Kybernetická bezpečnost

Kybernetická bezpečnostKybernetická bezpečnost

Ochrana utajovaných informací v ICT

Ochrana utajovaných informací v ICTOchrana utajovaných informací v ICT

Galileo PRS

Galileo PRSGalileo PRS

Vybrané informace

CyberCon Brno 2019 18. - 19. 9. 2019

Národní úřad pro kybernetickou a informační bezpečnost pořádá již pátý ročník konference CyberCon Brno 2019. Událost proběhne v termínu 18. - 19. 9. 2019 a již tradičně v prostorách Univerzitního kina Scala v Brně. Konference je pořádána ve spolupráci se studentským spolkem Security Outlines.

Bližší informace k události najdete i na sociální síti Facebook:

https://www.facebook.com/events/381089952463277/

Akce bude pořádána zdarma, ale bude nutná registrace. Registrační link a podrobný program budou doplňovány v následujících týdnech.

Celá zpráva

České energetické firmy čelily cvičným kybernetickým útokům

V sídle společnosti ČEZ, a. s. proběhlo ve středu 19. června historicky první sektorové cvičení kybernetické bezpečnosti Electro Czech 2019 pod vedením Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a ve spolupráci s ČEZ, a. s. Cílem bylo zvýšit odolnost společností zapojených do výroby i distribuce elektřiny před kybernetickými útoky a zabezpečit tak dodávky elektrické energie pro české domácnosti i firmy i v případech podobných incidentů.

Historicky první sektorové cvičení kybernetické bezpečnosti se týkalo energetiky a získalo název Electro Czech 2019. Kromě pořadatelů z Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) se účastnili zástupci nejdůležitějších hráčů českého energetického sektoru. Celkem šlo o více než šedesát účastníků ze společností zajištujících v České republice výrobu, přenos a distribuci elektrické energie – ČEZ, a. s., ČEZ Distribuce, a. s., PREdistribuce, a.s., E.ON Distribuce, a.s.  a ČEPS, a.s. Cvičení se aktivně zúčastnil i zástupce vládního CERT týmu (GovCERT.CZ) a to jako člen tzv. skupiny odborníků relevantní dané oblasti, která se k otázkám cvičení rovněž vyjadřovala. Kromě NÚKIB byla složena ze zástupců SÚJB, ISACA a CZ.NIC. V roli pozorovatelů se kromě zástupců výše již zmiňovaných společností zúčastnil i zástupce Telco Pro Services, a. s.

„Podobná společná cvičení energetických subjektů věrně simulující případné reálné situace jednoznačně vítáme. Pomáhají nám zvyšovat úroveň celkové ochrany naší společnosti proti nejrůznějším kybernetickým hrozbám,“ řekl místopředseda představenstva ČEZ Martin Novák, který se akce účastnil coby člen strategického týmu sestaveného ze zástupců všech zúčastněných společností.

„Toto je naše první cvičení zaměřené na konkrétní sektor. Cílem této akce není vás nachytat, že něco nevíte. Děláme to proto, abychom prověřili rozhodovací postupy a celkovou připravenost těchto postupů na možné kybernetické incidenty,“ uvedl při zahájení cvičení ředitel NÚKIB Dušan Navrátil.

„Cílem cvičení bylo hlavně zlepšit připravenost na krizové situace, které mohou v důsledku kybernetických útoků nastat,“ vysvětluje Martina Ulmanová z oddělení cvičení NÚKIB. Účastníci si tak v praxi vyzkoušeli rozhodovací postupy, vzájemnou koordinaci s dalšími cvičícími z jiných společností a současně museli zvažovat právní možnosti a být schopní průběh incidentů srozumitelně vysvětlovat veřejnosti. K tomu účelu v rámci cvičení proběhla i simulovaná tisková konference za účasti reálného novináře a vysokých představitelů všech institucí působících v oblasti výroby, přenosu a distribuce elektřiny. „Právě spolupráce a vzájemná informovanost je v případě reálného útoku na přenosovou a distribuční soustavu klíčová. Součástí úkolů byla i komunikace s GovCERT.CZ včetně hlášení incidentů a procvičení postupů podle zákona o kybernetické bezpečnosti a souvisejících vyhlášek,“ doplňuje Ulmanová.

Samotné cvičení probíhalo formou moderované diskuse. V jejím rámci účastníci navrhovali řešení různých předem připravených scénářů, které kombinovaly jak provozní závady, tak cílené kybernetické útoky či dezinformační kampaně. Otázky pro cvičící byly záměrně formulované tak, aby se cvičící zamýšleli nad technickými, právními, ale i mediálními aspekty zvládání krizových situací.

Výsledkem cvičení byla expertní výměna názorů a přístupů jednotlivých organizací k řešení kybernetického bezpečnostního incidentu, identifikace bílých míst v rámci vzájemné koordinace a celkové posílení krizové připravenosti zúčastněných institucí.

„Za společnost ČEPS velmi oceňujeme možnost účastnit se cvičení Electro Czech. Přineslo nám řadu podnětných informací a také možnost prověřit součinnost v rámci celého energetického sektoru,“ říká Radek Hartman, člen představenstva ČEPS, a.s.

Jako přínosné zhodnotil cvičení také bezpečnostní ředitel ČEZ Distribuce, a. s. Radomír Valica, který na závěr cvičení uvedl: „Je to poprvé, kdy za jeden stůl usedli dispečer, technik, operátor, právník a tisková mluvčí a společně diskutovali jak nejlépe zvládnout dané incidenty. V tomto vidím velkou přidanou hodnotu celého cvičení.“

„Uvědomujeme si, že ve světě kybernetických hrozeb hraje kromě špičkových technologií a zabezpečení velkou roli také lidský faktor, který bývá obvykle nejslabším článkem. Proto vítáme jakoukoli příležitost k rozvoji zaměstnanců v tomto ohledu. Právě proběhlé cvičení nám navíc dalo jedinečnou možnost diskutovat o problematice kybernetické bezpečnosti na odborné energetické platformě a s různými subjekty trhu, což považuji za zvláště přínosné,“ řekl Pavel Čada, místopředseda představenstva E.ON Distribuce.

Celá zpráva

Ministerstva, úřady i firmy vzaly varování NÚKIB vážně

Ministerstva, úřady i firmy vzaly varování NÚKIB vážně. Provedly předepsané analýzy, přijímají opatření ke snížení rizika

Loňské varování NÚKIB před technickými a programovými prostředky společností Huawei Technologies Co., Ltd. (dále jen „Huawei“) a ZTE Corporation (dále jen „ZTE“) a jejich dceřiných společností podle dostupných údajů výrazně změnilo pohled na rizikovost zařízení těchto výrobců, která se vyskytují v systémech spadajících pod zákon o kybernetické bezpečnosti. Správci těchto  systémů přijali nebo plánují přijmout řadu opatření ke snížení těchto nově vzniklých rizik.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) provedl průzkum, jehož cílem bylo zjistit rozsah používání těchto technologií mezi povinnými orgány a osobami spadajícími do působnosti zákona o kybernetické bezpečnosti a vliv varování ze 17. prosince 2018 na změnu hodnoty rizik u těchto technologií podle vyhlášky o kybernetické bezpečnosti.

V rámci průzkumu bylo osloveno celkem 126 organizací spadajících pod zákon o kybernetické bezpečnosti a bylo vyhodnoceno 472 systémů kritické informační infrastruktury (KII), významných informačních systémů (VIS) a informačních systému základních služeb (ISZS). Z celkového počtu 126 oslovených organizací jich 75 uvedlo, že zařízení výše uvedených společností nepoužívá, 49 je používá a dvě ještě nedodaly požadované podklady.

Po vydání varování dne 17. prosince 2018 byly subjekty spadající pod zákon o kybernetické bezpečnosti povinny aktualizovat analýzu rizik a přehodnotit hodnotu rizika u dotčených zařízení. Pokud upravená hodnota rizika nepřesáhla akceptační hranici, pak nebylo nutné zavádět dodatečná bezpečnostní opatření a bylo možné riziko akceptovat. Pokud hodnota rizika přesáhla hranici akceptace, je organizace povinna zavést bezpečnostní opatření a snížit tak hodnotu rizika na akceptovatelnou úroveň.

Technické a programové prostředky výše uvedených společností byly hodnoceny z pohledu rizikovosti na škále nízká, střední, vysoká, kritická.

Poměr zařízení společnosti Huawei, ZTE a jejich dceřiných společností z pohledu rizikovosti před vydáním varování, po jeho vydání a po následném zavedení bezpečnostních opatření udává následující tabulka:

Bezpečnostní opatření mohou být různá, jak technického tak organizačního charakteru. Obecně všechna bezpečnostní opatření směřují k snížení či eliminaci rizika a zajištění požadované úrovně dostupnosti, důvěrnosti a integrity informačního nebo komunikačního systému.

Za nejefektivnější opatření lze označit vyvarování se rizikových aktivit nebo vyloučení rizikových prostředků. Existují i další bezpečnostní opatření, jako příklady lze uvést  šifrování, zavedení přísnější fyzické bezpečnosti, logování změn, redundanci, pořizování záloh, apod. Jejich použití a účinnost je potřeba řešit případ od případu na základě konkrétních systémů a dané situace.

Analýzy rizik jsou povinné pro všechny správce a provozovatele systémů, které spadají pod zákon o kybernetické bezpečnosti. Jde o systémy nezbytné či významné pro chod státu a poskytování základních služeb občanům bez ohledu na to, zda je jejich provozovatel ze soukromého nebo státního sektoru. Aktualizaci analýz si vyžádalo zmíněné varování NÚKIB z konce loňského roku.  Tato tisková zpráva obsahuje souhrnné informace zjištěné z těchto analýz. Bližší informace či konkrétní výsledky není možné sdělovat či komentovat.

Celá zpráva

SÚKL prošel cvičením kybernetické bezpečnosti

Státní ústav pro kontrolu léčiv (SÚKL) se ocitl pod kybernetickým útokem. Naštěstí pouze fiktivně v rámci cvičení, které pro něj připravil Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Cvičení bylo zaměřené zejména na zvládnutí rozhodovacích procesů a na mediální komunikaci.

Podle scénáře čelilo vedení SÚKL napadení svých webových stránek, zcizení účtů na sociálních sítích nebo zašifrování částí databáze.

„Scénář cvičení jsme vytvářeli na míru, protože SÚKL spravuje některé velmi citlivé systémy. Zajímalo nás, jak rychle jsou jeho pracovníci schopni reagovat či jak mají zpracované krizové plány, vysvětluje Kateřina Hábová z Odboru kybernetických bezpečnostních politik NÚKIB.

Součástí cvičení byl také komunikační aspekt. Proto jedním z aktivních účastníků cvičení byl i tiskový mluvčí NÚKIB Radek Holý.

„Při cvičení jsme použili prakticky identický postup, jaký používáme i při reálných incidentech. NÚKIB nikdy nesděluje informace o probíhajících incidentech, ale obvykle subjektům radíme, aby veřejnost pravdivě informovaly o tom, co se jim děje a že mají aktivní snahu problém řešit. Mlžení podle nás jen zvyšuje nejistotu a může u veřejnosti vyvolávat paniku,“ říká Holý.

„U incidentů, jako bylo napadení webových stránek nebo zcizení účtů na sociálních sítích, jsme postupovali podle našich krizových komunikačních scénářů. Prakticky to znamená, že jsme se v co nejkratší době snažili veřejnost pravdivě informovat o tom, co se děje a jaký je aktuální vývoj situace,“ dodává mluvčí SÚKL Barbora Peterová.

Podrobné závěry a doporučení ze cvičení jsou zpracovávány a budou určeny pro vnitřní potřeby SÚKL. Už předběžné hodnocení ihned po cvičení ale ukázalo velmi dobrou připravenost na krizové situace v oblasti kybernetické bezpečnosti.

SÚKL zřizuje a provozuje CÚeR v souladu se zákonem o léčivech. Provoz CÚeR podléhá přísným bezpečnostním pravidlům. Data musí být chráněna proti úmyslným útokům i proti náhodné ztrátě při mimořádných událostech. Centrální úložiště bylo na návrh specialistů z NÚKIB zařazeno mezi kritické informační systémy, jejichž narušení by mohlo ohrozit bezpečnost země, zdraví obyvatel nebo ekonomiku státu a vztahuje se na něj zákon o kybernetické bezpečnosti.

Tisková zpráva ke stažení: TZ-SÚKL-NÚKIB_cvičení.pdf

Celá zpráva