• +420 777 057 761
  • Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

NÚKIB - Národní úřad pro kybernetickou a informační bezpečnost

NUKIB rss feed
  1. Česká republika vstupuje do další fáze transpozice směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Evropské unii, tzv. směrnice NIS2, do českého právního řádu. Poté, co směrnice vstoupila v polovině ledna v platnost, začala členským státům EU běžet 21 měsíců dlouhá lhůta, během které musí transponovat tento předpis a změny z něj vyplývající do národních legislativ. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), jako ústřední správní orgán, v jehož gesci je daná problematika, se však na přijetí připravuje mnohem delší dobu.
  2. Půlroční předsednictví v Radě Evropské unie (CZ PRES) je za námi. Zatímco pro Českou republiku se jednalo o historicky druhé předsednictví, pro Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), jakožto ústřední správní orgán pro kybernetickou bezpečnost České republiky, který vznikl teprve před 5 lety, bylo premiérou. Byla to však premiéra zdařilá. Zvládli jsme vedení několika pracovních skupin v Radě i mimo ni, úspěšně zorganizovali široké spektrum výjezdních zasedání, konferencí, seminářů a povedly se nám také naplnit 3 definované priority. Těmi byly:
  3. Vydali jsme přehled Kybernetických incidentů pohledem NÚKIB za prosinec 2022.
  4. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal 11. října 2021 ochranné opatření, které zavazuje správce a provozovatele informačních systémů regulovaných dle zákona o kybernetické bezpečnosti, jejichž součástí je elektronická pošta, ke zvýšení zabezpečení a zavedení požadovaných technologií.
  5. Ve dnech 13. a 14. prosince 2022 pořádal Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v Kongresové hale na brněnském výstavišti druhé netechnické cvičení kybernetické bezpečnosti Health Czech, zaměřené na sektor zdravotnictví. Jeho cílem bylo prověřit rozhodovací procesy, funkčnost krizových plánů a schopnost krizové komunikace zdravotnických zařízení v případě kybernetického útoku. Celkem se zúčastnilo 15 týmů z různých koutů České republiky ze subjektů, které spadají pod regulaci dle zákona o kybernetické bezpečnosti. Tyto týmy byly složeny z 5 až 6 lidí, mezi kterými byli IT technici, pracovníci vztahů s veřejností, manažeři kybernetické bezpečnosti, lékaři, právníci a lidé mající v daných organizacích na starost bezpečnost a krizové řízení či ochranu osobních údajů. Cvičící měli možnost řešit scénář obsahující různé typy kybernetických incidentů, komplexně diskutovat nad hrozbami v kyberprostoru, zranitelnostmi nemocnic a poslechnout si řadu rad v rámci odborných přednášek. Cvičení také účastníkům umožnilo sdílet zkušenosti ze své praxe i jejich pohled na oblast kybernetické bezpečnosti a to jak se svými protějšky ze zastoupených zařízení, tak i s přítomnými experty na danou problematiku.
  6. Upozorňujeme na heap-based buffer overflow zranitelnost známou pod označením CVE-2022-42475 postihující FortiOS SSL-VPN. Její zneužití umožňuje neautentizovaným uživatelům vzdálené shození stroje a spuštění libovolného kódu pomocí zaslání speciálního requestu.
  7. V úterý 1. listopadu 2022 byla vývojáři vydaná knihovna OpenSSL ve verzi 3.0.7, která opravuje zranitelnosti CVE-2022-3602 a CVE-2022-3786, obě označené na stupnici závažnosti zranitelnosti stupněm Vysoká. Tyto zranitelnosti byly do knihovny začleněny až od verze 3.0.0. Starší a stále velmi rozšířené verze knihovny 1.0 a 1.1 nejsou těmito zranitelnostmi zasaženy.
  8. Upozorňujeme na zvýšené riziko DDoS útoků proti České republice a tuzemským subjektům. V posledním měsíci, mj. v kontextu geopolitické situace ve východní Evropě, evidujeme v České republice výrazný nárůst počtu útoků tohoto typu.
  9. Upozorňujeme na závažnou zranitelnost Wi-Fi v linuxovém jádru, označenou identifikátory CVE-2022-41674, CVE-2022-42719, CVE-2022-42720, CVE-2022-42721 a CVE-2022-42722, zatím bez hodnocení CVSS. Ke zneužití zranitelnosti u zařízení stačí pouze zapnutá Wi-Fi.
  10. Upozorňujeme na kritickou zranitelnost týkající se FortiOS (firewall) a FortiProxy (webové proxy) označenou identifikátorem CVE-2022-40684 (CVSS 9.6), pomocí které lze získat vzdálený přístup bez autentizace do administrativního rozhraní.
  11. Byla vydána aktualizovaná verze příznaků TLP ke sdílení chráněných informací, na základě které upravujeme „Doporučení k používání protokolu TLP“. Do 31. 12. 2022 je vyžadován přestup na novější verzi.
  12. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal aktualizovanou verzi dokumentu obsahující doporučení v oblasti kryptografických prostředků. Podle § 26 písm. d) vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat mají povinné osoby podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů povinnost zohlednit tato doporučení vydaná NÚKIB za účelem ochrany aktiv informačního a komunikačního systému.
  13. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) ve spolupráci s Ministerstvem vnitra (MV) připravil bezpečnostní doporučení pro vývoj otevřeného softwaru. Doporučení je určeno vývojářům a osobám zabývajícím se kybernetickou bezpečností nebo společnostem dodávajícím software. Nenahrazuje požadavky zákona o kybernetické bezpečnosti a není pevně závazné. Je tak na konkrétních organizacích, které části a v jaké míře budou u svých projektů případně využívat.
  14. Signal je široce využívaná multiplatformní služba pro bezpečnou šifrovanou komunikaci. Ačkoli jde o poměrně bezpečnou aplikaci, je zapotřebí, aby ji každý uživatel správně nastavil a dodržoval základní bezpečnostní zásady. NÚKIB proto doporučuje všem uživatelům Signalu, aby co nejdříve začali uplatňovat níže uvedená doporučení:
  15. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal spolu s Ministerstvem průmyslu a obchodu, Ministerstvem zahraničních věcí, Bezpečnostní informační službou, Úřadem pro zahraniční styky a informace a Vojenským zpravodajstvím Doporučení pro hodnocení důvěryhodnosti dodavatelů technologií do 5G sítí v České republice (dále jen „Doporučení“). Význam telekomunikačních sítí nastupujících generací je pro celou společnost mimořádný a omezování bezpečnostních rizik těchto sítí je tedy nezbytné pro vytvoření a udržení odolné infrastruktury České republiky. Cílem Doporučení je nabídnout operátorům, potažmo celému odvětví elektronických komunikací, pohled bezpečnostně relevantních institucí státu na základní východiska posuzování důvěryhodnosti dodavatelů technologií do 5G sítí a navrhnout kritéria, která mohou přispět k výběru důvěryhodných dodavatelů.