Kybernetická bezpečnost se týká každého z nás, studujte s námi zdarma a on-line na osveta.nukib.cz


Rádi byste u nás pracovali? Aktuální seznam volných míst najdete na kariera.nukib.cz

 

Vybrané aktuality, hrozby a doporučení

Nový videokurz pro studenty SŠ

NÚKIB spouští středoškolskou modifikaci oblíbeného videokurzu Jsem netvor, tvor, který žije na netu. Modifikace je připravena pro studenty 1. a 2. ročníku neinformatických středních škol a klade si ambici rozšířit studentům povědomí o kybernetické bezpečnosti pro potřeby běžného uživatele. Oproti verzi určené základním školám je středoškolská verze orientovaná více prakticky. Studenti si kromě informací mohou odnést také zajímavé tipy na nástroje a volně dostupné služby.

Videokurz je doplněn také o vzorové lekce do výuky. Tato pomůcka slouží především vyučujícím, kteří mohou podle metodických listů realizovat několik výukových bloků. Lekce využívají rozmanité výukové metody kritického myšlení nebo aktivizační metody. Vzdělávací cíle lekcí reflektují vybrané body z Rámcových vzdělávacích programů neinformatických středních škol.

Aktivita také získala záštitu Ministerstva školství, mládeže a tělovýchovy.

Celý kurz naleznete zde.

 

Správci klíčových systémů musí zabezpečit své e-mailové schránky

Správci a provozovatelé informačních systémů, které jsou klíčové pro fungování státu a bezpečí jeho obyvatel, budou muset zabezpečit své e-mailové schránky. Národní úřad pro kybernetickou a informační bezpečnost za tímto účelem dnes vydal tzv. ochranné opatření podle zákona o kybernetické bezpečnosti. Zavedení postupů uvedených v tomto opatření je pro subjekty vyjmenované v opatření povinné.

„E-mail je z pochopitelných důvodů velmi rozšířený a v podstatě nezastupitelný, ale obecně nepatří k nejbezpečnější formě komunikace. Proto jsme vypracovali sérii opatření, která výrazně komplikují odposlouchávání této komunikace či její podvržení. Zavedení těchto opatření je pro většinu správců a provozovatelů systémů, které spadají pod náš zákon, povinné, ale samozřejmě je doporučujeme i těm, kteří pod naši regulaci nespadají, ale chtějí mít svou poštu v bezpečí,“ uvádí ředitel NÚKIB Karel Řehka k aktuálně vydanému ochrannému opatření dle zákona o kybernetické bezpečnosti.

Opatření se týká širokého spektra institucí, mezi které patří hlavně ministerstva, významné úřady a kraje, včetně hlavního města Prahy. Dále se může dotknout řady subjektů soukromého sektoru, u nichž by fungování elektronické pošty mohlo mít vliv na řádné poskytování jejich služeb.

K vydání postupů k zabezpečení e-mailových schránek formou plošného a povinného ochranného opatření přistoupil NÚKIB z toho důvodu, že cílem je především zabezpečení komunikace mezi orgány veřejné moci navzájem, interně v rámci těchto orgánů veřejné moci, případně také mezi orgány veřejné moci a dalšími povinnými osobami ze soukromého sektoru. Pokud by tato opatření zavedla jen část subjektů, bude celá komunikace probíhat v neadekvátně zabezpečené (nešifrované) podobě nebo bude náchylná na útoky typu MITM (pozn.: tzv. Man in the middle útok, kdy se útočník nachází na cestě mezi odesílatelem a příjemcem pošty a může ji cestou číst či měnit její obsah).

Veškeré způsoby zvýšení zabezpečení jsou vyjmenovány v samotném textu ochranného opatření, který je k dispozici na odkazu zde a v anglické verzi zde. Kromě tohoto opatření vydáváme též podrobnou metodiku, která slouží jako návod k zavedení zvýšení ochrany e-mailové komunikace. Dalším zveřejněným dokumentem jsou odpovědi na nejčastěji pokládané otázky.

Na zavedení opatření mají úřady a firmy různě dlouhé lhůty. V případě státních orgánů v závislosti na tom, zda se budou aktivně podílet na předsednictví České republiky v Radě EU, které nás čeká v příštím roce. Státní instituce budou muset některá opatření zavést již k prvnímu lednu příštího roku, další pak k začátku předsednictví, tedy do 1. července 2022. Povinné osoby ze soukromého sektoru mají lhůtu až od prvního ledna 2023.

Součástí ochranného opatření je kromě opatření samotného také jeho odůvodnění, včetně zvláštní části nazvané Technické odůvodnění. Ta povinným osobám blíže vysvětluje účel, fungování a význam zavedení jednotlivých bezpečnostních technologií. Technická stránka opatření byla konzultována s experty z Masarykovy univerzity a společností CESNET a CZ.NIC.

„Věřím, že zavedení těchto opatření přispěje velkou měrou k bezpečnější komunikaci státních institucí i dalších provozovatelů klíčových systémů na území České republiky,“ uzavírá Karel Řehka.

 

 

K příležitosti letošního Evropského měsíce kybernetické bezpečnosti (ECSM) již po několikáté spojili NÚKIB a Ámos Vision síly pro šíření osvěty kybernetické bezpečnosti

V rámci kampaně ECSM jsou po dobu 2 týdnů nasazeny krátké videospoty, které propagují komiksové on-line kurzy NÚKIB určené přímo žákům. Součástí každého spotu je také QR kód, který žákům usnadní návštěvu on-line kurzu. Síť interaktivních informačních panelů Ámos Vision využívá 220 českých škol. Jedná se o účinný komunikační kanál k vyučujícím, kterým tímto nabízíme materiály a inspiraci do výuky. Tato spolupráce pomůže přispět ke zvýšení povědomí v rozmanitých tématech kybernetické bezpečnosti.

                         

Proběhlo historicky první sektorové cvičení kybernetické bezpečnosti ve zdravotnictví

Představitelé 16 největších českých nemocnic na jednom místě, scénář zahrnující různé typy kybernetických útoků, komplexní diskuse nad různými hrozbami kyberprostoru a zranitelnostmi specifickými pro zdravotnický sektor a na závěr řada odborných přednášek. Tak vypadalo historicky vůbec první netechnické cvičení kybernetické bezpečnosti pro sektor zdravotnictví, které 4. a 5. října pořádal Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

Zdravotnický sektor má za sebou nelehké dva roky. Kromě nepřehlédnutelné globální pandemie onemocnění COVID 19 na něj mířilo také několik vln kybernetických útoků, proti nimž mimo jiné NÚKIB vydal jedno ze svých varování. „Tyto události přispěly k tomu, že se z kybernetické bezpečnosti ve zdravotnictví stala jedna z našich priorit,“ uvádí ředitel NÚKIB Karel Řehka.

To se projevilo například rychlou novelizací vyhlášky, díky níž již pod regulaci NÚKIB nespadá jen 16 nemocnic jako do konce loňského roku, ale aktuálně jde o 44 nemocnic rozdělených podle spádovosti a dalších kritérií. Pro zaměstnance nemocnic také byly připravené speciální kurzy kybernetické bezpečnosti či webináře.

V největších 16 nemocnicích, které regulaci podléhaly již dříve, proběhly komplexní audity kybernetické bezpečnosti, jejichž cílem bylo odhalit možné zranitelnosti a doporučit kroky k jejich odstranění. Dalším z kroků mělo být velké sektorové cvičení kybernetické bezpečnosti, jehož termín se však z důvodu pandemických opatření několikrát odsunul. Vzhledem k povaze cvičení a důrazu na dynamickou interakci mezi cvičícími totiž nebylo možné cvičení provést virtuálně vzdálenou formou. Za přijetí všech nutných opatření tak proběhlo až nyní.

Za každou nemocnici se účastnil tým lidí složený z techniků, manažerů kybernetické bezpečnosti, pracovníků vztahů s veřejností a zástupců managementu. Jednalo se o netechnické cvičení, jehož cílem je prověření rozhodovacích procesů, prověření funkčnosti krizových plánů a schopnosti krizové komunikace. Dalšímu z cílů cvičení je podpoření sdílení pohledů jak v rámci jedné nemocnice mezi jednotlivými věcnými oblasti, mezi nemocnicemi navzájem, tak i mezi přítomnými experty na oblast kybernetické bezpečnosti. To umožnila diskuze v průběhu cvičení.

Všichni cvičící postupně dostávali jednotlivé části scénáře, v nichž byly popsané různé kybernetické incidenty, a jejich úkolem bylo popsat, jak by na takovou situaci reagovali. „Tato cvičení nejsou o tom, kdo vyhraje nebo prohraje. Klíčová je simulace krizové situace, díky čemuž si cvičící uvědomí, co jim v realitě v krizové připravenosti chybí a na čem je tím pádem nutné zapracovat,“ vysvětluje ředitel NÚKIB Karel Řehka.

Scénář samotný je sice smyšlený, ale události v něm popsané vycházejí z reálných případů, k nimž došlo v ČR nebo v zahraničí. Jde tedy o typy útoků, s nimiž se nemocnice nebo jakákoli jiná instituce či firma mohou reálně potkat.

Druhý den potom patřil odborným přednáškám expertů na technickou i netechnickou stránku kybernetické bezpečnosti či na aspekty krizové komunikace v případě velkých incidentů. Mezi řečníky figurovali specialisté NÚKIB, Úřadu pro ochranu osobních údajů (ÚOOÚ), sdružení CESNET, Nemocnice Rudolfa a Stefanie Benešov a Policie České republiky.

„Klíčové je z mého pohledu to, že na zabezpečení zdravotnictví pracujeme společně. Za kyberbezpečnost systému odpovídá jeho správce. Na tom se nic nemění. Ale úsilí o zvýšení celkové odolnosti kybernetické bezpečnosti zdravotnictví je společné. Vychází ze snahy jednotlivých nemocnic, které si mezi sebou sdílejí své zkušenosti a nápady. Samozřejmě se snažíme maximálně přispět i my jako regulátor a zároveň odborný garant. V případě incidentů pak kromě nás má obrovskou roli také Policie ČR a případně i další složky. Kybernetická bezpečnost vždy stála na spolupráci a sektor zdravotnictví v tom není výjimkou,“ uzavírá Karel Řehka.