V bezplatném šifrovacím nástroji OpenSSL ve verzi 3 byla objevena kritická chyba, která může kompromitovat soukromé šifrovací klíče nebo informace o uživatelích. Pokud by se toto riziko potvrdilo, může znamenat vážné ohrožení vaší on-line komunikace i celkového stavu vaší kybernetické bezpečnosti – OpenSSL se používá v celé řadě softwarových nástrojů a knihoven. Jak postupovat?
Zbystřete, pokud využíváte některý z následujících produktů od Fortinetu:
NÚKIB upozorňuje na kritickou zranitelnost FortiGate CVE-2022-40684 (CVSS 9.6), kvůli které lze potenciálně získat možnost ke vzdálenému přístupu do Windows bez autentizace do administrátorského rozhraní. Tím může dojít k ohrožení bezpečnosti vašeho cloudu, vnitřních sítí i koncových zařízení, a tedy i vašich citlivých dat jako jsou osobní údaje.
Ohrožení můžete odstranit:
Chybně nastavený server Azure Blob společnosti Microsoft je s největší pravděpodobností hlavní příčinou úniku obrovského množství dat více než 65 000 firem a institucí včetně organizací z České republiky. Podle tiskové zprávy společností SOCRadar a Xevos byla únikem postižena i ministerstva vnitra a financí, dále VZP, T-Mobile či Česká spořitelna.
Mezi potenciálně uniklými daty mohly být uživatelské nebo obchodní informace či dokumenty, podle společností SOCRadar a Xevos se ale únik netýká přihlašovacích údajů uživatelů, duševního vlastnictví, ani dat klientů uvedených institucí a firem.
„Zveřejnění údajů způsobilo problémy firmám a institucím po celém světě. Správci sítě by měli kontaktovat Microsoft, aby zjistili, zda se jich únik dat také týká a aby provedli potřebné kroky k tomu, aby data dále nebyla veřejně přístupná,“ uvedl k celému incidentu Adam Koudela ze společnosti Xevos.
Společnost SOCRadar navíc zprovoznila vyhledávač, ve kterém podle vaší domény dohledáte, zda byla data vaší společnosti rovněž ohrožená únikem.
Pozor, pokud používáte MS Exchange on-premise ve verzích 2010, 2013, 2016 a 2019! NÚKIB potvrzuje zranitelnosti ve výše uvedených verzích, které mohou útočníci zneužít vzdáleným spuštěním kódu na internetu nebo v lokální síti. Zranitelnost se netýká cloudových služeb Exchange online.
Pokud používáte on-premise Exchange server, ohrožení můžete odstranit:
Pokud se vás zranitelnost týká, nezapomeňte po její mitigaci prověřit indikátory kompromitace uvedené na webu NÚKIB.
Evropský sbor pro ochranu osobních údajů (EDPB) zřídil v průběhu října přístup k veřejné konzultaci k pokynům pro ohlašování porušení zabezpečení osobních údajů. Přístup do veřejné konzultace můžete získat po vyplnění online formuláře, samotná konzultace pak bude otevřena od 29. 11. do 2. 12. 2022.
Uvedené pokyny pro ohlašování prošly novelizací, čímž se odstranily nesoulady v pojetí konceptu jediného kontaktního místa a určení vedoucího dozorové instituce. Co novela tedy přináší v praxi? Správce osobních údajů ze třetí země bude muset případné porušení ohlásit prostřednictvím svého místního zástupce u vnitrostátního úřadu ve všech zemích EU, kde působí (za předpokladu, že správce nebude mít pobočku alespoň v jedné členské zemi EU, pouhý zástupce už nebude stačit). To znamená, že v takovém případě nepůjde využít mechanismu jediného kontaktního místa („one-stop-shop“).
Jak prokázaly kauzy jako Solarwinds nebo NotPetya, kybernetické útoky skrze dodavatelský řetězec mohou mít negativní dopady na naši ekonomiku i společnost. Odborníci navíc očekávají, že se výskyt podobných útoků bude s velkou pravděpodobností zvyšovat.
Unijní státy se jednomyslně shodly na strategické potřebě se v budoucnosti vyhnout závažným závislostem na třetích státech (jako je Ruská federace), a to zejména s ohledem na strategické IC technologie, tvořící jakousi digitální páteř současné i budoucí společnosti. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) inicioval v rámci předsednictví České republiky v Radě Evropské unie konkrétní kroky k posílení bezpečnosti dodavatelských řetězců ICT v celé EU – jde např. o vytvoření ICT Toolboxu nebo zhodnocení možnosti financování náhrady nedůvěryhodných technologií s vysokou mírou bezpečnostního rizika.
„Jedná se o velký úspěch našeho Úřadu, potažmo naší republiky v rámci českého předsednictví v Radě EU. Jsme rádi, že celá Unie vnímá potřebu poučit se z aktuální situace a že jako celek chceme jednotně pracovat na naší kybernetické bezpečnosti,“ prohlásil ředitel NÚKIB Lukáš Kintr.
Zdravotnická zařízení se v posední době stávají stále častějším cílem kybernetických útoků. Ty pro ně – a v extrémních případech i pro jejich pacienty – mohou mít nedozírné následky. Proto je součástí akčního plánu k Národní strategii kybernetické bezpečnosti České republiky na období 2021–2025 navyšování kybernetické bezpečnosti ve zdravotnickém sektoru.
V rámci tohoto akčního plánu zahájil NÚKIP ve spolupráci se samotnými zdravotníky i manažery kyberbezpečnosti v nemocnicích tzv. „výtahovou kampaň“. Mezi její témata patří aktualizace, nebezpečí odkazů a příloh v elektronické komunikaci, falešné telefonáty („vishing“) a ochrana zařízení před neoprávněným přístupem. Cílem je šířit osvětu ohledně bezpečné práce s ICT pomocí letáků, které vtipně vychází ze známých pořekadel:
Spolek pro ochranu osobních údajů ve spolupráci s Unií podnikových právníků začátkem října uspořádal pro odbornou veřejnost další ročník tradiční mezinárodní konference GDPR. Účastníci měli možnost si vyslechnout celou řadu zajímavých přednášek od českých i zahraničních hostů a účastnit se workshopů věnovaných okruhům:
Mezi závěry konference patřilo např. upozornění na skutečnost, že jedině v oblasti ochrany osobních údajů je zákonem nařízeno, aby správní úřad v případě porušení zásad nakládání s osobními údaji ze strany orgánů veřejné moci a veřejných subjektů upustil od uložení správního trestu. Předseda Úřadu pro ochranu osobních údajů poznamenal, že ve veřejných agendách v současné době digitalizace se ne vždy daří respektovat požadavky na ochranu osobních údajů.
Kybernetická bezpečnost je jednou z hlavních priorit českého předsednictví v Radě EU. Mezi jeho hlavní události patří právě dvoudenní konference EU Secure and Innovative Digital Future věnovaná zcela zásadním bezpečnostním tématům, která se uskuteční v Kongresovém centru v Praze ve dnech 3–4. 11. Akci pořádá NÚKIB ve spolupráci s Úřadem vlády České republiky a Ministerstvem průmyslu a obchodu.
Účastníky čekají přednášky desítek českých i zahraničních expertů na kybernetickou bezpečnost a obranu, lídrů průmyslu, odborníků z institucí EU i předních politiků a tvůrců legislativy. V rámci doprovodného programu, který se odehraje už 2. 11., pak budete mít možnost zhlédnout dokumentární film V síti a zúčastnit se debaty expertů po jeho skončení.
Registrovat se můžete online v akreditačním systému českého předsednictví.
V rámci Festivalu bezpečného internetu zaštítěného NÚKIB se zapojil i „vymyšlený komiksový influencer“ Petr Výtržný, který na svém instagramovém účtu vtipnou formou upozorňuje malé i trochu odrostlejší uživatele internetu a digitálních zařízení na phishing a ransomware včetně praktických tipů, jak mohou děti tyto techniky rozpoznat, jak se bránit a jak se před nimi chránit.
