Národní úřad pro kybernetickou a informační bezpečnost

Národní úřad pro kybernetickou a informační bezpečnost (dále jen NÚKIB) ve spolupráci se společností ACTIVE 24, s.r.o., vydává tuto Politiku koordinovaného zveřejňování zranitelností (dále jen Politika CVD) vztahující se na webovou prezentaci nukib.gov.cz. V případě, že objevitel zranitelnosti bude dodržovat podmínky Politiky CVD, bude chráněn tzv. bezpečným přístavem před negativními právními následky, které jsou jinak s neoprávněným nalézáním zranitelností spojené.

Před nalézáním zranitelností je objevitel povinen se seznámit s podmínkami Politiky CVD.

1. Jaké systémy lze testovat

Na základě Politiky CVD může objevitel zranitelností nalézat zranitelnosti ve webové prezentaci: nukib.gov.cz.

Pokud chcete nalézat zranitelnost v systému nebo produktu, jenž není uveden výše, přesvědčte se, že vlastník systému nebo dodavatel daného produktu disponuje vlastní politikou CVD. Dále je třeba zranitelnost nejprve nahlásit vlastníkovi systému nebo dodavateli produktu, a to za podmínek konkrétní politiky CVD. Uvedený druh hlášení se nazývá koordinované zveřejňování zranitelností neboli CVD (z anglického Coordinated Vulnerability Disclosure). Své nálezy byste měli nahlásit NÚKIB pouze v případě, že daná osoba na zranitelnost adekvátně nereaguje – v takovém případě budeme sloužit jako prostředník a pokusíme se na zranitelnost organizaci znovu upozornit (vše dle Národní politiky CVD, k nalezení zde).

2. Které zranitelnosti lze hlásit

Vítáme hlášení zranitelností představujících riziko pro bezpečnost daného systému či produktu. Příkladem jsou zranitelnosti, které umožňují obejít přihlašovací formuláře nebo umožňují neoprávněný přístup do databází obsahujících osobní údaje.

Ne každá závada v systému však představuje bezpečnostně relevantní zranitelnost nebo závadu, u níž je nutná náprava. Obecně platí, že následující závady nevedou k potenciálnímu narušení bezpečnosti, a proto se Politika CVD nevztahuje na jejich hlášení:

závady, které nemají vliv na dostupnost, integritu nebo důvěrnost dat (například miskonfigurace nevztahující se k bezpečnostnímu problému;
dostupnost funkce WordPress xmlrpc.php, kdy je její zneužití omezeno na takzvaný útok "pingback denial-of-service";
možnost použití cross-site scripting na statickém webu nebo webu, který nezpracovává žádná citlivá (uživatelská) data;
dostupnost informací o verzi (například situace, kdy informace o verzi odhalí, že systém používá software, který obsahuje známé zranitelnosti, jež prokazatelně nevedou k bezpečnostnímu problému);
přístupné soubory a adresáře bez citlivých informací (např. README.TXT, CHANGES.TXT, robots.txt, .gitignore, WSDL, pprof atd.);
problémy s informativní závažností;
problémy s CSRF, které nemají vliv na integritu účtu (např. přihlášení nebo odhlášení, kontaktní formuláře a další veřejně přístupné formuláře);
nedostatek zdrojů;
problémy TLS/SSL;
error zprávy obsahující citlivé informace;
povolena nestandardní HTTP metoda;
dostupnost e-mailových adres a jiných osobních údajů;
použití známé zranitelné knihovny bez důkazu o zneužití,
veřejně přístupné uživatelské přihlašovací rozhraní bez důkazu o zneužití
absence příznaků Secure, HTTP Only, and SameSite v rámci necitlivých cookies,
absence bezpečnostních hlaviček HTTP, které používají mechanismy, jako je Cross-Origin Resource Sharing (CORS), pokud tato absence bezpečnostní hlavičky prokazatelně nevede k bezpečnostnímu problému.

Má-li objevitel pochybnosti o tom, zda zjištěná závada spadá pod některou z výše uvedených výjimek, může závadu nahlásit. NÚKIB následně určí, zda závada představuje zranitelnost, a podnikne příslušné následné kroky.

3. Povinnosti objevitele zranitelnosti

Objevitel musí dodržovat tyto povinnosti:

při nalézání zranitelnosti postupovat přiměřeně, tak aby zásah do testovaných systémů byl co nejmenší, včetně využití co nejméně invazivních nástrojů;
nalézat zranitelnosti s dobrým úmyslem, tedy s cílem oznámit zranitelnost za účelem jejího co nejrychlejšího vyřešení, tak aby nemohla být zneužita;
nezveřejnit ani nesdílet informaci o zranitelnosti s jinou osobou než NÚKIB nebo ACTIVE 24, s.r.o., a to do doby, než bude zranitelnost napravena.

Objevitel dále nesmí provádět tato jednání:

opakovaně přistupovat k systému nebo sdílet přístup k systému s jinými osobami;
kopírovat nebo měnit údaje ICT produktu nebo údaje z tohoto produktu mazat;
měnit parametry ICT produktu;
instalovat škodlivý software: viry, červy, trojské koně atd.;
útoky typu DoS/ DDoS (Distributed Denial of Service);
sociální inženýrství (phishingové, smishingové, vishingové a jiné útoky typu sociální inženýrství);
rozesílání nevyžádané pošty;
krádeže hesel;
instalace zařízení pro zachycení, ukládání nebo získávání informací o (elektronické) komunikaci, která není veřejně přístupná;
úmyslné zachycení, uložení nebo získání komunikace, která není veřejně přístupná, nebo elektronické komunikace, útoky typu man in the middle;
úmyslné používání, uchovávání, sdělování nebo šíření obsahu neveřejných komunikací nebo údajů z informačního systému;
fyzické útoky na zařízení/majetek vlastníka systému.

4. Jak zranitelnosti hlásit

Pro nahlášení zranitelnosti je potřeba:

vyplnit CVD formulář, zaslat jej přílohou na e-mailovou adresu cvd@active24.cz a sdělit informace o nálezu zranitelnosti. Formulář musí být zaslán ve formátu PDF a lze k němu přiložit další soubory související s nalezenou zranitelností (vše komprimované do ZIP). E-mailová zpráva musí být zašifrována prostřednictvím klíče PGP:
- User ID: ACTIVE 24, s.r.o.
- KeyID: A233 DC69 53BD C3AF
- Key size: 4096
- Key fingerprint: 1C349833913CF8CC85FD9552A233DC6953BDC3AF
v hlášení co nejjasněji popsat problém dle jednotlivých polí uvedených ve formuláři. Tyto informace významně pomohou urychlit proces řešení zranitelnosti;
uvést alespoň e-mailovou adresu nebo telefonní číslo, aby mohl být objevitel v případě dotazů kontaktován.

Objevitel má povinnost:

zranitelnost nahlásit co nejdříve po jejím zjištění;
nesdílet žádné informace o bezpečnostním problému s ostatními, dokud nebude kontaktován či notifikován o jeho vyřešení;
s poznatkem o bezpečnostním problému nakládat zodpovědně, například tím, že nebude provádět žádné další akce týkající se zranitelnosti kromě těch, které jsou nezbytné k prokázání bezpečnostního problému.

5. Postup po nahlášení zranitelnosti

V případě, že objevitel řádně nahlásí zranitelnost, na kterou se vztahuje tato politika CVD, a nebude se jednat o zjevně bezvýznamnou zranitelnost, do 8 dnů bude objeviteli potvrzeno nahlášení zranitelnosti a následně do 30 pracovních dnů, nebude-li se jednat o komplikovaný případ, objevitel obdrží vyhodnocení hlášení. Rovněž budou objeviteli poskytnuty aktuální informace o průběhu řešení problému.
V rámci hlášení zranitelností bude usilováno o to, aby zjištěný bezpečnostní problém byl vyřešen nejpozději do 90 dnů. Po vyřešení problému objevitel obdrží informaci o vyřešení zranitelnosti a ukončení povinnosti mlčenlivosti.
S hlášením o zranitelnosti bude nakládáno důvěrně a osobní údaje nebudou bez souhlasu objevitele poskytnuty třetím stranám, vyjma případů stanovených zákonem nebo rozhodnutím orgánu veřejné moci.

6. Bezpečný přístav

V případě, že objevitel zranitelnosti dodrží veškeré podmínky Politiky CVD, vzdávají se NÚKIB a společnost Active24, s.r.o., práva na náhradu škody vzniklé při objevování zranitelnosti, ledaže škoda byla způsobena hrubou nedbalostí nebo úmyslně.

Ze strany objevitele však nesmí jít o nekalý úmysl, úmysl poškodit nebo využít navštívený ICT produkt/systém nebo jeho data. Objevitel rovněž nesmí sdílet informace, které se dozvěděl v souvislosti s nalézáním zranitelností, bez předchozího a výslovného souhlasu NÚKIB, ani tyto informace třetím stranám předat.

V případě, že má objevitel pochybnosti o podmínkách Politiky CVD, musí se předem poradit s kontaktním místem (cvd@active24.cz) a musí jednat v souladu s písemnou odpovědí, kterou obdrží.

7. Nakládání s osobními údaji

Nalézání zranitelností může zahrnovat činnosti, při kterých ve smyslu nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“) dochází ze strany objevitele, jakožto zpracovatele osobních údajů, ke zpracování osobních údajů pro Vlastníka XY, jakožto správce osobních údajů. Zpracovatelem se objevitel stává okamžikem, kdy v souladu s politikou CVD při nalézání zranitelností nalezne osobní údaje. Takovým osobním údajem může být zejména údaj typu jméno, IP adresa, ID souborů cookie, e-mailová adresa.

Objevitel se zavazuje, že v rámci zpracování osobních údajů bude postupovat dle případných pokynů Vlastníka XY, nesdělí osobní údaje jiné osobě a vyvine rozumné úsilí k zabezpečení zpracovávaných osobních údajů, tak aby nedošlo k neoprávněnému přístupu k osobním údajům zpracovávaným v souvislosti s nalézáním zranitelností, nebo k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití těchto osobních údajů. Objevitel na žádost Vlastníka XY poskytne veškeré informace potřebné k doložení toho, že byly splněny tyto povinnosti.

Objevitel může zpracovávat osobní údaje pouze v nezbytné míře a pouze pro účely nalézání zranitelností dle této CVD politiky. Objevitel je povinen osobní údaje, včetně všech existujících kopií smazat neprodleně poté, co již nejsou k nalézání zranitelností potřeba, nejpozději však do 7 dnů od nahlášení zranitelnosti.

Informace-o-zpracovavani-osobnich-udaju-CVD.docx

8. Zeď slávy

Zde se nachází Zeď slávy, na níž můžete nalézt objevitele s nejlepšími zprávami. Pro zveřejnění údajů o objeviteli na Zedi slávy platí tato podmínka:

Hlášení objevitele má významný dopad na bezpečnost webové prezentace (typicky zranitelnost hodnocená stupněm závažnosti jako vysoká či kritická).

V případě, že objevitel splní uvedenou podmínku, bude mu nabídnuta možnost zveřejnění jeho údajů na Zdi slávy spolu s informací o vyřešení zranitelnosti. Údaje budou zveřejněny pouze v případě, že k tomu objevitel dá výslovný souhlas. Součástí údajů může být i odkaz na sociální sítě či webové stránky objevitele.

Aby mohlo dojít ke spojení jednotlivých hlášení se stejným objevitelem, je nezbytné, aby objevitel používal jako kontaktní prostředek vždy stejnou e-mailovou adresu.

Zeď slávy

9. Rozhodné právo

Na veškeré spory týkající se uplatňování Politiky CVD se vztahuje právní řád České republiky.

10. Platnost a změny v Politice

Politika CVD platí od 1. prosince 2025.

Jakékoli změny nebo zrušení Politiky CVD budou zveřejněny na internetových stránkách NÚKIB a budou platné okamžikem jejich zveřejnění, nebude-li v Politice CVD stanoveno jinak. Případná změna se nevztahuje na již nahlášené zranitelnosti.

Aktuality

NÚKIB se připojil k mezinárodnímu upozornění na proruské hacktivistické skupiny útočící na subjekty kritické infrastruktury

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) se spolu s Vojenským zpravodajstvím a Národní centrálou proti terorismu, extremismu a kybernetické kriminalitě, Spojenými státy americkými a dalšími partnery připojil k upozornění amerického Federálního úřadu pro vyšetřování (FBI) na kybernetické útoky proruských hacktivistických skupin mířených na kritickou infrastrukturu.

Na rozdíl od pokročilých státních aktérů (APT) tyto skupiny využívají méně sofistikované metody s nižším dopadem, které ale mohou vést k poškození napadených systémů. Skupiny přitom často nerozumí procesům, jež se snaží narušit, což může vést k nechtěným dopadům, a to včetně fyzického poškození systémů.

Mezi proruské hacktivistické skupiny, které jsou zmíněny v upozornění, patří např. Cyber Army of Russia Reborn (CARR), Z-Pentest, NoName057(16), Sector16 a další s nimi spojení aktéři. V souvislosti se skupinou NoName057(16), která se zaměřuje zejména na DDoS útoky a byla aktivní proti českým institucím a firmám, NÚKIB eviduje od roku 2023 42 kybernetických incidentů (všechno DDoS útoky). Proruští hacktivisté využívají jednoduše dostupné a snadno napodobitelné taktiky, které se tak mohou šířit a vést k vyšší četnosti narušení. Skupiny útočí prostřednictvím slabě zabezpečených připojení pro vzdálený přístup (VNC připojení), přes která získávají přístupy k řídicím systémům operačních technologií (OT).

Upozornění obsahuje konkrétní doporučení pro vlastníky a provozovatele OT systémů – např. omezit přístup OT zařízení k veřejné síti, zavést robustní ověřování, nastavit bezpečné rozsahy hodnot v systémech a pravidelně monitorovat provozní data.

Historicky se jedná již o druhé upozornění (Joint Cybersecurity Advisory) týkající se ruských hrozeb, které bylo zveřejněno ve spolupráci s americkými partnery. Upozornění je mj. příkladem operativní spolupráce mezi NÚKIB a USA v oblasti sdílení informací a analýzy kybernetických hrozeb.

Plné znění upozornění naleznete zde: Pro-Russia Hacktivists Conduct Opportunistic Attacks Against US and Global Critical Infrastructure | CISA

11.12.2025

CVD politika NÚKIB