Index Index "NÚKIB"

NÚKIB

Legislativa a právo #4 - 2022

-> Že s jídlem roste chuť, platí, zdá se, zejména pro dohlížející orgány GDPR – celkový objem pokut uložených v EU v roce 2021 totiž překročil miliardu eur, což je bezmála šestinásobný nárůst oproti roku 2020. Stojí za ním nicméně hlavně dvě pokuty ze dvou zemí – Lucemburska (746 milionů eur) a Irska (225 milionů eur), které jsou prozatím prvoinstanční. Co se samotného počtu hlášených GDPR incidentů týče, ten napříč EU rostl o 8 % na 356 případů denně. [W] 

-> Rakouský úřad odpovídající za GDPR rozhodl, že fungování Google Analytics je v rozporu právě se směrnicí GDPR, k podobnému rozhodnutí směřují též v Nizozemsku, je tedy možné, že další obětí unijní křížové výpravy za soukromím se v éře očkovacích pasů stane právě webový analytický nástroj velkého vyhledávacího bratra. [W] 

-> Vláda projedná návrh novely zákona o kybernetické bezpečnosti, kterou opětovně předkládá NÚKIB, ta nebude procházet meziresortním připomínkovým řízením (novela promítá do legislativy evropský akt o kybernetické bezpečnosti, lhůta na jeho zavedení do právního systému ale již vypršela v létě 2021). Zákon, který učiní z NÚKIB vnitrostátní orgán certifikace kybernetické bezpečnosti a dá mnohem širší pravomoci agentuře ENISA, by tak chtěla vláda ve sněmovně „protlačit“ ve zrychleném režimu. [CZ] 

-> Evropský parlament dal v minulém týdnu výraznou většinou mandát vyjednat s francouzským předsednictvím Rady EU konečné znění tzv. DSA – aktu o digitálních službách. EP sice některé části drakonického návrhu Evropské komise upravil a zmírnil (zejména vůči malým podnikům), stále ale platí, že by nová legislativa (v závislosti na konečném znění) mohla znamenat zásadní zásah do svobody projevu a dalších práv na internetu, jak upozorňuje například sdružení SOSP.  [CZ] [W] 

Bezpečnost #3 - 2022

-> Podle informací Notářské komory došlo k praktickému uplatnění databáze ověřovacích doložek dokumentů, když notářka v Praze zabránila podvodnému převodu obchodní společnosti poté, co zjistila, že předložená plná moc se v databázi nenachází, a je tedy podvržená. [CZ]

-> Podle přehledů incidentu za prosinec 2021, který publikoval NÚKIB, figurovala vážná zranitelnost Log4j jen ve dvou z patnácti případů. Jak upozorňuje Lupa, NÚKIB spustil zveřejňování dat o kybernetických incidentech v otevřeném formátu na GitHubu. [CZ]

-> Z dat společnosti Check Point vyplývá, že počet útoků na podnikové sítě vzrostl v minulém roce v průměru o 50 % (v průměru 900 útoků na jednu sledovanou organizaci týdně), v Česku pak ještě o něco více (přes tisíc útoků týdně) – Evropa byla přitom kontinentem s nejvyšším růstem tohoto parametru (o 68 %). Největší počet útoků míří již tradičně na vzdělávací, vědecké a výzkumné organizace, následují státní a vojenské struktury, telekomunikace a ISP. Na opačném konci spektra jsou prodejci HW či doprava, maloobchod a velkoobchod. [W]

-> Rozsáhlému, podle ohlášených následků ale spíše neškodnému (nedošlo k únikům dat) útoku musely čelit v minulém týdnu ukrajinské státní úřady poté, co byly napadeny webové stránky řady z nich a byly na nich vyvěšeny výhrůžné a posměšné texty, které naznačují, že pachateli byli útočníci z Ruska. [W]

-> Společnost Soitron upozorňuje na zajímavý trend v oblasti kybernetické bezpečnosti – podvodné náborové kampaně cílené na SW inženýry a bezpečnostní specialisty, jimž jsou předkládány penetrační testy, které jsou ale jen zástěrkou pro skutečný ransomware útok. Pro tyto účely jsou dokonce zakládány krycí společnosti, vše je ale pochopitelně nastaveno tak, že odpovědnost za prováděné „penetrační testy“ nesou „najímaní“ specialisté. Jde o praxi využívanou například ruskou skupinou FIN7. [W]

-> Zajímá-li vás, jaké vybavení používá polská armáda, a to až na úroveň jednotlivých jednotek, které položky shání či které náhradní díly jsou poptávány, pak si stačí stáhnout seznam s 1,8 milionu položek (doslova od hřebíku po stíhačku a tank), který unikl na internet. Podle tamního ministerstva obrany zveřejnění dat nepředstavuje hrozbu pro bezpečnost země. Pozn. red.: To je vlastně už zbytečné jízlivě komentovat. [W]

-> V kauze úniku fotokopií dokladů a pasů slovenské delegace cestující na Expo 2020 se nepodařilo CSIRT.[SK] zjistit jakékoliv zapojení hackerů. Pozn. red.: Jinými slovy šlo o klasický šlendrián, slušně řečeno.

Kontrakty a implementace #2 - 2022

-> Nová vládní koalice oznámila, že chce do tří let dokončit digitalizaci služeb veřejné správy a v roce 2023 by měla skončit povinnost prokazovat se pomocí průkazů a dokumentů v situacích, kdy si stát může potřebné skutečnosti ověřit jinak. Naplnění katalogu služeb veřejné správy a jejich digitalizace podle zákona o právu na digitální služby by měly být dokončeny do 1. 2. 2025. Mezi plánovanými projekty jsou portál podnikatele a jednotné digitální tržiště či speciální platforma pro kybernetickou bezpečnost. Dokončen má být koncept eGovernment cloudu ve státní i komerční části včetně flexibilnějších pravidel pro nákupy cloudových služeb a zrychlený má být proces otevírání dat a jejich aktualizace napříč úřady. Vláda slibuje také řešit dosavadní situace závislosti na dodavatelích (vendor lock-in). [CZ] 

-> Nový informační systém eEDU-I, respektive jeho první část, vytvoří pro MŠMT společnost CCA Group za cenu 27,4 milionu Kč. Systém zjednodušující školskou administrativu by měl být dokončen do 19 měsíců – první část pokrývá správu a sdílení dat, identit a dokumentů a další elektronizaci vybraných agend včetně školského rejstříku a registru VŠ. [CZ] 

-> Automotive skupina Stellantis (FCA + PSA) oznámila uzavření partnerství s Amazonem – v jeho rámci budou společně vyvíjeny aplikace pro digitální informační a zábavní systémy v automobilech, Amazon bude zároveň používat nové elektrické dodávky Ram ProMaster, které by měly být na trh uvedeny v roce 2023. 

-> Komplexním distributorem značky Nvidia (HW, SW, služby) je nově společnost Tech Data, která tak nově nabídne například systémy Nvidia DGX, platformu Nvidia Omniverse Enterprise či Nvidia AI Enterprise. [CZ] [SK] [W] 

-> Investice Českých drah do ojetin od německého Stadleru (22 vlaků vyrobených v roce 1997 bylo zakoupeno koncem roku 2020 od dopravce SWEG) se zkomplikovala poté, co se kvůli problémům se softwarem nepodařilo dvacet z nich nastartovat. Zatím není jasné, zda je příčinou problému expirace licence, nebo chyba Y2K22, o níž jsme psali minule – překročení hodnoty celočíselné proměnné pro datum po prvním lednu 2022. [CZ] 

-> SÚKL již „implementoval“ seznam stránek s nelegální nabídkou léčivých přípravků, které jsou ISP povinni od prvního ledna blokovat. Implementace má podobu PDF souboru (s prozatím prázdným seznamem) na nenápadně umístěné stránce, podobně jako v případě starší implementace podobného seznamu stránek s nelegálním hazardem, který sestavuje resort financí (ten byl ovšem, jak upozorňuje Jan Sedlák na Lupě, již komunitně automatizován na Githubu). [CZ] 

-> Pravidla pro zveřejňování SW státní správy jako open source začalo zpracovávat ministerstvo vnitra ve spolupráci s NÚKIB. Jak upozorňuje Lupa, rozpracovanou verzi dokumentu pro připomínky veřejné správy, dodavatelů a odborné veřejnosti lze nalézt na Githubu. [CZ] 

Hlavní události #51 - 2021

-> Zranitelnost Apache Log4j/Log4Shell (viz upozornění NÚKIB) označil tým společnosti Check Point Software za „kybernetickou pandemii“ – zatímco na konci předminulého týdne šlo o tisíce hlášených útoků, během 72 hodin po odhalení zranitelnosti již bezpečnostní tým zaznamenal na 800 tisíc útoků, respektive 40 % podnikových sítí (v Česku pak dokonce 51 % podnikových sítí). Na Log4Shell (CVE-2021-44228) reagoval po pěti dnech NÚKIB svým reaktivním opatřením obsahujícím úkony nezbytné pro zabezpečení systému před incidentem v souvislosti s touto zranitelností. Seznam zařízení a značek, které jsou chybou významně postižené, je dlouhý a zahrnuje například Dell, IBM Webshpere, Red Hat OpenStak, OpenShift, Solawinds či VMware (viz například živé.sk). [CZ] [W] 

-> ČTÚ uzavřel s mobilními operátory dohodu o prodloužení licencí na pásma 2 100 MHz výměnou za garanci provozu nejstarších 2G sítí (například té provozované O2) minimálně do roku 2028 (nebo dokud podíl uživatelů, kteří se k nim přihlašují, neklesne pod 5 %). Pásma 2 100 MHz doposud využívaná pro 3G sítě budou do budoucna alokována na provoz LTE a 5G infrastruktury. [CZ] 

-> Zásadním posunem ve výrobě polovodičů by mohly být nové tranzistory VTFET (Vertical Transport Field Effect Tranzistors), které oznámily společně IBM a Samsung. O „stackování“ prvků na čipech do výšky se hovoří již dlouho, zde by ale mělo jít o odlišnou konstrukci tranzistorů na výšku, což by mohlo snížit spotřebu energie až o 85 % či umožnit dvojnásobný výkon. [W] 

Kontrakty a implementace #50 - 2021 

 -> Analytici Gartneru předpokládají, že do roku 2025 začne polovina z deseti největších automobilek navrhovat své vlastní čipy, a zlepší tak kontrolu nad svým produktovým a výrobním plánem i dodavatelskými řetězci. Automobilky tak přejdou na tzv. OEM-Foundry-Direct režim a stanou se ve větší míře technologickými firmami. Podobný vývoj lze očekávat i v dalších odvětvích a segmentech ekonomiky. [W] 

-> Dokument sloužící jako průvodce využívání cloudu ve státním a veřejném sektoru vydal NÚKIB – "Průvodce zařazením poptávaného cloud computingu do bezpečnostní úrovně" by měl zajímat pochopitelně nejen uživatele (CIO a odpovědné IT lídry ve veřejném sektoru), ale také dodavatele. [CZ] 

-> Slovenská policie oznámila, že bude dál testovat a do ostrého provozu připravovat appku „Pomáham chrániť“, jež by měla nabízet alternativu k lince 158 pro tiché přivolání hlídky v konkrétních situacích (domácí násilí, rvačka, obtěžování apod.) – tu si zatím v rámci testovacího provozu stáhlo na dva tisíce uživatelů, nicméně v letošním roce nebyla doposud použita ani jednou (vloni pak v jednom reálném případě a 30 fingovaných voláních). [SK] 

-> Společnost Atomico zveřejnila studii, podle níž bude letošní rok rekordním co do objemu investic do technologických start-upů v Evropě. Roste zejména počet „velkých investičních kol“, v nichž firmy získají více než čtvrt miliardy dolarů – zatímco v minulém roce se tak stalo v jedenácti případech, letos jich bylo 57. Rekordmanem je švédský Northvolt (baterie pro elektromobilitu) s investicí 2,75 miliardy dolarů. V Evropě je celkem 320 tzv. jednorožců – relativně mladých společností s hodnotou přes miliardu dolarů. [W] 

-> Rozšíření svého partnerství oznámily společnosti Kyndryl a VMware – po nedávno oznámené inovační laboratoři by tentokrát mělo jít o spolupráci v oblasti cloudu a cloudových iniciativ (modernizace aplikací a multicloudové služby), v jejímž rámci by měly být „sladěny“ odborné kapacity obou firem napříč obsluhovanými trhy. [W] 

-> Další spolupráci mezi automotive a high-tech odvětvími oznámil automobilový koncern Stellantis společně s Foxconnem – firmy chtějí spolupracovat při vývoji čipů pro automobily (ty, přesněji elektromobily, by chtěl Foxconn do budoucna též vyrábět). [W] 

Bezpečnost #46 - 2021

-> V rámci Microsoft Patch Tuesday v minulém týdnu byly oznámeny zero-day zranitelnosti v Microsoft Exchange Serveru a Microsoft Excelu, na zranitelnosti upozornil také NÚKIB. [CZ] [W] 

-> Bezmála o čtvrtinu stoupl ve třetím čtvrtletí počet DDoS útoků podle informací zveřejněných společností Kaspersky. Většina cílů těchto útoků se nicméně nachází v USA (následují Hongkong a Čína). [W] 

-> Celkem čtrnáct kybernetických incidentů zaznamenal v říjnu NÚKIB, jde o druhé nejvyšší číslo po březnu (30 případů zejména v souvislosti s MS Exchange zranitelností). Šest incidentů vedlo k nedostupnosti služeb (DDoS, technické chyby), dalšími byly malware, phishing a průniky. Úřad také na YouTube umístil přednášky z konference CyberCon 2021 a varoval před zneužíváním zranitelnosti ProxyShell. [CZ] 

Bezpečnost #42 - 2021

-> NÚKIB vydal nové opatření, které definuje požadavky na zabezpečení e-mailů provozovatelů IS, které jsou klíčové pro fungování a bezpečí státu. Podrobnosti ve veřejné vyhlášce a metodice. [CZ] 

-> Pravidelnou měsíční zprávu za září vydal NÚKIB, konstatuje, že šlo o letos nejklidnější měsíc (pouze pět nahlášených incidentů), nicméně mezi touto pěticí se objevily tři ransomwarové útoky (data byla plně obnovena jen při jednom z nich). [CZ] 

-> Evropský parlament přijal minulý týden Zprávu o stavu kybernetické obrany, ta konstatuje nedostatek peněz, kapacit, lidí i nezávislosti pro boj s rostoucím počtem a závažností hrozeb ze strany Číny, Ruska a KLDR. EP proto chce vytvořit společnou unijní kybernetickou jednotku pro sdílení informací a koordinaci aktivit i navýšení prostředků pro tuto oblast. [W] 

-> Ani v kybernetickém věku bychom neměli podceňovat klasické agenty operativce – britské kyberbezpečnostní centrum NCSC totiž ještě nedávno „s 95% jistotou“ tvrdilo, že materiály o výrobě vakcíny Astra Zeneca zcizili ruští hackeři, nyní ale britské tajné služby oznámily, že materiály nejspíše zcizil osobně ruský agent. [W] 

-> Vážnému útoku ransomware čelil slovenský Košický samosprávný kraj – ten tak musel dočasně vypnout své informační systémy. [SK] 

-> Zatímco doposud vynakládalo Česko na rozvoj a provoz NÚKIB kolem půl miliardy Kč, v příštích letech půjde i o více než jednu miliardu ročně. Celkové náklady na rozvoj NÚKIB od letoška do roku 2027 by měly činit až šest miliard Kč. V jeho rámci vzniknou například týmy rychlého nasazení a NÚKIB se odloučí od NBÚ – v novém sídle v Brně by mělo v roce 2027 pracovat na 400 lidí. [CZ]

V USA byl potvrzen dlouhodobý hackerský útok (kampaň) zacílený na federální struktury. FBI společně, CISA a ODNI oznámily, že zjišťují rozsah útoku. Podezření jednoho z nejzávažnějších kyberšpionážních útoků posledních let pochopitelně ihned padlo na Kreml. Dosavadní informace hovoří o tom, že pachatelé měli několik měsíců přístup ke komunikaci mezi vládními pracovníky a pronikli do sítí několika ministerstev, technologických firem a mobilních operátorů – útočníkům se totiž podařilo malwarem SUNBURST napadnout síťový nástroj Orion společnosti SolarWinds v rámci aktualizace letos na jaře. Na problém upozornila bezpečnostní společnost FireEye. Problém se týká i dalších zemí/uživatelů nástroje Orion (update si stáhlo na 18 tisíc zákazníků). Jak upozorňuje například Lupa, vývoj postiženého SW probíhá také v Česku a mezi postiženými je i český stát. Na incident odpověděl NÚKIB svým reaktivním opatřením ze 16. 12. [W]19

Bezpečnost #38-2020

-> Na nedávno uskutečněné konferenci e-government 20:10 byly kromě dalších zařazeny tři přednášky o kybernetických útocích – první od vedoucího IT v nemocnici v Pelhřimově (ta je cenným vhledem do někdy až krušné IT reality tuzemských zdravotnických zařízení) a další dvě od PČR a NÚKIB vybral na web Lupy Jan Sedlák. [CZ]

-> Eset varuje před novým malwarem cíleným na odcizování a těžbu kryptoměn KryptoCibule, který se šíří například přes škodlivé torrenty na českém portálu Ulož.to. [CZ] [SK] [W]

-> Zprávu o stavu kybernetické bezpečnosti za rok 2019 vydal NÚKIB. Její obsah je věnován oblasti kybernetické špionáže cílené na český stát a obecně přehledu útoků na tuzemské subjekty v minulém roce. [CZ]

-> Nová pravidla pro určování významných informačních systémů vydal NÚKIB, měla by pomoci zjednodušit a zpřesnit celý proces a vyjasnit dosavadní pochybnosti o tom, které systémy pod VIS spadají a které nikoliv. [CZ]

-> Podle informací zveřejněných britským Guardianem získala čínská společnost Zhenhua Data (s vazbou na tamní armádu a podezřívaná z účasti na tzv. hybridní válce) osobní údaje 2,4 milionu občanů cizích států – z velké části významných osob (politiků, celebrit), část dat nyní unikla na internet. [W]