Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal v souvislosti s riziky spojenými se softwarem americké společnosti SolarWinds reaktivní opatření podle zákona o kybernetické bezpečnosti. Správci systémů kritické informační infrastruktury, významných informačních systémů a systémů základní služby musí neprodleně provést bezpečnostní aktualizace, zkontrolovat, zda jejich systém nebyl kompromitován, a provést bezpečnostní audit. Do doby, než budou tyto kroky provedeny, je doporučeno produkty společnosti SolarWinds odpojit od veřejné sítě internet.
Na rizika spojená se softwarem americké společnosti SolarWinds upozornil NÚKIB už v pondělí. „Rizika spojená s tímto softwarem jsme vyhodnotili jako natolik závažná, že jedinou cestou bylo vydání tohoto zákonného opatření, aby došlo k co nejrychlejšímu zabezpečení jmenovaných systémů,“ říká ředitel NÚKIB Karel Řehka s tím, že vydané opatření se týká jen těch systémů, v nichž se produkty zmíněné společnosti používají a které zároveň spadají pod zákon o kybernetické bezpečnosti.
Opatření je právně závazné, takže všichni správci jmenovaných systémů musí ve lhůtách, které opatření stanovuje, provést veškeré nezbytné kroky. Zejména nainstalování bezpečnostní aktualizace podle postupu, který je součástí opatření. Dalším krokem je kontrola indikátorů kompromitace, které jsou rovněž součástí opatření. Dále musí provést celkový bezpečnostní audit v rozsahu, který stanovuje opatření. Do doby, než budou tyto kroky provedeny, je doporučeno produkty společnosti SolarWinds odpojit od veřejné sítě internet. Ty osoby, které reaktivní opatření zavazuje, ale žádné z jmenovaných technologií nepoužívají, pouze sdělí tuto skutečnost NÚKIB prostřednictvím formuláře pro oznámení způsobu provedení reaktivního opatření.
Celý text reaktivního opatření najdete zde: https://nukib.gov.cz/cs/uredni-deska/