Úvodní stránka

Národní úřad pro kybernetickou a informační bezpečnost

Logo NÚKIB

 

!!! Upozorňujeme na přetrvávající podvodné telefonáty zneužívající telefonní čísla a jména zaměstnanců našeho úřadu !!!

NÚKIB v rámci své činnosti nekontroluje převod financí. V dané věci jsme podali trestní oznámení na neznámého pachatele.

Více o podvodných telefonátech včetně doporučení, jak se jim bránit, najdete v našem článku:

Národní úřad pro kybernetickou a informační bezpečnost - Jak se bránit přetrvávajícím podvodným telefonátům? (nukib.gov.cz)

 

 

 

Relevantní a přehledné informace k nové směrnici NIS2 najdete na Portálu NÚKIB


Kybernetická bezpečnost se týká každého z nás, studujte s námi zdarma a on-line na
osveta.nukib.gov.cz

 

Informace k Národnímu koordinačnímu centru výzkumu a vývoje v oblasti kybernetické bezpečnosti (NKC) v České republice najdete na nkc.nukib.gov.cz


Rádi byste u nás pracovali? Aktuální seznam volných míst najdete na
kariera.nukib.gov.cz

 

 

Vybrané aktuality, hrozby a doporučení

České, americké a další partnerské bezpečnostní instituce upozorňují na škodlivé aktivity ruského státního aktéra útočícího na kritickou infrastrukturu po celém světě

České bezpečnostní instituce, jmenovitě Vojenské zpravodajství (VZ) a Bezpečnostní informační služba (BIS), ve spolupráci s americkou Agenturou pro kybernetickou a infrastrukturní bezpečnost (CISA), Federálním úřadem pro vyšetřování (FBI), Národní bezpečností agenturou (NSA) a dalšími mezinárodními partnery ze Spojeného království, Austrálie, Kanady, Německa, Nizozemska, Estonska, Ukrajiny a Lotyšska vydaly upozornění, jež se týká kybernetických operací aktéra spojeného s ruskou Hlavní správou rozvědky (GRU), konkrétně 161. Specializovaného školicího střediska (Jednotka 29155). Jednotka 29155 je přinejmenším od roku 2020 zodpovědná za operace v počítačových sítích proti globálním cílům za účelem špionáže, sabotáže a poškození reputace.

Jak uvádí zpráva, aktér začal nasazovat destruktivní malware WhisperGate proti několika ukrajinským obětem již 13. ledna 2022, vůči Ukrajině následně prováděl i další útoky. Jednotka 29155 také vedla operace v počítačových sítích proti mnoha členským státům NATO a dalším zemím v Evropě, Latinské Americe a Střední Asii. Činnost skupiny zahrnuje kompromitaci webových stránek, skenování infrastruktury či exfiltraci a únik dat, která následně prodávají nebo veřejně publikují. Od počátku roku 2022 se aktér zaměřuje především na narušování mezinárodního úsilí poskytování pomoci Ukrajině.

Upozornění obsahuje detailní popis Jednotky 29155, včetně jejích taktik, technik a procesů (TTPs) spojených s kampaněmi v obdobích během i po nasazení destruktivního malwaru WhisperGate proti cílům na Ukrajině.

Spoluautoři upozornění doporučují provádět tyto mitigační techniky:

Provádět běžné aktualizace systému a odstraňovat známé zneužívané zranitelnosti. Segmentovat sítě tak, abyste zabránili šíření škodlivých aktivit. Zapnout dvou- či vícefaktorovou autentizaci (2FA) odolnou proti phishingu pro všechny služby účtů, které jsou přístupné zvenčí, zejména pro webové e-mailové účty, virtuální privátní sítě (VPN) a účty, které přistupují ke kritickým systémům.

Úplné znění upozornění, včetně indikátorů kompromitace, použitých technik a dalšího je dostupné zde: https://www.cisa.gov/sites/default/files/2024-09/aa24-249a-russian-military-cyber-actors-target-us-and-global-critical-infrastructure.pdf

Přechod webu nis2.nukib.gov.cz na Portál NÚKIB

Webové stránky nis2.nukib.gov.cz (web NIS2) jsou od 2. září 2024 přesměrovány na Portál NÚKIB, který je dostupný na adrese https://portal.nukib.gov.cz/. Veškeré informace původně dostupné na webu NIS2 naleznete na veřejné části Portálu NÚKIB. Tímto došlo ke sjednocení informací na obou webech spravovaných Národním úřadem pro kybernetickou a informační bezpečnost a vytvoření jednotného místa pro zveřejňování oficiálních informací k návrhu nového zákona o kybernetické bezpečnosti.

Legislativní proces nového zákona o kybernetické bezpečnosti lze sledovat také na stránkách Poslanecké sněmovny, kde je návrh veden jako sněmovní tisk 759. Tzv. doprovodný zákon k zákonu o kybernetické bezpečnosti je pak veden jako sněmovní tisk 760.

K obsahu a fungování veřejné části Portálu NÚKIB i nadále sbíráme zpětnou vazbu, kterou můžete zasílat na e-mail: portal@nukib.gov.cz.

 

Portál NÚKIB nově podporuje kvantově odolnou kryptografii

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) jako první úřad v Česku zavádí pro zabezpečení komunikace mezi webovým prohlížečem a webovou aplikací kvantově odolnou (postkvantovou) kryptografii. Důvodem jejího zavedení je zvýšení odolnosti komunikace proti kvantové hrozbě, testování nových algoritmů v reálném provozu a taktéž propagace kvantově odolné kryptografie.

Kvantová hrozba znamená existenci kryptoanalyticky relevantního kvantového počítače, který bude možné použít k dešifrování komunikace zašifrované pomocí současných asymetrických kryptografických algoritmů. NÚKIB odhaduje, že první kryptoanalyticky relevantní kvantové počítače mohou být k dispozici až v horizontu 5-15 let, přesto je potřeba se na příchod těchto počítačů připravovat již nyní.

Důvodem zavedení postkvantové kryptografie je strategie zpětného prolomení (anglicky nazývaná „Harvest now, decrypt later“), kdy útočník může již v současné době zaznamenávat šifrovanou komunikaci a dešifrovat ji až následně s příchodem kryptoanalyticky relevantního kvantového počítače.

Kvůli této strategii a taktéž z důvodu testování v reálném provozu a propagaci kvantově odolné kryptografie NÚKIB na svém nedávno spuštěném Portálu NÚKIB (Portál) zavedl podporu pro hybridní algoritmus pro ustanovení klíčů s označením X25519Kyber768 – ten využívá jak klasický algoritmus X25519, tak kvantově odolný algoritmus Kyber768.

Oba typy algoritmů se kombinují, protože existuje riziko možného prolomení postkvantových algoritmů pomocí současných počítačů. Zatím totiž neexistují dostatečné záruky, že odpovídající matematické problémy, na jejichž praktické neřešitelnosti je založena bezpečnost příslušných postkvantových algoritmů, jsou opravdu prakticky neřešitelné. I kdyby tak došlo k prolomení Kyber768 klasickým počítačem, algoritmus bude díky X25519 stále odolný proti prolomení klasickým počítačem. A i kdyby došlo k prolomení X25519 kvantovým počítačem, díky Kyber768 by měl zůstat proti kvantovým počítačům odolný.

Komunikace uživatelů Portálu NÚKIB, kteří k aplikaci přistupují pomocí některého z podporovaných prohlížečů, je tak již nyní zabezpečena proti hrozbě kvantového počítače. Zjednodušeně řečeno: komunikace by měla zůstat v bezpečí i v případě, že potenciální útočník kryptograficky relevantní kvantový počítač v současné době již má nebo jej v budoucnu získá.

V souvislosti s hrozbou prolomení současných kryptografických systémů NÚKIB již minulý rok připravil podpůrné materiály pro ochranu před hrozbou, kterou představují kvantové počítače.

Otázky a odpovědi:

 

Společné prohlášení k e-shopovým aplikacím

Národní úřad pro kybernetickou a informační bezpečnost (dále NÚKIB) a Úřad pro ochranu osobních údajů (dále ÚOOÚ) vydávají společné prohlášení upozorňující na e-shopové aplikace, které požadují nestandardní oprávnění v zařízení uživatele a mohou sbírat nadměrné množství uživatelských dat včetně osobních údajů.

V tuzemsku je v tuto chvíli ke stažení několik e-shopových aplikací. Ty obvykle požadují různý stupeň oprávnění v zařízení uživatele, z nichž část je zcela legitimní, některá se však z hlediska účelu aplikace, tzn. koupě a prodeje zboží, jeví jako zcela nadbytečná (např. přístup k poloze, kontaktům, k videím nebo jiným souborům).

Provozovatelé daných aplikací operují z různých legislativních prostředí a v určitých případech mohou být požadavky státu ve vztahu k provozovatelům z pohledu české/evropské legislativy nestandardní (např. z důvodu povinnosti provozovatele spolupracovat se zpravodajskými službami dané země).

Uživatelům e-shopových aplikací se doporučuje následující:

Uživatelé by měli být obezřetní při udělování oprávnění stahovaným aplikacím. Některé požadují taková oprávnění, jež nemusí být potřebná pro jejich správné fungování (např. přístup k poloze, kontaktům, videím nebo jiným souborům). Nelze vyloučit, že pokud aplikace tato data sbírá, mohou být předávána třetím stranám k účelům zcela nesouvisejícím s původním účelem aplikace. Uživatelé aplikací by si měli před udělením oprávnění prostudovat informaci o zpracování osobních údajů (pokud není snadno dostupná nebo neexistuje, nejedná se o důvěryhodný internetový obchod), přičemž by se měli zaměřit zejména na: přiměřené účely zpracování osobních údajů (tedy k jakým konkrétním účelům e-shop data zákazníků využívá), rozsah zpracování osobních údajů k jednotlivým účelům, který by měl být omezen pouze na míru nezbytně nutnou, dobu uložení osobních údajů uživatelů (měla by být minimalizována pouze na dobu nezbytně nutnou – tedy v případě vyřízení objednávek na dobu nezbytnou k vyřízení objednávky, případně rozšířenou o dobu nezbytnou pro uplatnění reklamace), nadměrné vyžadování souhlasu se zpracováním osobních údajů (tedy tam, kde to není nutné – například pro sběr údajů nezbytně nutných pro vyřízení objednávky není zapotřebí udělení souhlasu subjektu údajů), popis dodržování práv subjektu údajů (zejména zajištění informovanosti o zpracování, právo na vymazání osobních údajů, právo na přístup k osobním údajům), u společnosti sídlící mimo EU uvedení jména zástupce společnosti na území EU, na kterého se v případě potřeby může každý subjekt údajů obrátit ohledně všech otázek souvisejících se zpracováním osobních údajů. V případě nejasných nebo chybějících informací doporučujeme zákazníkům neudělit oprávnění aplikacím e-shopů. V tuzemsku jsou dostupné e-shopové aplikace, u nichž existuje reálná možnost, že jejich hlavním cílem není finanční zisk, nýbrž sběr velkého množství dat. NÚKIB vyhodnotil, že část z nich používá nestandardní obchodní praktiky (např. gamifikace nákupů či možný prodej padělků). Mimořádně nízké ceny ve vybraných e-shopech mohou být atraktivní, nicméně mohou s sebou nést určitá rizika, protože lze předpokládat, že poskytovatel za služby a produkty získává skutečnou protihodnotu jiným způsobem (např. nadměrným sběrem osobních údajů uživatelů aplikace využívaných nad rámec vyřízení objednávky zboží – například za účelem jejich předání třetím stranám za úplatu). E-shopové aplikace, s nimiž jsou spojena uvedená rizika, neinstalujte do zařízení, v nichž pracujete s citlivými údaji prostřednictvím například internetového bankovnictví nebo systémů státní správy. Pokud e-shopovou aplikaci, s níž mohou být spojena výše uvedená rizika, přesto chcete využít například pro jednorázový nákup, tak ji po použití odinstalujte ze svého zařízení, pokud ji dále nehodláte používat.