Domů Index Index "NÚKIB"

NÚKIB

Bezpečnost #16 - 2023

-> NÚKIB za březen evidoval 28 kybernetických incidentů. Třebaže naprostá většina útoků spadala mezi méně závažné, je to největší číslo kromě března 2021. DDoS útoky stály za více než polovinou březnových incidentů, šest organizací nahlásilo narušení uživatelských účtů. Třetím nejčastějším incidentem byl škodlivý kód. Zároveň NÚKIB varoval před tzv. smishingem, při němž útočníci napodobují domény a webové stránky různých státních služeb. [CZ]

-> Hlavním rizikem pro macOS se stal v březnu trojan Proxy.Agent (výskyt 17 %), který sleduje aktivně chování uživatelů na internetu, uvádí Eset. Škodlivý kód se šíří prostřednictvím Downloader.Adload, který umí napodobovat nebo být součástí pirátských programů. Mezi dalšími škodlivými kódy se objevil adware MaxOfferDeal (7 %) a naštěstí aktuálně klesají detekce dlouhodobě přítomného adwaru Pirrit (5 %). [W]

-> Známému výrobci pevných disků Western Digital uniklo více než deset terabajtů dat, mezi nimi velké množství informací o jeho zákaznících. Hackeři požadují výměnou za nezveřejnění dat výkupné minimálně v osmimístné výši. Podle informací serveru TechCrunch útočníci mají přístup k souborům podepsaným digitálním certifikátem firmy, což by znamenalo, že se za ni mohou vydávat a podepisovat dokumenty. [W]

-> FBI zatkla Jacka Douglase Teixeiru, pětadvacetiletého pracovníka na americké letecké základně, který podle všeho stojí za únikem citlivých informací USA spojených s ruskou invazí na Ukrajinu. Teixeira informace zveřejňoval do chatu na platformě Discord, která sdružuje mladé zájemce o videohry. Podle zdroje deníku The Washington Post Teixeira nepracoval pro žádný cizí stát, jen vyjadřoval hlubokou nedůvěru vůči americké vládě. Média považují únik za nejzávažnější podobný případ USA za několik let. Celá kauza kolem JDT, který podle všeho nakonec zveřejnil leaknuté dokumenty, aby vyhrál „sázku“ s kamarády na herním serveru Discord je poněkud absurdní a naznačuje, že současná americká administrativa je buď zcela neschopná chránit citlivé informace (nebo byl únik v podstatě řízený a přinejmenším pro někoho žádoucí, ostatně podle WSJ přinejmenším část dokumentů byla „venku“ již od počátku roku). Více například na DailyMail[W]

Hlavní události #11 - 2023

-> Nizozemská ministryně obchodu Liesje Schreinemacherová oznámila rozhodnutí, že její země s ohledem na národní bezpečnost omezí vývoz polovodičových technologií. Omezení budou zavedena do léta a budou se pravděpodobně týkat jak významné nizozemské společnosti ASML, tak Číny, třebaže v dopisu nebyly přímo zmíněny. ASML však přesto očekává, že její tržby v Číně se budou držet na stejné úrovni jako loni, tedy kolem 2,2 miliardy eur.

-> NÚKIB ve středu varoval před používáním sociální sítě TikTok, označil ji za bezpečnostní hrozbu a lidem ve veřejných funkcích doporučil ji nepoužívat. Armáda ČR posléze zakázala vojákům aplikaci používat. Ředitel NÚKIB Lukáš Kintr označil za hlavní důvod vydání varování množství sbírání dat, způsob zacházení s nimi a právní situaci v Číně, jejíž vláda prosazuje tzv. politiku suverénního internetu. To je přesvědčení, že by vláda měla mít neomezenou kontrolu nad kybernetickým prostorem. Dalším problémem je, že TikTok vyžaduje vícero softwarových prvků, které běží na pozadí, i když je aplikace vypnutá. [CZ]

-> Meta oznámila médiím, že přemýšlí o spuštění o „decentralizované“ platformy „pro sdílení textových správ“, což podle televize CNN zní dost jako obdoba Twitteru, který po převzetí Muskem přestal značné části Silicon Valley „správně vonět“. Deník The New York Times přitom již v prosinci napsal, že zaměstnanci Mety si v listopadu vyměňovali nápady, „jak vybudovat příští Twitter“. Datum představení nové sociální sítě je však nejasné. [W]

Bezpečnost #11 - 2023

-> Počet kybernetických incidentů v Česku se v únoru vrátil do průměru, NÚKIB jich evidoval třináct. Po čtyřech měsících se však stal významný incident, a to DDoS útok na systémy ministerstva, které se dotkly milionů uživatelů, uvedl úřad. Nejčastěji evidovaným byly NÚKIB útoky, které způsobily výpadky služeb.

-> Hardwarový komponent TPM, který slouží k ukládání hesel, čelí ve verzi TPM 2.0 dvěma kritickým zranitelným bodům. Ty může využít útočník k získání citlivých dat jako šifrovací klíče, a dokonce je může přepsat. Největším problémem je, že se komponent TPM široce používá, a jsou tedy zranitelné až miliardy zařízení. Komponent je dokonce nevyhnutelný pro fungování systému Windows 11. Tuto Achillovu patu objevili výzkumníci F. Falcon a I. Arce z kyberbezpečnostní společnosti Quarkslab a tématu se věnoval server Živé.sk.

Hlavní události #9 - 2023

-> Více než 900 organizací ve zdravotnictví bude nově spadat pod zákon o kybernetické bezpečnosti díky promítnutí nové směrnice do českého práva, řekl ČTK náměstek NÚKIB Tomáš Krejčí. Zatímco doposud se týkal pouze 44 nejkritičtějších organizací ve zdravotnictví jako fakultní nemocnice, od roku 2024 bude zákon platit pro nemocnice, hospice nebo výrobny léčiv s více než padesáti zaměstnanci. Kvůli tomu tyto organizace „budou muset implementovat opatření, aby se člověk fyzicky nedostal k serverům či aby byla opatření ke zřízení přístupu k účtu v nemocnici“, nastínil Krejčí. [CZ]

-> Jednání o globálním zdanění velkých společností bylo zastaveno před schůzí skupiny G20. Důvodem je odpor zemí jako USA nebo Indie. Francie proto už v minulosti navrhovala, aby se hledalo „evropské řešení“, neboť skupina G20 žádné neprotlačí. Jedinou dohodou o zdanění tak zatím zůstává ta z roku 2021, kterou dohodlo OECD a říká, že by mezinárodní společnosti měly platit minimální daň 15 % tam, kde reálně podnikají. [W]

-> Starlink oznámil, že spustí službu globálního připojení k internetu, která bude fungovat kdekoliv (kde je pokrytí jeho satelity) – doposud byla služba geograficky omezena. Cena za měsíční paušál bude 200 dolarů, vstupní poplatek za zařízení pak 600 dolarů. [W]

Legislativa, právo a regulace #9 -2023

-> Možnost vyjádřit se k novému návrhu zákona o kybernetické bezpečnosti prodloužil NÚKIB do 12. března 2023. [CZ]

-> O možné regulaci umělé inteligence se hovoří již delší dobu, nedávné úspěchy zejména v oblasti generativní AI ale daly tématu větší vážnost a aktuálnost. Jak by mohla vypadat, naznačuje studie zpracovaná na Stanfordu a Georgetownské univerzitě. Zdá se, že v Meta ji nečetli. [W]

-> Zatímco v  Česku se diskutuje o tom, jak a nakolik zpřísnit omezení používání infrastruktury vyráběné nepřítelem (firmami z pevninské Číny, zejména těmi s vazbami na vládu či armádu), v Německu konečně zjistili, kdo že to roky dodává kritickou telekomunikační infrastrukturu – a je z toho podobné překvapení jako u plynu před rokem. První reakcí bylo nedávné zablokování akvizice závodu na výrobu čipů ze strany čínské firmy, chystají se ale i další omezení podobná těm českým. V dalších zemích (např. Austrálie) dochází k odstraňování bezpečnostních kamer, interkomů a dalších vstupních a sledovacích systémů výrobců Hikvision a Dahua. [W]

-> Společnosti Meta Platforms hrozí v Itálii doplacení daně 870 milionů eur, a to zpětně od roku 2015. Milánský soud totiž zahájil vyšetřování, jestli by neměla bezplatná registrace uživatelů sociálních sítí od Mety podléhat zdanění. Klíčové bude zjistit, jestli existuje souvislost mezi bezplatným přístupem a přenosem dat, jež se dají chápat jako zdanitelná transakce. To by mohlo mít důsledky i pro další nadnárodní společnosti. Mluvčí firmy Meta se k tomu vyjádřil, že „rozhodně nesouhlasíme s myšlenkou, že by poskytování přístupu k on-line platformám uživatelů mělo být zatíženo DPH“. Pozn. red: Jakkoliv chápeme snahu o zdanění digitálních obrů, tento způsob se nám zdá zvláště nešťastný, řečeno mírně. [W]

-> Nejvyšší soud USA projednal případ, v jehož jádru je moderování obsahu na sociálních sítích a zodpovědnost firem za obsah nahraný uživateli. Ve sporu s označením Gonzalez versus Google však soudci podle agentury AP nebyli příliš nakloněni argumentaci stěžovatele, který připisoval Googlu podíl viny za teroristické útoky kvůli šíření extremistické propagandy. Podle některých pozorovatelů dokonce právník Schnapper, který zastupoval žalobce, svou roli vůbec nezvládl. Samotní soudci přitom vnímali stanoviska obou stran jako příliš extrémní, a soudce Samuel Alito dokonce prohlásil, že je „zcela zmatený“ děním v soudní síni. [W]

Legislativa, právo a regulace #7 - 2023

-> Velké firmy, provozující kritickou infrastrukturu, sdružené v asociaci AKI (ČEZ, T-Mobile nebo Česká pošta a další) nesouhlasí s návrhem zákona o kybernetické bezpečnosti, vadí jim regulace dodavatelských řetězců. Operátoři hrozí soudy za desítky miliard korun. NÚKIB, který návrh zákona předkládá, by takto totiž mohl za nejasných pravidel posuzovat důvěryhodnost dodavatelů a případně je vyloučit ze zakázek na síťové technologie. NÚKIB by díky výkonu této pravomoci mohl de facto samostatně vstupovat do rozhodování o strategických a geopolitických hlediscích, které náleží vládě. Další podrobnosti na Lupě. [CZ]

Bezpečnost #1 - 2023

-> Až 90 % firem může čelit kyberhrozbám kvůli chybnému nastavení svých cloudů, vyplynulo ze studie KPMG. Dohody o sdílené bezpečnosti jsou podle Tomáše Kudělky špatně chápány, hlavně ze strany klientů. „Nejasnosti panují zejména ohledně odlišení odpovědnosti za bezpečnost cloudu jako prostředí a odpovědnosti za obsah na cloudu uloženém,“ vysvětluje. Za data má vždy zodpovědnost organizace, která je tam uložila, nikoliv poskytovatel cloudu, upozornil. Připomíná též, že mnoho podniků bude muset brzy dodržovat přísnější kyberbezpečnostní pravidla v rámci unijní normy NIS2 (směrnice o síťové a informační bezpečnosti). Zároveň se zpřísní sankce, které mají zastrašit management, aby se kyberbezpečnosti více věnoval. „Zásadní novinkou je i požadavek použití evropského systému certifikace produktů kybernetické bezpečnosti,“ vysvětluje na ITBizu Kudělka. [CZ] [W]

-> Podvodné metody kyberútočníků jsou podle ředitele NÚKIB Lukáše Kintra vícevrstvé. Spolu s pokračující digitalizací se spektrum hrozeb rozšiřuje. Budou se objevovat nové hrozby a ty staré budou sofistikovanější. „Řetězí se jednotlivé techniky, a je tedy složitější je odhalit,“ upozornil Kintr. [CZ]

-> V roce 2022 rapidně vzrostl počet podvodů na internetu, hlásí Eset. Útočníci zneužívali legitimní nástroje jako GoogleAdSense nebo WordPress. Také se „skryli“ za jména přepravních společností, především Českou poštu a Zásilkovnu. Podle Esetu zůstává největší hrozbou pro firmy ransomware, jehož výskyt ještě více zhoršil trend hybridní práce. Zejména zranitelnými vůči útokům jsou malé a střední podniky, neboť i přes uchovávání spousty cenných dat jim chybí často komplexní zabezpečení, jaké mají velké korporace. [CZ] [W]

Bezpečnost #49 - 2022

-> Služby sázkových kanceláří Tipsport a Chance byly částečně zpomaleny, protože je napadli hackeři. Sázky dále fungují, sdělil ČTK Václav Sochor, mluvčí skupiny Tipsport. „Aktuálně řešíme částečné zpomalení několika služeb v důsledku takzvaného DDoS útoku,“ řekl. [CZ]

-> Před možnými riziky a bezpečnostními výzvami cloudu varuje strategická analýza cloudových služeb, kterou zpracoval a vydal NÚKIB. [CZ]

Legislativa a právo #48 - 2022

-> Do fáze konzultací s trhem by se měl posunout návrh zákona o prověřování dodavatelů strategické infrastruktury, který připravuje NÚKIB. Další podrobnosti nabídne seminář 7. prosince na MPO. [CZ]

-> O tom, že český Beat Saber je ideální VR fitness hrou, jsme psali již před třemi roky. Platí to dodnes, a tak není divu, že chce Meta svou miliardovou investici (která se soudě podle obchodních výsledků již dávno vrátila) co nejvíce zúročit, o čemž svědčí i koupě platformy Within, která měla hru a související hardware Quest přinést širšímu fitness publiku. S tím ale Meta narazila u americké FTC, jež soudí, že jde o snahu eliminovat na cílovém trhu konkurenci. [W]

-> Dvojice provozovatelů (A. Napolský a V. Jermanková) populárního portálu Z-Library, který nabízí bezplatný (pirátský) přístup k publikacím akademického světa (platforma ale měla i prémiové placené služby), byla na žádost USA zadržena v Argentině. Doména Z-library byla zabavena FBI, konkurenční portály podobného zaměření, jako je Library Genesis+, ale nadále fungují. [W]

Bezpečnost #45 - 2022

-> NÚKIB registroval během října na třináct útoků DdoS, a jejich počet tak téměř dorovnal souhrnné hodnoty zbytku roku. „V posledním měsíci, mj. v kontextu geopolitické situace ve východní Evropě, evidujeme v ČR výrazný nárůst počtu útoků tohoto typu,“ uvádí a doporučuje ostražitost. Silné útoky také zaznamenalo bezpečnostní centrum operátora O2, hodnoty útoků dosáhly ve špičce více než 200 gigabitů za sekundu, což je dvojnásobek běžného provozu. [CZ]

-> Webové stránky české vlády čelí v posledních dnech i přes efektivní obranu masivním DDoS útokům, a mohou tak být chvílemi nedostupné, uvedl Úřad vlády v minulém týdnu na Twitteru. [CZ]

-> Čínská sociální síť TikTok oznámila změnu svých podmínek pro ochranu soukromí, v níž mimo jiné zmínila, že přístup k datům uživatelů mohou mít i zaměstnanci v Číně. [W]

-> Dvě významné zranitelnosti kategorie „high“ byly objeveny v OpenSSL. Více například v upozornění NÚKIB, opravy jsou již k dispozici. W

12 3...7 Další

1 z 7

Květen 2023
Po	Út	St	Čt	Pá	So	Ne
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31