Stamiliony uniklých údajů – emailové adresy a hesla

V listopadu 2020 bylo možno na několika hackerských fórech stáhnout sbírku obsahující více než 226 emailových adres a hesel. Kolekce ukradených přihlašovacích údajů byla nazvána jako Cit0Day. Podle nezávislých šetření jsou tato data skutečně pravá. Souborům se důkladně věnoval Troy Hunt – odborník na počítačovou bezpečnost, jejichž rozbor zveřejnil na svých stránkách .

Cit0Day obsahuje také seznam více než tří stovek webů s doménou .cz, kterých se únik databází emailových adres a hesel týká. Ve většině případů jsou získané přihlašovací údaje v nezabezpečené (nezahashované) formě – v otevřeném textu. Pro naše čtenáře jsme ze zveřejněných souborů připravili seznam dotčených  českých webů s počtem uniklých údajů. 

Hash představuje otisk datové zprávy (vytvořený matematickou funkcí). Matematické funkce jsou pouze jednocestné – z otisku nelze získat půdní zprávu. Otisky různě dlouhých zpráv jsou stejně dlouhé. Různé datové zprávy vytvoří různé hashe. (Otisky jsou unikátní.) Hash se používají pro zabezpečení hesel, ověření unikátnosti či neporušenosti datových zpráv, apod.

Jak je vidno, únik se týká i nemalého počtu uživatelů a provozovatelů z České republiky. Počet kompromitovaných údajů z více než 300 českých domén překračuje 3,2 milionu, přičemž nadpoloviční většina údajů byla získána v nezabezpečené podobě (otevřeném textu).

Letos jsme již jednou psali o tom, jak zjistit, zda v souvislosti s naší emailovou adresou neuniklo heslo a jaké kroky po tomto zjištění učinit. Článek Ukradená hesla – vaše možná také, který obsahuje i doporučení jak vytvořit silné heslo a jak hesla spravovat, aniž bychom si je všechna pamatovali, je kdykoliv k dispozici na našich webových stránkách

Hodí se však připomenout, že výše zmíněný odborník Troy Hunt zdarma provozuje webové stránky HaveIBeenPWNed.com, na kterých si můžete ověřit, zda váš email byl součástí některého z dosud odhaleného úniku nebo se zaregistrovat k odběru upozornění, pokud se tak v budoucnu stane. Ostatně díky této registraci jsme byli upozornění, že se aktuální únik týká i našich soukromých emailových adres. 

Databáze hashů kompromitovaných hesel je veřejně dostupná a připravena k využití. Například náš informační systém QML  sám ověřuje nová hesla oproti databázi HaveIBeenPWNed.com.

Pokud se váš email nachází v seznamu uniklých hesel, a patříte k těm uživatelům, kteří používají jedno heslo, důrazně doporučujeme změnit hesla! A to nejen do emailové schránky samotné, ale ke všem službám, k nimž se prostřednictvím tohoto emailu přihlašujete.

Starosti vyřešíme za vás.

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Máte pořádek v souhlasech? Padla rekordní pokuta (GDPR)

V českém rybníčku se téma GDPR zase jednou dostalo nad hladinu. Vodu zčeřila zpráva, že Úřad pro ochranu osobních údajů uložil rekordní pokutu ve výši 6.000.000 Kč  společnosti zabývající se prodejem ojetých automobilů za opakovaná, nevyžádaná rozesílání obchodních sdělení.

Výše uvedená společnost totiž ve své marketingové kampani obeslala 459 779 adresátů prostřednictvím prostředků elektronické komunikace. Úřad se zaměřil na právní důvod, na základě kterého společnost svá obchodní sdělení zasílala. Ta však nebyla schopna prokázat udělené souhlasy.

Nejmenovaná společnost se proti rozhodnutí odvolala, nicméně rozklad byl zamítnut a rozhodnutí bylo v srpnu potvrzeno. Zajímají-li vás podrobnosti, ÚOOÚ prvoinstanční i druhoinstanční rozhodnutí zveřejnil zde . Potrestaná společnost již údajně uloženou pokutu v plné výši uhradila. 

Víte, kdy souhlas potřebujete a kdy ne? A víte, že musíte být připraveni prokázat udělený souhlas? 

Jak to máte vy?

Máte-li databázi kontaktů, do které se vám zákazníci sami svobodně přihlásili a udělili Vám souhlas pro zasílání obchodních či marketingových sdělení, potom můžete tuto databázi dále používat. Je však potřeba pohlídat, zda souhlasům neskončila jejich platnost. Jestli však svobodný souhlas nemáte, skončila jeho platnost nebo je vaše evidence zanedbaná, bude nutné získat souhlasy nové. Avšak jedná-li se o kontakty zákazníků či obchodních partnerů, s kterými aktivně spolupracujete, a účel zaslaného e-mailu se této spolupráce týká, není souhlas nutný, protože se jedná o váš oprávněný zájem. Což je případ tohoto sdělení, které právě čtete. Důležité však je, že ve všech případech musí mít adresát možnost se ze zasílání e-mailů odhlásit.

Je čas na inventuru, jaká data se u vás ve společnosti vyskytují a jak je o ně postaráno. A nejde jen o osobní údaje, ale i o další informace, které každodenně využíváte. Jsou v bezpečí? Kdo k nim má přístup? Jak se zpracovávají? Zajisté se u vás najdou i nějaké prohřešky proti bezpečnosti, nad jejichž nápravou by bylo vhodné se zamyslet… 

Q – COM je připraven vás nenechat ve štychu a pomoci s tím nelehkým úkolem. GDPR je převážně o revizi datových toků a nastavení interních pravidel, procesů a směrnic. My víme, jak na to.

Nastal čas na změnu…

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Ukradená hesla – vaše možná také

Přestože se pomalu prosazují alternativní způsoby přihlašování, heslo stále zůstává zásadním bezpečnostním prvkem nejen pro jednotlivce, ale i ve velké části firem.

Používáme desítky různých služeb, ke kterým se přihlašujeme heslem. Obvykle jsme nuceni dodržovat požadavky na složitost (velká a malá písmena, číslice, délka hesla, speciální znaky) a často jsme vyzývání ke změně hesla. Poslední standard pro tvorbu hesel  tuto zažitou praxi ruší a přináší nový přístup k heslům, protože všechny tyto výše uvedené faktory vedou k tomu, že valná část uživatelů svá hesla zjednodušuje, opakuje nebo využívá jedno heslo pro více služeb.

 

Koncem ledna odvysílala TV Prima reportáž o nárůstu kybernetických útoků na firmy a také domácnosti. Jak jsme psali v naší nedávné novince „Kyberkriminalita, hacking, GDPR“ , hackeři mohou napadnout jakékoliv zařízení, které je připojeno k internetu. Snaží se získat přístupy k bankovním účtům či jiným službám, osobní údaje, čísla platebních karet a samozřejmě hesla. Dle společnosti ESET  je každý desátý kybernetický útok v České republice zaměřen na získání uživatelského hesla, a to nejčastěji prostřednictvím trojských koní, kteří získávají hesla z prohlížečů. A že se jim to daří!

Získané údaje jsou dále využívány k pokusům o přístup do dalších služeb, vydírání, krádežím identit, tvorbě seznamů, se kterými se dále obchoduje na darknetu. Ostatně sami provozovatelé online služeb jim práci usnadňují, když jsou schopni hesla svých klientů uchovávat v nezašifrované podobě – tedy ve formě prostého textu, jak se k tomu vloni přiznal Facebook  a následně i Google . Občas nějaký ten seznam s přístupovými údaji unikne. Jako se tomu stalo v lednu 2018, kdy se na internetu „povalovala“ databáze, ze které Troy Hunt, odborník na počítačovou bezpečnost, identifikoval 772 milionů unikátních e-mailových adres s příslušným heslem v textovém formátu. To znamená, že kdokoliv by se za použití těchto údajů mohl přihlásit k příslušné online službě a vydávat se za daného uživatele. Děsivé že?

O onom masivním úniku toho bylo napsáno hodně a tématu se chytily i zpravodajské televizní pořady. Přesto řada lidí dodnes neví, že Troy Hunt provozuje webové stránky HaveIBeenPWNed.com, na kterých si můžete ověřit, zda váš e-mail byl součástí některého z dosud odhaleného úniku. Databáze kompromitovaných hesel je veřejně dostupná a připravena k využití.
Například náš informační systém QML  sám ověřuje nová hesla oproti databázi HaveIBeenPWNed.com

Jednoduše zadáte váš e-mail a pak už se jen divíte, ve které databázi se objevuje nebo které online službě, jež s důvěrou využíváte, data unikla.

Dokonce si můžete ověřit, zda uniklo i vaše heslo, pokud věříte prohlášení , že stránka neposílá vámi zadané heslo nikam, kam nepatří. Využívá k tomu operace na počítači uživatele a na server odesílá jen část kontrolního součtu hesla. Sám Troy Hunt přiznal, že zvažoval, zda stránku pro ověření úniku hesla vůbec vytvářet. Nakonec se rozhodl, že výhody převažují nad nevýhodami… Zvažte sami. Každopádně zde zjistíte pouze počet výskytů vašeho hesla v databázi, ale ne odkud heslo pochází, či ke které e-mailové adrese se váže.

Pokud chcete zjistit, jaké heslo uniklo v kombinaci s vaším účtem, je zde online nástroj od Avast. Na webových stránkách  zadáte vaši e-mailovou adresu, na kterou vám Avast odešle zprávu obsahující informaci, zda byl e-mail kompromitován a prostřednictvím které služby. Následně se ve vygenerovaném seznamu můžete doklikat i k heslu, které jste pro tuto službu v době úniku využívali.


Co dělat, pokud byly naše údaje kompromitovány? Především změnit heslo všude, kde jste ho používali a dále se řídit níže uvedenými pravidly:

Své přihlašovací údaje nejlépe ochráníte, budete-li se řídit selským rozumem.
Hesla jsou slabým prvkem zabezpečení, mohou být prolomena nebo ukradena. Používejte unikátní hesla!
Hesla nikomu nesdělujte a neposílejte. Pokud si je potřebujete zaznamenat, používejte správce hesel.
Na veřejných Wi-Fi sítích používejte VPN připojení. Vámi zadávané přihlašovací údaje by neměl nikdo zachytit.
Kde to jde, tam využijte dvoufaktorové zabezpečení účtu (SMS zpráva, speciální aplikace, hardwarový klíč).
Při výběru bezpečnostních otázek volte takové, na které se nedá dohled na internetu odpověď (sociální sítě apod.).
Pořiďte si antivirový program i na chytrý telefon či tablet a pravidelně stahujte aktualizace.

 

K poslednímu bodu si společnost ESET nechala vytvořit průzkum, z kterého vyplynulo, že bezpečnostní program má v počítači či notebooku 83% dotázaných uživatelů, zatímco v mobilním telefonu jen 45%. Na pravidelné aktualizace zapomíná až čtvrtina majitelů počítačů a mobilů.

 

I přesto, že se provozovatelé prohlížečů snaží zvýšit bezpečnost svých produktů, rozhodně nedoporučujeme ukládat hesla přímo v prohlížeči. Mnohem bezpečnější způsob je použití správce hesel, což je aplikace, která si bude pamatovat všechna svěřená hesla (uložena v zašifrované databázi), případně pomůže s jejich generováním. Na uživateli je, aby znal jen jedno jediné heslo, kterým se k této službě přihlásí. Dobrá zpráva je, že dnes už existují aplikace, které umožní mít správce hesel nejen na počítači, ale i v mobilu nebo na jiném zařízení, takže svá hesla máte neustále po ruce. Osobně máme velmi dobrou zkušenost s aplikací KeePass .

Názory na tvorbu hesel se různí. Měli bychom používat hesla silná, ideálně náhodně generovaná, což může být pro mnoho lidí nezapamatovatelné. S tím sice může pomoci správce hesel, ale přece jen jsou služby, ke kterým je velmi vhodné mít silné heslo, které si pamatujeme (třeba právě pro přístup do správce hesel).

Možností jak takové silné heslo vytvořit je mnoho. Třeba alternativa dlouhé věty jako MojedvedetisejmenujiGustavaJitka. Další možností je z této věty podle určitého klíče heslo utvořit – například z prvních dvou písmen Mo2desejmGuaJi.

 

Krádeže hesel, osobních údajů, identit či biometrických údajů budou nadále na vzestupu. Nicméně jedná se jen o špičku ledovce. Analytici společnosti Kaspersky  na základě výsledků roku 2019 zveřejnili svou prognózu, nač se budou kybernetické útoky soustředit v letošním roce:

ransomware už nebude data znepřístupňovat, vybere si pro vydírání citlivé údaje;
hackeři se budou skrývat za cizí identitu;
pozornosti neujde povinné zpřístupnění infrastruktury bank třetím stranám;
do nekalé činnosti bude zapojena i umělá inteligence.

 

Brněnský dodavatel IT technologií Anect je v podstatě stejného názoru a přidává další hrozby:

ransomware se zaměří na cloud;
útočit se bude mimo zabezpečené firemní sítě na mobilní zařízení pracovníků;
porostou i útoky na IoT (internet věcí) a SCADA systémy;
útoky si budeme moci dokonce i objednat.

 


Jedním ze základních prvků omezení bezpečnostního rizika stále zůstává vzdělávání zaměstnanců. Nemálo bezpečnostních incidentů vzniká v důsledku nevědomosti, nepozornosti či nezodpovědnosti.

Můžete mít nastavena sebelepší technická či procesní bezpečnostní opatření, ale jakmile zaměstnanci nedodržují stanovená pravidla, v tu chvíli jste vynaložili prostředky na jejich zavedení zbytečně.

Bavíme-li se o kybernetické bezpečnosti, tak právě nyní, kdy spousta organizací zavedla práci z domova svých zaměstnanců, je potřeba vybavit je potřebnou technologií s adekvátním zabezpečením, ale i ponaučením, jak se mají v online světě chovat.

Společnost ESET upozorňuje, že řada firem v souvislosti s růstem práce na dálku využívá funkci vzdálené plochy pro přístup k datům nebo aplikacím. Tento způsob připojení je však terčem útoků, neboť se jedná o technologii s podceňovaným zabezpečením. Útočníci jsou si toho vědomi a snaží se touto cestou proniknout do interních sítí. V České republice to jsou stovky takových útoků denně, celosvětově se jedná o více než dvojnásobný nárůst od začátku roku .

Na téma zodpovědného chování v online i offline světě nabízíme školení a nedávno jsme o něm psali „Rozmohl se nám tady takový nešvar – nezodpovědnost“ .

Vzdělávejte své zaměstnance! Přeposílejte jim naše e-maily nebo jim zajistěte školení! Aktuálně nabízíme tato témata:

GDPR nejen pro vedoucí pracovníky;
Zodpovědné chování online i offline – v práci jako doma;
Elektronická komunikace;
Úvod do bezpečnosti informací.

 


Nastal čas na změnu… 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat

Informační bezpečnost – vzdělávejme zaměstnance

Vybavíte si, kdy jste se naposledy účastnili nějakého školení na kybernetickou nebo chcete-li informační bezpečnost? Co si z něj pamatujete? Bylo srozumitelné?

Podle posledního průzkumu mezinárodní poradenské společnosti PwC 63% respondentů takové školení subjektivně vnímá jako nesrozumitelné či středně srozumitelné . Kolik znalostí si zaměstnanec odnese a co si ve skutečnosti zapamatuje?

 

Kdo se přímo nepohybuje v oblasti IT, žije si ve své bublině, kde má pocit, že se ho kybernetická bezpečnost netýká. Pokud vysloveně nevyhledává články na toto téma, mohly mu snadno uniknout informace o stále častějších kybernetických útocích nejen na organizace, ale i na domácnosti. Cíle jsou různé. V květnu převažovaly v České republice útoky cílené na zjištění uživatelských hesel , ale množí se i útoky na chytrá zařízení, která se řadí do skupiny internetu věcí (IoT). Podle společnosti ESET takové zařízení, které je ovládáno prostřednictvím chytrého telefonu, tabletu nebo počítače, vlastní skoro tři čtvrtiny Čechů, ale bezpečnost je důležitá jen pro desetinu z nich. Přestože si 92% dotázaných uvědomuje, že se údaje z těchto zařízení dají zneužít , klesá počet zařízení zabezpečených před kybernetickými hrozbami. Společnost ESET dokonce hovoří o tom, že svá zařízení přestáváme chránit . Bezpečnostní software na chytrém telefonu má pouhých 57% dotázaných, byť jsou tyto aplikace dostupné i v bezplatné verzi.

 

Doznívající pandemie změnila po celém světě organizaci práce ve společnostech. Jsme svědky nového trendu práce na dálku, mnohdy s možností pracovat na svém vlastním zařízení. Toto však přináší nemalé starosti organizacím, které jsou takto nuceny více se věnovat zabezpečení svých sítí a připojených zařízení, včetně takových, nad kterými nemají úplnou kontrolu.

Koncem loňského roku jsme zveřejnili statistiku útoků z našeho honeypotu v článku Kyberkriminalita, hacking, GDPR .

V průběhu jednoho listopadového týdne byl náš Honeypot vystaven více než 81 tisícům pokusů o přihlášení, přičemž tři čtvrtiny z nich byly vedeny z Ruska a více než 80% přihlášení byla prováděna z již kompromitovaných IP adres. Došlo k 135 541 pokusům o přesměrování požadavků. 44,64% případů se týkalo přesměrování na doménu ya.ru s cílem zahltit tuto službu požadavky pomocí velkého množství rozptýlených počítačů (útok DDoS). Čísla nás nemile překvapila už tenkrát, od té doby mnohonásobně narůstají.

 

 

Změnily se i pracovní postupy. Práce je nyní organizována prostřednictvím nejrůznějších cloudových služeb či videokonferenčních platforem, čemuž se rychle přizpůsobili hackeři. Deník Computerworld zmiňuje zprávu bezpečnostní společnosti McAfee, v které je uvedeno, že od ledna do dubna letošního roku vzrostl počet útoků na cloudové služby o 630% .

Výše uvedené údaje odráží fakt, který jsme zaznamenali i ve své praxi. Plošné školení zaměstnanců na téma informační bezpečnosti realizuje velmi malé procento zaměstnavatelů. Taková školení jsou obvykle cílena na management společnosti, nikoliv na všechny zaměstnance využívající ke své práci IT. A přitom za většinou případů prolomení zabezpečení stojí lidská chyba, které by se dalo předejít.

Důrazně apelujeme na plošné zavedení školení informační bezpečnosti a navíc na jeho pravidelné opakování, protože jedině tak se bezpečnostní pravidla dostanou do povědomí i těch zaměstnanců, kteří již dávno opustili školní škamna a o práci s IT vybavením či v prostředí Internetu ví jen tolik, kolik se naučili metodou pokus-omyl.

Kdo jiný než zaměstnavatel by jim měl rozšířit obzory, aby si byli vědomi toho, že ne každý flash disk je bezpečný, že by neměli otevírat každou přílohu mailu, že ne každá mobilní aplikace je důvěryhodná, že údaje na sociálních sítích jsou lehce zneužitelné nebo třeba, že dnes už může být zavirovaný i USB kabel a  nebo že obyčejná nabíječka může odposlouchávat bezdrátovou klávesnici . Pak i ti nejotrlejší přehodnotí svůj nákup drobných elektronických zařízení či součástek někde na Aliexpresu…

Avšak takové školení, aby bylo účinné a účastník si z něj co nejvíce odnesl, musí obsahovat praktický trénink, rady a zkušenosti. Navíc by mělo být srozumitelné a v ideálním případě i zábavné, protože když se u učení bavíme, více si toho potom i pamatujeme. Toho si jsou naši lektoři informační bezpečnosti vědomi a umí připravit školení na míru a dle požadavků vaší organizace.

 

 

Příjemným zpestřením by potom mohla být i novinka na trhu online školení. Cloudová hra Clashing , kterou jsme si zprostředkovaně vyzkoušeli, má potenciál stát se hrou, jež bude bavit a zároveň vzdělávat a zaměstnanci se k ní budou rádi vracet. Online školení informační bezpečnosti v tomto pojetí má podobu karetní hry pro dva hráče s trváním 10 – 15 minut. V rámci souboje mají za úkol buď svou organizaci chránit jako zaměstnanec nebo napadnout z pozice hackera. Aktuálně jsou k dispozici prostředí kancelář, mimo kancelář a home office, ale další budou postupně přibývat. Je to horká novinka od společnosti ANECT, která se právě nasazuje v České spořitelně a další klienti budou přibývat.

Jedná se o cloudovou službu a platí se za 12 měsíců používání dle počtu uživatelů. Minimální počet uživatelů je 20. Cena začíná na částce 1.000 Kč za uživatele a s rostoucím počtem zapojených osob se snižuje.

 


Společnost Q-COM je již více než 20 let předním českým poskytovatelem konzultačních, analytických a auditních služeb v oblasti řízení podniků a  informačních technologií. Na poli informační bezpečnosti poskytujeme tyto služby:

Q - COM Praktické prověření zaměstnanců (sociální inženýrství) a rozbor závěrů.
Q - COM Praktická analýza bezpečnosti a prezentace výstupů.
Q - COM Školení informační bezpečnosti. 
Q - COM Informační newslettery a online text na míru.

 

Starosti vyřešíme za vás.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Neváhejte nás kdykoliv kontaktovat

Přidali jsme se k iniciativě Oživíme Česko

Protože je nám blízká myšlenka, že když každý z nás přispěje svým malým dílem, získáme dohromady obrovskou sílu, která postaví Česko zase na nohy.

Věříme, že to společnými silami dáme!

 

Co můžeme my všichni udělat pro oživení Česka?

nakupovat české výrobky a služby od českých firem a živnostníků;
znovu si najít cestu do českých restaurací a cukráren;
podporovat kulturní a sportovní akce;
podporovat tuzemské cestování a památky.

Více informací na webu iniciativy www.ozivimecesko.cz 

Modernizace aplikace Plánovací kalendář

Bezmála tři roky funguje naše online aplikace Plánovací kalendář na adrese

Vzhledem ke své oblíbenosti ji neustále zlepšujeme a rozvíjíme. Nyní se může kromě modernějšího vzhledu pochlubit i možností volby velikosti úvazku. Nově lze plánovací kalendář vygenerovat jako PDF soubor.

A aby těch změn k tříletému výročí nebylo málo, plánovací kalendář lze sestavit ve variantě pro Česko (CZ) nebo pro Slovensko (SK s vyznačenými a kalkulovanými státními svátky, jež jsou platné ve Slovenské republice).

To vše stále zdarma!

Aplikace vznikla jako součást webového podnikového informačního systému QML , který společnost Q – COM vyvinula a nepřestává rozvíjet. 

Coronavirus vs. Ochrana osobních údajů

Je v zájmu lidstva omezit šíření přenosných nemocí. Použití moderních technologií v boji proti pandemii coronaviru, jež postihuje velkou část světa, je nevyhnutelné. Vlády, ale i veřejné a soukromé organizace v celé Evropě přijímají opatření k omezení a zmírnění dopadů coronaviru, což může zahrnovat zpracování různých osobních údajů včetně citlivých. Avšak i v těchto výjimečných časech je potřeba pamatovat na ochranu osobních údajů, byť by se to na první pohled mohlo zdát jakkoliv marginální proti palčivějším a naléhavějším potížím vyžadujícím okamžitá řešení.

Z historie totiž víme, že dříve než nejtěžší okamžiky pominou a lidská solidarita a vzájemný respekt klesnou na své standardní hodnoty, objeví se ziskuchtiví prevíti nebojící se využít těch nejcitlivějších osobních údajů ke svému prospěchu. Lidé jsou si toho vědomi a začínají klást otázky v souvislosti s opatřeními pro zamezení nákazy. K některým z nich se vyjádřil i Evropský sbor pro ochranu osobních údajů  (EDPB European Data Protection Board) ve svém prohlášení z 19. března 2020 .

 

Jak se tedy GDPR dívá na zpracování osobních údajů jako je:

zdravotní stav osob, jež jsou nebo mohou být šiřiteli nákazy;
lokalizace šiřitelů nákazy v čase – trasování;
dohledání dalších osob, s kterými byli šiřitelé ve styku;
zpracování prováděná zaměstnavatelem.

 

Pravidla stanovená obecným nařízením o ochraně osobních údajů GDPR v článku 9 odst. 2 písm. i) pamatuje na specifická zpracování údajů o zdravotním stavu osob, jestliže je to nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví a ochrany před vážnými přeshraničními zdravotními hrozbami. Konkrétní situace zahrnující zpracování osobních údajů a jejich rozsah, jakož i přijímání vhodných opatření upravuje zákon o ochraně veřejného zdraví.

Příkladem vhodného opatření je informování obyvatel prostřednictvím mobilních telekomunikačních sítí ve spolupráci s operátory těchto sítí (varování a výzvy ve formě SMS zpráv).

Jak ukládá zákon o ochraně veřejného zdraví, příslušné orgány ochrany veřejného zdraví jsou oprávněny provádět epidemiologická šetření zaměřená zejména na ověření diagnózy a zjištění ohniska nákazy. Osoby jsou povinny sdělit příslušnému orgánu na jeho výzvu okolnosti důležité v zájmu podobných šetření.

Mezi orgány ochrany veřejného zdraví se řadí ministerstvo zdravotnictví, krajské hygienické stanice, ministerstva vnitra, obrany, průmyslu a obchodu a další (ministerstvo životního prostředí, ministerstvo dopravy, ministerstvo pro místní rozvoj, krajské úřady).

 

 

V České republice, ale jiných zemích je aktuálně vyhlášen nouzový stav, což je období, kdy je možno mimo jiné na nezbytně nutnou dobu a v nezbytně nutném rozsahu omezit některá práva a svobody občanů. Vláda ČR umožnila svým usnesením č. 250 ze dne 18. března 2020 tzv. trasování polohy osob, u kterých byla prokazatelně potvrzena nákaza COVID-19 ve sledovaném období a na základě jejich informovaného souhlasu.

Jinými slovy orgány ochrany veřejného zdraví mohou požadovat u telekomunikačních operátorů údaje o pohybu osob (na základě jejich souhlasu) dle lokalizace mobilních telefonů za účelem zjištění ohniska nákazy a vyhledání dalších potenciálně nakažených osob. Doba trvání by měla být omezena na dobu trvání nouzového stavu.

Jak upozorňuje EDPB je důležité přijmout odpovídající bezpečnostní opatření a zásady důvěrnosti zajišťující, že osobní data nebudou zpřístupněna neoprávněným osobám. Toho se drželo i Ministerstvo zdravotnictví, když nařídilo Zlínské hygienické stanici stáhnout ze svého webu údaje o počtu nakažených osob dle jednotlivých obcí Zlínského kraje. Mluvčí ministerstva zdravotnictví Gabriela Štěpanyová k tomu uvedla: „Zveřejňovat počty nakažených podle obcí považujeme za nevhodné, protože je zde vysoké riziko stigmatizace nakažených osob a jejich rodinných příslušníků. Ministerstvo zdravotnictví od začátku epidemie klade vysoký důraz na ochranu nakažených a jejich rodin. Považujeme proto za důležité komunikovat informace o pozitivních případech maximálně na úroveň jednotlivých okresů příslušného kraje.“ Více v článku Novinky.cz .

 

Zákoník práce ukládá zaměstnavateli vytvářet bezpečné a zdraví neohrožující pracovní prostředí, přičemž by měl přijímat opatření k předcházení, odstraňování či minimalizaci rizik – tzv. prevenční povinnost.

V době ohrožení je tedy zaměstnavatel povinen přijmout potřebná ochranná opatření a postupovat v souladu s platnými předpisy, mimořádnými opatřeními Vlády ČR a pokyny orgánů ochrany veřejného zdraví. Ministerstvo zdravotnictví připravilo manuál možných opatření bránících šíření onemocnění COVID-19 na pracovištích.

Za účelem vytipování možných šiřitelů zavádí zaměstnavatelé různá opatření a monitorování zaměstnanců jako jsou dotazníky zjišťující pobyt v rizikových zemích, čestná prohlášení či sledování teploty zaměstnanců. Vznikají i databáze rizikových zaměstnanců. Zaměstnavatelé mají právo zjišťovat, zda byl zaměstnanec nebo jeho blízké osoby v rizikové oblasti. Shromažďování informací o zdravotním stavu zaměstnanců je však možné za předpokladu, že budou sloužit výhradně pro účely ochrany zdraví a předcházení dalšímu šíření nákazy s tím, že opatření musí být přiměřená, zavedená na omezenou dobu a zaměstnanci musí být předem informováni.

Povinnost zaměstnanců/návštěv pracovišť podrobit se měření teploty není zatím v žádném českém předpisu stanovena. Osoba, která měření provádí by měla být o správném provedení měření poučena. V současné chvíli nedoporučujeme pořizovat záznamy naměřených teplot. Případné výstupy by měly zaznamenávat pouze rozhodnutí, zda umožnit práci/vstup na pracoviště nebo ne. Pokud ovšem nejste poskytovatel sociálních služeb, pro kterého MPSV vydalo doporučený postup, který způsob a evidenci měření teplot upravuje.

Tato problematika není napříč Evropskou unií řešena jednotně. Ve Francii mají zaměstnavatelé zakázáno shromažďovat zdravotní údaje zaměstnanců či návštěv. V Německu se měření teploty provádí na základě souhlasu zaměstnance. V Itálii mají zaměstnavatelé uloženo sledovat zdravotní stav zaměstnanců po dobu trvání mimořádného stavu, přičemž informace nesmí být sdíleny s třetími stranami vyjma případů stanovených zákonem.

Zákoník práce zaměstnavateli ukládá informovat své zaměstnance o možných rizicích. Takovým rizikem je i skutečnost, že se na pracovišti vyskytuje nebo vyskytovala nakažená osoba. Udaje o této osobě je potřeba poskytnout v minimálním rozsahu, nezbytném k ochraně zdraví ostatních zaměstnanců. Jak uvádí Úřad pro ochranu osobních údajů , nesmí být  dotčena důstojnost a integrita této osoby. Rozhodně by tedy zaměstnavatel neměl zaměstnancům sdělovat jména nakažených osob či osob v karanténě.

Nakazit se může i přes všechna opatření kdokoliv z nás. Nechceme přece být lynčováni a zveřejňováni s nálepkou „koroňák“! Nečiňme to tedy ani jiným. Mysleme na to, že nemocní a lidé v karanténě mají stejné právo na soukromí jako my.

Starosti vyřešíme za vás. 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat

Nový standard pro tvorbu hesel

Stará pravidla a doporučení pro tvorbu hesel, která jsou dodnes stále hojně uplatňovaná, vychází z šestnáct let starého standardu amerického Národního institutu standardů a technologie (NIST – National Institute of Standards and Technology). Od té doby se však situace v odvětví dramaticky změnila. Prosazují se nové metody autentizace, útočníci disponují rozsáhlými databázemi uniklých hesel a uživatelé jsou ze starých požadavků a omezení týkajících se tvorby kvalitního a silného hesla natolik frustrovaní, že ve výsledku používají hesla snadno odhalitelná a opakující se. O této problematice jsme psali v novince „Ukradená hesla – vaše možná také

Z těchto důvodů americká NIST připravila v roce 2017 nový standard , který část břemene spojeného s tvorbou odolného hesla přenáší na provozovatele služby. Standardy vydávané NIST jsou sice závazné pro omezený okruh organizací, ale často se jimi dobrovolně řídí i soukromé společnosti po celém světě. 

 

Nevynucovat změnu hesla

Uživatelé jsou doslova zavaleni desítkami hesel, která si i bez vynucené obměny stěží pamatují. Pravidelná nucená změna vede ke zjednodušování a opakování či triviální variabilitě, což v důsledku útočníkům výrazně ulehčuje pokusy o prolomení hesla. Podle NIST by měl uživatel své heslo měnit pouze v případě, že se jedná o jeho svobodnou vůli nebo když se obává, že došlo k úniku hesla.

 

Nehlídat algoritmickou složitost

Požadavky na kombinaci čísel, velkých a malých písmen a speciálních znaků jsou dle NIST přežitkem. Uživatel by měl mít právo použít jakékoliv tisknutelné znaky ASCII, znaky Unicode, mezery (ne tabulátor ani neviditelná mezera) nebo třeba symboly emoji, stejně jako mít heslo složeno jen z písmen. Avšak je třeba mít na paměti, že není rozumné vzdávat se silných hesel! Silné heslo se nepozná podle počtu čísel či použití speciálních znaků. Důležité je, že je unikátní, dostatečně dlouhé a nedá se snadno uhodnout.

 

Nepoužívat kontrolní otázky a nápovědy

V době sociálních sítí, kdy se dá o uživateli zjistit spousta informací na pár kliknutí, je používání kontrolních otázek velkou bezpečnostní chybou. Rozhodně by neměly být nabízeny předvolené možnosti a používání nápověď je rovněž pasé.

 

Konstrukce hesla

Uživatel by neměl být při tvorbě hesla nijak výrazně omezován. Zůstal však požadavek na minimální délku osmi znaků. Doporučená maximální délka je 64 znaků, přičemž chce-li mít uživatel jako heslo větu o několika slovech, mělo by mu to být umožněno. Délka 64 znaků byla zvolena kvůli tomu, že se vejdou do jednoho řádku na většině obrazovek.

Uživatel by měl mít možnost zadané heslo zobrazit nebo vypnout hvezdičky/tečky z důvodu kontroly možných překlepů. Heslo by se však po uplynutí určité doby mělo schovat.

 

Porovnání s databází

Provozovatel služby by se měl postarat, aby zadáváná hesla byla porovnávána se seznamy dříve uniklých hesel a se slovy ze slovníků. Například náš informační systém QML sám ověřuje nová hesla oproti databázi HaveIBeenPWNed.com. Systém by měl rovněž umět rozeznat opakované či sekvenční sady znaků (třeba zzzz nebo abc456) a také kontextová slova jako název služby, uživatelské jméno či kombinaci těchto údajů. Následně by měl na nevhodnost používaného hesla uživatele upozornit.

 

Omezení počtu pokusů

V případě provedení útoku hrubou silou by mělo být zabráněno neomezenému počtu pokusů o přihlášení a účet by měl být v překročení stanoveného limitu uzamčen. Kromě toho je možno použít další bezpečnostní techniky jako je CAPTCHA, nastavení časového limitu mezi pokusy, možnost přihlášení ze schválených IP adres apod.

 

Šifrování

Předchozí standard o šifrování neuvažoval, dle nového je nutné udržovat hesla v takové formě, aby co nejvíce ztížila případný útok. Databáze případných získaných hesel by měla být správně zahašovaná.

 

Vícefaktorová autentizace

Standard doporučuje doplnit heslo o další prvek, aby samotná znalost hesla útočníkovi nepomohla, protože mu bude chybět možnost ověření identity. NIST zároveň varuje před použitím SMS jako druhého faktoru. Klasické mobilní zprávy totiž můžou být poměrně snadno zachyceny. Dokument proto doporučuje spíše softwarové generátory jednorázových hesel či ověření pomocí biometrických údajů.

 

Nový standard sice klade důraz na pohodlí uživatele, ale ne na úkor zabezpečení. Měli bychom mít na mysli, že heslo je velmi slabý zabezpečovací prvek, proto přichází na řadu robustnější řešení jako jsou hardwarové tokeny, smart karty či mobilní telefony s biometrickými čtečkami. Nebude to dlouho trvat a multifaktorová autentizace plně nahradí tradiční přihlašování pomocí hesla.

 

Nastal čas na změnu… 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat

Den ochrany osobních údajů 28. ledna 2020

 


Po roce si opět připomínáme den ochrany osobních údajů. Dnes, jakož i zítra a kdykoliv jindy bychom měli mít na mysli, že budeme-li své osobní údaje dávat lacino, v budoucnu se nám to nevyplatí.

DEN OCHRANY OSOBNÍCH ÚDAJŮ

28. ledna 2020

 

Za kolik byste prodali kompletní přehled míst s daty, časy a délkou pobytu, která jste v průběhu jednoho měsíce navštívili? Z takového souboru dat se dá spolehlivě vyčíst kde bydlíte, kde pracujete, v kolik hodin odcházíte do práce, kdy a kde vyzvedáváte děti, jak dlouho a kdy bývá vaše obydlí opuštěné nebo třeba kde jste strávili noc.

A co adresář kontaktů v telefonu? Také si u jednotlivých jmen vedete přehled telefonních čísel, adresu domů a do práce, email či narozeniny? Na kolik si ceníte osobních údajů vám blízkých osob?

Většina z nás by tato data vědomě neprodala. A přesto tak činíme dnes a denně a co hůř, zadarmo! Respektive za trochu pohodlí nebo zábavy. Myslíte, že přeháníme?

 

Jste aktivní na sociálních sítích? Ukládáte kontakty do nějaké praktické cloudové aplikace, abyste je měli kdykoliv k dispozici na více zařízeních? Máte chytrý telefon, chytré hodinky, zapnuté GPS určování polohy, protože často někam cestujete? A máte množství aplikací v telefonu, které vyžadují přístup k údajům o poloze, ke kontaktům, k uloženým fotografiím či souborům, aniž by to pro svou primární funkci potřebovaly?

K čemu potřebuje aplikace svítilny přístup k údajům o poloze zařízení? Proč obyčejná hra vyžaduje povolení přístupu ke kontaktům? Jakou ochranu svěřených údajů vám asi nabízí služba, která je zdarma? (Ať už se jedná o cloudovou službu nebo aplikaci k chytrým hodinkám nejmenovaného čínského výrobce či sociální síť.) Čtete licenční ujednání před nainstalováním nové aplikace? Kdo by to dělal, že! Ale potom se nedivme, že máme aplikaci, prostřednictvím které provozovatel legálně stahuje data z našeho zařízení, která prodává třetím stranám…třeba zrovna ta polohová.

Přečtěte si, jak se v Americe čile obchoduje s legálně získaným souborem dat, jež tvoří údaje o geografické poloze dvanácti milionů Američanů – uživatelů mobilních telefonů.

 

Začátkem ledna 2020 vstoupil v platnost kalifornský zákon ochrany soukromí zákazníků CCPA (California Consumer Privacy Act), což je obdoba evropského GDPR. Kdo v Kalifornii zpracovává osobní údaje od více než 50 tisíc zákazníků, musí se jím řídit. Microsoft se nechal slyšet, že bude CCPA dodržovat pro všechny obyvatele USA, Mozilla dokonce celosvětově.

Zajímavá zpráva z oblasti ochrany osobních údajů pochází od Evropského sboru pro ochranu osobních údajů (EDPB), který ve svém registru pro rozhodnutí orgánů dohledu zveřejnil návrh standardních smluvních doložek (zpracovatelská smlouva) dánského úřadu pro ochranu osobních údajů. Stanovisko Sboru k původnímu dokumentu je dostupné v českém jazyce. Aktualizovaný vzor zpracovatelské smlouvy je k dispozici v anglickém jazyce. Tento pokus o standardizaci hodnotíme velmi pozitivně.

Český Úřad pro ochranu osobních údajů rovněž nezahálel a připravil dokument týkající se povinnosti správců provádět posouzení vlivu na ochranu osobních údajů (DPIA) s názvem „Seznam druhů operací zpracování (ne)podléhajících požadavku na posouzení vlivu na ochranu osobních údajů“.

Ani Q – COM nespí, neustále přemýšlíme, jak naše služby vylepšit. Na našich webových stránkách jsme zveřejnili přehled užitečných nástrojů, jež s ochranou osobních údajů a dalšími trápeními, umí rovněž pomoci. Naleznete tam mimo jiné vzor žádosti o poskytnutí informace o zpracování osobních údajů či žádost o výmaz osobních údajů.

CCPA stejně jako GDPR, dokumenty Sboru nebo národních dozorových orgánu jsou však jen nástroje pro ochranu osobních údajů. Hlavní břímě leží na nás!

 

Protože ochranu osobních údajů bereme vážně, v týdnu od 27. ledna do 2. února 2020 nabízíme slevu 15% na služby spojené s GDPR.

 

Den ochrany osobních údajů může být stejný jako ostatních 365 letošních dnů, kdy zvítězí naše pohodlnost, touha po zábavě a nechuť cokoliv měnit.

Ale také to může být den, kdy začneme používat zdravý selský rozum! 

Nastal čas na změnu… 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat

Kyberkriminalita, hacking, GDPR

Podle údajů Mezinárodní telekomunikační unie využívá Internet 53,6 % světové populace, přičemž v roce 2005 to bylo pouze 16,8 %. Celých 93% světové populace žije v dosahu mobilní širokopásmové (nebo internetové) služby, ale i přesto 3,6 miliardy lidí zůstává bez přístupu k Internetu, a to zejména v méně vyspělých zemích.

Mezi více než 4 miliardami lidí, jež jsou připojeni k Internetu operuje řada aktérů s poněkud odlišnými zájmy než má obvyklý uživatel. Jsou mezi nimi kyberzločinci, teroristé, hackeři využívající své schopnosti ve svůj vlastní prospěch, ale i státy a jimi sponzorované hackerské skupiny.

Podle Zprávy o stavu kybernetické bezpečnosti ČR za rok 2018, jež je dostupná na webu Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) , nejvíce ohrožují Českou republiku cizí mocnosti. Konkrétně aktéři napojeni na Ruskou federaci a Čínskou lidovou republiku. Jejich zájem se soustředí na strategické a politické informace, jež by mohly být využity v případě budoucích konfliktů.

K velice podobnému závěru se kloní i Bezpečnostní informační služba (BIS) ve své Výroční zprávě za rok 2018. Přidává navíc informaci o snahách proruských aktivistů šířit dezinformace, konspirační teorie a proruskou propagandu zejména prostřednictvím Internetu a sociálních sítí, čímž je podle zprávy ovlivňováno veřejné mínění, vyvoláván strach a napětí ve společnosti.

 

Pomyslnou druhou příčku obsadili kyberzločinci. Kybernetická kriminalita a kriminalita páchaná na Internetu je již několik let na vzestupu, což deklaruje statistika Policie ČR.

V roce 2018 bylo evidováno v této oblasti 6815 trestných činů, což je v porovnání s předchozím rokem o tisíc skutků více a do budoucna se dá očekávat další růst.

Ostatně stačí se podívat na titulky zpráv týmu pro koordinaci řešení bezpečnostních incidentů v počítačových sítích provozovaných v České republice (CSIRT) za poslední tři měsíce a již nebudeme na pochybách:

Další varianta vyděračských e-mailů
S podvodnými SMS se roztrhl pytel. Útočníci jdou po penězích
Útočníci se zaměřují na zranitelnosti v produktech společností Fortinet
Česká pošta varuje před novým podvodem
Kampaň vydírající uživatele údajným napadením jejich účtů 

 

Výroční zpráva BIS upozorňuje na ruské a čínské aktivity i na poli kybernetické špionáže.

Nejzávažnější byla kompromitace několika koncových počítačů neutajované sítě Ministerstva zahraničních věcí ČR (MZV) prostřednictvím Zastupitelského úřadu ČR v zahraničí. Pravděpodobně se jednalo o ruskou kyberšpionážní kampaň se snahou zajistit si do napadeného systému trvalý skrytý přístup.

Jinou kampaň na neutajovanou síť MZV vedla pravděpodobně čínská skupina prostřednictvím několika druhů škodlivého softwaru na kompromitovaných stanicích. Špioni měli přístup k množství dokumentů, přičemž stopy po těchto pečlivě ukrytých aktivitách bylo dle BIS možno dohledat několik let zpětně.

Další pravděpodobně ruská kampaň byla namířena proti příslušníkům Armády ČR (AČR). Zájem byl soustředěn na jejich soukromé e-mailové účty. Útočnici sice nezískali utajované informace, ale zato množství osobních údajů (bydliště, faktury, osobní kontakty, rodinné zázemí). V jednom případě byla e-mailová schránka příslušníka AČR automatizovaně vybírána prostřednictvím propojení s další e-mailovou schránkou ovládanou útočníky.

 

Mylný by byl dojem, že nás si kyberzločinci nevšimnou, protože jsme „malé ryby“. Právě naopak. Jejich útoky jsou čím dál sofistikovanější a s použitím automatizovaných systémů/robotů jsou schopni zaměřit se ve velkém měřítku na cokoliv, co je k Internetu připojeno, české společnosti nevyjímaje.

Co se uživatelů Internetu týče, měli by si osvojit základní bezpečnostní pravidla – třeba ty naše.

Q – COM tedy přistoupil k aktualizaci svých síťových produktů a protože je rozdíl informace mít a nemít, nachystali jsme útočníkům na naši síť pár pastí – Honeypotů.

Na našem webu jsme zveřejnili článek o tom, co to Honeypot je a jak jsme se poprali s implementací.

Obecně se jedná o fiktivní informační systém, jehož jediným účelem je přitáhnout potenciální útočníky a zaznamenat jejich aktivity, když se s ním budou chtít spojit. Analýzou zaznamenaných aktivit získáváme informace důležité pro našeho správce sítě, který následně realizuje potřebná opatření. Implementace a nastavení honeypotu je poměrně jednoduchou záležitostí, funguje jako preventivní opatření a vůbec to není drahá záležitost.

 

Statistika jednoho z našich Honeypotů přístupných z Internetu na „zajímavých“ rozhraních bohužel koreluje se všemi výše uvedenými informacemi.


V průběhu jednoho týdne byl náš Honeypot vystaven více než 81 tisícům pokusů o přihlášení, přičemž tři čtvrtiny z nich byly vedeny z Ruska – převážná většina z datového centra v Peťersburgu. Následovaly lokality Seychely, Belize, Nizozemí a Čína, které se na celkových pokusech podílely téměř 23%. Nejčastějším používaným klientem je některá z verzí SSH klientů se zveřejněnými zdrojovými kódy. Zajímavostí pak je, že desítky připojení byly provedeny z aplikací běžících na malých zařízeních Raspbian, které jsou útočníky využívány pro svou jednoduchost a dostupnost právě pro vyhledávání zranitelných systémů. Většina přihlášení (více než 80%) byla prováděna z již kompromitovaných IP adres (dle serveru abuseipd.com mnohonásobně nahlášených za podezřelé).Úspěšně se přihlásil každý uživatel, který použil přihlašovací jméno root a libovolné neprázdné heslo, což se povedlo v 95,87% případů. Další zkoušená přihlašovací jména byla admin, support, user. Z celkového počtu pokusů však představují velmi malou část.Nejvíce zkoušenou kombinací uživatelského jména a hesla bylo root – admin, a to v 77 739 případech (95,52%). Následovala dvojice admin – admin se 128 pokusy. Zaznamenali jsme další zkoušená hesla jako support, user, 1234, admin123, password a 12345.Většina úspěšných přihlášení 99,9% nepokračuje v další práci na systému. Jedná se tak pouze o roboty vyhledávající otevřené nebo napadnutelné systémy. Z vysoké míry podobnosti prováděných příkazů je vidět, že i základní „hacking“ provádějí roboti. Rekordmanem je systém, který spustil po přihlášení více než 180 různých příkazů a snažil se napadený systém ovládnout či zneužít pro svou činnost. Některé robotické systémy se pokoušely stáhnout soubory s předpřipravenými dávkovými úlohami pro úspěšné ovládnutí a získání stroje. Bylo zaznamenáno 47 pokusů o stažení ze Spojených států a 21 z Belize. V obou případech se jednalo o skripty z datových center, kde robotické systémy evidentně získaly přístup k některému z hostovaných systémů. Trochu překvapením byla skutečnost, že došlo k 135 541 pokusům o přesměrování požadavků. 44,64% případů se týkalo přesměrování na doménu ya.ru s cílem zahltit tuto službu požadavky pomocí velkého množství rozptýlených počítačů (útok DDoS). Jak jste na tom vy? Víte o svých zranitelnostech?

 

Útočníci přichází se stále se zlepšujícími a novými metodami útoků a současně se jim neustále rozšiřuje možné pole působnosti, do kterého přibyla například tzv. zařízení internetu věcí (IoT), která se pomalu stávají běžnou součástí našeho života a pronikají i do našich domovů.

Pozornost by měla být věnována nasazování chytrých elektroměrů a dalších chytrých měřičů, jež jsou prostřednictvím Internetu spravovány na dálku (měřiče vody, plynu, tankovací stojany), jež sice představují způsob optimalizace toku, ale zároveň také velmi slabé a lákavé místo pro hackerský útok. Zajímavý článek na toto téma byl nedávno zveřejněn na idnes.cz

Ostatně žádné zařízení připojené na Internet není v dnešní době v bezpečí. A co teprve když obsahuje citlivé údaje třeba o zdravotním stavu pacientů…

 

Opakujícím a neklesajícím fenoménem jsou krádeže identit či odcizení citlivých osobních údajů prostřednictvím informačních technologií. A když už jsme se dotkli tématu osobních údajů, nemůžeme opomenout informace z národních úřadů pro ochranu osobních údajů:

British Airways musí zaplatit pokutu ve výši více než 5 miliard korun za špatně zabezpečený web, kdy útočníci získali čísla platebních karet a jejich bezpečnostního kódu, údaje o platbách, adresách a letenkách zhruba půl miliónu zákazníků.
Známý hotelový gigant Marriot pak za podobný únik zaplatí 2,7 miliardy korun.
Francouzský úřad vyměřil společnosti Google pokutu již v roce 2018, a to ve výši 1,2 miliardy korun.

 

Chtěli jsme si udělat obrázek, jak si na tom ve vyměřování pokut stojí Česká republika v porovnání s ostatními zeměmi podléhajícími GDPR.

Našli jsme zdroj informací. Byť zde nejsou zastoupeny všechny země, ani zahrnuty všechny udělené pokuty, pro základní představu jsou údaje dostačující.

Co se množství udělených pokut týče, jsme jednoznačně na špici. Pokud však srovnáme částky, které byly za porušení GDPR vybrány, držíme se stále při zemi.

Český Úřad pro ochranu osobních údajů obdržel 638 ohlášení porušení zabezpečení osobních údajů dle GDPR za období od 25. 5. 2018 do 13. 11. 2019. Jen od 28. 1. 2019 jich přišlo 321.

Uloženo bylo 17 pravomocných rozhodnutí o pokutě v celkové výši 629 tisíc korun a 6 napomenutí.

Souhrnná výše udělených pokut Úřadem ode dne 25. 5. 2018 za porušení GDPR, ale i zákona č. 101/2000 Sb. a zákona č. 480/2004 Sb. činí necelých 7,5 miliónů korun (částka zahrnuje i pořádkové pokuty).

Zdroj: www.uoou.cz/

 

V kontextu výše uvedeného je zřejmé, že dnešní doba prostě potřebuje všechny ty nepopulární regulace typu GDPR, e-Privacy, IoT a další.

Byť by se mohlo zdát, že tento newsletter nepřinesl mnoho pozitivních informací, na všem se dá najít něco dobrého…
Třeba skutečnost, že patříme mezi tu polovinu světové populace, která může a umí s Internetem pracovat. Že jsou mezi námi lidé, kteří se snaží prosadit pravidla umožňující naše další fungování v džungli jedniček a nul. A v neposlední řadě, že existují nástroje, které nás v kybernetickém světě chrání před všemožnými hrozbami.

Nebo ne? Jak jste na tom vy?

Školíte své lidi?
Monitorujete zranitelnosti svých produktů?
Už máte vlastní Honeypot?
Provádíte penetrační testy?

Nastal správný čas na audit, penetrační test, či zkoušku sociálního inženýrství… My víme, jak na to.

 

Nastal čas na změnu… 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat