Postřehy z bezpečnosti: nové vyhlášky k zákonu o kybernetické bezpečnosti jsou na světě

Jan Kopřiva
Dnes
Autor: Depositphotos
V dnešním díle Postřehů se společně podíváme na publikaci vyhlášek k novému zákonu o kybernetické bezpečnosti, konec podpory Windows 10 nebo průnik do vývojového prostředí společnosti F5.

Publikovány vyhlášky k novému zákonu o kybernetické bezpečnosti

V úterý 14. října bylo ve Sbírce zákonů publikováno pět prováděcích vyhlášek k novému zákonu o kybernetické bezpečnosti.

Vedle vyhlášky o bezpečnostních úrovních informačních systémů veřejné správy či vyhlášky o pravidlech pro využívání cloud computingu orgány veřejné správy se mezi nimi objevily i dvě zásadní normy určující bezpečnostní opatření pro poskytovatele regulovaných služeb – vyhlášky č. 409/2025 Sb. a 410/2025 Sb. 

Obě vyhlášky navazují na zákon 264/2025 Sb., který vychází ze směrnice NIS2 a od listopadu letošního roku nahradí dosavadní právní úpravu z roku 2014.

Zmíněné nové prováděcí předpisy pak nahradí dosavadní vyhlášku č. 82/2018 Sb., která stanovovala požadavky na bezpečnostní opatření pro všechny kategorie povinných osob podle zákona č. 181/2014 Sb. Aktuální úprava tento rámec přepracovává a rozděluje do dvou vyhlášek – č. 409/2025 Sb. stanoví požadavky na poskytovatele v režimu vyšších povinností a č. 410/2025 Sb. požadavky na subjekty s nižším režimem. Reaguje tak na širší působnost nového zákona a zavedení regulovaných služeb podle NIS2.

Oproti vyhlášce 82/2018 Sb. rozšiřují nové předpisy (resp. zejména vyhláška 409) povinnosti povinných osob v některých oblastech – mj. došlo k posílení odpovědnosti vrcholového vedení nebo rozšíření požadavků na řízení dodavatelů a také na vybraná technická opatření.

Oba předpisy nabývají účinnosti 1. listopadu 2025. Orientační informaci o tom, do které kategorie určitá organizace spadá, je možné získat mj. s pomocí „kalkulačky“ publikované na stránkách NÚKIB.

Ukončena podpora Windows 10

V úterý 14. října byla ze strany společnosti Microsoft ukončena podpora operačního systému Windows 10.

Poslední aktualizace, označená jako KB5066791, byla vydána v rámci říjnového „Patch Tuesday“ a obsahuje záplaty pro šest zero-day zranitelností a dalších 172 chyb a po jejím nainstalování již operační systém standardně nebude dostávat žádné bezpečnostní ani funkční aktualizace.

Microsoft nicméně v nedávné době spustil program Extended Security Updates (ESU), který umožní prodloužit bezpečnostní podporu Windows 10 až do října 2026 a domácí uživatelé tak mohou za vybraných okolností získat aktualizace ještě na 12 měsíců. Pro firemní zákazníky společnosti Microsoft je pak k dispozici komerční varianta téhož programu, která umožňuje prodloužit podporu až o tři roky.

Windows 10 zůstávaly i po vydání Windows 11 jedním z nejrozšířenějších operačních systémů a podle statistik portálu StatCounter je stále využívá zhruba 40 % všech zařízení s Windows. I přes pravděpodobně značnou nepřesnost tohoto údaje lze tak očekávat, že systémy s Windows 10 budou v řadě organizací i domácností v nadcházejících měsících nadále v provozu, a to – bohužel – často i bez záplat…

Společnost F5 informovala o útoku na své vývojové prostředí

Společnost F5 ve středu oznámila, že byla v srpnu zasažena sofistikovaným útokem vedeným dosud neidentifikovaným státním aktérem, který získal dlouhodobý přístup k interním vývojovým systémům a odcizil část zdrojových kódů a informace o dosud neopravených zranitelnostech produktů BIG-IP. K řešení incidentu a k analýze jeho dopadů byly dle oficiálního vyjádření přizvány firmy CrowdStrike, Mandiant, NCC Group a IOActive.

F5 již publikovala záplaty pro zranitelnosti, o nichž se útočníci při průniku dozvěděli, a informovala, že podle dostupných dat prozatím nedošlo k jejich aktivnímu zneužití. I samotný únik zdrojových kódů však představuje významné bezpečnostní riziko, protože znalost interní architektury jakéhokoli systému principiálně umožňuje útočníkům snáze identifikovat nové zranitelnosti a vyvíjet cílené exploity.

Byť F5 tuto souvislost oficiálně nepotvrdila, lze předpokládat, že rotace podepisovacích klíčů, kterou firma provedla 13. října – tedy dva dny před zveřejněním informací o incidentu – s útokem souvisí.

Na vzniklou situaci reagovala mj. americká agentura CISA, která 15. října vydala direktivu ED 26–01. Ta ukládá federálním úřadům okamžitě prověřit všechny systémy F5, zamezit přístupu k jejich administrátorským rozhraním z internetu a nejpozději do konce měsíce aplikovat aktuální bezpečnostní záplaty. U zařízení, která již nejsou podporována, CISA nařídila jejich odpojení a vyřazení z provozu.

Požadavky výše zmíněné direktivy lze vnímat jako smysluplná doporučení i pro organizace v ČR, které produkty společnosti F5 využívají.

Ukrajina připravuje ofenzivní kybernetické operace

Ukrajinský parlament v první polovině října schválil v prvním čtení návrh zákona o zřízení samostatných kybernetických sil. Ty by měly poprvé sjednotit ofenzivní i defenzivní schopnosti v oblasti kybernetických operací pod jedno společné velení, přičemž nová struktura by byla podřízena přímo vrchnímu veliteli ozbrojených sil. Na vznik nové armádní složky je plánováno vynaložit ještě v tomto roce 14 milionů hřiven (přibližně 7 milionů Kč).

Pokud návrh projde i druhým čtením a bude podepsán prezidentem, znamenal by formalizaci ofenzivních kybernetických schopností Ukrajiny. Část poslanců však k možnosti sloučení ofenzivních a obranných funkcí zůstává zdrženlivá, a budoucnost zákona tak zatím není jistá.

Další zajímavosti

Pro pobavení

Progress on getting shipwrecked sailors to adopt ICMPv6 has been slow.

Progress on getting shipwrecked sailors to adopt ICMPv6 has been slow.

Autor: Randall Munroe, podle licence: CC BY-NC 2.5

O seriálu

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries.

Jan Kopřiva je specialistou na kybernetickou bezpečnost s dlouhou praxí a širokými zkušenostmi. V současnosti působí jako bezpečnostní konzultant ve společnosti Nettles Consulting a také jako jeden z odborníků ve sdružení SANS Internet Storm Center.

