Kybernetická bezpečnost

Kybernetická bezpečnostKybernetická bezpečnost

Ochrana utajovaných informací v ICT

Ochrana utajovaných informací v ICTOchrana utajovaných informací v ICT

Galileo PRS

Galileo PRSGalileo PRS

Vybrané informace

Festival bezpečného internetu

V říjnu proběhne Festival bezpečného internetu - FBI. Jedná se o pásmo odborných konferencí, které se uskuteční v Praze 2. - 3. října, v Karlových Varech 15. - 16. října a v Olomouci 21. října. Akce proběhnou v rámci Evropského měsíce kybernetické bezpečnosti. Zájemci se mohou registrovat na jednotlivá setkání, jejichž společným cílem je umožnit vzájemnou výměnu zkušeností, diskuzi nad tématy spojenými s on-line bezpečností a sdílení praktických řešení.

Hlavními organizátory jsou Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), sdružení CZ.NIC a CESNET, Vysoká škola AMBIS, a.s., a karlovarský spolek you connected.

FBI je zcela nový projekt, který má podporovat informovanost o problematice kybernetické bezpečnosti a ochrany těch, kteří patří v kyberprostoru k nejzranitelnějším - děti, dospívající a senioři. Každý  přihlášený zájemce má možnost si vybrat akci, která mu bude programem a zaměřením nejvíce vyhovovat. Celkem je připraveno šest setkání ve třech městech.

Festival odstartuje v Praze, kde bude probíhat 2. a 3. října. Nad prvním dnem převzalo odborně a organizačně záštitu sdružení CESNET. Konference je určena především pracovníkům bezpečnostních týmů, osobám věnujícím se problematice práva, informačních technologií a bezpečnosti a také vysokoškolským pedagogům. Setkání se zaměří na vzájemnou propojenost dvou světů - práva a technologií.

Organizace druhého dne se ujalo sdružení CZ.NIC, správce české národní domény a mimo jiného také provozovatel Národního bezpečnostního týmu CSIRT.CZ. Hlavním tématem dne bude on-line bezpečnost koncových uživatelů. Program tedy bude určen nejen široké veřejnosti, ale také školám a pedagogickým pracovníkům, zaměstnancům veřejné správy, preventistům nebo studentům vysokých škol. Cílem tohoto dne je upozornit návštěvníky na to, aby dbali o svou on-line bezpečnost a byli si vědomí toho, co je může na Internetu ohrozit a jak postupovat, pokud se stanou obětmi.

Následně se festival přesune do Karlových Varů, kde se bude konat 15. - 16. října pod záštitou hejtmanky Karlovarského kraje. Poslední akce se bude konat v Olomouci 21. října. Do těchto měst jsou zváni pedagogové mateřských, základních a středních škol, dále metodici prevence a studenti pedagogických fakult a konečně také policisté obvodních oddělení Policie ČR. Zatímco pedagogové se seznámí s celou řadou preventivních a osvětových aktivit a naučí se s nimi pracovat ve výuce, policisté se zaměří na správné postupy při řešení trestných činů v kyberprostoru. Chybět nebudou ani praktické ukázky. Programy pro pedagogy i policisty obohatí nejen přední uznávaní odborníci, ale i speciální hosté, mezi nimiž nebude chybět například zástupce americké Federal Bureau of Investigation (FBI) nebo dokumentarista Vít Klusák. Programy avizovaných konferencí pro vás připravuje NÚKIB ve spolupráci se spolkem you connected, který se již několik let věnuje vzdělávacím a osvětovým aktivitám, jejichž cílem je ochránit veřejnost v online prostředí a naučit ji bezpečnému chování.

Registrace je spuštěna, přihlaste se už teď. Na všechny konference je nutné se přihlásit. Registrační formuláře a další informace spojené s Festivalem bezpečného internetu jsou k dispozici na webových stránkách www.konfest.cz. Vstupy na všechny konference jsou zdarma.

Na webových stránkách jednotlivých konferencí také naleznete kontaktní e-mail, kam můžete směřovat své dotazy.

Celá zpráva

CyberCon Brno 2019 18. - 19. 9. 2019

Národní úřad pro kybernetickou a informační bezpečnost pořádá již pátý ročník konference CyberCon Brno 2019. Událost proběhne v termínu 18. - 19. 9. 2019 a již tradičně v prostorách Univerzitního kina Scala v Brně. Konference je pořádána ve spolupráci se studentským spolkem Security Outlines.

Bližší informace k události najdete i na sociální síti Facebook:

https://www.facebook.com/events/381089952463277/

Akce bude pořádána zdarma, ale bude nutná registrace. Registrační link a podrobný program budou doplňovány v následujících týdnech.

Celá zpráva

České energetické firmy čelily cvičným kybernetickým útokům

V sídle společnosti ČEZ, a. s. proběhlo ve středu 19. června historicky první sektorové cvičení kybernetické bezpečnosti Electro Czech 2019 pod vedením Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a ve spolupráci s ČEZ, a. s. Cílem bylo zvýšit odolnost společností zapojených do výroby i distribuce elektřiny před kybernetickými útoky a zabezpečit tak dodávky elektrické energie pro české domácnosti i firmy i v případech podobných incidentů.

Historicky první sektorové cvičení kybernetické bezpečnosti se týkalo energetiky a získalo název Electro Czech 2019. Kromě pořadatelů z Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) se účastnili zástupci nejdůležitějších hráčů českého energetického sektoru. Celkem šlo o více než šedesát účastníků ze společností zajištujících v České republice výrobu, přenos a distribuci elektrické energie – ČEZ, a. s., ČEZ Distribuce, a. s., PREdistribuce, a.s., E.ON Distribuce, a.s.  a ČEPS, a.s. Cvičení se aktivně zúčastnil i zástupce vládního CERT týmu (GovCERT.CZ) a to jako člen tzv. skupiny odborníků relevantní dané oblasti, která se k otázkám cvičení rovněž vyjadřovala. Kromě NÚKIB byla složena ze zástupců SÚJB, ISACA a CZ.NIC. V roli pozorovatelů se kromě zástupců výše již zmiňovaných společností zúčastnil i zástupce Telco Pro Services, a. s.

„Podobná společná cvičení energetických subjektů věrně simulující případné reálné situace jednoznačně vítáme. Pomáhají nám zvyšovat úroveň celkové ochrany naší společnosti proti nejrůznějším kybernetickým hrozbám,“ řekl místopředseda představenstva ČEZ Martin Novák, který se akce účastnil coby člen strategického týmu sestaveného ze zástupců všech zúčastněných společností.

„Toto je naše první cvičení zaměřené na konkrétní sektor. Cílem této akce není vás nachytat, že něco nevíte. Děláme to proto, abychom prověřili rozhodovací postupy a celkovou připravenost těchto postupů na možné kybernetické incidenty,“ uvedl při zahájení cvičení ředitel NÚKIB Dušan Navrátil.

„Cílem cvičení bylo hlavně zlepšit připravenost na krizové situace, které mohou v důsledku kybernetických útoků nastat,“ vysvětluje Martina Ulmanová z oddělení cvičení NÚKIB. Účastníci si tak v praxi vyzkoušeli rozhodovací postupy, vzájemnou koordinaci s dalšími cvičícími z jiných společností a současně museli zvažovat právní možnosti a být schopní průběh incidentů srozumitelně vysvětlovat veřejnosti. K tomu účelu v rámci cvičení proběhla i simulovaná tisková konference za účasti reálného novináře a vysokých představitelů všech institucí působících v oblasti výroby, přenosu a distribuce elektřiny. „Právě spolupráce a vzájemná informovanost je v případě reálného útoku na přenosovou a distribuční soustavu klíčová. Součástí úkolů byla i komunikace s GovCERT.CZ včetně hlášení incidentů a procvičení postupů podle zákona o kybernetické bezpečnosti a souvisejících vyhlášek,“ doplňuje Ulmanová.

Samotné cvičení probíhalo formou moderované diskuse. V jejím rámci účastníci navrhovali řešení různých předem připravených scénářů, které kombinovaly jak provozní závady, tak cílené kybernetické útoky či dezinformační kampaně. Otázky pro cvičící byly záměrně formulované tak, aby se cvičící zamýšleli nad technickými, právními, ale i mediálními aspekty zvládání krizových situací.

Výsledkem cvičení byla expertní výměna názorů a přístupů jednotlivých organizací k řešení kybernetického bezpečnostního incidentu, identifikace bílých míst v rámci vzájemné koordinace a celkové posílení krizové připravenosti zúčastněných institucí.

„Za společnost ČEPS velmi oceňujeme možnost účastnit se cvičení Electro Czech. Přineslo nám řadu podnětných informací a také možnost prověřit součinnost v rámci celého energetického sektoru,“ říká Radek Hartman, člen představenstva ČEPS, a.s.

Jako přínosné zhodnotil cvičení také bezpečnostní ředitel ČEZ Distribuce, a. s. Radomír Valica, který na závěr cvičení uvedl: „Je to poprvé, kdy za jeden stůl usedli dispečer, technik, operátor, právník a tisková mluvčí a společně diskutovali jak nejlépe zvládnout dané incidenty. V tomto vidím velkou přidanou hodnotu celého cvičení.“

„Uvědomujeme si, že ve světě kybernetických hrozeb hraje kromě špičkových technologií a zabezpečení velkou roli také lidský faktor, který bývá obvykle nejslabším článkem. Proto vítáme jakoukoli příležitost k rozvoji zaměstnanců v tomto ohledu. Právě proběhlé cvičení nám navíc dalo jedinečnou možnost diskutovat o problematice kybernetické bezpečnosti na odborné energetické platformě a s různými subjekty trhu, což považuji za zvláště přínosné,“ řekl Pavel Čada, místopředseda představenstva E.ON Distribuce.

Celá zpráva

Ministerstva, úřady i firmy vzaly varování NÚKIB vážně

Ministerstva, úřady i firmy vzaly varování NÚKIB vážně. Provedly předepsané analýzy, přijímají opatření ke snížení rizika

Loňské varování NÚKIB před technickými a programovými prostředky společností Huawei Technologies Co., Ltd. (dále jen „Huawei“) a ZTE Corporation (dále jen „ZTE“) a jejich dceřiných společností podle dostupných údajů výrazně změnilo pohled na rizikovost zařízení těchto výrobců, která se vyskytují v systémech spadajících pod zákon o kybernetické bezpečnosti. Správci těchto  systémů přijali nebo plánují přijmout řadu opatření ke snížení těchto nově vzniklých rizik.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) provedl průzkum, jehož cílem bylo zjistit rozsah používání těchto technologií mezi povinnými orgány a osobami spadajícími do působnosti zákona o kybernetické bezpečnosti a vliv varování ze 17. prosince 2018 na změnu hodnoty rizik u těchto technologií podle vyhlášky o kybernetické bezpečnosti.

V rámci průzkumu bylo osloveno celkem 126 organizací spadajících pod zákon o kybernetické bezpečnosti a bylo vyhodnoceno 472 systémů kritické informační infrastruktury (KII), významných informačních systémů (VIS) a informačních systému základních služeb (ISZS). Z celkového počtu 126 oslovených organizací jich 75 uvedlo, že zařízení výše uvedených společností nepoužívá, 49 je používá a dvě ještě nedodaly požadované podklady.

Po vydání varování dne 17. prosince 2018 byly subjekty spadající pod zákon o kybernetické bezpečnosti povinny aktualizovat analýzu rizik a přehodnotit hodnotu rizika u dotčených zařízení. Pokud upravená hodnota rizika nepřesáhla akceptační hranici, pak nebylo nutné zavádět dodatečná bezpečnostní opatření a bylo možné riziko akceptovat. Pokud hodnota rizika přesáhla hranici akceptace, je organizace povinna zavést bezpečnostní opatření a snížit tak hodnotu rizika na akceptovatelnou úroveň.

Technické a programové prostředky výše uvedených společností byly hodnoceny z pohledu rizikovosti na škále nízká, střední, vysoká, kritická.

Poměr zařízení společnosti Huawei, ZTE a jejich dceřiných společností z pohledu rizikovosti před vydáním varování, po jeho vydání a po následném zavedení bezpečnostních opatření udává následující tabulka:

Bezpečnostní opatření mohou být různá, jak technického tak organizačního charakteru. Obecně všechna bezpečnostní opatření směřují k snížení či eliminaci rizika a zajištění požadované úrovně dostupnosti, důvěrnosti a integrity informačního nebo komunikačního systému.

Za nejefektivnější opatření lze označit vyvarování se rizikových aktivit nebo vyloučení rizikových prostředků. Existují i další bezpečnostní opatření, jako příklady lze uvést  šifrování, zavedení přísnější fyzické bezpečnosti, logování změn, redundanci, pořizování záloh, apod. Jejich použití a účinnost je potřeba řešit případ od případu na základě konkrétních systémů a dané situace.

Analýzy rizik jsou povinné pro všechny správce a provozovatele systémů, které spadají pod zákon o kybernetické bezpečnosti. Jde o systémy nezbytné či významné pro chod státu a poskytování základních služeb občanům bez ohledu na to, zda je jejich provozovatel ze soukromého nebo státního sektoru. Aktualizaci analýz si vyžádalo zmíněné varování NÚKIB z konce loňského roku.  Tato tisková zpráva obsahuje souhrnné informace zjištěné z těchto analýz. Bližší informace či konkrétní výsledky není možné sdělovat či komentovat.

Celá zpráva