⏱️ Relevantní události

Prázdniny? Okurková sezóna? V tomto oboru rozhodně ne! Od posledního vydání newsletteru se toho, nejen kolem nZKB, událo poměrně dost, např.:

• nZKB prošel Legislativní radou vlády,

• poté vláda projednávala nZKB, ale napoprvé jej neschválila,

• Evropská komise zveřejnila návrh prováděcího aktu pro “digitály” (viz níže),

• NÚKIB vydal svoji výroční zprávu - Zprávu o stavu KB za rok 2023,

• V “cyberu bylo veselo” kvůli BSoD ve Windows ve spojení s CrowdStrike Falcon Senzorem (mimochodem, kolovalo kolem toho spousta fejků, mnozí toho využili k virálnímu marketingu a temná strana k provádění sociálního inženýrství),

• Vláda ČR se vrátila k projednávání nZKB a schválila jej se změnami, čímž se opět posouváme do další fáze legislativního procesu.

• Vláda také schválila Národní strategii umělé inteligence České republiky 2030 (NAIS).

• nZKB je ve Sněmovním tisku č. 759 - Vládní návrh zákona o kybernetické bezpečnosti - EU.

🇪🇺 Bezpečnostní požadavky pro “digitály”

EU zveřejnila návrh prováděcího předpisu, který má podle NIS2 stanovit poskytovatelům digitálních služeb (digitálům) spadajícím pod nZKB speciální kyberbezpečnostní pravidla.

Do množiny digitálů patří:

• služby DNS,

• služby správy a provozu registru domény nejvyšší úrovně,

• cloud computing,

• služby datových center,

• služby sítě pro doručování obsahu,

• on-line tržiště a internetové vyhledávače,

• sociální sítě,

• řízené služby (MSP) nebo řízené bezpečnostní služby (MSSP).

Návrh stanovuje sadu bezpečnostních opatření a okruh kybernetických bezpečnostních incidentů, které budou muset digitálové hlásit.

Co je velmi důležité je to, že digitálové tedy nebudou zavádět bezpečnostní opatření a hlásit incidenty podle nZKB, respektive relevantních vyhlášek, nýbrž podle prováděcího předpisu EU (viz prozatím § 18 návrhu nZKB).

Návrh prováděcího předpisu je dostupný na webu Evropské komise zde: Cybersecurity risk management & reporting obligations for digital infrastructure, providers and ICT service managers. Mimo návrhů tu najdete i připomínky, které k návrhům dorazily z institucí v rámci EU.

Kromě společností, které z hlediska nZKB regulace spadají čistě do kategorie “digitálů”, by této věci měly věnovat pozornost velké korporace, v jejichž portfoliu služeb se nacházejí i další služby. Znamená to totiž, že některé služby se budou řídit požadavky českých vyhlášek + digitální služby přímo požadavky EU. To představuje jistou zátěž na správu z hlediska compliance (v rámci organizace můžete mít 2 verze požadavků - pro digitály a pro ostatní typy služeb). Pozornost bude potřeba také věnovat překladu do češtiny, který nám možná trochu rozhodí terminologii, jak tomu často bývá.

Výstřižky a poznámky k návrhu prováděcího předpisu:

• Hlavní předpis upravuje zejm. významnost bezpečnostních incidentů u jednotlivých typů digitálů, co se týká bezpečnostních opatření, odkazuje se na přílohu.

• U většiny typů digi služeb je za významný incident považován např. takový, kdy dojde k úplnému výpadku služby na více než 10 min.

• Je požadována role odpovědná za security (min. 1 osoba), která se zodpovídá přímo vedení organizace.

• V analýze rizik má svoji významnou roli i CTI (Cyber Threat Intelligence).

• Kromě business continuity se tu objevují požadavky i na krizové řízení a u BCP (Business Continuity Planningu) je kladen důraz na zálohování dat a na bezpečnost záloh. Není tu zmíněna provazba mezi požadavky na business continuity a krizovým řízením (např. z hlediska eskalací).

• U bezpečnosti dodavatelského řetězce se kromě smluvních vztahů a řízení rizik spojených s dodavateli objevuje požadavek na vedení evidence přímých dodavatelů.

• Jinak příloha s bezpečnostními opatřeními obecně připomíná některá ustanovení z posledních verzí norem ISO/IEC 27k, takže pro bezpečáky by tu nemělo být nic extra nového.

🌐 Zatím jde o návrh, určitě se koukněte i na jednotlivé připomínky.

Pozor na změny prováděcích právních předpisů

🌐 Nejen nZKB, ale i nové vyhlášky (jejich teze) se mění.

• Ve vyhlášce o regulovaných službách došlo k upřesnění některých typů regulovaných služeb a “Podmínek významnosti poskytovatele regulované služby a jeho režim” (dříve kritérií).

• Ve vyhláškách s bezpečnostními opatřeními dochází především k drobným úpravám, mezi ty výraznější pak patří třeba odstranění příloh s doporučenou bezpečnostní dokumentací a politikou.

Nicméně stále je třeba mít na vědomí, že tyto předpisy čeká samostatný legislativní proces.

💡 Kde dělají firmy chybu, když se připravují na nový kyberzákon

Aneb bez strategie kybernetické bezpečnosti, bez projektu rovnou k definici bezpečnostních politik.

TLDR: Chcete li zajistit soulad s nZKB a startujete na zelené louce, neizolujte bezpečnostní profese - nezačínejte izolovaně (jenom) bezpečnostními politikami a analýzou rizik bez celkového kontextu. Bude vás to stát víc peněz. Začněte komplexně, od strategie - k projektu, kde zajistíte soulad praktické stránky zabezpečení organizace s tou “papírovou” díky spolupráce celého (projektového) týmu.

Poslední dobou často potkávám tuto situaci:

• Firma (budoucí regulovaný subjekt podle nZKB) se chce na novou regulaci včas připravit.

• V lepším případě začne s nějakou gapkou nebo nějakou konzultací, která má poradit co a jak. V horším případě bez gapky a konzultace.

• Dosud dobrý, ale kde se stává chyba je, že pak se firma rozhodne, jako další krok, začít s bezpečnostními politikami a dokumentací a začne to poptávat/soutěžit samostatně - má totiž stanovenou posloupnost viz níže.

Očekávání firmy:

1. vytvoří se politiky (dodavatel A),

2. dodělají se organizační opatření + analýza rizik (dodavatel A + B),

3. nasadí se technické nástroje a zajistí zbytek technických opatření (dodavatelé C + D + … + n),

4. Představa firmy je, že na sebe budou tyto činnosti krásně navazovat a že krok 1 + 2 + 3 = soulad s nZKB.

Realita:

1. vytvoří se politiky, aniž by bylo známo, jaké budou finální procesy, technologie atp. Tím se vytváří tak trochu falešný pocit bezpečí, ale papíry firmu před ransomware neochrání (dodavatel A),

2. zbývající organizační opatření (procesy) - vázne spolupráce mezi dodavatelem A + B, navržená organizační opatření nejsou v souladu s politikou (dodavatel A + B), pozn.: někdy se také stává, že dodavatel A ze zakázky “vycouvá” neboť jeho obchodní strategie je jen prodávat papíry, když vám je prodá, má splněno a pak už “nemá čas” a nezvedá vám telefony (btw. to je chování NIS2 fantoma),

3. je nutné provést aktualizaci politik (dodavatel A, B nebo Y),

4. soutěží se a nasadí se technické nástroje a zajistí zbytek technických opatření (dodavatelé C + D + … + n),

5. opět je nutné provést aktualizaci politik a dokumentace (dodavatel A/Y + C + D + … + n),

6. …

Ideálně doporučuji postupovat takto:

PS: všimněte si na jaké místo dávám politiky a dokumentaci.

1. Vytvoření analýzy současného stavu.

2. Tvorba strategie.

3. Ustanovení bezpečnostního týmu, který si bude po celou dobu “povídat” (bude vzájemně spolupracovat).

4. Provedení analýzy rizik.

5. Vytvoření plánu zvládání rizik (RTP) + prohlášení o aplikovatelnosti PoA).

6. Reálná implementace bezpečnostních opatření (prakticky, ne papírově).

7. Vytvoření/aktualizace politik a dokumentace (na základě skutečného stavu).

8. Testování (testy IRP, BCP, DRP, penetrační testy, …)

9. Aktualizace analýzy rizik, RTP, případně i PoA.

10. Audit.

11. Zlepšování.

📚 Kniha - Případovky z KB

Můj bývalý profesor, mentor, současný kolega a kamarád - Petr Sedlák, mě opět přizval do hry a společně s dalšími kolegy spoluautory jsme vydali další knihu - knihu případových studií z oblasti KB. Moje případovka se zde týká využití MITRE ATT&CK® v řízení rizik. Kniha je nyní k dostání ve velmi omezeném množství, pro spoluautory, studenty a pro zákazníky Guardians.cz. Možný dotisk plánujeme ke konci roku, tak pokud byste o knihu stáli, dejte vědět.

Bezpečnost AI a LCNC

🎉 Představuji vám nový whitepaper: "Automatizujte, využívejte AI, ale bezpečně!"

V dnešním rychle se vyvíjejícím světě digitálních technologií je klíčové nejen využívat moderní nástroje, ale také zajistit jejich bezpečné použití. Tento whitepaper je vaším průvodcem do světa low-code/no-code (LCNC) řešení a umělé inteligence (AI), přičemž klade důraz na bezpečnostní aspekty, které nelze podceňovat.

🔍 Co najdete uvnitř?

• Jak správně vybírat a využívat online nástroje pro malé a střední podniky.

• Propojení krabicových řešení pomocí integračních platforem jako Zapier, Make.com, nebo n8n.

• Vytvoření jednotného zdroje pravdy pomocí nástrojů jako Airtable nebo SmartSuite.

• Zlepšení vztahu se zákazníky pomocí klientských portálů vytvořených v Softr, Glide nebo Noloco.

• Praktická bezpečnostní doporučení pro práci s LCNC a AI nástroji.

👨‍💼 Na whitepaperu se mnou spolupracoval kolega a expert na LCNC - Nikolas Straka.

📚 Proč si přečíst tento whitepaper?

• Získáte cenné rady a návody, jak efektivně využívat moderní technologie.

• Naučíte se, jak chránit své podnikání před kybernetickými hrozbami.

• Objevíte, jak zvýšit produktivitu a ušetřit čas pomocí automatizace.

🌐 Stáhněte si whitepaper a začněte revoluci ve vašem podnikání!

🛡️ Co připravujeme v CyberSecurityPlatform.cz

V září v CyberSecurityPlatform.cz chystáme několik zajímavých akcí v Brně:

• 10.9. - CyberPivo - skvělá příležitost pro after party po CyberConu.

• 18.9. - CyberPanel – panelovka pro cybersecurity studenty a nadšence.

• + budeme spouštět 3. běh našeho 4-měsíčního kurzu, brzy zveřejníme info na webu a na sítích.

Co se o NIS2 nebo příbuzných tématech píše (nejen) v zahraničí? [beta]

(summary generováno za použití Feedly AI a ChatGPT 4o)

• Transpozice NIS2 v Německu

  Německý Federální úřad pro bezpečnost informací (BSI) oznamuje implementaci směrnice NIS 2, která má zlepšit opatření kybernetické bezpečnosti v sektorech kritické infrastruktury. Směrnice zdůrazňuje zvýšené řízení rizik, hlášení incidentů a spolupráci mezi členskými státy EU. Zdroj: BSI

• Pokus o infiltraci falešného IT pracovníka z KLDR
  Blogový příspěvek security firmy KnowBe4 popisuje, jak severokorejský operativní pracovník předstíral, že je IT pracovník, aby se infiltroval do americké organizace. Jednotlivec použil falešné pověření a techniky sociálního inženýrství (např. deepfakes) k získání přístupu, což zdůrazňuje trvající hrozby ze strany státem podporovaných kybernetických aktivit. Zdroj: KnowBe4

• Češi přispívají k inovativní technologii mobilních sítí
  Čeští výzkumníci vyvíjejí technologii, která by mohla změnit mobilní sítě a potenciálně překonat giganty jako Huawei, Ericsson a Nokia. Tato technologie má zlepšit výkon a bezpečnost sítí. Zdroj: Lupa.cz

• Únik dat AT&T ovlivňuje zákazníky
  AT&T potvrzuje únik dat, který ovlivnil zákazníky a kompromitoval citlivé informace. Tento incident podtrhuje důležitost robustní ochrany dat a strategií pro reakci na takové události. Zdroj: The Hacker News

• CDK Global zaplatil výkupné po kybernetickém útoku
  CDK Global, poskytovatel IT a digitálních marketingových řešení, zaplatil výkupné po významném kybernetickém útoku. Tento incident vyvolává obavy ohledně rostoucí prevalence ransomwaru a jeho dopadu na firmy. Zdroj: The Register

• Zpráva NÚKIB o kybernetické bezpečnosti v České republice
  Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) České republiky zveřejňuje zprávu, která zdůrazňuje aktuální kybernetické hrozby a opatření implementovaná pro zvýšení národní bezpečnosti. Zdroj: Aktuálně.cz

• Kybernetická bezpečnost není jen IT záležitost
  Nextron Systems diskutuje širší dopady kybernetické bezpečnosti, zdůrazňující, že nejde jen o IT problém, ale o záležitost celého podniku, vyžadující komplexní strategie a povědomí zaměstnanců. Zdroj: Nextron Systems

• EU poskytuje financování pro kybernetické bezpečnostní iniciativy
  EU oznamuje významné financování pro projekty kybernetické bezpečnosti zaměřené na posílení obranných mechanismů proti kybernetickým hrozbám. Toto financování podpoří výzkum, inovace a zlepšení infrastruktury napříč členskými státy. Zdroj: Infosecurity Magazine

• ENISA podporuje odpovědné zveřejňování zranitelností v Evropě
  ENISA učinila krok vpřed v podpoře odpovědného zveřejňování zranitelností v Evropě, čímž posílila spolupráci mezi výzkumníky a organizacemi za účelem zlepšení celkové kybernetické odolnosti. Zdroj: ENISA

• Připravenost EU na kybernetické hrozby v energetickém sektoru
  EU testuje svou připravenost na kybernetické hrozby v energetickém sektoru prostřednictvím rozsáhlého cvičení koordinovaného ENISA. Toto cvičení má za cíl identifikovat zranitelnosti a zlepšit strategie reakce na incidenty. Zdroj: ENISA

• Dopady legislativy EU v oblasti kybernetické bezpečnosti
  Článek ve ScienceDirect zkoumá důsledky nedávné legislativy EU v oblasti kybernetické bezpečnosti, včetně NIS2 a DORA, na regulační prostředí a obchodní praktiky v rámci EU. Zdroj: ScienceDirect

• Metody útoku malwaru Fickle Stealer
  Security Affairs informuje o malwaru Fickle Stealer, podrobně popisuje jeho metody útoku a dopad. Tento malware je známý krádeží citlivých informací z infikovaných systémů. Zdroj: Security Affairs

• Česká republika směřuje do kvantové éry s pomocí IBM
  Česká republika, s významnou asistencí IBM, postupuje do kvantové éry. Tato iniciativa má potenciál revolučně změnit různé průmyslové odvětví prostřednictvím aplikace kvantových výpočetních technologií. Zdroj: Lupa.cz

• Čínské a běloruské vojenské cvičení poblíž Ukrajiny a Polska
  Čínští a běloruští vojáci provádějí vojenská cvičení poblíž ukrajinských a polských hranic. Tato cvičení zahrnují nácvik zabavení letiště, což zvyšuje regionální bezpečnostní napětí. Zdroj: South China Morning Post

• Návrat Huawei na trh 5G smartphonů
  Huawei se vrací na trh 5G smartphonů s pokročilou čipovou technologií, čímž obchází americké sankce. Nové zařízení představuje významný technologický a strategický milník pro společnost. Zdroj: South China Morning Post

• Podrobná zpráva o incidentu od CrowdStrike
  CrowdStrike poskytuje podrobnou analýzu nedávného kybernetického incidentu, nabízející podrobný pohled na mechanismy útoku, opatření ke zmírnění dopadů a budoucí prevenční strategie. Zdroj: CrowdStrike

Líbí se vám newsletter, máte k tématům otázky, náměty? Pak se neváhejte ozvat - k dispozici jsem na LinkedIn, nebo na kontaktech uvedených na webu Guardians.cz.