Úvodní stránka

Národní úřad pro kybernetickou a informační bezpečnost

Logo NÚKIB

Kybernetická bezpečnost se týká každého z nás, studujte s námi zdarma a on-line na osveta.nukib.cz


Rádi byste u nás pracovali? Aktuální seznam volných míst najdete na kariera.nukib.cz

 

Vybrané aktuality, hrozby a doporučení

Blíží se Festival bezpečného internetu

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) ve spolupráci s partnery připravuje již třetí ročník Festivalu bezpečného internetu. Festival probíhá tradičně v měsíci říjnu, který je Evropským měsícem kybernetické bezpečnosti. Také letos Festival nabídne řadu vzdělávacích konferencí, webinářů a kampaní.

Vše o Festivalu najdete na informačních stránkách www.fbifest.cz, kde si už nyní můžete prohlédnout nabídku aktivit NÚKIB. Nabídka bude průběžně doplněna o další informace, možnost registrace, a také o akce partnerů.

Chystáte vzdělávací akci, která se věnuje kybernetické bezpečnosti a koná se v období 1. až 31. října 2022? Nebo připravujete tematický vzdělávací materiál, který byste rádi sdíleli s ostatními? Neváhejte je registrovat a staňte se součástí Festivalu bezpečného internetu!

Zveřejnili jsme Zprávu o stavu kybernetické bezpečnosti za rok 2021

V roce 2021 vzrostl počet kybernetických incidentů hlášených Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB), zároveň se ovšem snížil počet velmi významných a závažných škodlivých kybernetických aktivit z devíti na osm. Vyplývá to z nové Zprávy o stavu kybernetické bezpečnosti (ZSKB), kterou ve středu 29. června schválila vláda.

NÚKIB v loňském roce obdržel hlášení o 476 incidentech, přičemž aktivně řešil 157 z nich. Oproti tomu v roce 2020 bylo přijato hlášení o 468 incidentech a řešeno jich bylo 99. Národní bezpečnostní tým CSIRT.CZ, který je provozován sdružením CZ.NIC a zabývá se systémy neregulovanými dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti, řešil loni 1726 bezpečnostních incidentů (oproti 1267 z roku předcházejícího). Nárůst počtu kybernetických bezpečnostních incidentů tedy neukazují pouze data NÚKIB, ale i zjištění od dalších subjektů, které se na přípravě ZKSB podílely.

Mezi nejčastější typy kybernetických útoků patřily phishing, jehož formy vykázaly rostoucí míru sofistikovanosti, podvodné e-maily a skenování vnější sítě. Co se závažnosti kybernetických hrozeb týče, převažovaly nově zveřejněné zranitelnosti, ransomwarové útoky a phishing či spear-phishing.

Dlouhodobě představuje problém kybernetické bezpečnosti nedostatek finančních prostředků na její zajišťování. Rok 2021 ovšem zaznamenal zásadní zlepšení vývoje oproti roku předchozímu. Přestože u více jak poloviny dotazovaných institucí zůstal rozpočet alokovaný na kybernetickou bezpečnost stejný, u 32 % dotazovaných došlo k jeho navýšení (oproti 12 % z roku předcházejícího). Navzdory tomu i nadále více než polovina respondentů nepovažuje financování za dostatečné.

Výzvu také nadále představuje nedostatek odborníků na kybernetickou bezpečnost v českých institucích a organizacích. Nové potenciální pracovníky nadále odrazuje nedostatečné finanční ohodnocení, které se ovšem instituce pokouší kompenzovat outsourcingem a možností dalšího vzdělávání. Pozitivním faktorem je, že se finanční podmínky neprojevují na fluktuaci odborníků.

NÚKIB v uplynulém roce pokračoval se svými aktivitami zaměřenými na zvyšování povědomí o kybernetické bezpečnosti a ve vzdělávání zaměstnanců veřejné správy například skrze online kurzy Dávej kyber! a Šéfuj kyber!, v nichž proškolil přes 26 500 uživatelů. Kurz základů rizikového chování na internetu Bezpečně v kyber! pak absolvovalo přes 2 800 uživatelů. Pozornost byla věnována také zdravotnictví, přičemž novým kurzem Kyber nemocnice! prošlo přes 4 400 zaměstnanců ve zdravotnictví. Zároveň probíhala osvěta a vzdělávací aktivity pro děti, mládež a širší veřejnost.

NÚKIB také uspořádal ve spolupráci s Ministerstvem zahraničních věcí a pod záštitou Úřadu vlády další ročník globální konference Prague 5G Security Conference zaměřené na bezpečnost sítí 5. generace a přelomových technologií. Vystoupilo na ní téměř 70 řečníků z Evropy, Izraele, Japonska, USA a dalších zemí. Na závěr konference byly představeny tzv. Pražské návrhy týkající se kybernetické bezpečnosti přelomových technologií a diverzity dodavatelů telekomunikací.

V roce 2021 se NÚKIB zúčastnil 14 mezinárodních i národních cvičení, vč. Locked Shields 2021. Úřad také zorganizoval historicky první sektorové cvičení kybernetické bezpečnosti ve zdravotnictví Health Czech.

Pozn.: ZSKB je hlavním dokumentem, který shrnuje dění v oblasti kybernetické bezpečnosti v ČR v uplynulém roce. Hlavním autorem a koordinátorem její přípravy je NÚKIB, ale obsah zprávy stojí na datech získaných od více než 280 subjektů, mezi nimiž jsou jak instituce regulované zákonem o kybernetické bezpečnosti, tak i další subjekty, které spravují důležité systémy. Sběr dat probíhal formou dotazníkového šetření v průběhu prvního pololetí letošního roku.

Celou Zprávu o stavu kybernetické bezpečnosti České republiky za rok 2021 naleznete zde.

Anglickou verzi tohoto dokumentu naleznete zde.

Novým ředitelem NÚKIB je Lukáš Kintr

Na základě usnesení vlády České republiky je k 1. červenci 2022 do funkce ředitele Národního úřadu pro kybernetickou a informační bezpečnost jmenován Ing. Lukáš Kintr.

Lukáš Kintr působí na Úřadu od roku 2015. Zastával různé pozice v Národním centru kybernetické bezpečnosti (NCKB), které do roku 2017 spadalo pod Národní bezpečnostní úřad.

Od září 2019 zastával pozici náměstka ředitele NÚKIB pro řízení NCKB, sekce, která je zodpovědná za nastavení strategie zajišťování a prosazování kybernetické bezpečnosti v České republice, za činnost vládního CERT, nastavení regulace a její kontroly, za jednání a spolupráci s národními a mezinárodními partnery nebo za provádění cvičení v oblasti kybernetické bezpečnosti.

“Vedení Národního úřadu pro kybernetickou a informační bezpečnost přebírám především s pokorou, ale také s úctou k práci, kterou doposud Úřad odvedl, a v neposlední řadě s odhodláním navázat a pokračovat tam, kde pan generál Karel Řehka skončil, pokračovat v naplňování koncepce rozvoje NÚKIB. Vedení NÚKIB vnímám také jako velkou příležitost podílet se na posilování kybernetické bezpečnosti a jako výzvu sloužit ČR,” uvedl nově jmenovaný ředitel NÚKIB Ing. Lukáš Kintr a doplnil: „Za důležité považuji poděkovat Vládě ČR za důvěru, kterou ve mě vložila a také panu generálovi Řehkovi za vše co pro NÚKIB udělal, za jeho každodenní nasazení a podporu.“

Priority NÚKIB v rámci předsednictví ČR v Radě EU

Česká republika se bude během českého předsednictví v Radě EU věnovat celé řadě iniciativ, které se týkají problematiky kybernetické bezpečnosti spadající do gesce NÚKIB. Mezi ty nejvýznamnější iniciativy budou patřit legislativní dokumenty pro vysokou společnou úroveň kybernetické bezpečnosti institucí, orgánů a agentur Evropské unie a k bezpečnosti ICT produktů a souvisejících služeb. Dalším zásadním a vlastním tématem ČR v oblasti kybernetické bezpečnosti, na které se ČR také připravuje, je kybernetická bezpečnost dodavatelského řetězce ICT. Nelze vyloučit, že nastavenou agendu předsednictví bude ovlivňovat také válka na Ukrajině a možné kybernetické hrozby z ní plynoucí pro Unii a její členské státy.

Návrh nařízení pro vysokou společnou úroveň kybernetické bezpečnosti unijních orgánů, agentur a institucí

Vedle kybernetické bezpečnosti členských států nelze opomíjet ani kybernetickou bezpečnost unijních institucí, které mohou představovat pro útočníky velmi atraktivní cíl. Tyto instituce přitom v současnosti potřebují posílit rámec nastavující pravidla jejich kybernetické bezpečnosti. I vzhledem ke skutečnosti, že případné útoky na unijní instituce mohou mít negativní dopady i na české subjekty, má ČR v úmyslu podstatně pokročit ve vyjednávání tohoto návrhu na půdě EU.

Návrh regulace bezpečnosti ICT produktů a souvisejících služeb

Tuto oblast by měl pokrývat tzv. Cyber Resilience Act, jehož návrh lze podle plánu legislativních prací Evropské komise očekávat ve třetím kvartálu roku 2022. Obsah návrhu ještě není znám, nicméně je jisté, že se bude jednat o předpis, který bude zásadní pro zajišťování kybernetické bezpečnosti ICT produktů a souvisejících služeb, které se budou prodávat na EU trhu a který bude mít pravděpodobně citelný dopad na vývojáře a výrobce ICT produktů a souvisejících služeb.

 Kybernetická bezpečnost dodavatelského řetězce ICT

Předně je třeba připomenout, že ČR ovlivňuje podobu unijní i globální debaty o kybernetické bezpečnosti dlouhodobě, viz například zásadní role ČR při přípravě tzv. 5G EU Toolboxu či pořádání každoroční Prague 5G Security Conference. Jedním z témat, které aktuálně i s ohledem na současné geopolitické prostředí nabývají na významu na národní i mezinárodní úrovni, je otázka kybernetické bezpečnosti dodavatelského řetězce.

Toto téma chce ČR uchopit také v rámci svého předsednictví, v jehož rámci by ráda našla společné porozumění a shodu na dalším směřování v této oblasti na EU úrovni. Otázka bezpečnosti dodavatelského řetězce se tak například promítne i do obsahu hlavní předsednické konference v kybernetické a digitální oblasti. Rizika spojená s dodavatelským řetězcem představují bezpečnostní problém již řadu let. V poslední době byl však zaznamenán nárůst organizovanějších a sofistikovanějších útoků v této oblasti. Útoky skrze dodavatele jsou z pohledu útočníků velmi atraktivní, protože mohou mít dopad na velké množství zákazníků a vést ke kaskádovému efektu. Toto téma je proto z hlediska kybernetické bezpečnosti velmi významné. Jeho důležitost a aktuálnost dokládají zejména nedávné závažné útoky skrze dodavatelský řetězec jako např. Solarwinds. Rostoucí trend útoků poukazuje na potřebu přijetí nových ochranných opatření posilujících nejen prevenci útoků, ale také napomáhajících k jejich řešení a mírnění dopadů.

ČR byla také v minulosti v této oblasti aktivní, např. mezi prvními na světě prosazovala princip, že při volbě dodavatelů strategických technologií a jejich komponent je klíčová zejména důvěra mezi odběratelem a dodavatelem, neboť již není dostatečné kontrolovat možnou kompromitaci každého jednoho zařízení pouze technickými prostředky. Tento princip ČR již mnohokrát použila při budování své kritické infrastruktury a šlo i o jedno z hlavních témat prvního ročníku Prague 5G Security Conference v roce 2019. Stejným prizmatem se však musíme dívat nejen na koncového dodavatele zařízení a technologií, ale i na jejich subdodavatele, resp. naši dodavatelé by si tohoto principu měli být vědomi a přistupovat tak ke svým vlastním dodavatelům. Základní východiska jsou obsažena například i v Doporučení pro hodnocení důvěryhodnosti dodavatelů technologií do 5G sítí v České republice z letošního roku.

Akce CZ PRES

V souvislosti s CZ PRES bude NÚKIB pořádat několik předsednických akcí – tou nejvýznamnější je již zmíněná předsednická konference s názvem EU Secure and Innovative Digital Future, která se bude konat v termínu 3. – 4. 11. 2022 v Praze, kterou NÚKIB pořádá společně s Ministerstvem průmyslu a obchodu a Úřadem vlády ČR, v součinnosti s Ministerstvem zahraničních věcí. První den konference, Prague Cyber Security Conference, navazuje právě na předchozí iterace Prague 5G Security Conference. Tematicky se však posune od bezpečnosti 5G sítí a jejím hlavním tématem bude bezpečnost dodavatelského řetězce, a to v kontextu nových technologií.