Národní úřad pro kybernetickou a informační bezpečnost - Specialista informační bezpečnosti (ISMS)

Pracovní pozice spadá pod Odbor kontroly

Orientujete se v oblasti bezpečnosti ICT? Pojmy jako zákon a vyhláška o kybernetické bezpečnosti nebo audit dle ISO 27k vám nejsou cizí? Chtěli byste se podílet na kontrolní/ auditní činnosti a pomáhat zvyšovat úroveň kybernetické bezpečnosti na úrovni státu?

„Odbor kontroly provádí kontroly plnění požadavků zákona o kybernetické bezpečnosti u regulovaných subjektů. Jedná se o různorodou a velmi zodpovědnou práci. Proces kontroly v maximální možné míře kopíruje audit dle ISO 27k zasazený do regulí kontrolního a správního řádu České republiky. V rámci každé jednotlivé kontroly sestavují pracovníci odboru kontroly tým, který je dále doplněn technicky orientovanými pracovníky vládního CERTu a případně pracovníky odboru regulace orientovanými na právo. Kromě kontroly jako takové mají zaměstnanci odboru kontroly na této pozici na starost i zajištění hladkého průběhu kontroly po organizační stránce od zahájení až po předání finálního protokolu o kontrole (závěrečné zprávy).“ – ředitel odboru kontroly

Co bude vaší hlavní pracovní náplní:

Primárně kontrola plnění povinností uložených zákonem o kybernetické bezpečnosti, především se zaměřením na bezpečnostní opatření blíže upravená vyhláškou č. 82/2018 Sb., o kybernetické bezpečnosti (formou vycházející z ISMS auditů).
Dále také konzultace spojené s aplikací zákona o kybernetické bezpečnosti a souvisejících právních předpisů,
spolupráce s dalšími oborovými regulátory při kontrole dodržování bezpečnostních standardů,
participace na přípravě právních předpisů a strategických dokumentů ovlivňujících celou oblast kybernetické bezpečnosti,
reprezentace a zastupování Národního úřadu pro kybernetickou a informační bezpečnost na jednáních s národními i nadnárodními aktéry v oblasti kybernetické bezpečnosti a podobně.

Požadujeme:

VŠ vzdělání,
znalost problematiky bezpečnosti ICT,
znalost anglického jazyka – min. úroveň B1 (zejména písemná komunikace),
systematičnost,
dobré organizační schopnosti,
schopnost práce v týmu i samostatně,
komunikační dovednosti a reprezentativní vystupování,
ochotu učit se novým věcem,
ochotu cestovat,
řidičský průkaz sk. B.

Výhodou:

praxe v oblasti bezpečnosti ICT,
znalost principů norem řady ISO/IEC řady 27k,
znalost principů auditu/kontroly,
orientace v zákoně o kybernetické bezpečnosti a jeho prováděcích právních předpisech,
základní znalost síťových, bezpečnostních a aplikačních protokolů,
znalost ITIL, COBIT.

Nabízíme:

možnost ovlivnit kybernetickou bezpečnost v České republice,
možnost podílet se na nastavení pravidel a standardů v oblasti kybernetické bezpečnosti,
možnost osobního a profesního růstu,
kreativní práci a možnost seberealizace,
práci v příjemném prostředí,
přístup k moderním technologiím,
zodpovědnou a perspektivní práci,
zázemí stabilní a respektované instituce,
pracovní a platové podmínky v souladu se zákoníkem práce a nařízením vlády č. 341/2017 Sb., v platném znění (Odměňování dle nařízení vlády č. 341/2017, nad rámec nařízení vlády o platových poměrech zaměstnanců ve veřejných službách a správě je k platu zvláštní příplatek a osobní ohodnocení.),
zaměstnanecké benefity (jazykové a profesní vzdělávání, pět týdnů dovolené, sick days, příspěvek na stravování/stravenky, příspěvky na sport a kulturu, možnost home-office, pružná pracovní doba)
a spoustu dalších benefitů.

Součástí přijímacího řízení je provedení bezpečnostního řízení dle zákona č. 412/2005 Sb., o ochraně utajovaných informací (bezpečnostní prověrka na stupeň „Tajné“).

Místo výkonu práce: Brno
Termín nástupu: dohodou, zástup za mateřskou a rodičovskou dovolenou

Nesplňujete některý z požadavků, a přesto si myslíte, že byste byli na danou pozici vhodným kandidátem? Pošlete nám tedy svůj životopis spolu s motivačním dopisem a vysvětlením, proč si máme vybrat právě Vás na kariera@nukib.cz

« Zpět

Aktuality

Upozorňujeme na hrozbu spojenou s aplikací WeChat

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) upozorňuje na hrozbu spojenou s používáním mobilní aplikace WeChat a její čínské verze Weixin (dále jen WeChat). Ta sbírá velký objem uživatelských dat, a právě to by – v kombinaci se způsobem jejich sběru – mohlo sloužit k přesnému zacílení kybernetických útoků. Za aplikací WeChat stojí společnost Tencent se sídlem v Čínské lidové republice (ČLR). Podle ověřených informací NÚKIB je úzce provázána s čínskou vládou a tamní komunistickou stranou.

Platformu WeChat ve světě využívá přibližně 1,3 miliardy aktivních uživatelů. Nejvíce oblíbená je v ČLR a v zemích s početnějšími čínskými komunitami. V České republice ji užívá zhruba 40 tisíc lidí, jde ale často o exponované osoby – např. diplomaté, obchodníci, akademici nebo čínští disidenti. Jejich citlivá data získaná prostřednictvím WeChat by tak mohla být v budoucnu zneužita např. k vydírání.

Hrozba související s aplikací WeChat připomíná hrozbu spojenou s používáním aplikace TikTok čínské společnosti ByteDance. Před ní NÚKIB varoval letos v březnu.

„K vydání upozornění nás vedly nejen vlastní analýzy, ale i informace od tuzemských a zahraničních partnerů. Na rozdíl od TikToku je ale počet uživatelů u platformy WeChat výrazně nižší, a proto jsme přistoupili v tomto případě k upozornění, nikoli k vydání varování,“ vysvětluje ředitel NÚKIB Lukáš Kintr.

Aplikaci a sociální síť s řadou dalších funkcí WeChat vyvinula a provozuje společnost Tencent se sídlem v čínském Šen-Čenu. Řídí se tedy čínskou legislativou, která je v mnoha ohledech velmi striktní. Například zákon o státní bezpečnosti, zákon o státní zpravodajské činnosti ale i zákon o obchodních společnostech či pravidla pro nahlašování zranitelností v síťových zařízeních, ukládají jednotlivým subjektům různými způsoby spolupracovat s čínskými bezpečnostními složkami. A to i v případě, že to jde proti zájmu jejich zahraničních partnerů či zákazníků. Dle otevřených zdrojů i informací od partnerů NÚKIB je společnost Tencent provázaná se státní správou ČLR a Komunistickou stranou Číny. Vlivové působení ČLR v České republice vede k důvodné obavě ze zneužití dat, která aplikace shromažďuje.

WeChat byl už zakázán v Indii a stejně tak v některých státech USA. V Nizozemí letos vydali doporučení pro státní zaměstnance nepoužívat aplikace ze zemí, které proti státu vedou ofenzivní kybernetické operace. Stejně tak aplikaci v roce 2023 na vládních zařízeních zakázala Kanada.

Doporučení NÚKIB

„Pokud potřebujete WeChat používat, doporučujeme, abyste měli aplikaci nainstalovanou na jiném zařízení než na tom, se kterým běžně pracujete a na kterém máte své účty a data. Pokud to není možné, doporučujeme, abyste WeChat ve svém zařízení měli jen na nezbytně nutnou dobu a povolovali jste aplikaci jen oprávnění, která potřebuje pro své fungování,“ říká ředitel NÚKIB Lukáš Kintr.

NÚKIB v případě aplikace WeChat přistoupil k vydání upozornění – nejedná se tedy o varování dle zákona o kybernetické bezpečnosti, jako tomu bylo v případě aplikace TikTok. I tak je ale podle Úřadu vhodné rizika spojená s používáním aplikace WeChat nepodceňovat a její případné další užívání přizpůsobit či výrazně omezit.

Celé upozornění naleznete na odkazu: Národní úřad pro kybernetickou a informační bezpečnost - NÚKIB upozorňuje na hrozbu spojenou s aplikací WeChat společnosti Tencent (nukib.cz)

FAQ k WeChat

Co je to upozornění?

Upozornění je právně nezávazným poukázáním na hrozbu v oblasti kybernetické bezpečnosti, ze kterého neplynou žádné přímé povinnosti. Informace může být jedním ze vstupů do procesu řízení rizik v organizaci.

Proč upozornění vydáváme nyní?

NÚKIB průběžně vyhodnocuje hrozby v oblasti kybernetické bezpečnosti na základě vlastní činnosti, informací od partnerů i z dalších zdrojů. Pokud se NÚKIB dozví o určité hrozbě v oblasti kybernetické bezpečnosti, která dosahuje určité intenzity nebo rozsahu, musí na takovou hrozbu reagovat. Při vyhodnocování hrozby se vyhodnocuje řada parametrů, například rozšíření dané technologie, její využití v regulovaných systémech, možnost jejího zneužití, výrobce technologie a podobně.

Bezpečnostní hrozbu spojenou s aplikací WeChat od společnosti Tencent NÚKIB sleduje a vyhodnocuje dlouhodobě. V minulém roce na ně již NÚKIB upozornil vybrané subjekty z okruhu adresátů zákona o kybernetické bezpečnosti a partnerů. V roce 2023 přibyla celá řada významných zjištění a analýz, které utvrdily a prohloubily podezření spojená s aplikací, což vedlo NÚKIB k vydání tohoto upozornění.

Tencent sám uvedl, že všechna uživatelská data ukládá v Hong Kongu (HK) a Singapuru. Vzhledem přijatému zákonu o národní bezpečnosti je umístění dat v HK ekvivalentní s umístěním dat v pevninské Číně. Vzhledem k čínské legislativě, která vyžaduje po fyzických i právnických osobách spolupráci při zajišťování národní bezpečnosti, existuje významné riziko zneužití těchto dat. Čínský stát vlastní podíl (tzv. Special Management Shares) ve společnosti Tencent, který mu dává zvláštní pravomoci. V rámci Tencentu funguje buňka Komunistické strany Číny (KSČ), která KSČ dává přehled a vliv na dění ve společnosti. Z jakého důvodu upozornění vydáváme?

NÚKIB vydává toto upozornění, protože aplikace sbírá řadu informací o uživateli a jeho chování i o zařízení, kde je nainstalována. Tato data a informace ukládá na serverech v ČLR a v Hong Kongu a není zřejmé, kdo k nim má přístup. WeChat je v ČR používán omezeným množstvím osob (dle tohoto webu jde o 40 000 uživatelů), ty jsou však často velmi exponované, jelikož WeChat slouží primárně ke komunikaci s osobami a organizacemi v ČLR. Tato komunikace může být předmětem monitorování či cenzurou soukromých zpráv. Provozovatel aplikace, společnost Tencent, zároveň funguje v čínském právním prostředí, které samo o sobě přináší rizika. Tyto závěry jsou podloženy analýzami z veřejných zdrojů i informacemi od tuzemských a zahraničních partnerů.

V ČLR je navíc bez aplikace velmi těžké fungovat a lze říci, že kdokoli, kdo v zemi pobývá a působí, se její instalaci a užívání velmi pravděpodobně nevyhne. WeChat (resp. jeho čínská varianta WeiXin) během pandemie Covid-19 mj. sloužil autoritám k monitorování nakažených osob a regulaci jejich pohybu.

Koho se upozornění týká? Je pro někoho závazné? Vyplývají z něj pro někoho nějaké povinnosti?

Orgány a osoby spadající do působnosti zákona o kybernetické bezpečnosti sice nemají zákonnou povinnost zohlednit upozornění v procesu řízení rizik, jako je tomu u varování, přesto však doporučujeme tak učinit a informací o hrozbě spojené s používáním aplikace WeChat se vážně zabývat. Zhodnocení rizikovosti používání aplikace doporučujeme jak ve vztahu k zařízením souvisejícím s regulovanými systémy, tak i ve vztahu k soukromým zařízením, neboť sběr informací popsaný v upozornění se netýká pouze pracovních telefonů a zařízení.

Jaké kroky je případně potřeba podniknout v reakci na upozornění?

Z upozornění nevyplývají žádné povinnosti, nicméně doporučujeme rizika plynoucí z užívání aplikace WeChat zvážit a případně je omezit. Z pohledu veřejnosti je vhodné zvážit používání technologie a zamyslet se nad tím, co skrze aplikaci sdílí. U tzv. zájmových osob, tedy osob, které jsou například ve vysokých politických, veřejných či rozhodovacích funkcích, doporučujeme aplikaci nepoužívat, případně ji instalovat na separátní zařízení, kde se nenachází citlivé informace uživatele (účty, přihlašovací údaje apod.).

Nejsou hrozbou také další sociální platformy podobného typu?

Mobilní aplikace a zejména sociální média o svých uživatelích sbírají velké množství informací. Obecně je tudíž vhodné pečlivě zvážit, jaké aplikace používat, jak se na nich chovat a jaké informace na nich sdílet. Pozornost je třeba věnovat i oprávněním, přes která se jednotlivým aplikacím povoluje přístup k datům, službám a funkcím v zařízení.

V případě WeChatu jsou hrozby markantnější než u většiny srovnatelně populárních aplikací. Aplikace o svých uživatelích sbírá velké množství dat, které bezprostředně nepotřebuje ke svému fungování. Dále je potřeba brát v potaz čínské právní prostředí, které ukládá povinnost čínským společnostem, a tudíž i provozovatelům aplikací jako je WeChat, spolupracovat a sdílet informace se státem, a to bez náležitých právních záruk.

Obecně doporučujeme věnovat pozornost tomu, kdo je původcem aplikací, se kterými sdílíte velké množství dat a informací, jaké informace sbírá a v jakém právním prostředí působí.

Jak jsou ohroženi běžní uživatelé, pokud budou nadále používat aplikaci WeChat?

V případě, že budou uživatelé nadále využívat aplikaci, bude o nich aplikace dále sbírat velké množství dat, která nejsou relevantní pro fungování samotné aplikace, ale mohou být v budoucnu zneužita. Také by měli mít na paměti, že obsah jejich konverzace může být sledován. Samotné rozhodnutí o používání je však věcí každého jednotlivce.

30.11.2023