Trendy v kybernetické bezpečnosti

Na našem LinkedIn jsme představili aktuální důležité trendy v kybernetické bezpečnosti.

1. Malware vylepšený umělou inteligencí

Již v minulém roce se objevily signály, že útočníci začali využívat strojové učení k mutaci škodlivého kódu v reálném čase, aby se vyhnuli statické detekci ze strany ochranných algoritmů. Tato poměrně nová technologie umožňuje malwaru daleko hlubší zanoření v rámci instalace do systémů, lépe dokážou detekovat testovací (sandboxová) prostředí a budou se lépe přizpůsobovat ochranám na koncových bodech. A to bude znamenat, že ruční nebo statické vyhledávání hrozeb se stane neúčinným v porovnání s infiltrací na bázi umělé inteligence. Pro obránce to bude výzva, jelikož se budou muset zaměřit na pokročilou detekci anomálií a potenciálních hrozeb. Trendy v kybernetické bezpečnosti ukazují, že útoky založené na automatizovaných nástrojích budou v tomto roce jednou z nejvýznamnějších hrozeb.

2. Zero Trust Architektura

Zero Trust se stává novým horkým trendem, jelikož se bezpečnost založená na běžné ochraně dat stává zastaralou. Zero Trust poskytuje přístup nejen po počáteční autentifikaci, ale poté znovu ověřuje každou žádost. V kontextu běžné práce s daty a hrozbami souvisejícími s principy pokročilých porušení bezpečnosti roste význam Zero Trust principu ochrany dat v čím dál širších oblastech využití. Zero Trust bude jedním z hlavních trendů v oblasti kybernetické bezpečnosti v roce 2025, s čímž souvisí i to, že čím dál více organizací zavádí mikrosegmentaci dat, kontroly uživatelského kontextu a kontinuální monitorování relací.

3. Hrozby kvantových počítačů

I přesto, že kvantové počítače ještě nejsou mainstreamem a zatím jsou spíše ve fázi postupného hledání oblastí pro komerční nasazení, mají potenciál rozbít současné způsoby šifrování. Kromě hrozby však jde i o příležitost, jelikož již dnes existují algoritmy, které kvantovým výpočtům odolávají. I přesto, že výpočetní výkon kvantových počítačů není ještě běžně dostupný, mohou útočníci sbírat a uchovávat zachycená data v naději, že je budou schopni dešifrovat pomocí kvantového hardwaru v blízké budoucnosti. Nejnovější trendy v odborných diskusích o kybernetické bezpečnosti vedou k vývoji algoritmů odolných proti kvantovým počítačům pro kritická data. A rok 2025 bude rokem, kdy významně vzroste potřeba je začít efektivně využívat. Přijetí post-kvantové kryptografie se tak stane konkurenční výhodou pro zajištění bezpečnosti dat, která budou odolná i v případě, že kvantové stroje dosáhnou vysokého rozšíření a budou dostupné.

4. Zranitelnosti cloudových kontejnerů

V loňském roce šlo o okrajový trend, ale narůstající přechod na řešení založeném na kontejnerech a mikroslužbách otevírá novou oblast pro útoky. Rychle rostoucí oblast kontejnerizace aplikací zvyšuje nároky na vzdělání a zkušenosti analytiků a konzultantů v této oblasti a těch se stále nedostatek. Důsledkem může být to, že se v infrastruktuře objeví špatně nakonfigurované nebo z pohledu bezpečnosti neopravené obrazy. Z jediného infikovaného kontejneru se může útok rychle přesunout do hlavního prostředí a exfiltrovat data nebo injektovat škodlivý kód. Významnou výzvou se tak stane vkládání kontrol do DevOps pipeline. Bezpečnost kontejnerů je klíčovým trendem a výzvou v oblasti kybernetické bezpečnosti pro rok 2025 a její význam poroste úměrně s tím, jak se firmy zaměřují na zrychlení DevOps.

5. Sociální inženýrství pomocí deepfake

Útočníci se čím dál úspěšněji a přesvědčivěji pokoušejí napodobit různé klíčové profese nebo například celebrity pomocí sofistikované audio-video manipulace. Hlasové hovory založené na deepfake mohou oklamat uživatele, aby převedli peníze nebo předali přihlašovací údaje ke svým účtům. Věrohodnost za poslední rok významně vzrostla a lze očekávat, že v roce 2025 se bude dále exponenciálně vyvíjet s tím, jak se budou více a lépe trénovat a zdokonalovat AI modely, kterou jsou k této aktivitě využívány. Jakmile se videokonference staly normou pro práci na dálku, deepfake phishing se stává reálnou hrozbou. Boj s touto formou manipulace za pomocí sociálního inženýrství je aktuálně prováděn hlavně prostřednictvím školení a budováním povědomí o nebezpečnosti těchto postupů.

6. Evoluce Ransomware jako služby

Ransomware je jednou z oblastí, kolem které vznikají organizované skupiny útočníků. A tím se mění i model, jak jsou ransomwarové útoky organizovány. Část specializovaných skupin útočníků se zaměřila na poskytování ransomware jako služby (Ransomware-as-a-service). Ty pak poskytují svým partnerům snadno použitelné nástroje výměnou za podíl na ziscích. To významně snižuje bariéru technické kvalifikace útočníků, což povede k nárůstu útoků. A i v případě, že jsou koncoví útočníci dopadeni, funguje služba dál pro další potenciální škůdce. RaaS je v poslední době označováno jako klíčový bod v rámci trendů v kybernetické bezpečnosti v roce 2025, a nepříjemným faktem je i to, že průměrná cena obnovy po útoku ransomware dle průzkumů roste. I přes nejpokročilejší ochranu se díky tomuto trendu stávají offline zálohy a segmentované sítě nezbytnými strategiemi ochraně dat.

7. Útoky na dodavatelské řetězce

Útočníci často cílí na dodavatele nebo třetí strany, jejichž produkty (nejčastěji různé knihovny nebo komponenty) používá mnoho zákazníků a tímto způsobem kompromitují více organizací najednou. Efekt zasažených aktualizací se ukazuje při vysoce profilovaných událostech, jako byl SolarWinds. Tento trend zůstává klíčovým tématem v kybernetické bezpečnosti, což nutí společnosti důkladně prověřovat bezpečnost svých dodavatelů. Stále běžnější jsou smluvní klauzule vyžadující neustálou shodu a monitorování partnerových připojení v reálném čase, ale ani to není všelékem, jelikož současné systémy jsou tak komplexní, že je často téměř nemožné provést kompletní audit použitých komponent a proto se obrana zaměřuje hlavně na automatizovanou detekci nejčastějších a hrozeb a tato detekce je neustále zdokonalována tak, jak se objevují nová rizika.

Řízení bezpečnosti informací v dodavatelském řetězci

Připravovaný zákon o kybernetické bezpečnosti a jeho prováděcí vyhlášky vyžadují pro poskytovatele v nižším i vyšším režimu povinností řídit bezpečnost dodavatelů. Pro tuto činnost je vžitý anglický termín Vendor security assesment (VSA). VSA zahrnuje nastavení pravidel, řízení a kontrolu dodržování povinností v ochraně bezpečnosti informací v dodavatelském řetězci. Tyto činnosti provádí manažer kybernetické bezpečnosti nebo osoba pověřené řízením kybernetické bezpečnosti.

V nižším režimu nestanovuje návrh vyhlášky přesnou podobu organizačního opatření, smlouvy s dodavateli by přesto měly minimálně obsahovat:

  • náležitosti smlouvy o úrovni služeb (SLA),
  • ustanovení pravidel pro dodavatele, se kterými byli odpovídající zaměstnanci prokazatelně seznámení,
  • ustanovení o sankcích za porušení povinností,
  • ustanovení o možnosti auditu dodavatele.

Ve vyšším režimu je nutné identifikovat a řídit takové dodavatele, kteří svými službami nebo produkty mohou ovlivňovat bezpečnost informací a dat. Návrh zákona také definuje tzv. významné dodavatele, kteří mohou významně ovlivnit bezpečnost informací regulované služby. Dodavatele, které organizace vyhodnotí jako významné, musí organizace písemně o této skutečnosti informovat.

V rámci politik řízení dodavatelů, bude například nutné stanovit:

  • pravidla určování významných dodavatelů,
  • pravidla a principy výběru dodavatelů,
  • pravidla pro hodnocení rizik souvisejících s dodavateli,
  • pravidla pro vedení evidence kontaktních údajů dodavatelů,
  • pravidla pro provádění kontroly bezpečnostních opatření,
  • relevantní požadavky na dodavatele plynoucí z bezpečnostních politik organizace.

Návrh vyhlášky pro režim vyšších povinností mimo jiné také stanovuje povinné náležitosti obsahu smluv uzavíraných s významnými dodavateli. Například povinnost zahrnout do smluv ustanovení o bezpečnosti informací, o oprávnění využívat data, o kontrole a auditu dodavatele.

Rozšíření seznamu subjektů přijímajících eDoklady

S účinností od 1.1.2025 se dále rozšířil seznam subjektů, pro které je stanovena povinnost přijímat eDoklady. Místo fyzického občanského průkazu se tak můžete prokazovat dokladem nahraným v aplikaci eDoklady například na poštách a v bankách.

Přehled míst, kde lze eDoklady nově použít od 1.1.2025:
okrskové volební komise
školy, vysoké školy
zdravotní pojišťovny
banky
notáři, exekutoři
obce I. a II. stupně
obecní policie obcí I. a II. stupně
pošta
státní podniky
zastupitelské úřady
příspěvkové organizace

PF 2025

Přejeme našim klientům a partnerům příjemné svátky a šťastný a úspěšný rok 2025.

1. července 2024 nabývá účinnosti nová vyhláška pro veřejnou správu

Vyhlášku 360/2023 Sb., o dlouhodobém řízení informačních systémů veřejné správy, připravila do schvalovacího procesu DIA (Digitální a informační agentura) a jsou v ní stanoveny tyto požadavky směřující k posílení kybernetické bezpečnosti informačních systémů orgánů veřejné správy:

  • požadavky na strukturu a náležitosti hodnocení ekonomické výhodnosti způsobu provozu informačních systémů veřejné správy
  • požadavky na hodnocení ekonomické výhodnosti provozu informačního systému veřejné správy
  • požadavky na hodnocení ekonomické výhodnosti využití poptávaného cloud computingu
  • požadavky na strukturu a náležitosti informační koncepce orgánu veřejné správy, postupy orgánů veřejné správy při jejím vytváření, vydávání, při vyhodnocování jejího dodržování,
  • požadavky na řízení informačních systémů veřejné správy, včetně bezpečnostních úrovní a dekomponování informačních systémů veřejné správy,
  • technické požadavky na informační systémy veřejné správy,
  • pravidla pro strukturování dat v informačních systémech veřejné správy,
  • bezpečnostní požadavky na zajištění důvěrnosti, integrity a dostupnosti informací zpracovávaných v informačních systémech veřejné správy spravovaných orgány veřejné správy, které nejsou orgány nebo osobami, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti podle zákona upravujícího kybernetickou bezpečnost,
  • požadavky na strukturu a náležitosti provozní dokumentace a na rozsah provozní dokumentace předkládané při atestaci

Mezi novinky patří zejména přechod na jednotnou doménu gov.cz, povinné zavedení IPv6 a požadavky na zveřejnění zdrojových kódů jako Open Source.

Jaké kybernetické hrozby odhadujeme pro rok 2024

Stejně jako v loňském roce jsme se pokusili sepsat nejpravděpodobnější kybernetické hrozby pro rok 2024. Kromě přirozeně rostoucího využívání informačních technologií, ale hlavně jejich adaptace uživatelům, kterým není používání elektronických kanálů přirozené (např. senioři) a kteří byli k používání on-line obsluhy donuceni jako zákazníci bank, operátorů nebo dodavatelů energií, kteří takto dlouhodobě cílí na snížení nákladů, bude významnou míru mezi hrozbami v roce 2024 hrát tzv. umělá inteligence (Artificial intelligence – AI). V roce 2024 lze očekávat, že i seznam potenciálních hrozeb bude blízko těmto trendům.

1. Nárůst role AI v kybernetické kriminalitě a strojové učení

Pravidelně se objevují umělou inteligencí (AI) upravené obrázky, videa nebo hlasy reálných osob. Nástup AI byl v posledním roce signifikantní a to se přirozeně projeví i v trendech kybernetické kriminality. Tvorba reálně vypadajících videí nebo volání je na vzestupu a často v první moment dokáží obelstít i odborníky. A s každým pokusem se může díky strojovému učení takový nástroj zdokonalovat. Pak už jde jen o otázku vhodných scénářů podvodu a lineárně se zdokonalováním AI může růst i množství a sofistikovanost podvodů. Předpokladem je, že tyto podvody budou směřovány hlavně na běžnou populaci.

Oproti tomu lze očekávat, že podobně bude AI využívána i na straně aplikací, starajících se o kybernetickou bezpečnost, kde má naopak trend rychlého rozvoje pozitivní efekt. Toho dokáží nejlépe využít firmy. Pokročilé schopnosti AI v oblasti analýzy dat se stále častěji využívají k identifikaci a předvídání kybernetických hrozeb, čímž se zdokonalují systémy včasné detekce. Algoritmy strojového učení se vyvíjejí tak, aby lépe rozpoznávaly nové hrozby a dokázaly na ně reagovat. Dá se tedy předpokládat, že algoritmy AI budou poskytovat analýzu hrozeb v reálném čase, což umožní rychlejší a přesnější detekci kybernetických incidentů a reakci na ně.

2. Pokračující trend práce na dálku

Práce na dálku, bude i v roce 2024 významně ovlivňovat profesní prostředí. I přesto, že hlavní posun tímto směrem již proběhl, postupné nastavení práce na dálku jako jednu z běžných norem znamená vyžadovat zvýšený důraz i na kybernetickou bezpečnost, zejména na zabezpečení vzdáleného přístupu do pracovního prostředí. Kromě šifrování komunikace budou významnou roli hrát metody autentifikace a autorizace uživatelů. Díky tomu poroste význam systémů označovaných jako CIAM (Customer Identity and Access Management – Správa identit a přístupu zákazníků). Tyto funkce mají zásadní význam pro ochranu před neoprávněným přístupem a kybernetickými hrozbami, které jsou v prostředí vzdálené práce stále častější. Nejde tedy jen o to oprávněného uživatele do vnitřní sítě pustit, ale nastavit mu i odpovídající práva na přístup k jednotlivým službám, funkcím nebo datům.

3. Narůstající útoky vyděračského software (ransomware)

Ransomware zůstane velmi významnou hrozbou i v roce 2024. Současně vzrůstá komplexita jeho taktiky, často za podpory nástrojů AI a útoky jsou stále složitější a jednání vyděračů agresivnější. Očekává se, že v roce 2024 budou škody způsobené ransomware vyšší než v roce 2023 a tento trend bude pravděpodobně pokračovat i v roce 2025. Kromě vlastního znepřístupnění dat formou zašifrování roste i oblast vyhrožování zveřejněním ukradených dat, pokud nedojde k platbě. A k několika významným únikům dat do veřejného prostoru touto cestou již proběhlo. I nadále trvá doporučení vyděračům neplatit.

Ochranou před ztrátou dat je jedině nastavení robustní záložní strategie, školení zaměstnanců, kybernetické pojištění (jehož význam také poroste), odborné znalosti v oblasti ochrany a plány reakce na incidenty. V roce 2024 vstoupí v platnost evropská směrnice NIS2, která systémově řeší oblasti kybernetické bezpečnosti, ale i bez ní se stane standardem na trhu provádění penetračních testů, ověřování integrity sítě, identifikace neoprávněných aktivit a monitorování podezřelého chování (třeba i s využitím AI).

4. Rostoucí důležitost internetu věcí (IoT)

V roce 2024 bude pokračovat exponenciální nárůst zařízení označovaných jako internet věcí (IoT). Jako každá jiná expanze i tato však s sebou nese řadu bezpečnostních rizik a výzev. Různorodá ale všudypřítomná zařízení internetu věcí z nich činí atraktivní cíle kybernetických útoků a jejich propojená povaha může vést k rozsáhlým zranitelnostem. Mohou být přímo napadeny, ale také mohou sloužit jako prostředek k hromadnému napadení jiných zařízení, nebo mohou fungovat jako spící agenti, připravení zaútočit na pokyn útočníka.

V roce 2024 bude kladen hlavní důraz na zvýšení bezpečnosti internetu věcí různými prostředky. Jeden z významných pokroků se očekává ve vývoji robustnějších, standardizovaných bezpečnostních protokolů pro zařízení internetu věcí. To by mohlo zahrnovat univerzální šifrovací standardy a povinné bezpečnostní certifikace pro nová zařízení. V systémové oblasti pak bude zacíleno na monitorování a vyhodnocování neobvyklých vzorců chování, které mohou indikovat narušení a patrně bude i v této oblasti narůstat význam AI a strojového učení.

Celosvětově již probíhají kampaně pro vzdělávání uživatelů v oblasti bezpečnosti internetu věcí. S tím, jak si uživatelé budou lépe uvědomovat potenciální rizika a osvědčené postupy dojde i ke zlepšení celkového zabezpečení sítí IoT.

5. Vzestup kvantových počítačů a jejich dopad na kybernetickou bezpečnost

Kvantové počítače se čím dál častěji hlásí o své místo a nejinak tomu bude i v roce 2024. Kvantové výpočty přinášejí převrat v myšlení o zpracování dat a řešení problémů. Zatímco klasické počítače používají bity reprezentované jako 0 nebo 1, kvantové počítače využívají tzv. qubity, které mohou existovat ve více stavech současně. To dovoluje kvantovým počítačům zpracovávat obrovské objemy dat nebývalou rychlostí a řešit složité problémy řádově rychleji než tradiční počítače.

Rozvoj kvantových počítačů představuje pro kybernetickou bezpečnost hrozby i příležitosti. Na jedné straně představuje významné hrozby pro současné protokoly kybernetické bezpečnosti. Schopnost rychle prolomit tradiční šifrovací metody, jako jsou RSA a ECC, by mohla způsobit zranitelnost mnoha stávajících bezpečnostních systémů. Tato zranitelnost zdůrazňuje naléhavou potřebu vývoje kvantově odolných šifrovacích technik, které se označují jako postkvantová kryptografie a které by měly časem nahradit stávající šifrovací algoritmy.

Na druhou stranu nabízí obrovský výpočetní výkon potenciál pro posílení kyberbezpečnostních opatření. Kvantová výpočetní technika může zdokonalit metody šifrování, vyvinout sofistikovanější algoritmy pro odhalování kybernetických hrozeb a efektivně řídit rozsáhlé a bezpečné datové operace.

6. Evoluce phishingových útoků

Phishingové útoky jsou ve světě kybernetické bezpečnosti již dlouho přetrvávající hrozbou a v roce 2024 se jejich sofistikovanost a účinnost bude i nadále zvyšovat a to i díky AI. Moderní phishingové útoky se zdokonalily v obcházení tradičních bezpečnostních opatřeník oklamání uživatelů používají personalizovanější a technicky vyspělejší taktiky, ke kterým využívají i strojové učení. Pro rok 2024 to bude znamenat zvýšení bezpečnosti prostřednictvím robustních autentizačních a autorizačních systémů. Lze očekávat vyšší míru zavedení silných systémů vícefaktorového ověřování (Multi Factor Authorization – MFA). Stejně tak budou firmy zavádět systémy pro monitoring chování uživatelů, aby například i z nestandardních kroků odhalily, že přihlášený uživatel není oprávněnou osobou. Stejně jako phishingové útoky a obrana proti nim se bude muset významně rozvíjet.

7. Vztah blockchainu a kybernetické bezpečnosti

V průběhu roku 2024 poroste důležitost technologie blockchainu, která bude stále více uznávána pro svůj potenciál významně zvýšit kybernetickou bezpečnost. Blockchain jako decentralizovaná technologie účetní knihy, která je známá svými unikátními bezpečnostními vlastnostmi, jako je neměnnost, transparentnostodolnost proti manipulaci, se začne významně zapojovat v oblasti kybernetické bezpečnosti. Její vlastnosti z ní činí atraktivní možnost zabezpečení digitálních transakcí a ochrany dat před kybernetickými hrozbami.

Jedním z hlavních způsobů, jak blockchain dokáže zvýšit kybernetickou bezpečnost, je jeho schopnost zabránit manipulaci s daty. Jakmile jsou data zaznamenána v blockchainu, nelze je bez konsensu sítě změnit, což hackerům téměř znemožňuje jejich manipulaci. Tato vlastnost je obzvláště užitečná pro zabezpečení citlivých dat, jako jsou údaje o osobní identitě, finanční transakce, údaje o kritické infrastruktuře apod. Blockchain se také stále více prosazuje při vytváření bezpečnějších a decentralizovanějších systémů správy identit. Ukládáním údajů o identitě do blockchainu mohou mít jednotlivci a organizace větší kontrolu nad tím, kdo má k jejich informacím přístup, což snižuje riziko krádeže identity a podvodů.

Předpokládá se, že v roce 2024 bude role blockchainu narůstat při zabezpečení zařízení internetu věcí (IoT). Integrace blockchainu do sítí IoT umožňuje, aby každé zařízení fungovalo jako bezpečný, nezávislý uzel, díky čemuž je celá síť odolnější vůči útokům, které obvykle využívají slabin centralizovaného zabezpečení. Kromě toho lze očekávat, že inteligentní kontrakty založené na blockchainu budou mít větší využití při automatizaci a zabezpečení digitálních dohod. Tyto samovykonatelné smlouvy mohou zvýšit bezpečnost různých online transakcí, zajistit dodržování předpisů a snížit riziko narušení.

8. Zvýšený dopad na mobilní bezpečnost

V roce 2024 se dále posílí role mobilních zařízení, která se stávají stále více nedílnou součástí osobního i profesního života. Tím se ještě zvýší důraz na mobilní bezpečnost. Zvýšená závislost na mobilních zařízeních pro různé úkoly, pro práci na dálku, v rámci finančních transakcí nebo pro osobní komunikaci z nich činí atraktivní cíle pro kybernetické hrozby. Proto poroste poptávka po řešení pro bezpečný mobilní přístup. Sem patří silné šifrovací protokoly, které zajišťují přenosy chráněné před neoprávněným zachycením nebo přístupem, vícefaktorové ověřování u transakcí s citlivými daty. Další oblastí bude protokolování komunikace s automatizovanou analýzou, což představuje prevenci neoprávněného přístupu, nebo poroste role monitorování jakékoli podezřelé aktivity, která se může během vzdálené relace vyskytnout. A to vše musí být v souladu s uživatelskou přívětivostí, aby uživatelé bezpečnostní pravidla neobcházeli.

9. Nedostatečné znalosti a vliv vzdělávání na kybernetickou bezpečnost

Rok 2024 bude v odvětví kybernetické bezpečnosti znamenat významnou výzvu, kterou je nedostatek kvalifikovaných pracovníků. Zavádění NIS2, nový zákon a vyhláška o kybernetické bezpečnosti tento trend ještě akcelerují. S tím, jak se kybernetické hrozby stávají sofistikovanějšími, roste poptávka po kvalifikovaných odbornících na kybernetickou bezpečnost. Současně je patrný nedostatek osob obecně vybavených potřebnými dovednostmi a znalostmi, aby mohly účinně bojovat proti těmto vyvíjejícím se hrozbám. Tento nedostatek představuje riziko nejen pro jednotlivé organizace, ale také pro globální kybernetickou infrastrukturu. Řešení tohoto problému se věnuje řada iniciativ, ať již v rámci vzdělávacích institucí, které rozšiřují své studijní programy v oblasti kybernetické bezpečnosti a nabízejí specializované tituly a certifikace, nebo i přímo ve firemním vzdělávání a to jak specializované, tak obecné pro širší okruh zaměstnanců ve formě seminářů, školících programů, workshopů nebo praktických cvičení a informační osvětě.

V období do roku 2024 hrají tyto vzdělávací a školicí iniciativy zásadní roli při snižování nedostatku kybernetických dovedností, což v konečném důsledku povede k robustnějšímu a odolnějšímu digitálnímu ekosystému firem.

10. Pojištění proti kybernetickým útokům

Pojištění kybernetické bezpečnosti se v roce 2024 nezbytně stane běžnou součástí strategií řízení podnikových rizik. Ať to souvisí s trendem narůstajících kybernetických rizik nebo i se zaváděním evropské směrnice NIS2 a nového zákona o kybernetické bezpečnosti, rok 2024 bude znamenat pro mnoho firem nutnost se proti obdobným rizikům pojistit. Souvisí to s rostoucí složitostí a četností kybernetických hrozeb, a s tím souvisejícími finančními riziky. Ještě důležitější však bude pojištění rizik spojených s úniky dat, jelikož jde často o obchodní, osobní nebo dokonce citlivé informace. Náklady na toto pojištění budou vždy významně ovlivněny postojem pojištěné organizace v oblasti kybernetické bezpečnosti a pojišťovny budou vyžadovat dodržování široké sady pravidel. Půjde například o zavedení robustního šifrování, vícefaktorového ověřování, komplexních protokolů o přístupu apod.

Race for the cure 2023

Protože říjen není jen měsícem kybernetické bezpečnosti, ale tradičně je i měsícem věnovaným problematice rakoviny prsu, zúčastnili jsme se v neděli 4. ročníku charitativního běhu Race for the cure. Výtěžek ze startovného bude věnován na aktivity Aliance žen s rakovinou prsu a projektu Bellis – mladé ženy s rakovinou prsu.

Časový harmonogram zavedení NIS2 a hrozící sankce

Kdy nastanou změny v souvislosti s NIS2 a proč jim věnovat pozornost již nyní?

Platnost zákona je očekávána v druhé polovině roku 2024. Dle dostupných informací bude existovat roční přechodné období, ale vybrané požadavky zákona (např. povinnost plnit protiopatření NÚKIB nebo hlásit kontaktní údaje a jejich změny) bude nutné začít plnit již v druhé polovině roku 2024. Zavedení souladu s NIS2 bude časově náročná činnost a proto lze očekávat, že bude implementace do dané společnosti trvat minimálně několik měsíců. Vzhledem k tomu že právní úprava se blíží finálnímu znění a v odborné veřejnosti je již známa, lze interní harmonogram začít plánovat již nyní. Vzhledem k tomu, že některá opatření vyvolají dodatečné náklady, bude důležité zahájit plánování i z důvodu nárokování odpovídajících částek v rozpočtu podniku. 

Za nesplnění budou hrozit vysoké sankce. Maximální pokuta za nedodržení bude 10 000 000 Kč, nebo 2 % z celkového celosvětového ročního obratu společnosti. Minimální výše není stanovena, sankce by však neměla být likvidační, přesto je však nutné zohlednit i to, že vlastní sankce může být jen zlomkem skutečných škod, které kybernetický útok způsobí.

Kromě toho hrozí i správní tresty, mezi něž patří pozastavení platnosti certifikace a pozastavení výkonu řídicí funkce (u poskytovatelů regulovaných služeb v režimu vyšších povinností). Pokud by se hypoteticky vrcholné vedení regulované organizace soustavně vyhýbalo plnění svých zákonných povinností vyplývajících z návrhu zákona o kybernetické bezpečnosti a jeho prováděcích předpisů, hrozí v krajním případě až pozastavení výkonu řídicí funkce přímo fyzické osobě.

 

OneWelcome CIAM Advanced Training

Absolvovali jsme OneWelcome CIAM Advanced Training.

Pětidenní program tohoto pokročilého školení nám poskytl nové zajímavé zkušenosti s konfiguračními aspekty řešení OneWelcome. V rámci praktických cvičení také prověřil důkladné pochopení technických aspektů produktu a naše schopnosti efektivně implementovat řešení CIAM.

Výběr z témat: dynamická registrace klientů, OAuth klient pro ověřování, konfigurace souhlasu s dokumenty, získávání souhlasů s dokumenty prostřednictvím rozhraní API, konfigurace a ověřování postupného souhlasu s dokumenty, konfigurace atributového souhlasu spolu s účelem zpracování, integrace služeb třetích stran, BPMN, konfigurace BPMN pro snadný registrační tok

Přestěhovali jsme se blíže centru

Od tohoto týdne se spolu můžeme vídat na naší nové adrese Bělehradská 299/132, Praha 2


Přehled ochrany osobních údajů

Tyto webové stránky používají soubory cookies, abychom vám mohli poskytnout co nejlepší uživatelský zážitek. Informace o souborech cookie se ukládají ve vašem prohlížeči a plní funkce, jako je rozpoznání, když se na naše webové stránky vrátíte, a pomáhají našemu týmu pochopit, které části webových stránek považujete za nejzajímavější a nejužitečnější.

Nezbytně nutné soubory cookies

Nezbytně nutný soubor cookie by měl být vždy povolen, abychom mohli uložit vaše preference nastavení souborů cookie.