Přehled zářijových novinek a událostí

Přehled zářijových novinek a událostí

03. 10. 2022
Měsíc uplynul jako voda a my jsme za tu dobu pro vás opět nachystali další přehled novinek a událostí, které se odehrály na poli informační a kybernetické bezpečnosti. Další detaily o směrnici NIS2, varování před phishingovou kampaní napodobující stránky českého ministerstva, zprávu o téměř rekordní pokutě vystavené společnosti Meta Marka Zuckerberga za porušování GDPR a spoustu dalšího.

NÚKIB představuje evropskou směrnici NIS2 

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) se připravuje na implementaci nové evropské směrnice NIS2 do českého právního systému. Cílem zmíněné směrnice, která vstoupí v platnost v roce 2024, je mimo jiné zajistit, aby organizace samy zaváděly preventivní kroky k posílení své kybernetické bezpečnosti. NIS2 nově také pracuje se dvěma režimy povinných osob – „important“ a „essential“. Přičemž povinnosti stanovené organizacím v režimu „important“ budou méně přísné než v případě režimu „essential“. Dále dojde k rozšíření počtu povinných osob, kterých se bude NIS2 týkat, a to na nejméně 6000 subjektů – směrnicí NIS2 se bude po jejím implementování regulovat cca 60 služeb v 18 odvětvích (zejména nemocnice, energetické subjekty, vodohospodářské organizace, poskytovatelé veřejných ICT služeb, orgány veřejné správy aj.). Tyto subjekty budou mít nově povinnost zavést opatření a interní procesy k zajištění informační kybernetické bezpečnosti v rámci vlastní organizace.  

 

NÚKIB spustil stránky ke směrnici NIS2 

V kontextu řady změn a zájmu odborné veřejnosti o toto téma, spustil NÚKIB webové stránky, kde najdete na jednom místě obecné informace o směrnici NIS2 transparentní přehlednou a strukturovanou formou: 

  • koho se nové povinnosti týkají, 
  • jakým způsobem budou organizace zabezpečovat své služby, 
  • jaké incidenty budou hlásit, 
  • jaké budou sankce za neplnění požadavků 
  • a další specifika.  

Všechna probíraná témata bude NÚKIB průběžně aktualizovat a doplňovat. 

 

Pozor na probíhající phishingovou kampaň zneužívající bankovní identitu 

Zatím neznámí kybernetičtí podvodníci zneužívají nabídku příspěvku na bydlení od Ministerstva práce a sociálních věcí (MPSV) a šíří phishingové zprávy s texty: 

  • „Je vám poskytnut příspěvek na bydlení po dobu 3 měsíců od Mpsv“. 
  • „MPSV informuje v rámci programu bydlení máte k dispozici příspěvek“. 
  • A další podobné variace na výše uvedené, zpravidla formou špatné strojově přeložené češtiny. 

Zprávy jsou doplněny falešným odkazem na podvodné stránky, které věrně napodobují vzhled webu skutečného MPSV (pravá adresa je však pouze v tomto tvaru: https://www.mpsv.cz/web/cz/-/prispevek-na-bydleni. Záměrem podvodníků je přimět oběti, aby se přihlásily na uvedené stránky pomocí své bankovní identity a odcizili jejich přihlašovací údaje. Takto získané údaje pak podvodníci použijí k přihlášení do skutečného internetového bankovnictví, kde oběť ve stejném okamžiku potvrdí verifikaci během dvoufázového ověření. 

Věnujte proto zvýšenou pozornost všem příchozím zprávám a upozorněte na uvedené riziko i lidi ve vašem blízkém okruhu. 

 

Hackeři bez skrupulí 

Roste intenzita a brutalita hackerských útoků, a to i na kritická místa IT infrastruktury, jako jsou zdravotnická zařízení. To se stalo i v New Yorku 14. července, kdy se kybernetickým útočníkům ze skupiny Hive díky úspěšnému průniku do počítačové sítě (uskutečněnému již 26. května) podařilo zkopírovat data obsahující jména pacientů a informace o zdravotním a sociálním pojištění a další dokumenty jako smlouvy, dohody, plány, bankovní výpisy či informace o zaměstnancích. Jakmile hackeři uvedená data získali, na původních serverech zdravotnického zařízení je poté zašifrovali. Za zpětné dešifrování dat poté požadovali výkupné. Jednalo se o cca 280 GB datových souborů a zasaženo útokem bylo přes 318 000 pacientů. 

 

Instagram porušil GDPR  

Instagram spadající pod společnost Meta Marka Zuckerberga byl začátkem září sankcionován obří pokutou ve výši 405 milionů € za porušení směrnic GDPR, kterou společnosti uložil irský úřad pro ochranu dat. Konkrétně se porušení GDPR týkalo nepřiměřeného a protiprávního zasahování do práv nezletilých uživatelů sociální sítě Instagram. Jde zatím o druhou vůbec nejvyšší uloženou pokutu za porušení směrnic GDPR. Vyvstává ovšem otázka, zda společnost Meta pokutu skutečně uhradí a jak dlouho se povlečou soudní spory. 

 

Co všechno přinesla konference CyberCon 2022 

V polovině září proběhl již osmý ročník konference zaměřené na problematiku kybernetické bezpečnosti s názvem CyberCon. Na rozdíl od podobných akcí je CyberCon zaměřený především na praktické ukázky a workshopy věnující se tento ročník problematice digitální forenziky, Wiresharku, zabezpečení IP resilienci ozbrojených sil vůči hybridním hrozbám apod. 

„Klíčem ve většině oblastí z kybernetické bezpečnosti je spolupráce napříč státním, akademickým a soukromým sektorem na národní i mezinárodní úrovni. Zapomínat při tom ale nemůžeme ani na osvětu a komunikaci s širokou veřejností, “ dodal ředitel Národního úřadu pro kybernetickou bezpečnost (NÚKIB) Lukáš Kintr při zahájení konference. 

Další dny konference se konaly pro změnu přednášky na aktuální témata z oblasti regulace: o evropské směrnici NIS2 (viz výše), průvodci řízení aktiv a rizik podle vyhlášky o kybernetické bezpečnosti, analýze rizik, auditech, kvantové distribuci klíčů ad. 

Závěrečný den konference potom patřil výzvám současné kybernetické bezpečnosti, jako je odkrývání ruských dezinformačních operací, kyberkriminalita, internet governance či o bug bounty ve veřejném sektoru. 

Účastníci CyberConu se tedy mohli opět přesvědčit, že šlo o unikátní akci nabitou informacemi, která navíc podporuje sdílení informací mezi státní, akademickou a soukromou oblastí. 

 

Nová směrnice ukládá rozšířenou povinnost kontroly subdodavatelů 

Myslíte si, že zodpovědnost za případné porušení lidských práv nebo ohrožení životního prostředí spadá pouze na subdodavatele? Podle nové směrnice, kterou připravuje Evropská komise, ponesete zodpovědnost za takové chování vašich subdodavatelů právě vy sami. Cílem této nové směrnice má být povinnost nastolení kontrol subdodavatelů a dceřiných společností firem působících mimo EU (po celém světě). Jaké konkrétní povinnosti nová směrnice (pokud bude ve stávající formě přijata) přinese společnostem a jaká nastanou propojení se stávající úpravou GDPR, se dočtete v článku pro epravo.cz

 

Jak nezamrznout v oblasti kyberbezpečnosti? 

V posledním srpnovém dílu pořadu ArtCafé vysílání stanice Vltava se nad kybernetickou bezpečností zamýšleli společně Eva Nečasová, designérka a zakladatelka iniciativy AI dětem, student Josef Kahoun, spolutvůrce počítačové hry Codeadventure a David Kudrna ze vzdělávacího oddělení NÚKIBu. Poslechněte si jejich tipy, jak nezamrznout v kyberbezpečnosti. 

 

Cloudy a právo – „legislativní“ pohled na cloudové služby 

Pokud by vás zajímal i jiný, než technický či bezpečnostní pohled na cloud a cloudové služby, nabízíme vám pohled právní. A to v sérii článků „Cloudy a právo“: 

Nechte nám na sebe kontakt a společně najdeme ideální řešení pro vaši bezpečnost

Jaromír Žák
Jaromír Žák
Ředitel
Jaromír se podílí na rozvoji a strategii našeho businessu a zodpovídá za kvalitu veškerých služeb.
Rychlý kontakt
Náš konzultant se vám ozve do 24 hodin od poptávky.
Individuální přístup
Poradíme vám s vaším problémem a najdeme pro vás ideální řešení na míru.
Náskok před konkurencí
Kromě toho, co vás zajímá, si vždy odnesete i něco navíc, abyste byli neustále krok před konkurencí.
NEXT GENERATION SECURITY SOLUTIONS s.r.o.
U Uranie 18, 170 00 Praha 7

IČ: 06291031
DIČ: CZ06291031

NGSS má zaveden systém řízení bezpečnosti informací dle normy ČSN ISO/IEC 27001:2014. Politika systému řízení bezpečnosti informací (ISMS) NGSS zde.
Etický kodex
Nevíte si rady?
Ozvěte se nám.