Kybernetická bezpečnost

Kybernetická bezpečnostKybernetická bezpečnost

Ochrana utajovaných informací v ICT

Ochrana utajovaných informací v ICTOchrana utajovaných informací v ICT

Galileo PRS

Galileo PRSGalileo PRS

Vybrané informace

Členské státy EU vydaly první zprávu o hodnocení rizik sítí 5. generace

Členské státy EU ve spolupráci s Evropskou komisí a Evropskou agenturou pro kybernetickou bezpečnost (ENISA) dnes vydaly zprávu o koordinovaném hodnocení rizik EU pro sítě 5. generace. Zpráva je prvním společným produktem reagujícím na požadavek českého premiéra Andreje Babiše na zasedání Evropské Rady letos v březnu. Česko jakožto iniciátor evropského přístupu k bezpečnosti sítí 5. generace  patří mezi vedoucí země tohoto projektu.

„Koordinovaný přístup EU plně zapadá do konceptu, který byl stanoven na Pražské konferenci k bezpečnosti sítí 5G v květnu tohoto roku a který je formulován i v tzv. Prague Proposals vyhlášených v závěru konference,“ vysvětluje český cyber attache v Bruselu Lukáš Pimper další významnou roli, kterou Česká republika v přípravě tohoto dokumentu sehrála.

Aktuálně je ČR spolu s Francií, Nizozemskem, Estonskem a Itálií vedoucí zemí projektu implementace Doporučení Evropské komise ke kybernetické bezpečnosti sítí 5. generace. Tato aktivita má zároveň plnou podporu předsednických zemí, jimiž jsou Finsko a Rumunsko.

Aktuální zpráva je založena na hodnocení rizik jednotlivými členskými státy Evropské unie. Její hlavní přínos spočívá v jasné identifikaci hlavních hrozeb včetně možných aktérů těchto hrozeb. Zároveň zpráva popisuje řadu strategických rizik spojených s budováním sítí 5. generace, přičemž je důležité, že nejde pouze o možné technické zranitelnosti, ale i o zranitelnosti, které vyplývají z netechnických aspektů, jako je například závislost na jednom dodavateli.

Zpráva také jasně pojmenovává rizika spojená s faktem, že sítě 5. generace jsou čím dál více založeny na softwaru. To s sebou nese řadu bezpečnostních problémů, jako je například nízká kvalita vývoje kódu v rámci dodavatelského řetězce. U rizik spojených s dodavateli také zpráva explicitně zmiňuje hrozby v podobě instalace tzv. zadních vrátek (tedy skrytých cest, jimiž se lze do systému dostat) ze strany rizikových aktérů.

V této souvislosti zpráva zmiňuje také nutnost stanovení rizikových profilů jednotlivých dodavatelů, která by měla zahrnovat také možnost jejich ovlivňování ze strany třetích zemí. Neméně významnou hrozbou je riziko závislosti na jednom dodavateli, které může potenciálně vyústit v přerušení dodávek potřebného vybavení, například v důsledku tržního selhání. Následky takového výpadku mohou být v případě závislosti na jednom subjektu nedozírné.

Sítě 5. generace se v budoucnu stanou páteřní linkou celé digitální ekonomiky a společnosti. Očekává se, že tyto sítě propojí řádově miliardy zařízení včetně kritických sektorů, jako je energetika, doprava, bankovnictví či zdravotnictví. Právě z toho důvodu se budování sítí 5. generace rozhodla EU věnovat zvláštní pozornost, zejména s ohledem na jejich bezpečnost, která zahrnuje důvěrnost přenášených dat, jejich dostupnost a v neposlední řadě také integritu.

Podle očekávaného dalšího postupu by do 31. prosince letošního roku měla kooperační skupina odsouhlasit návrh opatření pro zmírnění rizik spojených s kybernetickou bezpečností, která by měla platit na úrovni členských států i na celounijní úrovni. Do 1. října 2020 by členské státy ve spolupráci s Evropskou komisí měly posoudit účinnost doporučení Evropské komise z letošního března a vyhodnotit, zda bude třeba přijmout další opatření.

Celá zpráva ke stažení zde: https://eu2019.fi/en/article/-/asset_publisher/member-states-publish-a-report-on-eu-coordinated-risk-assessment-of-5g-networks-security

Záznam tiskové konference k dispozici zde: https://video.consilium.europa.eu/en/webcast/f0bab838-88c4-4ccd-916e-a2a94ab727bb

Celá zpráva

Zpráva o stavu kybernetické bezpečnosti ČR za rok 2018

Nejvýznamnějšími představiteli kybernetických hrozeb pro Českou republiku jsou aktuálně státní aktéři. Rizikem jsou však i jednotlivci a soukromé společnosti zaměřující se na kyberzločin a další negativní činnosti v kyber prostoru. Vyplývá to z výroční zprávy, kterou dnes projednala vláda.

Počet útoků v kyberprostoru neustále stoupá. V roce 2018 řešil vládní CERT tým (GovCERT.CZ), který má v rámci NÚKIB na starosti bezpečnostní incidenty týkající se systémů chráněných podle zákona o kybernetické bezpečnosti, 164 nahlášených incidentů. Tyto incidenty se týkaly systémů kritické informační infrastruktury, významných informačních systémů či systémů základní služby. Tedy systémů, které jsou různou měrou klíčové pro chod státu a bezpečnost jeho obyvatel.

„NÚKIB v roce 2018 pokračoval ve zkoumání rozsáhlého útoku na strategicky významnou českou vládní instituci. V rámci zkoumání byla provedena analýza dostupných technických dat a dalších relevantních informací (charakter oběti, trvání útoku, povaha odcizených informací, nakládání s odcizenými informacemi atd.), jejímž závěrem bylo, že původcem útoku je téměř jistě (90-100 %) státní aktér nebo na něj napojená skupina. Dle informací dostupných NÚKIB je pravděpodobné (55-70 %), že útok byl veden ze strany čínského aktéra,“ stojí ve zprávě ve zprávě NÚKIB jako jeden z příkladů řešených incidentů.

Podle zprávy jsou to právě cizí státy, jejichž činnost je pro české systémy nejnebezpečnější. „Nejvýznamnějšího aktéra kybernetických hrozeb představují z hlediska státu vzhledem k dostupným lidským, finančním a časovým prostředkům, státní aktéři. Jejich snahou je povětšinou získat strategické informace skrze špionážní operace v kyberprostoru a následně je využít ve svůj prospěch,“ uvádí v úvodu zprávy ředitel NÚKIB Dušan Navrátil.

V této souvislosti zpráva připomíná také varování před používáním technických a programových prostředků společností Huawei Technologies Co., Ltd. a ZTE Corporation, které NÚKIB vydal loni 17. prosince. K vydání tohoto varování vydání vedla kombinace poznatků a zjištění získaných při činnosti úřadu. NÚKIB k tomuto varování vydal i podpůrnou metodiku, která konkretizuje opatření, jež mohou správci informačních a komunikačních systémů spadajících pod zákon o kybernetické bezpečnosti přijmout.

Čím dál častějším cílem útoku jsou také univerzity, u nichž hrozí například krádež dosud nepublikovaných výsledků výzkumu a dalšího cenného duševního vlastnictví. „Pokud by útočníci v sítích českých univerzit působili nepozorovaně delší dobu, mohlo by to pro Českou republiku ve výsledku znamenat oslabení její konkurenceschopnosti,“ uvádí zpráva NÚKIB. Podle statistik bylo v roce 2018 deset českých univerzit vystaveno kybernetickým útokům.

Zpráva se dále věnuje i oblastem, které pod přímou působnost NÚKIB nespadají, ale týkají se dění v kyberprostoru. Partnerské pracoviště CSIRT, které se zabývá incidenty v systémech nespadajících pod zákon o kybernetické bezpečnosti a které provozuje sdružení CZ.NIC, loni řešilo 1079  incidentů. Trestných činů v oblasti kybernetické kriminality řešilo specializované pracoviště Národní centrály proti organizovanému zločinu 6 815.

Dalším důležitým prvkem kybernetické bezpečnosti, který zpráva zdůrazňuje, je nezbytnost zlepšení povědomí uživatelů o kybernetických hrozbách. „V oblasti kybernetické bezpečnosti se za největší zranitelnost obvykle považují koncoví uživatelé informačních technologií. Útočníci jsou si této slabiny vědomi a využívají uživatelů jako brány do sítí organizací, které chtějí kompromitovat,“ uvádí zpráva.

NÚKIB proto organizuje pro zaměstnance státní správy specializovaná cvičení kybernetické bezpečnosti a k dispozici je také e-learning pro zaměstnance úřadů. Jen v loňském roce prošlo školeními NÚKIB 21 443 zaměstnanců státní správy a dalších 320 prošlo specializovanými cvičeními.

Efektivita těchto cvičení si vysloužila i mezinárodní ohlas a žádosti o uspořádání podobného cvičení přišly kupříkladu ze Spojených států, Jižní Korei či Tchaj-wanu. Celkem se cvičení NÚKIB v loňském roce účastnili lidé ze 77 zemí světa. „Cvičení se stala významným produktem s potenciálem pro českou zahraniční politiku,“ uvádí zpráva.

Školení je však běh na dlouho trať a ve státní ani soukromé sféře nejsou hrozby zdaleka zažehnány. „Odolnost proti útokům bude pravděpodobně i nadále negativně ovlivněna nedostatkem odborníků spojeným s nekonkurenceschopností veřejného sektoru v oblasti finančního ohodnocení,“ konstatuje zpráva ve výhledu na další léta a také dodává, že útoky cílené na uživatele jsou čím dál tím sofistikovanější a tím pádem také nebezpečnější.

Plnou verzi výroční zprávy naleznete zde: https://www.nukib.cz/cs/informacni-servis/publikace/

Celá zpráva

Spustili jsme kurz kybernetické bezpečnosti pro děti

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) ve spolupráci se sdružením CZ.NIC, SCIO a autory aplikace Nenech to být spouští on-line kurz Digitální stopa pro děti na základních školách. Cílem je ochránit děti před riziky, která na ně číhají v kyberprostoru, ať už jde o kyberšikanu, sexting či obecně ochranu soukromí v digitálním světě.

Digitální stopa je on-line interaktivní hra určená žákům 5. & 6. tříd, která je hravou formou provází tématy jako digitální identita, digitální soukromí, sexting či kyberšikana. „Využít tuto vzdělávací aktivitu pro preventivní účely může kdokoliv, kdo má zájem přispět k budování bezpečných návyků a chování dětí na internetu. Největší uplatnění najde zřejmě ve školách, ale je dostupná i rodičům, kteří si ji mohou se svými dětmi také projít,“ vysvětluje David Kudrna z oddělení vzdělávání NÚKIB, který má projekt od začátku na starosti.

Celý kurz stojí na printscreenech z chatů zpracovaných do podoby komixu. Dějová linka je postavená tak, aby se s jednotlivými aktéry mohli identifikovat členové prakticky jakéhokoli třídního kolektivu. „Didakticky důležitým prvkem jsou i interaktivní části. Žáci díky nim zůstávají při průchodu digitální stopou aktivní, hodnotí příběh, analyzují ho a tvoří závěry. Průchod tímto příběhem podněcuje jejich sebeidentifikaci či sebereflexi a učí je vnímat osobní bezpečnost na internetu jako hodnotu, o kterou je třeba pečovat,“ vysvětluje Kudrna.

Hra však necílí jen na samotné žáky, ale také na učitele a rodiče. Právě pro ně je na webu www.digistopa.cz připravena řada podpůrných materiálů, s jejichž pomocí učitelé snadno včlení Digitální stopu do běžné výuky. Rodičům tyto materiály pomohou lépe pochopit rizika, kterým jejich děti na internetu čelí. „Při tvorbě těchto materiálů jsme nevycházeli zdaleka jen z teorie. Digitální stopu jsme pilotně testovali na  ScioŠkole v Brně, kde jsme si mohli v praxi ověřit, jak žáci na hru reagují,“ popisuje Kudrna.

V rámci pilotního testování dostali žáci také anonymní dotazníky, v nichž hodnotili, jak je děj bavil, jeho důvěryhodnost, i vzhled samotných komiksů. Známkování probíhalo na stupnici 1-5 jako ve škole. „Samozřejmě nám udělalo radost, že bezmála 60 % dětí oznámkovalo zábavnost komiksu známkou jedna a téměř polovina stejně hodnotila jeho důvěryhodnost. Stejně důležité ale byly i odpovědi na otázku, co nového se díky komiksům naučily. A častou odpovědí bylo seznámení se s aplikací Nenech to být, což může dále přispět k eliminaci kyberšikany na školách,“ říká Kudrna.

Vzdělávací aktivita vznikla ve spolupráci Národního úřadu pro kybernetickou a informační bezpečnost a projektem „Bezpečně na netu“, který za podpory Evropské komise realizuje sdružení CZ.NIC. Mediálními partnery jsou služba Nenech to být a společnost SCIO. Na přípravě aktivity se podílelo i několik studentů Masarykovy univerzity.

Tato vzdělávací aktivita je od 16. 9. 2019 zpřístupněná na adrese www.digistopa.cz. K využití tohoto on-line kurzu není třeba nic stahovat ani instalovat. Uživatelé se nemusí registrovat ani přihlašovat. Vzdělávací aktivita zatím není optimalizovaná pro mobilní telefony a na základě dobré praxe doporučujeme digitální stopu spouštět v prohlížeči Google Chrome.

Celá zpráva

Zástupci 43 zemí Africké unie čelili cvičným kybernetickým útokům pod dohledem expertů z NÚKIB

Ve dnech 19. až 23. srpna se experti Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a Armády ČR zúčastnili symposia Africa Endeavor 2019 pořádaného partnery z U.S. Africa Command pro zástupce zemí Africké unie. Čeští specialisté pro všechny účastníky symposia, celkem pro více než 100 zástupců z řad vyšších důstojníků ozbrojených složek ze 43 zemí, připravili cvičení kybernetické bezpečnosti a krizové komunikace.

Na základě pozvání amerických organizátorů připravil český tým netechnické table-top cvičení pro všechny účastníky symposia. Cvičení se zaměřilo zejména na simulaci realistické krizové situace v kyberprostoru. Vyslanci afrických států se vžili do role vrcholných představitelů fiktivní země Pilsnerie, a během 90 minut trvajícího cvičení se museli vypořádat například se sofistikovaným útokem na bankovní sektor, který vedl ke krádeži finančních prostředků. Účastníci cvičení museli řešit vše, co by taková situace vyvolala, to znamená hlavně problémy v bezpečnostní, ekonomické i politické oblasti. Nicméně stranou samozřejmě nezůstala ani nutnost řešit efektivní rozdělení kompetencí mezi instituce Pilsnerie, a také řádně a včas informovat veřejnost prostřednictvím médií. Významnou přidanou hodnotu pro cvičící představovala možnost vyměnit si v průběhu cvičení zkušenosti a názory se svými protějšky z jiných států.

Výstupy cvičení a získané zkušenosti jsou velmi cenné i pro český tým. Navzdory specifikům afrického kontinentu se tamní státy potýkají s do značné míry totožnými problémy jako Evropa. Navíc platí, že vzdálenosti či hranice nepředstavují v kyberprostoru zdaleka tak významné překážky jako ve fyzickém světě. Je tedy zcela v zájmu České republiky přispívat k navyšování úrovně kybernetické bezpečnosti nejen u nás, ale i v zahraničí.

Cvičení obecně představují velmi vhodný nástroj k navyšování kybernetické bezpečnosti. Jsou schopna realisticky simulovat rozličné krizové situace a zprostředkovat účastníkům autentickou zkušenost. Tímto se do značné míry odlišují od jiných nástrojů sloužících pro trénink a vzdělávání. V neposlední řadě rovněž umožňují výměnu názorů a zkušeností mezi experty s rozličnou specializací a zařazením.

Rádi bychom poděkovali jak U.S. Africa Command, tak ghanským pořadatelům za možnost uspořádat cvičení na takto prestižní akci.

Celá zpráva