Devatenáctý červenec mnoho z nás nezapomene. Nelétala letadla, nejezdily vlaky a Windows se restartovaly pořád dokola – u nás i po celém světě. Na Microsoft se snesla obří vlna kritiky, ale chyba byla jinde – v jeho dodavateli kybernetického zabezpečení CrowdStrike. Incident nastal kvůli chybné aktualizaci bezpečnostního softwaru. Aktualizace, která měla zlepšit detekci hrozeb na platformě Falcon, způsobila zhroucení počítačů s Windows, což vedlo k masivnímu výpadku, postihujícímu letiště, banky a další firmy i jednotlivce. Microsoft musel urychleně vydat nástroj na odstranění problematického ovladače, což situaci alespoň částečně stabilizovalo.
CrowdStrike se snažil minimalizovat dopad problému a rychle nasadil opravy. Přesto došlo k ochromení až 8,5 milionu zařízení s Windows, což mělo značné důsledky. Výpadek vyvolal vlnu kritiky a diskuzí o zlepšení testovacích procesů a aktualizací, aby se podobným situacím v budoucnu předešlo.
Navzdory rychlé reakci Microsoftu se objevily pokusy o zneužití situace, např. falešné updaty a podvodné webové stránky. Incident zdůraznil důležitost nejen technických, ale i lidských aspektů v oblasti kybernetické bezpečnosti. Opět se potvrdilo, že i dobře míněné aktualizace mohou mít katastrofické následky, pokud se důkladně neotestují a správně neimplementují.
Vláda České republiky schválila zprávu o stavu kybernetické bezpečnosti za rok 2023, kterou připravil Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Zpráva ukazuje výrazný nárůst kybernetických incidentů v ČR, který se meziročně zvýšil o 80 %, přičemž velká část útoků byla vedena ruskojazyčnými hacktivisty. I když počet méně závažných incidentů stoupl, významných útoků naopak ubylo. Zpráva také zdůrazňuje přípravu nového zákona o kybernetické bezpečnosti, který bude zahrnovat evropskou směrnici NIS2 a posílí ochranu kritické infrastruktury.
Návrh nového zákona o kybernetické bezpečnosti byl nedávno schválený vládou ČR. Zákon vznikal po důkladných veřejných konzultacích a meziresortním připomínkovém řízení, do kterých se zapojily státní orgány i soukromý sektor. NÚKIB při této příležitosti aktualizoval své webové stránky, kde poskytuje podrobnosti o novém „kyberzákonu“ a jeho aktuálním znění.
Proces legislativního schvalování zahrnoval několik fází, včetně zmíněných veřejných konzultací a meziresortního připomínkového řízení. Po schválení vládou bude návrh předložený Poslanecké sněmovně, kde projde třemi čteními. Pokud bude návrh schválený, poputuje do Senátu a následně k prezidentovi k podpisu. Po publikaci ve Sbírce zákonů zákon vstoupí v platnost a bude se vztahovat na všechny relevantní subjekty – jak jsme vás informovali v našem článku o NIS2. Nový kybernetický zákon je krokem vpřed v oblasti kybernetické bezpečnosti a reflektuje potřebu reagovat na rostoucí hrozby v digitálním prostoru.
Evropský sbor pro ochranu osobních údajů (EDPB) vydal negativní stanovisko k používání modelu „consent or pay“ (buď bez výhrad souhlaste s podmínkami služby, nebo zaplaťte). Ten začínají poslední dobou stále častěji využívat velké online platformy (typicky jde o sociální sítě). Model „consent or pay“ nutí uživatele, aby buď souhlasili se zpracováním svých osobních údajů pro behaviorální reklamu, nebo zaplatí poplatek za přístup k službě bez reklamy. EDPB vyjádřil pochybnosti o platnosti takového souhlasu vůči GDPR, protože volba mezi souhlasem a placením poplatku se obecně nepovažuje za skutečně svobodnou a informovanou.
Podle EDPB musí být souhlas se zpracováním údajů svobodný a informovaný – model „consent or pay“ může tuto svobodu narušit, zejména pokud existuje výrazný nepoměr mezi uživatelem a platformou. Velké online platformy by měly zvážit nabídku rovnocenných alternativ k placeným službám, například formy reklamy, které méně zasahují do soukromí uživatelů. Tento postoj reflektuje snahu o zachování základních práv na ochranu osobních údajů v digitálním prostoru.
NÚKIB vydal 3. července nový „Návod na zajištění dat pro forenzní analýzu,“ který je určený k usnadnění práce s digitálními důkazy při vyšetřování kybernetických incidentů. Návod poskytuje detailní pokyny pro správné zajištění, uchování a předání dat, aby se zachovala jejich integrita a použitelnost pro forenzní analýzu. Dokument tedy má sloužit jako praktická příručka pro odborníky z oblasti kybernetické bezpečnosti.
Rádi bychom vás seznámili s naší novou vzdělávací a informační stránkou, kterou jsme vytvořili pro všechny, kdo chtějí zůstat v obraze v oblasti kybernetické a informační bezpečnosti. Tedy nejen pro odborníky z oboru, ale i pro širší veřejnost, která se chce lépe orientovat. Na této stránce najdete archiv proběhlých webinářů, stejně jako kalendář plánovaných akcí a školení, které pravidelně pořádáme.
Každý měsíc vám také můžeme zasílat newsletter, který vás informuje o nejnovějších kybernetických hrozbách, zranitelnostech a změnách v legislativě. Naším cílem je zajistit, abyste byli vždy připravení čelit aktuálním výzvám digitálního světa.