NÚKIB upozorňuje na sadu 10 zranitelností ve virtualizačním programu VMware a platformy VMware vRealize Operations. Některé jsou dokonce kritické. Zranitelnosti ve VMware se týkají authentication bypass, tedy získání přístupu do vaší administrace bez nutnosti autentizace. Týká se to všech následujících produktů:
Zranitelnosti ve VMware vRealize Operations umožňují případným útočníkům eskalaci administrátorských oprávnění na root. NÚKIB se obává, že zranitelnosti budou hojně zneužívány, a proto silně doporučuje ihned provést aktualizaci všech komponent, kterých se zranitelnosti týkají.
Do „čtvrtice“ NÚKIB doporučuje pro citlivá data a důvěrné informace, které potřebujete sdílet s dalšími společnostmi a organizacemi, používat TLP. Tedy Traffic Light Protocol, který slouží ke snadnému určení míry důvěrnosti informací a možností jejich dalšího sdílení. TLP vždy udělí dané informaci příznak, který ukazuje její charakter. Jsou to:
Jak zajistíte, aby váš analytický nástroj byl v souladu s GDPR? Jednoduché to úplně není. Je třeba identifikovat technická nastavení a opatření, která umožňují zachovat používání Google Analytics a zároveň respektovat soukromí evropských uživatelů internetu (tedy zajistit soulad s GDPR). Nestačí pouhá změna IP, data jsou stále nezákonně přenášena do USA (tedy do společnosti Google). Jednou z možností je použití proxy serveru, který zamezí kontaktu uživatele se servery analytického nástroje (Google). Přitom je ale nutné dodržet doporučení Evropského sboru pro ochranu osobních údajů.
Musíte jednoznačně prokázat, že „pseudonymizované“ osobní údaje nelze přiřadit identifikované nebo identifikovatelné osobě, a to ani v případě, kdy by byly porovnány s jinými dostupnými informacemi. Je proto nutné zajistit, kromě absence požadavku z uživatelského terminálu na servery analytického nástroje (Google), aby všechny přenášené informace neumožňovaly žádným způsobem znovu identifikovat osobu uživatele.
Asi víte, že díky novele zákona vás už nesmějí obtěžovat marketingové hovory. Věděli jste ale, že pokud se tak stane, tak na ně můžete podat stížnost? Český telekomunikační úřad (ČTÚ) jich za červenec evidoval 57 (což je více než za celý předchozí rok) a bere to jako velmi pozitivní zprávu – znamená to totiž, že lidé o této novele vědí a stěžují si na její porušování. Pokud se tedy s podobným hovorem setkáte, nebojte se také podat podnět. ČTÚ pak udělí patřičné pokuty, které by snad měly volající navždy odradit.
Pokud jste v minulosti nějaké společnosti udělili výslovný souhlas, že vás s marketingovými nabídkami kontaktovat může (v tomto jediném případě vám volat opravdu smí), ale teď s tím už nesouhlasíte, můžete své předchozí rozhodnutí odvolat.
Začátkem srpna vyšla ve Sbírce zákonů novela zákona o kybernetické bezpečnosti, která odpovídá nařízením Evropského parlamentu. Mimo jiné stanovuje, že je NÚKIB novým vnitrostátním orgánem pro certifikaci kybernetické bezpečnosti.
Novela zákona také upravuje určité aspekty správního řízení o tzv. autorizaci a stanovuje skutkové podstaty přestupků, které porušují povinnosti dané evropským „aktem o kybernetické bezpečnosti“. NÚKIB bude od teď dohlížet na dodržování zde stanovených pravidel a případně je vymáhat. Certifikací bude také osvědčovat, že produkty a služby splňují bezpečnostní požadavky, čímž by se měla zvýšit jejich důvěryhodnost.
Cybersecurity & Infrastructure Agency (CISA), federální regulátor pro oblast kybernetické bezpečnosti v USA, publikovala v uplynulém týdnu stránku nazvanou Cybersecurity Toolkit to Protect Elections.
Přestože (jak název napovídá) jde o portál určený především pro jednotlivce a organizace participující na zabezpečení voleb, lze jeho návštěvu doporučit i specialistům zodpovědným za kybernetickou bezpečnost v jinak zaměřených organizacích. Obsahuje totiž mj. odkazy na řadu (mnohdy volně dostupných) nástrojů a postupů umožňujících zefektivnit ochranu organizací před hrozbami, jako je phishing, ransomware a útoky typu DDoS, i uspíšit detekci těchto hrozeb.
Vzhledem k neustále narůstající kriminalitě v online prostoru je zapotřebí důkladná a opakovaná osvěta vzdělávání uživatelů internetu. Proto své síly spojilo Ministerstvo vnitra a Univerzita Palackého v Olomouci. Společně připravili čtyři vzdělávací videa o kyberkriminalitě a její prevenci. Projekt nese název „Prevence v kyber!“ a věnuje se také prostředí online her a digitálnímu wellbeingu. Ředitel odboru prevence kriminality Michal Barbořík k tomu poznamenal: „Kybernetická kriminalita se v posledních dvou letech velmi zvýšila a prevence je jednou z cest, jak účinně tomuto nárůstu čelit. Právě tato školicí videa o kyberbezpečnosti pomohou lektorům, pedagogům, preventistům a dalším s osvětou a vzděláváním dětí, mladistvých, ale i dospělých.“