Jednoznačně největší pozornost si v uplynulém týdnu v domácích luzích a hájích v kontextu kybernetické bezpečnosti vysloužil útok na slovenský Úřad geodézie, kartografie a katastru.

Útok, který byl údajně odhalen již 5. ledna, spočíval v kompromitaci systémů úřadu a následném zašifrování na nich dostupných dat, v důsledku čehož byly (a v době přípravy tohoto příspěvku stále jsou) nefunkční mj. služby spojené se slovenským katastrem nemovitostí.

Ředitel postiženého úřadu se spolu s dalšími osobami k věci vyjádřil v rámci tiskové konference 9. ledna, přičemž zaznělo, že organizace v současnosti zkoumá možnosti obnovy svých systémů ze záloh, resp. ověřuje, zda jsou tyto zálohy nepoškozené. Slovenská média však uvádějí, že dle dobře informovaných zdrojů zálohy dat, které má úřad potenciálně k dispozici, nejsou kompletní a je otázkou, kdy bude možné systémy obnovit a zda bude možné data obnovit plně.

Zmínku současně zaslouží, že bývalý ředitel postiženého úřadu uvedl, že v době jeho působení ve funkci organizace využívala silně zastaralé počítačové systémy, a že po posledních volbách z úřadu odešlo či bylo vyhozeno větší množství pracovníků, kteří se (mj.) kybernetické bezpečnosti věnovali.

Útok byl dle dostupných informací „veden ze zahraničí“ a útočníci údajně žádají za opětovné zpřístupnění zašifrovaných dat sedmiciferné dolarové výkupné. Slovenský premiér, Robert Fico, k tomu 10. ledna uvedl, že dle jedné z vyšetřovacích verzí mohl být útok veden specificky z Ukrajiny, a že útočníkům možná pomáhali sami pracovníci katastru.

V době přípravy tohoto příspěvku se k útoku prozatím žádná ransomwarová skupina veřejně nepřihlásila.

Pro úplnost je vhodné uvést, že pod útok se v nedávné době údajně dostal i ruský katastr nemovitostí, z něhož se útočníkům mělo podařit exfiltrovat data.

K lehce kuriózní situaci došlo v uplynulém týdnu u Evropského soudního dvora, který ve středu rozhodl, že sama Evropská komise porušila nařízení o ochraně osobních údajů (GDPR), když v době po zneplatnění mechanismu pro ochranu osobních údajů předávaných do USA, označovaného Privacy Shield, předala osobní data německého občana do USA, konkrétně na servery společnosti Meta.

K předání dat (mj. IP adresy a informací o prohlížeči) došlo automaticky, když se tento občan registroval na konferenci, kterou organizovala Evropská unie, na oficiálním portálu vytvořeném EU a využil při tom možnost přihlášení s pomocí účtu na platformě Facebook.

Komisi bylo ze strany soudu nařízeno uhradit danému německému občanovi náhradu za vzniklou škodu ve výši celkem 400 eur.

Zmínku v souvislosti s GDPR zaslouží rovněž v uplynulém týdnu publikovaný rozsudek Evropského soudního dvora, který se týkal rozhodnutí rakouského regulátora pro ochranu osobních údajů, který se rozhodl omezit počet přijímaných hlášení o porušování evropské legislativy od jednoho subjektu na maximálně dvě za měsíc. Evropský soudní dvůr ve svém rozsudku tuto praxi používání plošných omezení de facto vyloučil.

Z nově publikovaných informací vyplývá, že společnost Telegram Group, provozující komunikační platformu Telegram, začala po zatčení svého výkonného ředitele ve Francii a jeho následném propuštění na kauci citelně významněji spolupracovat s policejními orgány.

Zatímco v prvních devíti měsících roku 2024 společnost zareagovala pouze na 14 požadavků za strany bezpečnostních organizací z USA, a předala v souvislosti s nimi data týkající se 108 uživatelů, ve zbylých třech měsících se spolupráce s bezpečnostními složkami citelně rozšířila a celkem tak za rok 2024 Telegram vyřídil 900 požadavků a předal v souvislosti s nimi data týkající se 2253 uživatelů.

Bílý dům v uplynulém týdnu představil finální verzi projektu U.S. Cyber Trust Mark.

Tento projekt bude umožňovat výrobcům chytrých bezdrátových technologií označovat své systémy specifickým logem indikujícím, že se jedná o „bezpečná“ zařízení, pokud tyto systémy projdou testy dle kritérií stanovených národním standardizačním a technologickým institutem (NIST).

Na rozdíl od požadavků aktu o kybernetické odolnosti (CRA), které budou muset za 2–3 roky splňovat v podstatě všechny výrobky s digitálními prvky uváděné na trh v rámci EU, je plnění bezpečnostních kritérií projektu Cyber Trust Mark pro výrobce technologií v USA zcela dobrovolné.

Vzhledem k tomu, že řada výrobců však své systémy bezpochyby nechá dle těchto kritérií certifikovat a s označením U.S. CYBER TRUST MARK na nich se tak potenciálně budeme setkávat i v Evropě, je dobré vědět, že toto označení by mělo garantovat alespoň určitou míru zabezpečení na straně chytrých zařízení.

