Národní úřad pro kybernetickou a informační bezpečnost

NÚKIB nahlédl v Jižní Koreji a Tchaj-wanu pod pokličku tamní kybernetické bezpečnosti

Ředitel Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Lukáš Kintr a jeho náměstek pro řízení Sekce strategických agend a spolupráce Pavel Štěpáník byli součástí české delegace, která pod vedením předsedkyně Poslanecké sněmovny Parlamentu České republiky Markéty Pekarové Adamové, navštívila ve dnech 22. až 29. března 2023 Korejskou republiku a Tchaj-wan. V rámci cesty se zúčastnili mnoha jednání, na kterých se svými protějšky nebo politickými reprezentanty daných zemí hovořili o bezpečnostních hrozbách, kterým jejich země čelí, a zkušenostech s jejich zvládáním. Cílem zahraniční cesty bylo kromě výměny poznatků z praxe také budování a utužování vztahů s oběma zeměmi, které se řadí mezi významné partnery České republiky. Jednalo se zároveň o historicky první návštěvu těchto zemí ze strany ředitele NÚKIB.

„I přes značnou geografickou vzdálenost hodnotím spolupráci s oběma zeměmi jako velice přínosnou a klíčovou pro zvýšení bezpečnosti České republiky,“ sdělil ředitel úřadu Lukáš Kintr. „Jak Jižní Korea, tak Tchaj-wan jsou země s jedinečnou praxí v oblasti ochrany strategické infrastruktury před kybernetickými útoky. V kontextu bezpečnostní situace přitom mají s diskutovanými hrozbami zcela bezprostřední zkušenosti,“ doplnil ředitel Kintr.

Zahraniční cesta byla zahájena návštěvou Jižní Koreje. Zástupci NÚKIB se svými protějšky jednali nejen o kybernetických hrozbách, ale také o kyberbezpečnostních cvičeních, spolupráci se soukromým sektorem a v neposlední řadě i o vzdělávání v oblasti kybernetické bezpečnosti a výměně informací.

Druhá část cesty se odehrála na Tchaj-wanu. Během jednání se zástupci tamního Ministerstva pro digitální záležitosti, náměstkem Hermingem Chiuehem a ředitelkou Správy kybernetické bezpečnosti (Administration for Cyber Security) Hsieh Tsui-Chuan, proběhla diskuse o nedostatku specialistů na kyberbezpečnost a způsobu, jak je motivovat k práci ve státní správě. Významným tématem jednání bylo vyhnutí se strategickým závislostem na rizikových dodavatelích v oblasti informačních a komunikačních technologií. Stejně jako při setkání s Jihokorejci nechyběla ani diskuse na téma kybernetických hrozeb, cvičení a možností vzájemné spolupráce, kdy došlo ke shodě na realizaci výměnných stáží expertů z obou zemí. V rámci svého programu na Tchaj-wanu se náměstek Pavel Štěpáník zúčastnil konference „Taiwan-Czech Forum and Democratic Resilience“, kde vystoupil v panelu „Safeguarding Democratic Institutions: Lessons from Europe and Taiwan“. Ve svém příspěvku zdůraznil důležitost kybernetické bezpečnosti, která začíná u každého uživatele technologií. Hovořil i o bezpečnosti dodavatelského řetězce a nezbytnosti posuzovat ji také z pohledu strategického, nikoliv pouze technického. Závěrečným bodem programu celé cesty, před odletem české delegace z Tchaj-wanu, byla schůzka s ministryní pro digitální záležitosti Audrey Tang, kde byla mj. diskutována také témata nastupujících a přelomových technologií, především téma umělé inteligence a kvantové kryptografie, a systém vzdělávání kyberbezpečnostních odborníků.

„Jedním z klíčových pilířů české národní strategie kybernetické bezpečnosti jsou silná a spolehlivá spojenectví založená na vzájemné důvěře, sdílených hodnotách a společných zájmech. V rámci mezinárodní spolupráce budeme i nadále věnovat velkou pozornost našim partnerům v Indo-Pacifiku. Osobní setkání nelze ničím nahradit a pro budování pevných spojenectví jsou naprostým základem,“ uvedl ředitel NÚKIB Lukáš Kintr na závěr zahraniční cesty.

29.03.2023

NÚKIB upozorňuje na zranitelnost CVE-2023-23397

Upozorňujeme na zranitelnost CVE-2023-23397 týkající se aplikace Microsoft Outlook, kterou lze zneužít doručením speciálně upravené e-mailové zprávy na Outlook klienta. Aby se tak stalo, není potřeba interakce od uživatele. Při úspěšném zneužití zranitelnosti útočník získá Net-NTLMv2 hash oběti, který lze využít k pohybu v síti napadené organizace. Podle společnosti Microsoft je tato zranitelnost již zneužívána.

Speciálně upravený e-mail obsahuje UNC path, který odkazuje na SMB server útočníka. Při doručení e-mailu dojde k pokusu o NTLM autentizaci na daný server. 

K vyhodnocení dopadu zranitelnosti lze využít skript od společnosti Microsoft. Odkaz je dostupný v sekci Zdroje.

Zranitelnost se týká všech podporovaných verzí Microsoft Outlook pro Windows, které byly vydány před datem 14. březen 2023. Aktualizace, která zabraňuje zneužití této zranitelnosti, již byla vydána. Doporučujeme její bezodkladnou instalaci. Pokud instalace aktualizace nelze bezodkladně aplikovat, lze zneužití zranitelnosti omezit následovně:

Přidání uživatelů do Protected Users Security Group, která zabrání autentizaci za pomocí NTLM. Dané opatření ale může mít dopad na autentizaci i do jiných služeb v rámci organizace. Z tohoto důvodu se doporučuje aplikovat pouze na velmi kritické účty z pohledu bezpečnosti, jako jsou například doménové účty. Pro více informací ohledně tohoto doporučení sledujte dokumentaci od společnosti Microsoft odkazovanou níže. Blokovat odchozí komunikaci z organizace na port TCP/445.

Zdroje:

Dokumentace a skript pro audit dopadu zranitelnosti (https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/)

Článek od Microsoft ke zranitelnosti CVE-2023-23397 (https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/)

Dokumentace od Microsoft ke zranitelnosti CVE-2023-23397 (CVE-2023-23397 - Security Update Guide - Microsoft - Microsoft Outlook Elevation of Privilege Vulnerability)

15.03.2023

Kybernetické incidenty pohledem NÚKIB - únor 2023

Vydali jsme přehled Kybernetických incidentů pohledem NÚKIB za únor 2023.

Počet kybernetických incidentů se po lednovém nárůstu způsobeném DDoS útoky vrátil do průměrných hodnot posledního roku. Nejčastěji evidovaným typem incidentů byly incidenty, které vyústily v nedostupnost služeb. Po čtyřech měsících jsme také řešili velmi významný kybernetický incident.

V trendech se zaměřujeme na phishingovou kampaň, která mířila na české a evropské diplomatické cíle, přičemž jejím pravděpodobným záměrem byla kybernetická špionáž.

Jako techniku měsíce představujeme HTML Smuggling.

Celý dokument naleznete zde: https://www.nukib.cz/download/publikace/vyzkum/2023-02_Kyberneticke-incidenty.pdf

10.03.2023

Aplikace TikTok představuje bezpečnostní hrozbu

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal VAROVÁNÍ před hrozbou v oblasti kybernetické bezpečnosti spočívající v instalaci a používání aplikace TikTok na zařízeních přistupujících k informačním a komunikačním systémům kritické informační infrastruktury, informačním systémům základní služby a významným informačním systémům. K vydání tohoto varování vedla NÚKIB kombinace vlastních poznatků a zjištění spolu s informacemi od partnerů. Obava z možných bezpečnostních hrozeb vyplývá především z množství shromažďovaných dat o uživatelích a způsobu, jakým jsou sbírána, nakládání s nimi a v neposlední řadě také z právního a politického prostředí Čínské lidové republiky, jejímuž právnímu prostředí je podřízena společnost ByteDance, která vyvinula a provozuje sociální platformu TikTok. Varování je pro povinné osoby dle zákona o kybernetické bezpečnosti účinné od okamžiku vyvěšení na úřední desce NÚKIB.

Na základě vydaného varování musí výše zmíněné subjekty reagovat přijetím přiměřených bezpečnostních opatření. Hrozba je hodnocena na úrovni „Vysoká“, tedy jako pravděpodobná až velmi pravděpodobná. NÚKIB doporučuje zakázat instalaci a používání aplikace TikTok na zařízeních, jež mají přístup do regulovaného systému (pracovní i soukromá zařízení využívaná k pracovním účelům) jako nejsnadnější způsob, jak co nejvíce eliminovat uvedenou hrozbu. Současně také doporučujeme široké veřejnosti zvážit použití této aplikace a zejména to, co skrze ní sdílí. U tzv. zájmových osob, tedy osob, které jsou například ve vysokých politických, veřejných či rozhodovacích funkcích, doporučujeme aplikaci nepoužívat. Vydané varování a výše zmíněná doporučení jsou v souladu se zákonem o kybernetické bezpečnosti, který ukládá NÚKIB mj. zajišťovat prevenci v oblasti kybernetické bezpečnosti.

„K vydání varování jsem přistoupil na základě komplexní analýzy informací o aplikaci TikTok, které jsme získali jak z veřejných zdrojů, tak od našich spojenců. Množství sbíraných dat a nakládání s nimi, v kombinaci s právním prostředím v Číně a rostoucím počtem uživatelů v České republice, nám nedává jinou možnost, než označit TikTok za bezpečnostní hrozbu,“ říká k vydanému varování ředitel NÚKIB Lukáš Kintr a dodává: „Varování nerozlišuje mezi uživateli ze státního a soukromého sektoru. Stěžejní je pro mě to, zda by ohrožení konkrétního systému mohlo mít negativní dopad na fungování České republiky a bezpečí každého z nás.“

Celé Varování naleznete na odkazu: https://www.nukib.cz/download/uredni_deska/2023-03-08_Varovani-TikTok_final.pdf

 

OTÁZKY A ODPOVĚDI

Co je to varování?

Varováním Národní úřad pro kybernetickou a informační bezpečnost (dále jen NÚKIB nebo také Úřad) upozorňuje na existenci hrozby v oblasti kybernetické bezpečnosti, na kterou je nutné bezprostředně reagovat. Vztahuje se na povinné subjekty podle zákona o kybernetické bezpečnosti. Varování neznamená bezpodmínečný zákaz používání daných technických a programových prostředků, subjekty se však musí hrozbou zabývat a zohlednit ji v analýze rizik.

Dle českého právního řádu, konkrétně § 12 zákona č. 181/2014 Sb., o kybernetické bezpečnosti (dále jen ZKB) prostřednictvím varování NÚKIB upozorňuje na existenci hrozby v oblasti kybernetické bezpečnosti, na kterou je nutné bezprostředně reagovat. Dá se předpokládat, že hrozba se může dotýkat řady povinných subjektů podle ZKB. Ty se na základě zmíněného varování musí hrozbou dále zabývat a zohlednit ji v analýze rizik, kterou tyto subjekty v souladu s požadavky ZKB a vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnost, dále jen VKB) již pravidelně provádí. Varování tedy neznamená bezpodmínečný zákaz používání daných technických a programových prostředků.

Samotné označení technických a programových prostředků určité společnosti za hrozbu, jak to NÚKIB ve svém varování učinil, znamená, že je nutné tuto hrozbu zvážit a rozhodnout o výši rizika, které z používání zmíněných technických nebo programových prostředků pro konkrétní prostředí konkrétní organizace plyne. Dovolí-li to tedy výsledky analýzy rizik, lze uvedené technické nebo programové prostředky nadále používat.

 

Proč varování vydáváme nyní?

NÚKIB vyhodnocuje hrozby v oblasti kybernetické bezpečnosti na základě vlastní činnosti, informací od partnerů i z dalších zdrojů. Pokud se NÚKIB dozví o určité hrozbě v oblasti kybernetické bezpečnosti, která dosahuje určité intenzity, musí na takovou hrozbu reagovat. Při vyhodnocování hrozby se vyhodnocuje řada parametrů, například rozšíření dané technologie, její využití v regulovaných systémech, možnost jejího zneužití, výrobce technologie a podobně. K reakci musí mít také dostatek podkladů. To, že NÚKIB varování vydal, znamená, že hrozba je nezanedbatelná a dosahuje určité úrovně a že existuje dostatek podkladů, aby varování mohlo být vydáno.

Bezpečnostní rizika spojená s aplikací TikTok NÚKIB sleduje a vyhodnocuje dlouhodobě. V minulém roce na ně již NÚKIB upozornil vybrané subjekty z okruhu adresátů ZKB a partnerů. V roce 2022 přibyla celá řada významných zjištění a analýz, které utvrdily a prohloubily podezření spojená s aplikací, což vedlo NÚKIB k vydání tohoto varování.

 

Z jakého důvodu varování vydáváme?

V tomto konkrétním případě NÚKIB varování vydává, protože technologie je velmi rozšířená a její rozšíření roste. Technologie sbírá řadu informací o uživateli a jeho chování i o zařízení, na kterém běží. Tato data a informace ukládá na různých lokacích a není zcela jasné, kdo k nim má přístup. Provozovatel aplikace, společnost ByteDance, zároveň funguje v čínském právním prostředí, které samo o sobě přináší rizika. Závěry učiněné ve varování jsou podloženy analýzami z veřejných zdrojů i informacemi od tuzemských i zahraničních partnerů. Ve svém důsledku pak dostupné informace vedly k tomu, že hrozba spojená s použitím této technologie na zařízeních přistupujících do důležitých systémů (kritická informační infrastruktura, významné informační systémy a informační systémy základní služby) je vysoká, tedy že její realizace je pravděpodobná až velmi pravděpodobná. 

 

Koho se varování týká? Pro koho je platné?

Varování se týká především povinných subjektů dle ZKB. Konkrétně jsou to správci a provozovatelé informačních a komunikačních systémů kritické informační infrastruktury, správci a provozovatelé významných informačních systémů a správci a provozovatelé informačních systémů základních služeb, kteří jsou povinni podle § 5 VKB pro informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury, významný informační systém a informační systém základní služby provádět pravidelnou analýzu rizik, identifikovat rizika a identifikovaná rizika řídit. Na základě vyhodnocení rizik potom výše uvedené subjekty zavádějí a provádějí bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti v souladu s § 4 odst. 2 ZKB. Bezpečnostní opatření jsou blíže specifikována ve VKB. V souvislosti s řízením rizik musejí podle § 5 odst. 1 písm. h) bod 3 VKB tyto subjekty zohlednit mimo jiné i opatření podle § 11 ZKB, tedy i varování vydané podle § 12 ZKB.

Pro jiné organizace nebo fyzické osoby varování obecně závazné není. Nicméně s ohledem na charakter této konkrétní hrozby a rozšíření technologie doporučuje NÚKIB i těmto organizacím a osobám se hrozbou zabývat.

 

Jaké kroky je třeba podniknout v reakci na varování?

Na základě vydaného varování musí výše zmíněné povinné osoby v rámci zavedeného systému řízení bezpečnosti provést analýzu rizik, ve které zohlední hrozbu. Následně jsou tyto subjekty povinny na riziko reagovat přijetím bezpečnostních opatření, která musí být v souladu s nastavenými metrikami pro akceptovatelnost nebo mitigaci rizika a hodnotou daného rizika.

Z pohledu veřejnosti je vhodné zvážit používání technologie a zamyslet se nad tím, co skrze aplikaci sdílí. U tzv. zájmových osob, tedy osob, které jsou například ve vysokých politických, veřejných či rozhodovacích funkcích, doporučujeme aplikaci nepoužívat.

 

Nejsou hrozbou také další sociální platformy podobného typu?

Je pravda, že mobilní aplikace a zejména sociální média o svých uživatelích sbírají velké množství informací. Obecně je tudíž vhodné pečlivě zvážit, jaké aplikace používat, jak se na nich chovat a jaké informace na nich sdílet. Pozornost je třeba věnovat i oprávněním, přes která se jednotlivým aplikacím povoluje přístup k datům, službám a funkcím v zařízení.

V případě TikToku jsou hrozby markantnější než u většiny srovnatelně populárních aplikací. Ten totiž o svých uživatelích sbírá velké množství dat (včetně těch velmi citlivých), které bezprostředně nepotřebuje ke svému fungování. Dále je potřeba brát v potaz čínské právní prostředí, které ukládá povinnost čínským společnostem, a tudíž i provozovatelům aplikací jako je TikTok, spolupracovat a sdílet informace se státem, a to bez náležitých právních záruk.

U jiných sociálních platforem aktuálně neevidujeme kombinaci velkého množství uživatelů, excesivního sběru dat, specifik právního prostředí, ve kterém působí provozovatel aplikace, a zároveň upozornění zpravodajských služeb na vlivové operace pocházející z tohoto prostředí. To tvoří rozdíl mezi TikTokem a dalšími aplikacemi podobného typu.

 

Od kdy je varování platné?

Varování je platné okamžikem svého vydání, tedy vyvěšením na úřední desce NÚKIB.

 

Jak jsou ohroženi běžní uživatelé, pokud budou nadále používat aplikaci TikTok?  

V případě, že budou uživatelé nadále využívat aplikaci TikTok, bude o nich aplikace dále sbírat velké množství dat, která nejsou relevantní pro fungování samotné aplikace, ale mohou být v budoucnu zneužita. Samotné rozhodnutí o používání je však věcí každého jednotlivce.

 

08.03.2023