NÚKIB - Národní úřad pro kybernetickou a informační bezpečnost

1. Odborník z NÚKIB se zúčastnil expertní výzkumné mise v Německu

   Ve dnech 18. až 20. dubna 2023 se uskutečnila historicky první cesta českých expertů do Spolkové republice Německo (SRN) v rámci Projektů na podporu ekonomické diplomacie (PROPED) Ministerstva zahraničních věcí České republiky (ČR). Za Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) se mise účastnil Milan Kříž, odborník v oblasti kompromitujícího vyzařování informačních a komunikačních systémů z oddělení TEMPEST. Spolu s ním vyrazili do SRN Petr Münster z Vysokého učení technického, expert v oblasti bezpečnosti elektronických komunikačních a informačních systémů a sítí se zvláštní specializací na optická vlákna, a Jaroslav Burčík z Českého vysokého učení technického, odborník pro oblast optických sítí a jejich rozvoj. Cílem cesty bylo prohloubit spolupráci mezi českou a německou výzkumnou komunitou v oblasti výzkumu bezpečnosti a zranitelnosti optických komunikačních sítí a systémů. 

2. Kybernetické incidenty pohledem NÚKIB - duben 2023

   Vydali jsme přehled Kybernetických incidentů pohledem NÚKIB za duben 2023.

3. Nový zákon o kybernetické bezpečnosti je nezbytností pro Českou republiku, zaznělo ve Sněmovně

   Ve středu 3. května 2023 se v Poslanecké sněmovně Parlamentu České republiky uskutečnil pod záštitou poslance Petra Letochy, předsedy Stálé komise pro kontrolu činnosti Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), a Lukáše Kintra, ředitele NÚKIB, kulatý stůl k návrhu nového zákona o kybernetické bezpečnosti. Akce měla za cíl seznámit zákonodárce a odbornou i laickou veřejnost s aktuálním stavem připravované legislativy.

4. 5 otázek pro 5 inspirativních žen, tak si NÚKIB připomíná Mezinárodní den dívek v ICT

   Dne 27. dubna 2023 si připomínáme Mezinárodní den dívek v oblasti informačních a komunikačních technologiích (ICT). Jeho cílem je poukázat na nedostatečné zastoupení žen v ICT a povzbudit je v tom, aby neváhaly do profesí v tomto odvětví vstupovat. Při příležitosti tohoto dne jsme si připravili rozhovory s pěti inspirativními ženami z řad našeho úřadu.

5. NÚKIB je nově orgánem příslušným k autorizaci pro povolání a pracovní činnosti v oblasti kybernetické bezpečnosti

   V souvislosti s novelizací zákona č. 179/2006 Sb., o ověřování a uznávání výsledků dalšího vzdělávání a o změně některých zákonů, se k 1. dubnu 2023 dle §2, písm. k) Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) stal orgánem příslušným k rozhodování o udělení, prodloužení platnosti nebo odnětí autorizace pro povolání a pracovní činnosti, jejichž výkonu se příslušná profesní kvalifikace týká, v oblasti kybernetické bezpečnosti.

6. NÚKIB upozorňuje na zranitelnost CVE-2023-23397

   Upozorňujeme na zranitelnost CVE-2023-23397 týkající se aplikace Microsoft Outlook, kterou lze zneužít doručením speciálně upravené e-mailové zprávy na Outlook klienta. Aby se tak stalo, není potřeba interakce od uživatele. Při úspěšném zneužití zranitelnosti útočník získá Net-NTLMv2 hash oběti, který lze využít k pohybu v síti napadené organizace. Podle společnosti Microsoft je tato zranitelnost již zneužívána.

7. Aplikace TikTok představuje bezpečnostní hrozbu

   Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal VAROVÁNÍ před hrozbou v oblasti kybernetické bezpečnosti spočívající v instalaci a používání aplikace TikTok na zařízeních přistupujících k informačním a komunikačním systémům kritické informační infrastruktury, informačním systémům základní služby a významným informačním systémům. K vydání tohoto varování vedla NÚKIB kombinace vlastních poznatků a zjištění spolu s informacemi od partnerů. Obava z možných bezpečnostních hrozeb vyplývá především z množství shromažďovaných dat o uživatelích a způsobu, jakým jsou sbírána, nakládání s nimi a v neposlední řadě také z právního a politického prostředí Čínské lidové republiky, jejímuž právnímu prostředí je podřízena společnost ByteDance, která vyvinula a provozuje sociální platformu TikTok. Varování je pro povinné osoby dle zákona o kybernetické bezpečnosti účinné od okamžiku vyvěšení na úřední desce NÚKIB.

8. Upozorňujeme na zneužití dokumentů OneNote ke stahování malware

   Upozorňujeme na zvyšující se počet phishingových kampaní, zneužívajících typicky e-mailové přílohy aplikace Microsoft OneNote, která po spuštění stáhne škodlivý soubor ze vzdáleného serveru. Poté, co v červenci 2022 Microsoft zablokoval v základním nastavení spuštění tzv. maker a učinil tím metodu spuštění kódu přes makra neefektivní, přišli nyní útočníci s novým typem útoku.

9. Upozorňujeme na kritickou zranitelnost FortiOS CVE-2022-42475

   Upozorňujeme na heap-based buffer overflow zranitelnost známou pod označením CVE-2022-42475 postihující FortiOS SSL-VPN. Její zneužití umožňuje neautentizovaným uživatelům vzdálené shození stroje a spuštění libovolného kódu pomocí zaslání speciálního requestu.

10. Upozorňujeme na zranitelnosti knihovny OpenSSL ve verzi 3

    V úterý 1. listopadu 2022 byla vývojáři vydaná knihovna OpenSSL ve verzi 3.0.7, která opravuje zranitelnosti CVE-2022-3602 a CVE-2022-3786, obě označené na stupnici závažnosti zranitelnosti stupněm Vysoká. Tyto zranitelnosti byly do knihovny začleněny až od verze 3.0.0. Starší a stále velmi rozšířené verze knihovny 1.0 a 1.1 nejsou těmito zranitelnostmi zasaženy.

11. Doporučení k používání protokolu TLP ke sdílení chráněných informací

    Byla vydána aktualizovaná verze příznaků TLP ke sdílení chráněných informací, na základě které upravujeme „Doporučení k používání protokolu TLP“. Do 31. 12. 2022 je vyžadován přestup na novější verzi.

12. Doporučení v oblasti kryptografických prostředků verze 2.0

    Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal aktualizovanou verzi dokumentu obsahující doporučení v oblasti kryptografických prostředků. Podle § 26 písm. d) vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat mají povinné osoby podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů povinnost zohlednit tato doporučení vydaná NÚKIB za účelem ochrany aktiv informačního a komunikačního systému.

13. NÚKIB a Ministerstvo vnitra vydaly bezpečnostní doporučení pro vývoj otevřeného softwaru

    Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) ve spolupráci s Ministerstvem vnitra (MV) připravil bezpečnostní doporučení pro vývoj otevřeného softwaru. Doporučení je určeno vývojářům a osobám zabývajícím se kybernetickou bezpečností nebo společnostem dodávajícím software. Nenahrazuje požadavky zákona o kybernetické bezpečnosti a není pevně závazné. Je tak na konkrétních organizacích, které části a v jaké míře budou u svých projektů případně využívat.

14. Doporučení pro používání aplikace Signal

    Signal je široce využívaná multiplatformní služba pro bezpečnou šifrovanou komunikaci. Ačkoli jde o poměrně bezpečnou aplikaci, je zapotřebí, aby ji každý uživatel správně nastavil a dodržoval základní bezpečnostní zásady. NÚKIB proto doporučuje všem uživatelům Signalu, aby co nejdříve začali uplatňovat níže uvedená doporučení:

15. Doporučení pro hodnocení důvěryhodnosti dodavatelů technologií do 5G sítí v České republice

    Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal spolu s Ministerstvem průmyslu a obchodu, Ministerstvem zahraničních věcí, Bezpečnostní informační službou, Úřadem pro zahraniční styky a informace a Vojenským zpravodajstvím Doporučení pro hodnocení důvěryhodnosti dodavatelů technologií do 5G sítí v České republice (dále jen „Doporučení“). Význam telekomunikačních sítí nastupujících generací je pro celou společnost mimořádný a omezování bezpečnostních rizik těchto sítí je tedy nezbytné pro vytvoření a udržení odolné infrastruktury České republiky. Cílem Doporučení je nabídnout operátorům, potažmo celému odvětví elektronických komunikací, pohled bezpečnostně relevantních institucí státu na základní východiska posuzování důvěryhodnosti dodavatelů technologií do 5G sítí a navrhnout kritéria, která mohou přispět k výběru důvěryhodných dodavatelů.