Úvodní stránka

Národní úřad pro kybernetickou a informační bezpečnost

Logo NÚKIB


Relevantní a přehledné informace k nové směrnici NIS2 najdete na nis2.nukib.cz


Kybernetická bezpečnost se týká každého z nás, studujte s námi zdarma a on-line na osveta.nukib.cz


Rádi byste u nás pracovali? Aktuální seznam volných míst najdete na kariera.nukib.cz

 

Vybrané aktuality, hrozby a doporučení

Na semináři NÚKIB diskutovali zástupci státní a soukromé sféry na téma bezpečnosti dodavatelského řetězce

Ve středu 7. prosince 2022 pořádal Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v Praze v prostorách Ministerstva průmyslu a obchodu seminář NÚKIB k bezpečnosti dodavatelského řetězce. Na akci se ve dvou diskusních panelech představili zástupci státní i soukromé sféry, jejichž hlavním cílem byla debata o bezpečnostních hrozbách pocházejících z dodavatelských řetězců, a systémech, které Česká republika má k jejich omezování. Podstatná část diskuse byla věnována také vznikajícímu zákonu k posílení bezpečnosti dodavatelského řetězce v oblasti informačních a komunikačních technologiích. Mechanismus prověřování dodavatelů, který vzniká tímto zákonem, mimo jiné přispívá k naplnění Akčního plánu k Národní strategii kybernetické bezpečnosti České republiky na období let 2021 až 2025 a také programového prohlášení vlády.

Celou akci zahájil úvodní řečí ředitel NÚKIB Lukáš Kintr. „Uvědomujeme si, že rizika v oblasti kyberbezpečnosti nelze zcela eliminovat, ale pouze omezovat. Stát v současné době zná rizika, která ale nemá jak omezovat. Proto je plánovaná regulace bezpečnosti dodavatelského řetězce tak potřebnou, avšak dosud chybějící součástí komplexního systému zajišťování kybernetické bezpečnosti v České republice. Tak složitá problematika vyžaduje spolupráci napříč státem, stejně jako diskusi napříč akademickým a soukromým sektorem. Těší mě proto, že se na dnešní akci NÚKIB setkávají zástupci státní i soukromé sféry,“ uvedl ředitel Kintr. Následně všechny účastníky uvedl do dané problematiky Petr Novotný, ředitel Odboru kybernetických bezpečnostních politik. Ve své prezentaci se věnoval představení chystané regulace v oblasti bezpečnosti dodavatelského řetězce a jejímu zařazení do systému zajišťování bezpečnosti České republiky. Po úvodních vystoupeních přišly na řadu výše zmíněné diskusní panely.

První z nich s názvem „Problematika strategické závislosti na rizikových dodavatelích“ byl zaměřen na existující nástroje státu sloužící k omezování negativních zahraničních vlivů, diskusi nad pravomocí státu omezovat strategické hrozby prostřednictvím regulace a samozřejmě diskusi o podobě chystaného mechanismu prověřování dodavatelů. Místa řečníků zaujali Ota Šimák, ředitel Odboru obchodní politiky a mezinárodních ekonomických organizací Ministerstva průmyslu a obchodu, Jiří Kozák, náměstek ministra zahraničních věcí, a Tomáš Krejčí, náměstek pro řízení sekce Národního centra kybernetické bezpečnosti NÚKIB.

Po krátké pauze následoval druhý panel na téma „Řízení dodavatelů ve strategicky významné infrastruktuře státu“. Mezi vystupujícími byli Jakub Rejzek, vedoucí pracovní skupiny Kyberbezpečnost Sekce IT a telekomunikací Hospodářské komory ČR, Kateřina Kalužová, manažerka pro digitální ekonomiku a zástupkyně ředitele Útvaru pro digitální ekonomiku Svazu průmyslu a dopravy ČR, Michal Moroz, člen prezidia a výkonný ředitel Asociace kritické infrastruktury, a za pořádající organizaci ředitel Odboru regulace NÚKIB Adam Kučínský. V tomto diskusním panelu řečníci hovořili o rizicích, jimž správci strategicky významné infrastruktury čelí. Zejména zástupci soukromých subjektů tak měli možnost sdílet se státem svůj pohled na danou problematiku. Debata se dotkla také chystaného mechanismu prověřování dodavatelů. Všichni účastníci se ale shodli, že konkrétní vyjádření na toto téma budou na místě teprve po zveřejnění návrhu mechanismu k veřejným konzultacím na začátku příštího roku.

Na závěr semináře vedoucí Oddělení vládní agendy a legislativy NÚKIB Pavel Štěpáník shrnul proběhlé dva panely a poděkoval všem zúčastněným za podnětnou debatu, která přiblížila různé úhly pohledu na problematiku bezpečnosti dodavatelského řetězce. Nastínil také další harmonogram v přípravě výše zmíněného zákona, kdy se v prvním čtvrtletí 2023 bude s návrhem zákona moci seznámit široká veřejnost a vyjádřit se k jeho podobě. Následovat bude mezirezortní připomínkové řízení a poté bude návrh předložen vládě.

Seminář NÚKIB k bezpečnosti dodavatelského řetězce volně navázal na předchozí diskuse o této problematice, které se konaly v červenci a v listopadu 2022 na půdě Poslanecké sněmovny Parlamentu České republiky a v září 2022 na konferenci CyberCon Brno či panelu v CEVRO Institutu v Praze. NÚKIB hodlá v osvědčené praxi maximální možné transparentnosti a otevřenosti vůči jednotlivým sektorům při přípravě nové regulace pokračovat a o této složité problematice širokou veřejnost informovat i nadále.

Kybernetické incidenty pohledem NÚKIB - listopad 2022

Vydali jsme přehled Kybernetických incidentů pohledem NÚKIB za listopad 2022.

Počet kybernetických incidentů se v listopadu vrátil na mírně nadprůměrné hodnoty po rapidním nárůstu v měsíci říjnu. Převážně to byly incidenty, které hlásily povinné osoby ze sektoru veřejné správy, zdravotnictví, dopravy či bankovnictví.

V trendech se pak zaměřujeme na ransomware jako službu (ransomware-as-a-service), jelikož představuje dlouhodobou hrozbu, která se neustále vyvíjí.

Celý dokument naleznete zde: https://www.nukib.cz/download/publikace/vyzkum/2022-11.pdf.

Experti NATO na kybernetickou bezpečnost v Estonsku pracovali na spolupráci

Ve dnech 28. listopadu až 2. prosince 2022 uspořádalo NATO v estonském Tallinnu 15. ročník jednoho z největších a nejvýznamnějších světových cvičení na kybernetickou bezpečnost ‒ Cyber Coalition 2022. Více než tisíc expertů a zástupců soukromého a veřejného sektoru z 26 členských států Aliance a sedmi partnerských zemí, mezi kterými bylo také 14 odborníků z Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), pracovalo především na spolupráci a kooperaci při řešení kybernetických incidentů napříč státy a jednotlivými sektory. Cvičení samotné bylo organizátory řízeno z prostor vzdělávacího centra CR14 v Tallinnu, přičemž cvičící trénovali především na pracovištích ve svých domovských státech, v souladu s principem „train as you fight“.

Česká republika se letos účastnila cvičení již po dvanácté. Zástupci NÚKIB se zapojili nejen v roli cvičících během samotného průběhu, ale byli i součástí plánovací skupiny, která měla na starosti přípravy cvičení v průběhu jeho celého plánovacího cyklu. Za vojenskou část měli přípravu a koordinaci cvičení na starosti příslušníci Velitelství kybernetických sil a informačních operací Armády České republiky (AČR). Kromě cvičících ze zmíněného velitelství AČR se za vojenskou část v rámci prohlubování spolupráce zúčastnili i zástupci národních gard amerických států Missouri, Nebrasky a Texasu.

Cyber Coalition je založeno na komplexním a realistickém scénáři, kdy se silný aktér snaží ohrozit misi Aliance a dosáhnout svých cílů prováděním pokročilých a sofistikovaných kybernetických operací. Jejich řešení si vyžaduje koordinaci a spolupráci zúčastněných expertů NATO, jeho členských států a partnerů. Scénář tak pomáhá připravit kybernetické obránce na skutečné kybernetické výzvy, včetně útoků na kritickou infrastrukturu i narušení činnosti prostředků NATO a spojenců během operací. Cvičení využívá mimo jiné virtualizované prostředí Cyber Range, které simuluje síťovou infrastrukturu a přidává tak cvičení na autenticitě.

Scénář letošního ročníku byl zasazen do prostředí vojenské mise ve fiktivní zemi Andvaria. Stejně jako v předchozích letech, i letos účastníci řešili úkoly zaměřené na procesní a koordinační aspekt spolupráce. Nedílnou součástí cvičení však byly i technické výzvy, které reflektovaly aktuální bezpečnostní trendy. S cílem dalšího vývoje prostředků a kapacit a testování nových konceptů byla i letos do cvičení zařazena tzv. experimentace. Jednalo se například o využití umělé inteligence s cílem čelení kybernetickým hrozbám, testování standardizace informací a jejich sdílení a neposledně pak i využití technologie CTI (Cyber Threat Intelligence) s cílem utváření situačního povědomí.

Přestože exekuce cvičení oficiálně skončila, náš koordinační tým velká část práce teprve čeká. Cyklus každého cvičení v sobě zahrnuje i diskuse o implementaci veškerých zjištěných poznatků. Ty budou probíhat v následujících týdnech na národní i alianční úrovni.

Strategická analýza cloudových služeb

NÚKIB připravil dokument obsahující strategickou analýzu cloudových služeb. Jde o materiál shrnující trendy po-pandemického světa, důležitost důvěryhodnosti dodavatele, typy služeb a momentálně platné vyhlášky týkající se služeb cloud computingu. Dokument dále rozebírá a blíže představuje doporučení pro tuto oblast na úrovni strategické, manažera kybernetické bezpečnosti i koncového uživatele. Široká veřejnost i subjekty regulované zákonem o kybernetické bezpečnosti jej mohou využít při výběru pro ně vhodných dodavatelů.

Analýza reaguje na skutečnost, že velké množství firem i státních institucí po celém světě v současné době cloudové služby využívá. Důvodem je bezpochyby také to, že umožňují vzdálený samoobslužný přístup k výpočetním zdrojům, jež lze zpravidla přizpůsobit potřebám zákazníků. Nevyhnutelně však z principu dochází k předávání části kontroly nad daty poskytovateli, a i proto s sebou využívání cloudů v infrastruktuře přináší mnoho bezpečnostních výzev.

Dokument, jehož součástí je také samotná analýza, naleznete na tomto odkazu.