• +420 777 057 761
  • 该邮件地址已受到反垃圾邮件插件保护。要显示它需要在浏览器中启用 JavaScript。

NÚKIB - Národní úřad pro kybernetickou a informační bezpečnost

NUKIB rss feed
  1. Upozorňujeme na sadu 10 zranitelností v komponentech virtualizačního softwaru VMware. Společnost VMware zranitelnosti zveřejnila 2. srpna 2022 a přisuzuje jim dle standardu CVSSv3 skóre v rozmezí od 4.7 po 9.8 (9-10 značí kritickou zranitelnost). U dvou nejzávažnějších zranitelností byl v nedávné době zveřejněn Proof of Concept (PoC), dokazující možný authentication bypass. Útočník se síťovým přístupem k uživatelskému rozhraní tedy může zneužitím těchto zranitelností získat administrativní přístup bez nutnosti procesu autentizace.
  2. Byla vydána aktualizovaná verze příznaků TLP ke sdílení chráněných informací, na základě které upravujeme „Doporučení k používání protokolu TLP“. Do 31. 12. 2022 je vyžadován přestup na novější verzi.
  3. V sobotu 5. srpna 2022 vyšla ve Sbírce zákonů novela zákona o kybernetické bezpečnosti. Zákon připravil Národní úřad pro kybernetickou a informační bezpečnost, a to s cílem adaptovat český právní řád na nařízení Evropského parlamentu a Rady EU se zkráceným názvem „akt o kybernetické bezpečnosti“. Účinnosti nabyl zákon dnem následujícím po dni jeho vyhlášení. Nově zákon především stanovuje, že vnitrostátním orgánem certifikace kybernetické bezpečnosti je Národní úřad pro kybernetickou a informační bezpečnost.
  4. Vydali jsme přehled Kybernetických incidentů pohledem NÚKIB za červenec. Počet kybernetických incidentů se během tohoto měsíce držel na podprůměrných hodnotách. Přesto však byla většina z nich z hlediska závažnosti označena jako významný incident.
  5. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) uspořádal u příležitosti 5. výročí svého vzniku slavnostní setkání, které proběhlo v aule Právnické fakulty Masarykovy univerzity v Brně za účasti vedení Úřadu, významných hostů a zaměstnanců.
  6. Evropská komise vypsala výběrové řízení na pozici výkonného ředitele/výkonné ředitelky Evropského průmyslového, technologického a výzkumného centra kompetencí pro kybernetickou bezpečnost (ECCC) s uzávěrkou 6. září 2022.
  7. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) společně s Ministerstvem zahraničních věcí ČR, CyberPeace Institute a společností Microsoft představuje výstupy mezinárodního projektu Protecting the Healthcare Sector from Cyber Harm zaměřeného na ochranu zdravotnického sektoru.
  8. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal aktualizovanou verzi dokumentu obsahující doporučení v oblasti kryptografických prostředků. Podle § 26 písm. d) vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat mají povinné osoby podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů povinnost zohlednit tato doporučení vydaná NÚKIB za účelem ochrany aktiv informačního a komunikačního systému.
  9. Upozorňujeme na závažnou zranitelnost CVE-2022-30190 (označovaná též "Follina") týkající se kancelářského balíku Microsoft Office, která může sloužit ke spouštění škodlivého kódu na systému uživatele. Nebezpečí spočívá ve spuštění kódu bez ohledu na povolení maker, což činí potenciální phishingové útoky mnohem jednodušší. Zranitelnost je v současné době aktivně zneužívána, především u dokumentů Word.
  10. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal dne 21. března 2022 varování před hrozbou spočívající v nedodržení smluvních závazků ze strany dodavatelů ICT služeb a produktů s významným vztahem k Ruské federaci. Varování reagovalo na aktuální geopolitickou situaci spojenou s vojenským konfliktem na Ukrajině a související sankce uvalené Evropskou komisí na některé ruské osoby a společnosti. Tyto sankce mohou vést k nedodržení smluvních závazků ze strany ICT dodavatelů majících významný vztah k Ruské federaci. Varování je stále platné a je co do povinnosti zabývat se jím závazné pro všechny správce a provozovatele informačních systémů regulovaných zákonem o kybernetické bezpečnosti, z nichž mnozí jsou současně zadavateli podle zákona č. 134/2016 Sb., o zadávání veřejných zakázek. Tyto osoby jsou povinny zohlednit obsah varování NÚKIB v procesu výběru dodavatele veřejné zakázky (způsobu zohlednění varování v zadávacím řízení se věnuje např. materiál NÚKIB Zohlednění varování ze dne 17. prosince 2018 v zadávacím řízení dostupný zde: https://www.nukib.cz/download/publikace/podpurne_materialy/Zohledneni-varovani-v-zadavacim-rizeni_v1.1.pdf) a v případě identifikace neakceptovatelných rizik spojených se současnými dodavateli zvážit úpravu či ukončení uzavřených smluv.
  11. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) dnes vydal VAROVÁNÍ podle zákona o kybernetické bezpečnosti před hrozbami plynoucími z použití technických nebo programových prostředků sloužících k chytrému měření elektřiny tzv. smartmeteringu (tj. chytrých elektroměrů), které nepochází ze zemí s důvěryhodným právním prostředím.  Varování se týká provozovatelů distribučních soustav elektřiny, kteří jsou povinni při nákupu technologie smartmeteringu zvážit hrozbu v analýze rizik a přijmout adekvátní opatření ke snížení identifikovaného rizika v procesu výběru dodavatele technologií.
  12. Upozorňujeme na stále trvající kampaň podvodných vishingových telefonátů. V uplynulých týdnech detekujeme vysoké počty těchto pokusů a neočekáváme, že by se míra volání měla snižovat. Všechny telefonáty v rámci této kampaně jsou charakteristické následujícími body:
  13. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) ve spolupráci s Ministerstvem vnitra (MV) připravil bezpečnostní doporučení pro vývoj otevřeného softwaru. Doporučení je určeno vývojářům a osobám zabývajícím se kybernetickou bezpečností nebo společnostem dodávajícím software. Nenahrazuje požadavky zákona o kybernetické bezpečnosti a není pevně závazné. Je tak na konkrétních organizacích, které části a v jaké míře budou u svých projektů případně využívat.
  14. Signal je široce využívaná multiplatformní služba pro bezpečnou šifrovanou komunikaci. Ačkoli jde o poměrně bezpečnou aplikaci, je zapotřebí, aby ji každý uživatel správně nastavil a dodržoval základní bezpečnostní zásady. NÚKIB proto doporučuje všem uživatelům Signalu, aby co nejdříve začali uplatňovat níže uvedená doporučení:
  15. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal spolu s Ministerstvem průmyslu a obchodu, Ministerstvem zahraničních věcí, Bezpečnostní informační službou, Úřadem pro zahraniční styky a informace a Vojenským zpravodajstvím Doporučení pro hodnocení důvěryhodnosti dodavatelů technologií do 5G sítí v České republice (dále jen „Doporučení“). Význam telekomunikačních sítí nastupujících generací je pro celou společnost mimořádný a omezování bezpečnostních rizik těchto sítí je tedy nezbytné pro vytvoření a udržení odolné infrastruktury České republiky. Cílem Doporučení je nabídnout operátorům, potažmo celému odvětví elektronických komunikací, pohled bezpečnostně relevantních institucí státu na základní východiska posuzování důvěryhodnosti dodavatelů technologií do 5G sítí a navrhnout kritéria, která mohou přispět k výběru důvěryhodných dodavatelů.