![]() |
Ondřej Ševeček |
Produktový manažer kurzů oblasti Microsoft servery a systémy Počítačové školy Gopas |
|
![]() |
Zásadní změnou posledních let je rozšíření šifrovaného připojení HTTPS. Díky němu je většina komunikace mezi uživatelem a webovou stránkou zašifrovaná, takže útočník připojený ke stejné síti už nemůže jednoduše číst přihlašovací údaje nebo obsah komunikace, jak tomu bylo ještě kolem roku 2010. Vyšší úroveň ochrany dnes nabízejí také samotná zařízení. Moderní operační systémy upozorňují na podezřelé certifikáty nebo pokusy o podvržení zabezpečených webových stránek. Vlastní šifrování navíc využívá většina bankovních aplikací, e-mailových služeb i komunikačních platforem, jako jsou WhatsApp nebo Signal. |
07.07.26-ÚT Pozor na falešné WiFi sítě o letní dovolené |
Že nejde o vzdálenou hrozbu, ukázal loňský případ značky Ecovacs v USA, kdy se hackerům podařilo převzít kontrolu nad několika modely robotických vysavačů. Incident vzbudil pozornost nejen kvůli bizarním projevům strojů, ale hlavně kvůli tomu, že přístup útočníků umožnila kombinace softwarové chyby a nedostatečného zabezpečení bezdrátového rozhraní. Pokud je podobný scénář možný v domácím prostředí, o to vyšší je riziko v provozech, kde roboti pracují s citlivými daty nebo jsou propojeni s vnitropodnikovými systémy. Firmy, které uvažují o zavedení nebo rozšíření robotického úklidu, by měly věnovat bezpečnosti stejnou pozornost jako u jiných prvků své IT infrastruktury. Základem je výběr zařízení s jasně deklarovanými bezpečnostními standardy, pravidelné aktualizace, silná hesla a oddělení provozní sítě robotů od zbytku firemní infrastruktury. Důležitou roli hraje i školení personálu, aby nedocházelo k běžným chybám - například používání sdílených přístupů nebo neautorizovaných aplikací. |
Řada hackerů nyní přechází na model využívání hackerského nástroje jako služby. Kyberzločinci si tak mohou koupit celou infrastrukturu ransomwaru. Ransomwarové skupiny jsou nyní součástí širšího ekosystému kybernetické kriminality. K dispozici mají široké spektrum zdrojů, se specializací např. na počáteční přístup do podnikových IT prostředí, pověření, útoky na soubory cookie pro aplikace SSO (Single Sign-On) a včetně infrastruktury pro distribuci. Zároveň mají tyto skupiny odborníky zaměřené na rekrutování pomocníků z řad osob, které mají přístup do interního systému. Riziko pro firemní data a celkovou bezpečnost, které přichází od zaměstnanců je stále velmi vysoké. A phishingové útoky, které hackeři vedou přes zaměstnance jsou velmi účinné. Firmy mají stále ve vzdělávání svých zaměstnanců zejména v bezpečném chování na internetu rezervy. |
19.08.24-PO Sofistikované útoky hackerů s využitím AI |
K pojmům jako aktivní a pasivní bezpečnost se tedy u automobilů oficiálně přidává i kybernetická bezpečnost. Předpis 155 OSN požaduje, aby výrobci automobilů a jejich dodavatelé zavedli systém řízení kybernetické bezpečnosti (CSMS), který zajistí, že kybernetická bezpečnost je integrována do životního cyklu vozidla. CSMS by měl zahrnovat procesy pro identifikaci, analýzu, hodnocení a řízení kybernetických rizik, stejně jako opatření pro prevenci, detekci, odezvu a obnovu po kybernetických incidentech. Většina moderních automobilů je vybavena internetovým připojením, které umožňuje cestujícím a řidiči snadný přístup k zábavě, navigaci a informacím. Připojení auta k internetu ho ale vystavuje většímu nebezpečí vzdálených útoků. Stále více zařízení obsahuje čipy, které shromažďují a odesílají informace nebo jsou dokonce zapojené do firemních sítí a cloudových řešení, a jejich zabezpečení je velkou výzvou pro odborníky na kybernetickou bezpečnost. |
Evropská směrnice NIS2 navazuje na současnou legislativu, ale klade mnohem vyšší nároky na zabezpečení interních systémů také na celý dodavatelský řetězec dotčených organizací, takže v důsledku bude mít dopad i na řadu menších subjektů. Významně se rozšiřuje počet organizací a systémů státní zprávy i soukromých společností, na které nově dopadají povinnosti řídit prokazatelně svoji informační bezpečnost. A nejen to, součástí je také požadavek na sledování bezpečnostních událostí a řízení incidentů, zvláště pak i hlášení incidentů. Vyplývají z ní dokonce osobní odpovědnosti, za jejichž porušení hrozí citelné pokuty tedy i konkrétním zaměstnancům. Proto jsme připravili zbrusu nový kurz NIS2 a Zákon o kybernetické bezpečnosti, jehož cílovou skupinou jsou zejména manažeři i technici s povědomím a odpovědnostmi v oblasti informační technologií. |