• +420 777 057 761
  • Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

NÚKIB - Národní úřad pro kybernetickou a informační bezpečnost

NUKIB rss feed
  1. Snížení závislosti na dodavatelích, kteří představují strategickou hrozbu v oblasti kybernetické bezpečnosti, je zásadní nejen pro bezpečnost subjektů klíčových pro stát a společnost, ale také pro národní bezpečnost obecně. Bezpečnostní rada státu (BRS) proto pověřila Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) přípravou zákona, který bude umožňovat prověření dodavatelů do strategicky významné infrastruktury, a tím zajistit vyšší odolnost a bezpečnost České republiky.
  2. Ve dnech 13. až 15. září 2022 proběhl v Brně 8. ročník konference o kybernetické bezpečnosti CyberCon, kterou pořádá Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Třídenní událost byla rozdělena na Den workshopů, Den určený pro povinné osoby a Policy den. Konference propojující státní, akademický a soukromý sektor, jejímž cílem je šířit a posilovat osvětu v oblasti kybernetické bezpečnosti, měla na programu celkem 11 workshopů, 16 odborných přednášek a 2 kulaté stoly. Zúčastnilo se jí na 500 osob.
  3. Do roku 2024 by měla mít Česká republika ve svém právním řádu implementovány požadavky nové směrnice Evropského parlamentu a Rady Evropské unie o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii, tzv. směrnice NIS2. Ta přináší mnoho změn v oblasti zajišťování kybernetické bezpečnosti a týká se nejen organizací, které jsou již dnes ze zákona o kybernetické bezpečnosti povinny své systémy zabezpečovat, ale i velkého množství organizací, které budou do regulace spadat nově a do dnešního dne žádné povinnosti plnit nemusely. Nově tak bude požadavkům a změnám specifikovaným ve směrnici NIS2 podléhat více než 6000 subjektů v ČR namísto nynějších přibližně čtyř set. Cílem směrnice je mimo jiné zajistit, aby organizace zaváděly preventivní kroky k posílení své kybernetické bezpečnosti. NIS2 nově také pracuje se dvěma režimy povinných osob – „important“ a „essential“. Přičemž povinnosti stanovené organizacím v režimu „important“ budou méně přísné než v případě režimu „essential“.
  4. Upozorňujeme na závažnou zranitelnost CVE-2022-26113 (CVSS 7.5) týkající se VPN klienta pro připojení do vnitřní sítě organizace od společnosti Fortinet. Umožňuje neprivilegovanému uživateli s přístupem ke koncové stanici s nainstalovaným VPN klientem FortiClient získat na této stanici práva uživatele SYSTEM. Zranitelné jsou následující verze klienta pro operační systém Windows: 
  5. Upozorňujeme na probíhající phishingovou kampaň s motivem nabídky příspěvku na bydlení od Ministerstva práce a sociálních věcí (dále jen MPSV). Podvodné zprávy se šíří e-mailem nebo SMS zprávami s textem: „Je vám poskytnut příspěvek na bydlení po dobu 3 měsíců od Mpsv“ nebo „MPSV informuje v rámci programu bydlení máte k dispozici příspěvek“, spolu s odkazem na stránky věrně napodobující web MPSV. Jazyková kvalita textu zpráv se v různých verzích liší, obecně jde ale o strojový překlad, který lze pozorným čtením odhalit.
  6. Zástupci NÚKIB vytvořili webové stránky nis2.nukib.cz. Jedná se o reakci na nově přicházející regulaci kybernetické bezpečnosti v České republice – směrnici Evropského parlamentu a Rady Evropy o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Evropské unii, tzv. směrnice NIS2. Ta se týká jak organizací, které jsou již dnes ze zákona o kybernetické bezpečnosti povinny své systémy zabezpečovat, tak i velkého množství dalších subjektů, jež budou do regulace spadat nově a do dnešního dne žádné povinnosti plnit nemusely.
  7. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) ve spolupráci s Ministerstvem vnitra, Státní pokladnou Centrem sdílených služeb, Ministerstvem průmyslu a obchodu, Ministerstvem zemědělství, Ministerstvem školství, mládeže a tělovýchovy a Fakultní nemocnicí Plzeň připravil podpůrný materiál k problematice řízení aktiv a rizik dle § 4 a § 5 vyhlášky o kybernetické bezpečnosti.
  8. Upozorňujeme na sadu 10 zranitelností v komponentech virtualizačního softwaru VMware. Společnost VMware zranitelnosti zveřejnila 2. srpna 2022 a přisuzuje jim dle standardu CVSSv3 skóre v rozmezí od 4.7 po 9.8 (9-10 značí kritickou zranitelnost). U dvou nejzávažnějších zranitelností byl v nedávné době zveřejněn Proof of Concept (PoC), dokazující možný authentication bypass. Útočník se síťovým přístupem k uživatelskému rozhraní tedy může zneužitím těchto zranitelností získat administrativní přístup bez nutnosti procesu autentizace.
  9. Byla vydána aktualizovaná verze příznaků TLP ke sdílení chráněných informací, na základě které upravujeme „Doporučení k používání protokolu TLP“. Do 31. 12. 2022 je vyžadován přestup na novější verzi.
  10. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal aktualizovanou verzi dokumentu obsahující doporučení v oblasti kryptografických prostředků. Podle § 26 písm. d) vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat mají povinné osoby podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů povinnost zohlednit tato doporučení vydaná NÚKIB za účelem ochrany aktiv informačního a komunikačního systému.
  11. Upozorňujeme na závažnou zranitelnost CVE-2022-30190 (označovaná též "Follina") týkající se kancelářského balíku Microsoft Office, která může sloužit ke spouštění škodlivého kódu na systému uživatele. Nebezpečí spočívá ve spuštění kódu bez ohledu na povolení maker, což činí potenciální phishingové útoky mnohem jednodušší. Zranitelnost je v současné době aktivně zneužívána, především u dokumentů Word.
  12. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal dne 21. března 2022 varování před hrozbou spočívající v nedodržení smluvních závazků ze strany dodavatelů ICT služeb a produktů s významným vztahem k Ruské federaci. Varování reagovalo na aktuální geopolitickou situaci spojenou s vojenským konfliktem na Ukrajině a související sankce uvalené Evropskou komisí na některé ruské osoby a společnosti. Tyto sankce mohou vést k nedodržení smluvních závazků ze strany ICT dodavatelů majících významný vztah k Ruské federaci. Varování je stále platné a je co do povinnosti zabývat se jím závazné pro všechny správce a provozovatele informačních systémů regulovaných zákonem o kybernetické bezpečnosti, z nichž mnozí jsou současně zadavateli podle zákona č. 134/2016 Sb., o zadávání veřejných zakázek. Tyto osoby jsou povinny zohlednit obsah varování NÚKIB v procesu výběru dodavatele veřejné zakázky (způsobu zohlednění varování v zadávacím řízení se věnuje např. materiál NÚKIB Zohlednění varování ze dne 17. prosince 2018 v zadávacím řízení dostupný zde: https://www.nukib.cz/download/publikace/podpurne_materialy/Zohledneni-varovani-v-zadavacim-rizeni_v1.1.pdf) a v případě identifikace neakceptovatelných rizik spojených se současnými dodavateli zvážit úpravu či ukončení uzavřených smluv.
  13. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) ve spolupráci s Ministerstvem vnitra (MV) připravil bezpečnostní doporučení pro vývoj otevřeného softwaru. Doporučení je určeno vývojářům a osobám zabývajícím se kybernetickou bezpečností nebo společnostem dodávajícím software. Nenahrazuje požadavky zákona o kybernetické bezpečnosti a není pevně závazné. Je tak na konkrétních organizacích, které části a v jaké míře budou u svých projektů případně využívat.
  14. Signal je široce využívaná multiplatformní služba pro bezpečnou šifrovanou komunikaci. Ačkoli jde o poměrně bezpečnou aplikaci, je zapotřebí, aby ji každý uživatel správně nastavil a dodržoval základní bezpečnostní zásady. NÚKIB proto doporučuje všem uživatelům Signalu, aby co nejdříve začali uplatňovat níže uvedená doporučení:
  15. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal spolu s Ministerstvem průmyslu a obchodu, Ministerstvem zahraničních věcí, Bezpečnostní informační službou, Úřadem pro zahraniční styky a informace a Vojenským zpravodajstvím Doporučení pro hodnocení důvěryhodnosti dodavatelů technologií do 5G sítí v České republice (dále jen „Doporučení“). Význam telekomunikačních sítí nastupujících generací je pro celou společnost mimořádný a omezování bezpečnostních rizik těchto sítí je tedy nezbytné pro vytvoření a udržení odolné infrastruktury České republiky. Cílem Doporučení je nabídnout operátorům, potažmo celému odvětví elektronických komunikací, pohled bezpečnostně relevantních institucí státu na základní východiska posuzování důvěryhodnosti dodavatelů technologií do 5G sítí a navrhnout kritéria, která mohou přispět k výběru důvěryhodných dodavatelů.