Publikovány vyhlášky k novému zákonu o kybernetické bezpečnosti
V úterý 14. října bylo ve Sbírce zákonů publikováno pět prováděcích vyhlášek k novému zákonu o kybernetické bezpečnosti.
Vedle vyhlášky o bezpečnostních úrovních informačních systémů veřejné správy či vyhlášky o pravidlech pro využívání cloud computingu orgány veřejné správy se mezi nimi objevily i dvě zásadní normy určující bezpečnostní opatření pro poskytovatele regulovaných služeb – vyhlášky č. 409/2025 Sb. a 410/2025 Sb.
Obě vyhlášky navazují na zákon 264/2025 Sb., který vychází ze směrnice NIS2 a od listopadu letošního roku nahradí dosavadní právní úpravu z roku 2014.
Zmíněné nové prováděcí předpisy pak nahradí dosavadní vyhlášku č. 82/2018 Sb., která stanovovala požadavky na bezpečnostní opatření pro všechny kategorie povinných osob podle zákona č. 181/2014 Sb. Aktuální úprava tento rámec přepracovává a rozděluje do dvou vyhlášek – č. 409/2025 Sb. stanoví požadavky na poskytovatele v režimu vyšších povinností a č. 410/2025 Sb. požadavky na subjekty s nižším režimem. Reaguje tak na širší působnost nového zákona a zavedení regulovaných služeb podle NIS2.
Oproti vyhlášce 82/2018 Sb. rozšiřují nové předpisy (resp. zejména vyhláška 409) povinnosti povinných osob v některých oblastech – mj. došlo k posílení odpovědnosti vrcholového vedení nebo rozšíření požadavků na řízení dodavatelů a také na vybraná technická opatření.
Oba předpisy nabývají účinnosti 1. listopadu 2025. Orientační informaci o tom, do které kategorie určitá organizace spadá, je možné získat mj. s pomocí „kalkulačky“ publikované na stránkách NÚKIB.
Ukončena podpora Windows 10
V úterý 14. října byla ze strany společnosti Microsoft ukončena podpora operačního systému Windows 10.
Poslední aktualizace, označená jako KB5066791, byla vydána v rámci říjnového „Patch Tuesday“ a obsahuje záplaty pro šest zero-day zranitelností a dalších 172 chyb a po jejím nainstalování již operační systém standardně nebude dostávat žádné bezpečnostní ani funkční aktualizace.
Microsoft nicméně v nedávné době spustil program Extended Security Updates (ESU), který umožní prodloužit bezpečnostní podporu Windows 10 až do října 2026 a domácí uživatelé tak mohou za vybraných okolností získat aktualizace ještě na 12 měsíců. Pro firemní zákazníky společnosti Microsoft je pak k dispozici komerční varianta téhož programu, která umožňuje prodloužit podporu až o tři roky.
Windows 10 zůstávaly i po vydání Windows 11 jedním z nejrozšířenějších operačních systémů a podle statistik portálu StatCounter je stále využívá zhruba 40 % všech zařízení s Windows. I přes pravděpodobně značnou nepřesnost tohoto údaje lze tak očekávat, že systémy s Windows 10 budou v řadě organizací i domácností v nadcházejících měsících nadále v provozu, a to – bohužel – často i bez záplat…
Společnost F5 informovala o útoku na své vývojové prostředí
Společnost F5 ve středu oznámila, že byla v srpnu zasažena sofistikovaným útokem vedeným dosud neidentifikovaným státním aktérem, který získal dlouhodobý přístup k interním vývojovým systémům a odcizil část zdrojových kódů a informace o dosud neopravených zranitelnostech produktů BIG-IP. K řešení incidentu a k analýze jeho dopadů byly dle oficiálního vyjádření přizvány firmy CrowdStrike, Mandiant, NCC Group a IOActive.
F5 již publikovala záplaty pro zranitelnosti, o nichž se útočníci při průniku dozvěděli, a informovala, že podle dostupných dat prozatím nedošlo k jejich aktivnímu zneužití. I samotný únik zdrojových kódů však představuje významné bezpečnostní riziko, protože znalost interní architektury jakéhokoli systému principiálně umožňuje útočníkům snáze identifikovat nové zranitelnosti a vyvíjet cílené exploity.
Byť F5 tuto souvislost oficiálně nepotvrdila, lze předpokládat, že rotace podepisovacích klíčů, kterou firma provedla 13. října – tedy dva dny před zveřejněním informací o incidentu – s útokem souvisí.
Na vzniklou situaci reagovala mj. americká agentura CISA, která 15. října vydala direktivu ED 26–01. Ta ukládá federálním úřadům okamžitě prověřit všechny systémy F5, zamezit přístupu k jejich administrátorským rozhraním z internetu a nejpozději do konce měsíce aplikovat aktuální bezpečnostní záplaty. U zařízení, která již nejsou podporována, CISA nařídila jejich odpojení a vyřazení z provozu.
Požadavky výše zmíněné direktivy lze vnímat jako smysluplná doporučení i pro organizace v ČR, které produkty společnosti F5 využívají.
Ukrajina připravuje ofenzivní kybernetické operace
Ukrajinský parlament v první polovině října schválil v prvním čtení návrh zákona o zřízení samostatných kybernetických sil. Ty by měly poprvé sjednotit ofenzivní i defenzivní schopnosti v oblasti kybernetických operací pod jedno společné velení, přičemž nová struktura by byla podřízena přímo vrchnímu veliteli ozbrojených sil. Na vznik nové armádní složky je plánováno vynaložit ještě v tomto roce 14 milionů hřiven (přibližně 7 milionů Kč).
Pokud návrh projde i druhým čtením a bude podepsán prezidentem, znamenal by formalizaci ofenzivních kybernetických schopností Ukrajiny. Část poslanců však k možnosti sloučení ofenzivních a obranných funkcí zůstává zdrženlivá, a budoucnost zákona tak zatím není jistá.
Další zajímavosti
- Publikován návrh standardu RFC 9883 – An Attribute for Statement of Possession of a Private Key
- Velká Británie pokutovala 4chan v souvislosti s nedodržováním zákona Online Safety Act
- Cca 200 000 počítačů společnosti Framework obsahuje zranitelnosti ve firmware UEFI
- Skupina s vazbami na Čínu údajně kompromitovala ruského poskytovatele IT služeb v rámci pravděpodobné špionážní kampaně
- Skupina s vazbami na Severní Koreu využívá techniku EtherHiding pro ukládání škodlivého kódu do chytrých kontraktů na veřejném blockchainu
- Spojené státy zabavily více než $15 miliard v Bitconech v souvislosti s kryptoměnovými podvody
- Společnost Gecko Security byla obviněna z „přivlastňování“ zranitelností nalezených jinými organizacemi a výzkumníky
- Výzkum provedený americkými univerzitami ukazuje na nebezpečí nešifrované satelitní komunikace
- Britská vláda dementovala zprávy o průniku čínských aktérů do zpravodajských systémů země
- Microsoft revokoval 200 certifikátů zneužívaných škodlivými aktéry pro podepisování malwaru
Pro pobavení
Progress on getting shipwrecked sailors to adopt ICMPv6 has been slow.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
