Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal dnes v souvislosti se vzrůstající hrozbou kybernetických útoků a kyberšpionáže, které jsou spojeny s probíhajícím ozbrojeným konfliktem mezi Ruskou federací a Ukrajinou VAROVÁNÍ podle zákona o kybernetické bezpečnosti.
NÚKIB nabádá organizace řídící se zákonem o kybernetické bezpečnosti jakož i další tuzemské organizace, zejména pak média, k ostražitosti proti nejčastěji používaným technikám útoků a k provedení aktualizace informačních systémů a jejich komponent tak, aby nedocházelo ke zneužití známých zranitelností.
„K vydání tohoto varování přistupujeme z preventivních důvodů, protože hrozba vzhledem k aktuální situaci stoupla nad běžnou úroveň. Základem pro vydání jsou naše vlastní zjištění a poznatky z činnosti našich partnerů. Informace, které máme k dispozici, vedou k důvodné obavě z reálné hrozby kyberšpionáže a kybernetických útoků na významné cíle v České republice, především na strategické instituce veřejné správy, prvky kritické informační infrastruktury, informační systémy základních služeb či média,“ říká ředitel NÚKIB Karel Řehka.
NÚKIB tuto hrozbu z hlediska pravděpodobnosti hodnotí na úrovni Kritická, tedy hrozba je velmi pravděpodobná až téměř jistá. V souvislosti s touto hrozbou doporučuje provedení úkonů, které jsou detailně popsány ve VAROVÁNÍ.
NÚKIB v souvislosti se vzrůstajícím napětím na Ukrajině již dříve zveřejnil dvojici doporučení k zabezpečení tuzemských systémů, a to dne 17. ledna 2022 a dne 28. ledna 2022. Vydané Varování na tato doporučení navazuje.
Varováním se správci a provozovatelé systémů regulovaných zákonem o kybernetické bezpečnosti musí zabývat, zejména musí zohlednit popsané hrozby a přijmout adekvátní opatření. Zohlednění varování a zavedení adekvátních opatření doporučujeme také organizacím, které nespadají pod zákon o kybernetické bezpečnosti.
Celý text varování najdete zde: https://nukib.gov.cz/cs/uredni-deska/
Otázky a odpovědi
- Proč NÚKIB varování vydal?
NÚKIB vydává varování v souladu s § 12 zákona o kybernetické bezpečnosti (ZKB) v případě, že se dozví o hrozbě v oblasti kybernetické bezpečnosti.
V souladu se ZKB tedy NÚKIB vydá varování, dozví-li se zejména z vlastní činnosti, z podnětu provozovatele národního CERT anebo od orgánů, které vykonávají působnost v oblasti kybernetické bezpečnosti v zahraničí, o hrozbě v oblasti kybernetické bezpečnosti. V souladu s výše uvedeným tedy NÚKIB musí k vydání varování přistoupit, pokud se dozví o hrozbě v oblasti kybernetické bezpečnosti. Na základě toho NÚKIB varování vydal.
Konkrétněji jde ze strany NÚKIB o preventivní krok, protože hrozba kybernetických útoků vzrostla vzhledem k probíhajícímu ozbrojenému konfliktu mezi Ruskou federací a Ukrajinou nad běžnou úroveň.
Varování se v souladu se zákonem zveřejňuje na úřední desce NÚKIB a o jeho vydání jsou následně informovány také organizace povinné dle ZKB, kterých se primárně týká.
- Co varování znamená?
Varování v prvé řadě upozorňuje na hrozbu, respektive její zvýšenou míru.
Dle § 12 ZKB prostřednictvím varování NÚKIB upozorňuje na existenci hrozby v oblasti kybernetické bezpečnosti, na kterou je nutné bezprostředně reagovat. Dá se předpokládat, že hrozba se dotýká většiny povinných subjektů podle ZKB a tyto subjekty by na ni měli adekvátním způsobem reagovat. Varování tak může obsahovat i doporučení, jak na takovou hrozbu reagovat jako je tomu i v tomto případě.
- Pro koho je varování závazné?
Varování je závazné pro okruh organizací povinných dle ZKB. Pro ostatní organizace jsou postupy v něm obsažené využitelné jako doporučení. Občané, kteří neposkytují IT služby nebo služby v oblasti kybernetické bezpečnosti jej pravděpodobně nevyužijí.
- Co hrozí?
Hrozba popsaná ve varování spočívá v možném ohrožení dostupnosti, důvěrnosti a integrity informací v informačních systémech. K takovému narušení může být využita řada technik, které jsou ve varování popsány. Stejně tak může dojít ke zneužití některé z často zneužívaných zranitelností taktéž ve varování obsažených.
Varování zároveň obsahuje doporučení, jak hrozbám předcházet či postupovat v případech, že se hrozby realizují. Varování se zabývá i doporučením pro ošetření zmíněných zranitelností.
- Jak se k varování mají postavit běžní občané?
Občané, kteří neposkytují IT služby nebo služby v oblasti kybernetické bezpečnosti nemají žádnou povinnost se tímto varováním řídit a patrně jeho obsah nevyužijí.
- Co znamená, že je hrozba pravděpodobná až téměř jistá, tedy kritická?
Označení, že je hrozba kritická, v terminologii zákona o kybernetické vyjadřuje, že je velmi pravděpodobná až téměř jistá. Jedná se však o kvantifikaci hodnoty hrozby pro účely implementace protiopatření ze strany organizací povinných dle ZKB.
- Co mám dělat, pokud je proti mně veden kybernetický útok?
V prvé řadě je potřeba incident řešit, a to buď vlastními silami nebo ve spolupráci s dodavatelem podle konkrétní situace a typu incidentu. V případě, že se jedná o povinnou osobu podle ZKB, měla by postupovat v souladu s tímto zákonem, tedy informovat vládní či národní CERT. Vládní či národní CERT však přijímá hlášení i od dalších organizací, je tedy možné se na ně obracet. K tomu je možné využít kontaktních údajů zveřejněných na příslušných webových stránkách.