Projednávání nZKB na výborech opět přerušeno

Čas běží a schvalování nového kybernetického zákona se neustále protahuje. Smutné je proč se protahuje. nZKB totiž přináší nové strategické bezpečnostní instituty, které vzbuzují rozruch. Jsou jimi třeba:

• dostupnost strategicky významných služeb z území ČR,

• mechanismus bezpečnosti dodavatelského řetězce u nepominutelných funkcí.

Pozn.: Důležité je vnímat, že výše uvedené instituty jsou strategické. Strategické = (mimo jiné) dlouhodobé. Tedy jejich dopad pocítíme s velikou pravděpodobností později, než například za jedno volební období.

Tyto strategické instituty se zcela logicky nehodí do strategie jiných zájmových skupin (např. států), které mohou strategickými kroky regulátora/státu utrpět. A to třeba právě proto, že součástí dlouhodobé strategie takových zájmových skupin je něco, jako dosažení “vendor-lock-inu na úrovni států”. Schválení nZKB se tedy protahuje z důvodu značného lobby doprovázeného a mnohdy spouštěného řadou desinformací pravděpodobně podporovanými dotčenými zájmovými skupinami.

U bezpečáků to přináší nové schopnosti, které se musíme naučit - schopnosti vysvětlit a obhájit u vrcholného vedení proč neplatí, že nejlevnější/nejvýhodnější = bezpečné.

Neradi bychom z našeho newsletteru dělali kyber bulvár a tak si dovolíme odkázat na některé zdroje, abyste si obrázek mohli udělat sami.

• Z oficiálních zdrojů NÚKIB a z předložených návrhů nZKB si můžete ověřit, že výše uvedené strategické instituty se vztahují na velmi úzkou část v budoucnu regulovaných subjektů (v zásadě především na ty, na jejichž službách je kriticky závislá společnost). Některými médii často zmiňované enormí dopady tak nejsou pravdivé.

• Zde si můžete přečíst různé střípky, které s tím, co výše popisujeme, mohou souviset:

  • Výroční zpráva NÚKIB z r. 2023 a Vojenského zpravodajství z let 2018-2022.

  • https://pagenotfound.cz/clanek/kauza-huawei-cina-vydirala-ceskou-republiku

  • https://pagenotfound.cz/clanek/poslanci-ods-a-ano-chteji-vykastrovat-kyberneticky-zakon

  • https://www.lightreading.com/5g/huawei-counts-on-influential-friends-to-remain-european-5g-force

Automatizace phishingu a vishingu

Používání AI technologií se stalo nedílnou součástí našich životů, možnosti využití jsou nekonečné a všichni se předhání v nápadech, jak a kde je využít. Ať už vám AI asistuje jakkoliv, jedno máme všichni společné - tyto nástroje nám šetří čas.

Ačkoli vnímáme AI jako užitečnou pomůcku, je nutné si uvědomit, že může být zároveň aktivně zneužívána proti nám. Pomineme li deepfakes, o kterých tento díl nebude, tak např. k automatizaci vishingu a phishingu.

Phishing

To, že phishing je dnes už naprosto běžná technika sociálního inženýrství zaměřená na uživatele s cílem přimět je k nějaké akci, díky které se útočníkovi podaří získat údaje potřebné k dalšímu “útoku” na základě jeho cíle, pro vás jistě není nic nového. Proto naším cílem není popisovat, jak funguje phishing. Rádi bychom se zabývali tím, jak mohou útočníci zvýšit pravděpodobnost phishingu díky tomu, že jej doprovodí o automatizovaný vishing.

Pozn.: Můžeme si představit i technicky jednodušší variantu, než uvádíme níže ve video ukázce – prostý podvodný email, nebo BEC (např. kompromitovaný email obchodního partnera) navádějící k provedení platby doprovázený vishingem díky automatizaci.

AI Vishing

S vishingem nám pomohla platforma vapi.ai, kde jsme vytvořili svého asistenta a následně mu zadali prompt. V promptu definujeme jasné instrukce včetně vlastností: jak se má chovat, co je jeho úkolem, jak zvládat námitky, atd. Zjednodušeně, prompt je prostor, kam by útočník vložil svůj pretext/scénář pro svou kampaň.

Parametrizace hlasového asistenta

Možnosti parametrizace asistenta jsou bohaté a zahrnují například:

• volbu hlasu (možná integrace s ElevenLabs API - vlastní naklonovaný hlas),

• výběr z řady modelů (ovlivňující prodlevu při hovoru a výslovnost asistenta),

• detekci emocí (reaguje na emoce druhé osoby, přizpůsobuje tón a intonaci),

• řízení náhodnosti výstupu (do jaké míry se má asistent řídit zadáním z promptu),

• prodleva při přerušení (doba, po kterou je asistent ticho, aplikuje se např. při přerušení asistenta během jeho výkladu),

Telefonní seznam (zdroj kontaktů)

Jelikož se snažíme demonstrovat masivní zneužití z pohledu útočníka, potřebujeme nějaký zdroj kontaktů, ze kterého bude asistent čerpat. Můžeme si pod tím představit například uniklou databázi kontaktů z nějakého webu, z aplikace pro e-mailing atp. V našem případě uměle vytvořený kontaktní seznam obětí v Google Sheets, obsahující telefonní číslo, jméno, e-mail, status (called/not-called) -> Status se dynamicky mění v momentě, kdy hovor proběhne.

Automatizace volání

Celý scénář je realizován skrze no-code platformu make.com. Pokud bychom to měli shrnout, linka automatizace zajišťuje napojení na zdroj dat v Google Sheets, důležité záznamy poté uloží do proměnných a následně je posílá skrze API hlasovému asistentovi na vapi.ai. Pomocí dynamické proměnné jsme schopni zajistit, že asistent osloví dotyčnou oběť relevantním jménem přiřazeným k odpovídajícímu telefonnímu číslu. Po ukončeném hovoru se změní status v Google Sheets z "not-called" na "called", čímž je ošetřen opakovaný hovor. Veškerá komunikace z hovoru je přepsána do jiného sešitu v Google Sheets, kde může útočník v případě potřeby kontrolovat sdělené informace ze strany oběti.

Video ukázka

Před samotnou demonstrací bychom rádi zrekapitulovali sled událostí, které uvidíte.

Jak se tomu bránit?

Příklady opatření, které by vám měly pomoci s ochranou před tím, co jste mohli vidět v ukázce:

• Snaha o minimalizaci zveřejňovaných osobních údajů (např. na sociálních sítích, webech).

• Zajištění bezpečnosti emailové komunikace (vyjít můžete např. z této metodiky od NÚKIB).

• Školení zaměstnanců o technikách phishingu, vishingu a o sociálním inženýrství obecně, vč. trénování, jak tyto metody rozpoznat.

• Školení zaměstnanců ohledně deepfakes, vč. tréninku rozpoznání obrazových a hlasových deepfakes.

• Procesní zabezpečení operací s penězy (platby faktur, bankovní převody, online platby atp.).

• MFA za využití hardwarových klíčů (protokol FIDO2) nebo password less autentizace.

• Geo-based nebo IP restrikce (pouze důvěryhodné lokality).

• Správné řízení oprávnění.

• Session management.

• atd.

Jak vám můžeme pomoci my?

• Ukázky hackingu na míru pro vaši firmu.

• Školení bezpečnostního povědomí.

• Zabezpečení AI a LCNC technologií.

• Zavedení požadavků normy ISO/IEC 42001:2023 Information technology — Artificial intelligence — Management system

Neváhejte a kontaktujte autory tohoto newsletteru - Jakuba Lehečku a Martina Konečného.

Bezpečnost AI a LCNC

Téma bezpečnosti AI a LCNC jsme otevřeli už pár newsletterů zpětně, kdy jsme představili whitepaper, který tvořil

🔍 Co najdete uvnitř?

• Jak správně vybírat a využívat online AI/LCNC nástroje pro malé a střední podniky.

• Tipy na automatizaci firemních procesů a na integraci firemních aplikací.

• Praktická bezpečnostní doporučení pro práci s LCNC a AI nástroji.

📚 Proč si přečíst tento whitepaper?

• Získáte cenné rady a návody, jak efektivně využívat moderní technologie.

• Naučíte se, jak zůstat moderní a zároveň při tom chránit své podnikání před kybernetickými hrozbami spojenými s využíváním moderních technologií.

Organizovali jsme…

V říjnu 2024 jsme organizovali konferenci a NIS2 meetup v Brně

Tentokrát každoroční konferenci naší CyberSecurityPlatform.cz hostila Fakulta elektrotechniky a komunikačních technologií, VUT v Brně. Tato událost se konala 22. října 2024 a byla spojena s putovním NIS2 meetupem. Jak se celá akce povedla se můžete přesvědčit přímo na webu platformy, kde najdete i fotogalerii.

Již podruhé jsme pomáhali s organizací konference pro ČSRES

Na konci října 2024 proběhl v Hotelu Ski na Vysočině již 2. ročník kyberbezpečnostní konference sdružení energetiků – ČSRES. A my jsme byli u toho! Kromě toho, že jsme pomáhali s obsahem konference a s moderováním, Martin Konečný a Jakub Lehečka pro účastníky konference připravili table-top cvičení (TTX). Scénář TTX byl vytvořen pro elektroenergetiku a jedním z jeho cílů bylo zabývat se i problematikou bezpečnosti dodavatelského řetězce. Účastníci TTX museli, mimo jiné, řešit otázku proporcionality mezi krátkodobým ziskem díky nákupu levných technologií a strategickou bezpečností. Tím jsme navázali i na jedna z klíčových témat v panelové diskuzi, kam přijali pozvání vzácní hosté ze státní správy.

Chystáme…

Před-Vánoční webinář Guardians.cz 🎄

Na začátek prosince, konkrétně na 10.12. od 13:00, jsme si pro vás připravili exkluzivní webinář o implementaci požadavků nového kybernetického zákona. Jde totiž o webinář, jehož obsah můžete ovlivnit! Během 90 minut se zaměříme na klíčová témata, která vás nejvíce zajímají – konkrétně ta, která uvedete při registraci.

Chci se zúčastnit!

V lednu startujeme 4. kolo našeho nZKB kurzu

Velice nás těší, že účastníci 4-měsíčního kurzu k novému kybernetickému zákonu jsou s kurzem velice spokojeni - posuďte sami a koukněte na reference, zveřejněné na webu kurzu.

V lednu 2025 startujeme již 4. kolo kurzu a my vám sdělíme, proč byste u toho neměli chybět:

1. Náš kurz tu opravdu nemá obdoby ve své formě, v rozsahu, aktuálnosti, kvalitě a lektorském týmu.

2. Průběžně aktualizujeme obsah kurzu v závislosti na vývoji stavu regulace.

3. S námi máte garanci vrácení peněz v případě nespokojenosti.

4. Všichni, kteří stihnou registraci do konce letošního roku budou mít přístup k materiálům po celý rok 2025! Získáte tak interaktivního průvodce doslova do kapsy po dobu, kdy se vám přijde nejvíce vhod - po dobu, kdy budete svoji firmu na nZKB připravovat.

5. Nabízíme výhodné cenové balíčky pro firmy o 2 a více účastnících.

Více informací a REGISTRACI najdete přímo na webu 4-měsíčního kurzu.

Můžete využít slevový kód, který jsme publikovali v minulém newsletteru, tak neváhejte a včas se registrujte.

Guardians.cz je nyní držitelem certifikace podle ISO/IEC 27001:2023!

V oblasti informační a kybernetické bezpečnosti nezůstáváme jen u slov a abychom to dokázali i svým partnerům, zavedli jsme systém managementu informační bezpečnosti (ISMS) v souladu s požadavky mezinárodní normy ISO/IEC 27001:2023. Naše poskytování služeb v oblasti kybernetické bezpečnosti a poskytování služeb manažera kybernetické bezpečnosti (MKBaaS) je nyní certifikováno podle výše uvedeného standardu.

Jestli o ISMS certifikaci také přemýšlíte, rádi vám s tím pomůžeme.