ICT NN IOT NN |B2B NN | CB NN | DC NN | RC NN |  CW NN | EW NN |SM NN | ITSEC NN | NETGURU NN KANKRY 256x256 facebook cube 256x256 linkedin cube 256x256 twitter cube 256x256 youtube cube

Kybernetické hrozby prvního čtvrtletí 2017

V průběhu prvních tří měsíců tohoto roku jsme byli svědky prudkého nárůstu složitosti kybernetických útoků, za kterými stály vlády některých států. Kyberzločinci se také více soustředí na wipery a finanční kriminalitu. Tato a další zjištění přinesl přehled prvního čtvrtletní, který se zakládá na databázi hrozeb produktů Kaspersky Lab.

Nový čtvrtletní report APT trendů, upozorňující na vývoj cílených útoků a nových hrozeb, bude volně dostupný. Firmy a další organizace tak díky němu budou mít přehled o současných hrozbách. Obsah reportu se zakládá na sledování aktivit APT zločinců v průběhu celého čtvrtletí odborníky Kaspersky Lab.

Nejvýznamnější zjištění za první čtvrtletí 2017:

  • Kyberzločinci čím dál více využívají wipery k cíleným útokům. Jejich cílem je buď kybernetická špionáž, nebo zahlazení stop po této aktivitě. Zdokonalená generace Wiperů byla použita v nedávné vlně útoků Shamoon. Při jejich vyšetřování odborníci objevili StoneDrill a podobnost jeho kódu se skupinou NewsBeef (také nazývanou Charming Kitten). Oběti StoneDrillu se objevily také v Evropě.
  • Cílené útoky se začínají zaměřovat i na finanční krádeže. Několikaleté sledování aktivit skupiny Lazarus přivedlo analytiky z Kaspersky Lab k další skupině nazývané BlueNoroff. Ta má na svědomí vysoký počet útoků na finanční instituce v různých částech světa včetně velkého útoku na území Polska. Podle neověřených informací je skupina BlueNoroff odpovědná také za neblaze proslulou krádež v centrální bance Bangladéše. 
  • Kyberzločinci využívají fileless malware jak k cíleným, tak i k běžným útokům. Kvůli tomu je jejich odhalení podstatně složitější a vyšetřování náročnější. Odborníci z Kaspersky Lab objevili části fileless malwaru v doplňkových nástrojích použitých v útocích proti východoevropským bankám a v rámci útoku Shamoon. Využívají ho nicméně i další APT zločinci.

Global Research and Analysis tým společnosti Kaspersky Lab je v současnosti na stopě více než stovce kyberzločineckých uskupení a sofistikovaných zákeřných aktivit, které se zaměřují na komerční a vládní organizace ve více než 80 státech světa. Za první čtvrtletí roku 2017 vypracovali experti Kaspersky Lab za pomoci indikátorů napadení (IOC) a pravidel YARA pro své zákazníky celkem 33 soukromých reportů. Ty jim pomohly s pátráním a detekováním malwaru.

Autor: Petr Smolník, šéfredaktor

Webinář: Plnění požadavků GDPR s podporou poskytovatele cloudových služeb

 Regulace oblasti osobních údajů se s příchodem GDPR (General Data Protection Regulation) výrazně rozšiřuje. S cílem lépe zabezpečit osobní údaje občanů EU se nově požaduje vytváření kontrolních mechanismů, které obdobně fungují zatím jen pro regulované vertikály. Zavedení těchto požadavků do praxe bude vyžadovat změnu přístupu na straně prakticky všech subjektů. Zavedení těchto požadavků do praxe bude vyžadovat změnu přístupu na straně prakticky všech subjektů.


Společnost Microsoft může využít jak svých dřívějších zkušeností dodavatele v regulovaných odvětvích, tak pozice dodavatele již zavedených a z hlediska bezpečnosti auditovaných služeb v cloudu. Můžeme tak zákazníkům výrazně ulehčit cestu ke splnění všech legislativních požadavků dle GDPR nařízení.                                                                                                                                                                                                                                                            

                                                                      Webinář se uskuteční 25. května 2017 od 15 hodin. 

Prezentovat vám budou:

  • Jiří Černý, ředitel pro právní záležitosti, Microsoft
  • Aleš Špidla, prezident Českého institutu manažerů informační bezpečnosti
  • Zdeněk Jiříček, National Technology Officer, Microsoft

Věděli jste?  

Nová práva subjektů dat:  GDPR nyní dává subjektům dat nová práva (právo na výmaz, právo na opravu, právo na omezení zpracování, právo na přenositelnost údajů, právo na stížnost u dozorového úřadu).

Zabezpečení zpracování:  požadavky na zavedení vhodných technických a organizačních bezpečnostních opatření se vztahují na správce i zpracovatele bez ohledu na to, jestli zpracování probíhá on-premise u správce, nebo formou outsourcingu u zpracovatele?

Sankce za neplnění:  GDPR nařízení dramaticky zvyšuje sankce za neplnění povinností ze zpracování osobních údajů (20 000 000 EUR, nebo 4 % z globálního obratu).

Zjistěte, jak poskytovatel cloudu může převzít od uživatele cloudu (správce) část odpovědnosti a rizik, vyplývajících z automatizovaného zpracování osobních údajů.

ICT NETWORK NEWS je mediálním partnerem.


Těšíme se na vás!

První úvodní díl webinářů je dostupný ke shlédnutní zde.
Druhý díl o zabezpečení dokumentů je dostupný ke shlédnutní zde.
Třetí díl o zabezpečení zařízení je dostupný ke shlédnutní zde.
Pátý díl o bezpečnosti infrastruktury je dostupný ke shlédnutní zde.
Čtvrtý díl o bezpečnosti identit je dostupný ke shlédnutní zde.
Pátý díl o bezpečnosti infrastruktury je dostupný ke shlédnutní zde.

Další informace naleznete na www.chranimedata.cz

Autor: Petr Smolník, šéfredaktor

GDPR: Realita je krutá

cm 03Jen asi 10 procent organizací si je vědomo výše možných sankcí a dalších postihů v případě nedodržování nařízení GDPR.

GDPR však nejsou jen sankce, je to i obrovská šance udělat si pořádek v datech a v procesu zacházení s nimi. Povinný datový audit (nebo chcete-li inventura) před implementací opatření k zajištění souladu s GDPR ukáže, kde osobní údaje jsou a kudy tečou. Většinu organizací, a to jak z privátní, tak i státní sféry, čeká velké překvapení. Na základě informací z již proběhlých datových auditů lze konstatovat, že vládne přesvědčení, že je vše v pořádku a že data včetně osobních údajů jsou pouze tam kde mají být. Výsledky datového auditu toto přesvědčení totálně zbortí.

V jedné organizaci, kde byl datový audit proveden, bylo nalezeno na 1,9 milionů souborů a osobní údaje obsahovalo na 1,2 milionů souborů. Je na místě obava, že nikdo by 60procentní podíl souborů s osobními údaji neočekával. Soubory s osobními údaji byly nalezeny na mnoha místech mimo určená úložiště a někdy i na místech, která byla mimo jakoukoliv kontrolu. Zde je významným bezpečnostním rizikem tzv. šedé IT, kdy zaměstnanci mají své „pracovní“ soubory s osobními údaji na svých stanicích, noteboocích, tabletech, smartphonech apod. absolutně mimo jakoukoliv kontrolu. Datový audit, vyvolaný GDPR odhalí také duplicity a nepotřebné soubory, kdy podle průzkumu firmy Veritas 41 % nalezených souborů nebylo zpracováváno tři roky a 12 % dokonce sedm let!

Datový audit kromě odpovědí na otázky – kde osobní údaje jsou, kudy tečou, kdo, kdy, jak a proč má k nim přístup, generuje také nutnost hledání odpovědí na mnoho dalších otázek – komu osobní údaje poskytujeme, jak zajistíme práva subjektu údajů a ke kterým osobním údajům, potřebujeme je vůbec zpracovávat, jaké jiné zákony mají vliv na jejich zpracování, jsme schopni popsat logovat a auditovat všechny procesy, které se zpracováním osobních údajů souvisí atd.?

Na otázky odpovídá Aleš Špidla, prezident ČIMIB.

ČIMIB je již tradičně mediálním partnerem na konferencích o tématu GDPR, jak vidíte připravenost jednotlivých firem z pohledu vaší praxe?

Připravenost firem na implementaci GDPR lze hodnotit z dvou úhlů pohledu. Oficiální odpovědi zevnitř organizací jsou buď plné optimismu vyplývajícího z neznalosti problematiky GDPR nebo z přesvědčení, že se jich GDPR netýká. Druhý úhel pohledu vede k diametrálně odlišným výsledkům. Tento pohled je podpořen datovými audity, procesním analýzami a objektivním posouzením stavu. Obecně lze říct, že česká národní prokrastinace působí i v oblasti GDPR a vzbuzuje pocit, že času je do 25.května 2018 přece dost.

Začínáte již s některými partnery tuto otázku řešit reálně v praxi? Pokud ano, jaké volíte postupy a jaká je realita?

Realita je taková, že pokud vedení organizace disponuje jistou mírou osvícenosti, tak chápe GDPR jako z jedné strany problém a z druhé strany jako výše zmíněnou šanci. Pokud vedení disponuje vyšší mírou osvícenosti, potom vnímá GDPR v kontextu tzv. Špidlova trojúhelníku. Ten znamená, že GDPR je nutno řešit současně s kybernetickou bezpečností a nařízení o elektronické identitě a službách poskytujících důvěru na vnitřním trhu EU (eIDAS). Tyto vrcholy Špidlova trojúhelníku jsou velmi úzce provázány a jejich současné a komplexní řešení vytváří prostor pro úspory finančních, lidských i časových zdrojů. Vede tedy k efektivnímu řešení jak GDPR, tak kybernetické bezpečnosti a eIDAS.

V případě úniku osobních údajů (vrchol GDPR), které jsou většinou způsobeny nedostatečným zajištěním kybernetické bezpečnosti (vrchol KB) a 74 % průniků do informačních systémů je způsobeno podvrženou identitou (vrchol eIDAS) lze předpokládat i aplikaci zákona o trestní odpovědnosti právnických osob (ZTOPO), který číhá uprostřed Špidlova trojúhelníku.

Myslíte si, že se všechny firmy, jichž se toto nařízení EU dotýká stihnou připravit?

Všechny zcela určitě ne, protože pro některé už je pozdě. Nicméně při případné kontrole ze strany dozorového orgánu, což je v České republice Úřad pro ochranu osobních údajů (ÚOOÚ), bude bráno v úvahu i to, v jaké fázi implementace GDPR se organizace nachází. Pokud začne nad řešení organizace přemýšlet v květnu 2018, potom se se zlou potáže. Pokud bude mít za sebou většinu potřebných kroků, může počítat s tomuto stavu odpovídajícím přístupem ze strany ÚOOÚ. Nesmí samozřejmě dojít k úniku osobních údajů a následným škodám, porušení práv subjektů údajů apod.

-LiM

Nejčtenější

Chyba: Žádné články k zobrazení