Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v polovině letošního prosince uspořádal speciální cvičení Health Czech pro zdravotnická zařízení, která spadají pod působnost zákona o kybernetické bezpečnosti. Zástupci nemocnic skládající se z expertů na kybernetickou bezpečnost, lékařskou péči nebo komunikaci v rámci cvičení řešili simulovaný hackerský útok vedoucí k nenadálému výpadku systému. Smyslem cvičení bylo ověřit, jak by účastníci zvládli reagovat v případě skutečného kybernetického útoku. Akce podobného typu jsou určitě na místě – NÚKIB uvádí, že jen za uplynulý rok 2022 čelily hackerským útokům desítky zdravotnických zařízení a nemocnic. Převážně se jednalo o kybernetické útoky typu DDoS klasifikované jako významné a méně významné bezpečnostní incidenty. Jeden ze zaznamenaných incidentů byl klasifikován dokonce jako velmi významný.
O přípravě implementace nové směrnice Evropské unie NIS2 jsme vás informovali v zářijovém, říjnovém i listopadovém bulletinu. NÚKIB k implementaci NIS2 připravil specializované stránky, kde se dočtete, koho se nové povinnosti týkají, jakým způsobem budou muset organizace zabezpečovat své služby, jaké incidenty budou hlásit, jaké budou sankce za neplnění požadavků a další specifika NIS2. Konkrétní povinnosti budou vyplývat ze změn, které NÚKIB představí na začátku roku 2023, a především z konečných legislativních změn, které přijmou naši zákonodárci. Zatím poslední novinkou je přijetí finálního znění směrnice NIS2 Radou Evropské unie. Směrnice tak vstoupí v platnost koncem prosince 2022. Celou problematiku implementace nové směrnice jsme pro vás shrnuli v samostatném článku o NIS2.
Chcete vědět, zda budou mít připravované změny skutečně dopad i na vaši společnost? Potřebujete zaregistrovat vaši organizaci do seznamu povinných subjektů? Rádi byste vypracovali plán zavádění povinných bezpečnostních opatření? Obraťte se na nás, celým procesem vás provedeme krok za krokem a vy tak získáte jistotu, že budete v naprostém souladu s legislativou, jakmile směrnice NIS2 vstoupí v platnost prováděcím zákonem ČR.
Společnost Google v průběhu prosince informovala o zneužití většího množství certifikátů pro podepisování systémových aplikací určených na platformu Android. Pokud je nějaký kód podepsán výše zmíněným certifikátem, jsou mu udělena v operačním systému vysoká oprávnění, což je v případě malwaru vážné bezpečnostní riziko. Společnosti Samsung, LG, Mediatek a Revoview, kterým byly zneužité certifikáty vydány, již podnikly odpovídající reaktivní opatření. Pokud tedy patříte mezi uživatele zařízení uvedených společností, měli byste být plně chráněni, je ovšem nutné provést aktualizaci vašeho zařízení.
LastPass, jeden z nejznámějších provozovatelů cloudových správců hesel, již podruhé v tomto roce zaznamenal neoprávněný průnik do svých systémů. Druhý kybernetický útok využil poznatků z prvního průlomu a kybernetičtí útočníci tak mohli teoreticky získat přístup k datům obsahující zákaznické informace. LastPass uvádí, že vzhledem k „zero-knowledge“ architektuře vlastního správce nemohlo dojít ke kompromitaci uložených hesel. Přesto je na místě obezřetnost a z hlediska politiky předběžné obezřetnosti doporučujeme přinejmenším přenastavení uložených dat či migraci na spolehlivější a bezpečnější službu, např. Roboform či KeePass.
V průběhu letošního roku došlo skrze již opravenou chybu v API Twitteru k úniku informací z přibližně 5,4 milionu uživatelských účtů (neoficiální informace uvádějí až 17 milionů), zejména e-mailových adres a telefonních čísel jednotlivých uživatelů. Databáze s uniklými údaji byla již v létě prodána, ovšem před několika týdny byla bezplatně zveřejněna na hackerském diskuzním fóru.
Rada EU bude vyjednávat s Evropským parlamentem ohledně návrhů právních předpisů o umělé inteligenci (AIA) a elektronické identitě (eIDR). AIA počítá se zákazem technologií představujících nepřijatelné riziko, např. sociální hodnocení lidí. Navržená úprava ovšem nepočítá s původně zakotvenou klauzulí o zákazu biometrické identifikace ve veřejných prostorech. Aktualizace eIDR, tedy „evropské digitální peněženky“ by měla umožnit soukromoprávní prokazování totožnosti. Uvedené právní předpisy se významně dotknou i zpracování osobních údajů v České republice, např. v ohledu přizpůsobení české bankovní identity (SONIA) celoevropskému systému. O dalším vývoji jednání na půdě Evropského parlamentu o obou předpisech vás budeme informovat v dalším bulletinu.
