O připravované novele zákona o kybernetické bezpečnosti v souvislosti s evropskou směrnicí NIS2 vás průběžně informujeme už téměř rok, přečíst si můžete poslední publikovanou aktualitu o NIS2 nebo si rovnou projít ucelený informační přehled.
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který připravuje implementaci NIS2 do české legislativy, poskytl odborné i široké veřejnosti možnost se k návrhům vyjádřit. Před několika dny zveřejnil NÚKIB dokument o 682 stránkách, který obsahuje stanovisko úřadu ke všem 864 obdrženým připomínkám.
Ty nejzásadnější poukazovaly na skutečnost, že klíčová ustanovení navrhuje NÚKIB začlenit až v jednotlivých prováděcích vyhláškách (a ne v samotném zákoně o kybernetické bezpečnosti) s tím, že se inspiroval současnou platnou právní úpravou. S tím ale nesouhlasí Hospodářská komora, Asociace krajů ani Asociace malých a středních podniků a živnostníků. Další instituce protestovaly vůči tomu, že nekomerční výzkumné projekty mají podle NÚKIB spadat pod přísnější formy regulace, ačkoliv to NIS2 vysloveně nenařizuje. Ani v tomto případě stěžovatelé neuspěli – NÚKIB poukázal na to, že zahrnutí některých povinných osob nad rámec požadavků směrnice představuje národní regulaci, ve které členské státy mohou jít nad rámec požadavků NIS2.
Z 31 připomínek vzešlých od soukromého sektoru NÚKIB akceptoval pouhé dvě, jednalo se nicméně pouze o drobné formální úpravy. Finální znění zákona však rozhodně ještě není na stole – NÚKIB čeká ještě maraton schůzek s ministry a členy vlády, kteří mohou rozhodnout o přepracování úřadem předložených návrhů.
Jaká je situace kolem NIS2, mohl zjistit každý, kdo se zúčastnil webináře s naším kolegou Antonínem Šefčíkem. Pokud jste se nestihli webináře zúčastnit, můžete zdarma shlédnout záznam. Jak už jsme zmínili, NIS2 (resp. forma její implementace do české legislativy) se neustále upravuje, takže vás o jejích změnách budeme ještě informovat.
Úřad pro ochranu osobních údajů (ÚOOÚ) zachytil znepokojivý trend, a sice narůstající počet e-mailů se zálohovými fakturami na služby, které si ovšem adresát nikdy neobjednal, ačkoliv jsou uvedeny odpovídající identifikační údaje příjemců (název, adresa, IČO atp.). Jedná se zpravidla o částky v řádech tisíců korun za služby z oblasti reklamy, marketingu a internetových prezentací.
Podle stanoviska ÚOOÚ se jedná o nevyžádaná obchodní sdělení a jejich rozesíláním se tedy porušuje zákon o elektronických komunikacích. Pokud se s podobným typem e-mailu setkáte, důrazně doporučujeme neotevírat jakékoliv přiložené soubory a věc oznámit ÚOOÚ.
V České republice bohužel v současné době existuje pouze jediná společnost, která vám umožňuje ověřit identitu volajícího – jde o Českou spořitelnu a její bankovní aplikaci George klíč. Obdobnou službu aktuálně připravuje i operátor T-mobile. Spousta společností přitom ve svých kontaktních centrech nasazuje umělou inteligenci a IVR skripty, které vishingovým podvodům jen nahrávají.
Podvodníci jsou totiž mnohem sofistikovanější a časy podvržených e-mailů a SMS vybízejících s průhlednou záminkou k přihlášení do „internetového bankovnictví“ jsou už pasé. Podvodníci napodobují voiceboty call center nebo volají s odcizenou identitou konkrétních bankéřů (včetně zobrazení odpovídajícího tlf. čísla) – vy ovšem nemáte žádnou možnost ověřit jejich identitu (s výjimkou České spořitelny, viz výše).
Při jakýchkoliv pochybnostech důrazně doporučujeme hovor okamžitě ukončit a zavolat zpátky na call centrum. Tam jsou schopní ověřit, zda byl předchozí hovor skutečně autentický, nebo se jednalo o vishing či jinou formu podvodu.
Mnoho českých bankovních institucí (včetně České národní banky či pražské Burzy cenných papírů) v září podlehlo obrovskému DDoS útoku, který zabránil mnoha klientům v přístupu do internetového bankovnictví nebo na webové stránky. Na sociálních sítích se k DDoS útoku přihlásila ruská hacktivistická skupina. Útok nijak neohrozil bezpečnost uložených prostředků nebo osobních údajů klientů dotčených bankovních institucí.
K celému incidentu i související problematice se vyjádřil ředitel NÚKIB Lukáš Kintr v rozhovoru pro Český rozhlas.
NÚKIB vytvořil společně se Státní pokladnou a Centrem sdílených služeb (SPCSS) materiál, který je jakýmsi volným pokračováním dříve publikovaného dokumentu Průvodce řízením aktiv a rizik dle vyhlášky o kybernetické bezpečnosti.
Průvodce řízením dodavatelů ve vztahu k hodnocení rizik kyberbezpečnosti najdete spolu s dalšími podpůrnými materiály přímo na webu NÚKIBu pod Vyhláškou o kybernetické bezpečnosti. Dokument se věnuje problematice hodnocení rizik u výběrového řízení s důrazem na veřejné zakázky. Poslouží i díky množství modelových příkladů v praktické části hlavně těm, kteří mají s danou problematikou jen minimální, nebo dokonce žádné zkušenosti.
Nejedná se však o závazný pokyn – pouze soubor doporučení a možných postupů. Uvedené principy bude vždy nutné přizpůsobit konkrétní společnosti či organizaci.
Česká bankovní asociace ve spolupráci s Policií České republiky spustila další ročník osvětové kampaně #nePINdej!, do které se unikátním způsobem zapojily orgány státní správy (kromě PČR i NÚKIB) i soukromý sektor (kromě ČBA i další banky, VISA, ČEZ, O2 a další společnosti). Cílem kampaně #nePINdej! je upozornit na aktuální typy a metody kybernetických podvodů zaměřených na klienty bank. Podle PČR sice způsobená průměrná škoda přepočtená na jednoho klienta klesá (jde o necelých 22 000 Kč), počet nahlášených útoků oproti loňskému roku však vzrostl o 15 %.
Ředitel NÚKIB Lukáš Kintr ke kampani dodává: „Žijeme v digitální době, která nám mnohé věci usnadňuje, ale také přináší mnohá rizika. A mezi ně patří i rostoucí počet různých kyberútoků. Nejlepší obranou proti těmto pokusům zůstává nadále celospolečenská osvěta s cílem dosáhnout široké informovanosti veřejnosti o hrozbách, kterým každodenně čelíme…“.
12. až 14. září proběhla v Brně konference CyberCon 2023, která přitáhla špičkové odborníky na kyberbezpečnost i politiky parlamentních stran a zúčastnilo se jí více než 300 zájemců. Ti se mohli například dozvědět, jak může vypadat reálný útok na kritickou infrastrukturu státu i to, jak jsou na něj připravené orgány státní správy. Dále se seznámili s novou službou, tzv. síťovým threat huntingem. Odborníci z NÚKIB, který konferenci pořádal, také představili návrh nového zákona o kybernetické bezpečnosti i jeho dopady.
Jak jsme vás už téměř před rokem informovali, naše SOC centrum NESTOR získalo prestižní akreditaci – TI ACCREDITED. Akreditace znamená, že splňujeme přísná bezpečnostní a procesní kritéria v rámci poskytování služeb bezpečnostního dohledu, incident managementu, SOC a příbuzných služeb.
Požadavky na akreditovaný tým NESTOR mimo jiné znamenají koordinování řešení bezpečnostního incidentu i mezi členy sítě TI a neprodlené informování zákazníků NGSS o možném výskytu globálních bezpečnostních incidentů.
S akreditací se pojí ale i účast na prestižních odborných konferencích. Mezi ně patřilo i 70. setkání TF-CSIRT, které se uskutečnilo od 26. do 27. září 2023 ve Stockholmu. Naši odborníci na kybernetickou bezpečnost se tak mohli setkat s kolegy z jiných zemí i v rámci uzavřených jednání a vyměnit si zkušenosti v oboru.
