Svět zažil otřes kvůli masivnímu výpadku systémů a další aktuality ze světa kyberbezpečnosti

Svět zažil otřes kvůli masivnímu výpadku systémů a další aktuality ze světa kyberbezpečnosti

08. 08. 2024
Léto rozpaluje chodníky, silnice a domy stejně neúnavně jako kolik přibývá kybernetických útoků – jen v ČR jich oproti loňskému roku přibylo o 80 %. Více v článku, kde se dozvíte o příčinách největšího kybernetického výpadku desetiletí nebo o boji EU s nekalými praktikami velkých online platforem.

Masivní výpadek IT systémů ochromil celý svět 

Devatenáctý červenec mnoho z nás nezapomene. Nelétala letadla, nejezdily vlaky a Windows se restartovaly pořád dokola – u nás i po celém světě. Na Microsoft se snesla obří vlna kritiky, ale chyba byla jinde – v jeho dodavateli kybernetického zabezpečení CrowdStrike. Incident nastal kvůli chybné aktualizaci bezpečnostního softwaru. Aktualizace, která měla zlepšit detekci hrozeb na platformě Falcon, způsobila zhroucení počítačů s Windows, což vedlo k masivnímu výpadku, postihujícímu letiště, banky a další firmy i jednotlivce. Microsoft musel urychleně vydat nástroj na odstranění problematického ovladače, což situaci alespoň částečně stabilizovalo. 

CrowdStrike se snažil minimalizovat dopad problému a rychle nasadil opravy. Přesto došlo k ochromení až 8,5 milionu zařízení s Windows, což mělo značné důsledky. Výpadek vyvolal vlnu kritiky a diskuzí o zlepšení testovacích procesů a aktualizací, aby se podobným situacím v budoucnu předešlo. 

Navzdory rychlé reakci Microsoftu se objevily pokusy o zneužití situace, např. falešné updaty a podvodné webové stránky. Incident zdůraznil důležitost nejen technických, ale i lidských aspektů v oblasti kybernetické bezpečnosti. Opět se potvrdilo, že i dobře míněné aktualizace mohou mít katastrofické následky, pokud se důkladně neotestují a správně neimplementují. 

 

Česká vláda posvětila zprávu o stavu kybernetické bezpečnosti za loňský rok

Vláda České republiky schválila zprávu o stavu kybernetické bezpečnosti za rok 2023, kterou připravil Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Zpráva ukazuje výrazný nárůst kybernetických incidentů v ČR, který se meziročně zvýšil o 80 %, přičemž velká část útoků byla vedena ruskojazyčnými hacktivisty. I když počet méně závažných incidentů stoupl, významných útoků naopak ubylo. Zpráva také zdůrazňuje přípravu nového zákona o kybernetické bezpečnosti, který bude zahrnovat evropskou směrnici NIS2 a posílí ochranu kritické infrastruktury. 

 

Nový zákon o kybernetické bezpečnosti je už dostupný online 

Návrh nového zákona o kybernetické bezpečnosti byl nedávno schválený vládou ČR. Zákon vznikal po důkladných veřejných konzultacích a meziresortním připomínkovém řízení, do kterých se zapojily státní orgány i soukromý sektor. NÚKIB při této příležitosti aktualizoval své webové stránky, kde poskytuje podrobnosti o novém „kyberzákonu“ a jeho aktuálním znění.  

Proces legislativního schvalování zahrnoval několik fází, včetně zmíněných veřejných konzultací a meziresortního připomínkového řízení. Po schválení vládou bude návrh předložený Poslanecké sněmovně, kde projde třemi čteními. Pokud bude návrh schválený, poputuje do Senátu a následně k prezidentovi k podpisu. Po publikaci ve Sbírce zákonů zákon vstoupí v platnost a bude se vztahovat na všechny relevantní subjekty – jak jsme vás informovali v našem článku o NIS2. Nový kybernetický zákon je krokem vpřed v oblasti kybernetické bezpečnosti a reflektuje potřebu reagovat na rostoucí hrozby v digitálním prostoru. 

 

Kontroverzí model „consent or pay“ naráží na odpor EU 

Evropský sbor pro ochranu osobních údajů (EDPB) vydal negativní stanovisko k používání modelu „consent or pay“ (buď bez výhrad souhlaste s podmínkami služby, nebo zaplaťte). Ten začínají poslední dobou stále častěji využívat velké online platformy (typicky jde o sociální sítě). Model „consent or pay“ nutí uživatele, aby buď souhlasili se zpracováním svých osobních údajů pro behaviorální reklamu, nebo zaplatí poplatek za přístup k službě bez reklamy. EDPB vyjádřil pochybnosti o platnosti takového souhlasu vůči GDPR, protože volba mezi souhlasem a placením poplatku se obecně nepovažuje za skutečně svobodnou a informovanou.  

Podle EDPB musí být souhlas se zpracováním údajů svobodný a informovaný – model „consent or pay“ může tuto svobodu narušit, zejména pokud existuje výrazný nepoměr mezi uživatelem a platformou. Velké online platformy by měly zvážit nabídku rovnocenných alternativ k placeným službám, například formy reklamy, které méně zasahují do soukromí uživatelů. Tento postoj reflektuje snahu o zachování základních práv na ochranu osobních údajů v digitálním prostoru. 

 

Jak na zajištění dat pro forenzní analýzu? 

NÚKIB vydal 3. července nový „Návod na zajištění dat pro forenzní analýzu,“ který je určený k usnadnění práce s digitálními důkazy při vyšetřování kybernetických incidentů. Návod poskytuje detailní pokyny pro správné zajištění, uchování a předání dat, aby se zachovala jejich integrita a použitelnost pro forenzní analýzu. Dokument tedy má sloužit jako praktická příručka pro odborníky z oblasti kybernetické bezpečnosti. 

 

Nová informační a vzdělávací stránka NGSS 

Rádi bychom vás seznámili s naší novou vzdělávací a informační stránkou, kterou jsme vytvořili pro všechny, kdo chtějí zůstat v obraze v oblasti kybernetické a informační bezpečnosti. Tedy nejen pro odborníky z oboru, ale i pro širší veřejnost, která se chce lépe orientovat. Na této stránce najdete archiv proběhlých webinářů, stejně jako kalendář plánovaných akcí a školení, které pravidelně pořádáme. 

Každý měsíc vám také můžeme zasílat newsletter, který vás informuje o nejnovějších kybernetických hrozbách, zranitelnostech a změnách v legislativě. Naším cílem je zajistit, abyste byli vždy připravení čelit aktuálním výzvám digitálního světa. 

Nechte nám na sebe kontakt a společně najdeme ideální řešení pro vaši bezpečnost

Jaromír Žák
Jaromír Žák
Ředitel
Jaromír se podílí na rozvoji a strategii našeho businessu a zodpovídá za kvalitu veškerých služeb.
Rychlý kontakt
Náš konzultant se vám ozve do 24 hodin od poptávky.
Individuální přístup
Poradíme vám s vaším problémem a najdeme pro vás ideální řešení na míru.
Náskok před konkurencí
Kromě toho, co vás zajímá, si vždy odnesete i něco navíc, abyste byli neustále krok před konkurencí.
NEXT GENERATION SECURITY SOLUTIONS s.r.o.
U Uranie 18, 170 00 Praha 7

IČ: 06291031
DIČ: CZ06291031

NGSS má zaveden systém řízení bezpečnosti informací dle normy ČSN ISO/IEC 27001:2014. Politika systému řízení bezpečnosti informací (ISMS) NGSS zde.
Etický kodex
Nevíte si rady?
Ozvěte se nám.