Úvodní stránka

Národní úřad pro kybernetickou a informační bezpečnost

Logo NÚKIB


Relevantní a přehledné informace k nové směrnici NIS2 najdete na nis2.nukib.cz


Kybernetická bezpečnost se týká každého z nás, studujte s námi zdarma a on-line na osveta.nukib.cz


Rádi byste u nás pracovali? Aktuální seznam volných míst najdete na kariera.nukib.cz

 

Vybrané aktuality, hrozby a doporučení

Zvýšení bezpečnosti dodavatelského řetězce pro strategickou infrastrukturu státu je v zájmu České republiky

Snížení závislosti na dodavatelích, kteří představují strategickou hrozbu v oblasti kybernetické bezpečnosti, je zásadní nejen pro bezpečnost subjektů klíčových pro stát a společnost, ale také pro národní bezpečnost obecně. Bezpečnostní rada státu (BRS) proto pověřila Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) přípravou zákona, který bude umožňovat prověření dodavatelů do strategicky významné infrastruktury, a tím zajistit vyšší odolnost a bezpečnost České republiky.

V reakci na zhoršující se bezpečnostní prostředí uložila BRS v červnu 2022 NÚKIB do konce května 2023 předložit vládě České republiky návrh zákona umožňující státu prověřování dodavatelů do své strategicky významné infrastruktury. Hlavním cílem tohoto prověřování je zvýšit odolnost a bezpečnost České republiky.

Současný vývoj ukazuje, že bezpečnost dodavatelského řetězce a spolehlivost dodavatelů v oblasti informačních a komunikačních technologií má zcela zásadní dopad na bezpečnost subjektů klíčových pro stát i společnost a tím také na národní bezpečnost jako takovou. Hrozby v oblasti kybernetické bezpečnosti plynoucí z dodavatelských řetězců technologií jsou již dlouhodobě známy, dosud však v našem právním řádu neexistuje komplexní právní řešení umožňující rizika plynoucí z těchto hrozeb pro strategickou infrastrukturu cíleně a účinně vyhodnocovat a snižovat. Připravovaný zákon si klade za cíl tento nevyhovující stav změnit.

Mechanismus prověřování dá státu možnost vyloučit z dodávek do strategicky významné infrastruktury vysoce rizikové dodavatele a významně tak omezí dopad negativních zahraničních vlivů na zajištění základních funkcí státu. Tím se sníží závislost nejvýznamnější infrastruktury na dodavatelích představujících strategickou hrozbu v oblasti kybernetické bezpečnosti, což přispěje k zajištění dlouhodobě udržitelné bezpečnosti a odolnosti. Tento mechanismus napomůže předcházet podobně nežádoucí závislosti a následným negativním dopadům, jako je tomu nyní například v případě zemního plynu.

Připravovaný návrh zákona zmocní relevantní orgány státu k vyhodnocení a případnému omezení rizikových dodavatelů. Vyhodnocována budou kritéria spojená s oblastmi, jako jsou vliv cizího státu na dodavatele či případy zneužití technologií k narušení strategické infrastruktury. Konkrétní podoba procesu prověřování je momentálně diskutována napříč relevantními orgány státní správy.

„Rozsah dopadu regulace zatím není přesně vymezen a intenzivně na něm pracujeme. Když mluvíme o strategické infrastruktuře, vycházíme z množiny systémů kritické informační infrastruktury a provozovatelů základních služeb dle současného znění zákona o kybernetické bezpečnosti. Samozřejmě nás v této oblasti čekají změny v souvislosti s implementací směrnice NIS2, díky které naroste počet povinných orgánů a osob až na několik tisíc subjektů. Připravovaný mechanismus ale bere tyto změny v potaz a na většinu těchto nových povinných osob nedopadne. Cílem je pokrýt množinu institucí, která poskytuje či zabezpečuje služby s nejvyšším dopadem na fungování státu a společnosti,“ sděluje k celé věci ředitel NÚKIB Lukáš Kintr.

Úřad pod jeho vedením při přípravě návrhu zákona předpokládá dodržení dosavadní osvědčené praxe. Tzn. Jakmile to bude aktuální, nad rámec běžného meziresortního připomínkového řízení bude odborné veřejnosti dána možnost poskytnout NÚKIB podněty k návrhu zákona. Vzhledem ke skutečnosti, že se jedná o komplexní a citlivou problematiku, NÚKIB vede a plánuje nadále vést širokou, odbornou a především konstruktivní debatu.

Samotný mechanismus staví na principech zákona o kybernetické bezpečnosti (ZKB). Připravovaná legislativa tak bude doplňovat současný přístup k zajišťování kybernetické bezpečnosti v České republice, podle kterého se o komplexní zajištění bezpečnosti stará především správce systému či sítě. Mechanismus prověřování tak vnese do procesu nový vstup státu v podobě hodnocení strategické úrovně bezpečnosti dodavatelů. Jedná se o aspekty, které sami správci infrastruktury nejsou schopni provést a k jejichž posuzování a vyhodnocování je nejlépe vybaven právě stát se svým bezpečnostním a zpravodajským aparátem. Důležitou složkou mechanismu je nastavení procesu prověřování tak, aby pro splnění svého účelu co nejméně zatěžoval jak povinné subjekty, tak stát samotný. Prověřování se tedy bude týkat pouze dodávek do jasně, předem stanovených částí strategicky významné infrastruktury, která je kritická pro fungování České republiky. Dodávky, které nejsou relevantní pro bezpečnost této infrastruktury, prověřovány nebudou.

Do doby, než bude nový zákon připraven a přijat, jsou nadále platné a účinné aktuální právní normy v oblasti kybernetické bezpečnosti. V kontextu omezení rizikových dodavatelů se pro povinné orgány a osoby dle ZKB jedná zejména o povinnost řídit rizika spojená s dodavateli dle ZKB a vyhlášky o kybernetické bezpečnosti. Správci a provozovatelé kritické informační infrastruktury a další povinné orgány a osoby dle ZKB jsou také nadále povinny zohledňovat dříve vydaná varování NÚKIB. Nezávaznou pomůckou, jak hodnotit rizikovost dodavatelů, může pro správce povinných subjektů být „Doporučení pro hodnocení důvěryhodnosti dodavatelů technologií do 5G sítí v České republice“ zpracované NÚKIB s dalšími partnery bezpečnostní komunity a využitelné i mimo sektor telekomunikací.

Workshopy, přednášky, diskuse a setkání - to vše a ještě více přinesl CyberCon 2022

Ve dnech 13. až 15. září 2022 proběhl v Brně 8. ročník konference o kybernetické bezpečnosti CyberCon, kterou pořádá Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Třídenní událost byla rozdělena na Den workshopů, Den určený pro povinné osoby a Policy den. Konference propojující státní, akademický a soukromý sektor, jejímž cílem je šířit a posilovat osvětu v oblasti kybernetické bezpečnosti, měla na programu celkem 11 workshopů, 16 odborných přednášek a 2 kulaté stoly. Zúčastnilo se jí na 500 osob.

První den konference se letos výrazně lišil od předchozích ročníků. Nejednalo se o typický konferenční program plný přednášek a diskusí ale o den, který byl věnován praktickým workshopům zaměřeným na řešení problémů a výzev souvisejících s kybernetickou bezpečností. Z toho důvodu byl přesunut do přednáškových místností Fakulty sociálních studií Masarykovy univerzity. Odborníci z různých sfér během tří workshopových bloků představili a částečně i prakticky ukázali digitální forenziku, Wireshark, zabezpečení LAN v IPv4, resilienci ozbrojených sil a bezpečnostních sborů vůči hybridním hrozbám a mnoho dalšího. Současně se zmíněnými workshopy proběhl v úterý 13. září v atriu Fakulty sociálních studií Masarykovy univerzity druhý ročník veletrhu studijních příležitostí Studuj kyber!, akce určené pro žáky základních a studenty středních škol. Ti tak měli jedinečnou příležitost setkat se osobně se zástupci vzdělávacích institucí nabízejících v České republice obory týkající se kybernetické a informační bezpečnosti i informačních technologií.

Následující dva dny konference se již tradičně konaly v prostorách brněnského Univerzitního kina Scala. Stejně jako workshopový den, i tato část byla koncipována jako fórum pro sdílení informací a zkušeností expertů na kybernetickou bezpečnost z České republiky i ze zahraničí. „Klíčem ve většině oblastí z kybernetické bezpečnosti je spolupráce napříč státním, akademickým a soukromým sektorem na národní i mezinárodní úrovni. Zapomínat při tom ale nemůžeme ani na osvětu a komunikaci s širokou veřejností.“, uvedl ředitel NÚKIB Lukáš Kintr při zahájení prvního dne přednáškové části konference, během které se na pódiu vystřídali zástupci NÚKIB a dalších státních i nestátních institucí.

Druhý den, tzv. Den pro povinné osoby, byl věnován především nejaktuálnějším novinkám z oblasti regulace. Řečníci sdíleli během odborných přednášek své znalosti a zkušenosti o evropské směrnici NIS2, Průvodci řízení aktiv a rizik podle vyhlášky o kybernetické bezpečnosti, analýze rizik, auditech, kvantové distribuci klíčů i dalších tématech souvisejících s danou oblastí. Vzhledem k velkému zájmu o workshopy ze strany účastníků byl tento den obohacen v prostorách univerzitního kina Scala o dva z nich.

Závěrečný den se zaměřil na představení strategických pohledů na různorodé výzvy v kybernetické bezpečnosti, a to ať už z právní oblasti, strategicko-bezpečnostní roviny či technického rázu. Mluvilo se tedy o odkrývání ruských dezinformačních operací, kyberkriminalitě, internet governance či o Bug bounty ve veřejném sektoru. Součástí programu také byly dva kulaté stoly. Při prvním proběhla politická diskuse poslanců Parlamentu České republiky Roberta Králíčka, Ondřeje Profanta a Lukáše Vlčka o současných výzvách v kybernetické bezpečnosti, při níž se také dotkli problematiky financování v této oblasti i možných legislativních změn. V rámci druhého kulatého stolu uzavírajícího program konference CyberCon 2022 proběhla debata zástupců MPO, ČEZ, NÚKIB a VZ o problematice bezpečnosti dodavatelského řetězce v ČR.

Návštěvníci si užili tři dny nabité informacemi o kybernetické a informační bezpečnosti, které byly díky rozmanitosti řečníků podány z nejrůznějších úhlů pohledu. CyberCon 2022 stejně jako jeho předchozí ročníky prokázal, že se jedná o jedinečnou akci, jež podporuje diskusi a sdílení informací mezi státní, akademickou a soukromou sférou a má jednoznačný přínos pro všechny zúčastněné. Cílem akce, mimo jiné, je nalezení možnosti řešení některých výzev, které před námi v oblasti kybernetické bezpečnosti stojí. I proto byl z celé akce pořizován videozáznam a jednotlivé přednášky budou zveřejněny na YouTube kanálu NÚKIB.

NÚKIB představuje evropskou směrnici NIS2

Do roku 2024 by měla mít Česká republika ve svém právním řádu implementovány požadavky nové směrnice Evropského parlamentu a Rady Evropské unie o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii, tzv. směrnice NIS2. Ta přináší mnoho změn v oblasti zajišťování kybernetické bezpečnosti a týká se nejen organizací, které jsou již dnes ze zákona o kybernetické bezpečnosti povinny své systémy zabezpečovat, ale i velkého množství organizací, které budou do regulace spadat nově a do dnešního dne žádné povinnosti plnit nemusely. Nově tak bude požadavkům a změnám specifikovaným ve směrnici NIS2 podléhat více než 6000 subjektů v ČR namísto nynějších přibližně čtyř set. Cílem směrnice je mimo jiné zajistit, aby organizace zaváděly preventivní kroky k posílení své kybernetické bezpečnosti. NIS2 nově také pracuje se dvěma režimy povinných osob – „important“ a „essential“. Přičemž povinnosti stanovené organizacím v režimu „important“ budou méně přísné než v případě režimu „essential“.

Nová směrnice prohloubí a rozšíří původní Směrnici Evropského parlamentu a Rady EU, o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii, tzv. směrnici NIS. Ačkoli již byla v rámci unijního legislativního procesu nalezena předběžná shoda ohledně budoucí podoby směrnice NIS2, její finální text dosud nebyl schválen a publikován v Úředním věstníku Evropské unie. Tento akt se předpokládá ve čtvrtém čtvrtletí roku 2022, přičemž ČR by měla mít nový rámec povinností zaveden v národní legislativě přibližně v polovině roku 2024. Další lhůta pak bude stanovena pro zahájení jejího plnění u těch organizací, které dosud regulaci v oblasti kybernetické bezpečnosti nepodléhaly.

Výše zmíněný nárůst povinných osob na nejméně 6000 bude způsoben rozšířením regulovaných odvětví (např. o odpadové hospodářství), rozšířením stávajících regulovaných odvětví o nové regulované služby (např. stávající odvětví Digitální infrastruktury o nové regulované služby cloud computingu nebo poskytovatele služeb a sítí elektronických komunikací) a také změnou způsobu identifikace povinných osob (kdy primárním kritériem pro zařazení do regulace bude velikost subjektu). Směrnicí tak bude nově regulováno přibližně 60 služeb v 18 odvětvích.

Regulované subjekty budou takové, které zaměstnávají nejméně 50 zaměstnanců, nebo dosahují ročního obratu či bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK). Členské státy EU mají také možnost k zařazení do regulace využít dodatečných kritérií bez ohledu na velikost a vztáhnout regulaci i na takové organizace, které jsou jedinými poskytovateli služby, jež je nezbytná v členském státě ze sociálního nebo ekonomického hlediska anebo by narušení jejich služby mohlo mít významný dopad na veřejnou bezpečnost, zdraví osob nebo by mohlo vyvolat významné riziko zejména s přeshraničním dopadem.

Česká republika nyní může těžit ze své výhody kvalitně zpracovaného zákona o kybernetické bezpečnosti, neboť velká část změn prezentovaných v NIS2 je v souladu s aktuálně platnou českou regulací. Pro současné povinné osoby se toho tedy v praxi příliš měnit nebude. NÚKIB se na přijetí směrnice a její realizaci připravuje průběžně a velmi intenzivně. V sedmi pracovních skupinách pracuje na čtyři desítky lidí. Jejich cílem je co nejhladší implementace směrnice do českého právního řádu. Současně se připravují i na to, aby byli schopni co možná nejlépe pomoci subjektům s plněním nových povinností. Záměrem NÚKIB je také do tvorby návrhu změny zákona zapojit odbornou veřejnost a podnikatelské svazy.

V kontextu řady změn a zájmu odborné veřejnosti o toto téma, spustil NÚKIB jako službu lidem webové stránky nis2.nukib.cz. Jejich cílem je podávat přehledné a ucelené základní informace o tom, co nová směrnice NIS2 přináší, popsat největší změny stávajících požadavků a způsob, jak budou evropské požadavky promítnuty do národní legislativy.

Na tomto webu tak lze dohledat obecné informace o směrnici NIS2, koho se nové povinnosti týkají, jakým způsobem budou organizace zabezpečovat své služby, jaké incidenty budou hlásit, jaké budou sankce za neplnění požadavků a další specifika. Všechna probíraná témata jsou shrnuta v deseti okruzích, které bude NÚKIB průběžně doplňovat. Postupem času dojde také k přidání informací o konkrétních navrhovaných změnách zákona o kybernetické bezpečnosti. V případě nejasností ohledně nové směrnice NIS2 má veřejnost možnost kontaktovat odborníky z NÚKIB na adrese: regulace@nukib.cz. Do předmětu mailu je potřeba uvést „web NIS2“.

Upozorňujeme na závažnou zranitelnost CVE-2022-26113 (CVSS 7.5) ve FortiClient

Upozorňujeme na závažnou zranitelnost CVE-2022-26113 (CVSS 7.5) týkající se VPN klienta pro připojení do vnitřní sítě organizace od společnosti Fortinet. Umožňuje neprivilegovanému uživateli s přístupem ke koncové stanici s nainstalovaným VPN klientem FortiClient získat na této stanici práva uživatele SYSTEM. Zranitelné jsou následující verze klienta pro operační systém Windows: 

FortiClientWindows verze od 6.0.0 do 6.0.10 FortiClientWindows verze od 6.2.0 do 6.2.9  FortiClientWindows verze od 6.4.0 do 6.4.7 FortiClientWindows verze od 7.0.0 do 7.0.3

Pro mitigaci této zranitelnosti je nutné aktualizovat na FortiClientWindows verze 7.0.4 a vyšší nebo verze 6.4.8 a vyšší.

Vzhledem ke zveřejnění PoC (Proof of Concept) je zneužití této zranitelnosti ze strany útočníka s přístupem ke koncové stanici poměrně jednoduché.

Více informací naleznete zde:

https://rhinosecuritylabs.com/research/cve-2022-26113-forticlient-arbitrary-file-write-as-system/ https://www.fortiguard.com/psirt/FG-IR-22-044